UNIVERSIDAD POLITÉCNICA SALESIANA SEDE GUAYAQUIL

Transcripción

1 UNIVERSIDAD POLITÉCNICA SALESIANA SEDE GUAYAQUIL FACULTAD DE INGENIERÍAS CARRERA: INGENIERÍA EN SISTEMAS Tesis previa a la obtención del título de: Ingeniero en Sistemas TÍTULO Planeación y Diseño de un Sistema de Gestión de Seguridad de la Información basado en la norma ISO/IEC AUTORES: José Luis Buenaño Quintana Marcelo Alfonso Granda Luces DIRECTOR: Ing. Ricardo Naranjo Guayaquil Ecuador Diciembre de 2009

2 Señores: UNIVERSIDAD POLITÉCNICA SALESIANA Consejo de Carrera Ingeniería en Sistemas Ciudad.- Tenemos el agrado de dirigirnos a ustedes con la finalidad de dejar constancia de la presente declaración de responsabilidad en el desarrollo del trabajo de tesis Planeación y Diseño de un SGSI basado en la norma ISO/IEC Es así que los conceptos desarrollados, análisis realizados y las conclusiones del presente trabajo, son de exclusiva responsabilidad de los autores. Atentamente, Guayaquil, 8 diciembre del 2009 José Luis Buenaño Quintana Marcelo Alfonso Granda Luces II

3 Dedicatorias y agradecimientos Deseamos expresar nuestra profunda gratitud a quienes directa o indirectamente colaboraron con el desarrollo del presente trabajo, entre ellos: A nuestras respectivas familias, por su constante comprensión y estimulo junto con su continuo y afectuoso aliento. Al Ing. Ricardo Naranjo, director de tesis, por la colaboración y asistencia constante durante el desarrollo de este trabajo de tesis Al Ing. Javier Ortiz, cuya colaboración fue crucial para el desarrollo de este proyecto, por su permanente disposición y desinteresada ayuda A cada uno de los docentes que aportó a través de nuestros años de estudio valiosos conocimientos que fomentaron nuestra capacidad y experiencia. III

4 Índice General CAPÍTULO 1 : DISEÑO DE LA INVESTIGACIÓN Página 1.1 Antecedentes de la investigación Problema de investigación Formulación del problema de investigación Sistematización del problema de investigación Objetivos de la investigación Objetivo general Objetivos específicos Justificación de la investigación Marco de referencia de la investigación Marco teórico Marco conceptual (Glosario de términos) Formulación de la Hipótesis y variables Hipótesis general Hipótesis particulares Aspectos metodológicos de la investigación Tipo de estudio Método de investigación Fuentes y técnicas para la recolección de información Tratamiento de la información Resultados e impactos esperados 22 CAPÍTULO 2: ANÁLISIS, Y DIAGNÓSTICO 2.1 Análisis de la situación actual Análisis comparativo, evolución, tendencias y perspectivas Pregunta Pregunta Pregunta Pregunta Pregunta Pregunta 6 29 IV

5 2.3 Verificación de hipótesis 30 CAPÍTULO 3: PROPUESTA DE CREACIÓN 3.1 Definición Alcance Plan de implementación Alcances del SGSI Política de seguridad de la información Política de Seguridad -A Organización de la seguridad de la información - A Gestión de Activos - A Seguridad de los recursos humanos - A Seguridad física y ambiental - A Gestión de las comunicaciones y operaciones - A Control de Accesos - A Adquisición, desarrollo y mantenimiento de los S.I- A Gestión de incidente en la seguridad de información Gestión de la continuidad del negocio - A Cumplimiento - A Gestión de riesgos Conclusiones Recomendaciones Bibliografía Anexo1: Plan de continuidad del negocio Anexo2: Activos de Información 3.12 Anexo 3: Gestión de riesgo y Enunciado de aplicabilidad V

6 CAPÍTULO I DISEÑO DE LA INVESTIGACIÓN 5

7 1.1.1 Antecedentes de la investigación Durante el constante proceso de evolución del uso de la tecnología como soporte a las operaciones en las organizaciones, siempre ha existido la preocupación por evitar incidentes que comprometan la seguridad de la información. Diversas han sido las herramientas de orden técnico que se han desarrollado, creado o mejorado a fin de contrarrestar los riesgos asociados al uso de la tecnología, sin embargo, ha sido evidente que ningún mecanismo técnico de seguridad, logra ser completamente efectivo, e incluso deja de cumplir su propósito si no se controla al el elemento más sensible, el recurso humano. Es por eso que la seguridad de la información consiste en combinar de manera coherente las herramientas técnicas de seguridad y a la vez gestionar el comportamiento del factor humano tratando de reducir en la mayor medida posible las vulnerabilidades o posibles atentados contra la seguridad de la información y sistemas. 1.2 Problema de investigación Luego de analizar la infraestructura tecnológica de la Sede Guayaquil de la Universidad Politécnica Salesiana, es notable el crecimiento experimentado con el paso de los años, este hecho ha provocado que los controles a nivel de seguridad de la información que se encuentran vigentes, no sean los adecuados para garantizar la disponibilidad, integridad, y confidencialidad de la información, razón por la cual es necesario sean revisados y mejorados. En caso de no remediarse la situación anteriormente expuesta, se eleva exponencialmente el riesgo de ocurrencia de incidentes de seguridad, pérdida de información o disponibilidad de los servicios y sistemas que sustentan la operación de la sede, esto redundaría en pérdidas económicas y podría generar desconfianza tanto sobre la imagen que la institución mantiene en el medio académico, así como sobre los futuros profesionales que egresen de la Universidad. 6

8 Al encontrar un mecanismo que logre regular, gestionar y mitigar al máximo los riesgos actuales por el uso de la información le será posible a la institución controlar las amenazas actuales en los sistemas informáticos Formulación del problema de investigación Cómo se podrían mitigar los riegos asociados al uso de la información de los sistemas y servicios informáticos brindados dentro de la sede Guayaquil de la Universidad Politécnica Salesiana? Sistematización del problema de investigación De qué manera tendría que organizarse al personal encargado de la administración del los recursos informáticos a fin de asegurar que la información se mantenga y manipule de forma segura? Cómo puede asegurarse el uso aceptable de los recursos y sistemas de información por parte de los funcionarios de la sede a fin de mitigar los riesgos? De qué manera debería controlarse al recurso humano a fin de que éste no se convierta en un elemento que pueda vulnerar la seguridad de la información o de los recursos entregados al personal? Cómo pueden salvaguardarse los recursos informáticos de catástrofes naturales, robos, pérdidas, daños intencionales o no intencionales que puedan afectar la disponibilidad de los recursos? Cómo gestionar de manera segura las comunicaciones y operaciones informáticas? Cómo evitar el acceso no autorizado a la información de los sistemas y servicios utilizados por la Universidad? Cómo mantener seguro el proceso de desarrollo de software y soluciones tecnológicas? 7

9 Cómo debería procederse en caso de ocurrir un incidente de seguridad en un sistema o servicio informático? Cómo asegurar que se dé fiel cumplimiento a la política de seguridad de la información? 1.3 Objetivos de la investigación Objetivos generales Establecer cuáles serían los mecanismos adecuados para mitigar los riesgos asociados al uso de la información, de los sistemas y servicios informáticos utilizados por el personal de la sede Guayaquil de la Universidad Politécnica Salesiana Objetivos específicos Establecer la manera adecuada de organizar al personal encargado de la administración del los recursos informáticos, a fin de asegurar que la información se mantenga y manipule de forma segura. Descubrir y plantear los controles necesarios para asegurar el uso aceptable de los recursos y sistemas de información por parte de los funcionarios de la sede. Tabular de forma detallada, qué tipo de controles deberían aplicarse sobre el recurso humano a fin de que éste no se convierta en un elemento vulnerable, que ponga en riesgo la seguridad de la información o de los recursos tecnológicos. Determinar la manera más eficiente de salvaguardar los recursos informáticos de catástrofes naturales, robos, pérdidas, y daños intencionales o no intencionales que puedan afectar la disponibilidad del recurso. Especificar mecanismos que permitan mantener seguras las comunicaciones y operaciones informáticas. 8

10 Establecer controles que permitan evitar el acceso no autorizado a la información de los sistemas y servicios utilizados por la Universidad. Proveer lineamientos de seguridad que mantengan a buen recaudo el proceso de desarrollo de software y soluciones tecnológicas. Determinar la manera adecuada de proceder en caso de ocurrir un incidente de seguridad en un sistema o servicio informático. Hallar los mecanismos adecuados a fin de garantizar la continuidad de las operaciones de la sede Guayaquil de la Universidad Politécnica Salesiana. Asegurar que se dé fiel cumplimiento a la política de seguridad de la información a través de procedimientos y políticas. 1.4 Justificación de la investigación Mediante la implementación de un SGSI Sistema de Gestión de Seguridad de la Información- la Universidad conseguiría minimizar considerablemente el riesgo de que su productividad se vea afectada debido a la ocurrencia de un evento que comprometa la confidencialidad, disponibilidad e integridad de la información o de alguno de los sistemas informáticos. Información financiera, nómina, cuentas por cobrar, y académica debería estar siempre disponible, a fin de no afectar el normal flujo de operaciones de la institución. Los sistemas informáticos deben cumplir su objetivo, a saber, estar siempre disponibles para servir de apoyo a las labores principalmente académicas que la institución lleva a cabo. La no disponibilidad de alguno de estos sistemas, tal como el sistema general de facturación, académico y demás, dilataría los tiempos de atención a los estudiantes o funcionarios, lo cual incidiría negativamente en la imagen de la institución y en el 9

11 nivel de satisfacción de los docentes como clientes internos, así como en los estudiantes en su calidad de clientes externos. El funcionario o área encargada de la seguridad informática, mediante la implantación de un SGSI logrará controlar y evitar eventos como los citados anteriormente, que evidentemente comprometerían el rendimiento financiero y organizacional de la Universidad. 1.5 Marco de referencia Marco teórico Al encontrarnos actualmente en una era en que las operaciones son altamente dependientes de la tecnología, la información es el bien más preciado que las organizaciones poseen, tanto así que una pérdida considerable o total de la misma, le produciría consecuencias catastróficas a una organización. La evolución de las comunicaciones, y la dependencia casi absoluta a Internet, pone en un riesgo mayor a este preciado bien. A diario alrededor del mundo, millones de computadores personales o equipos servidores son asechados y atacados por piratas informáticos quedando expuesta información confidencial, tales como datos personales, números de tarjetas de crédito, información sobre precios, productos, planes estratégicos, y demás datos críticos que a través de Internet son transmitidos a menudo de forma insegura. Los piratas informáticos dirigen a diario millones de intentos de ataques en busca de vulnerabilidades técnicas o descuidos humanos los cuales forman la brecha de seguridad más comúnmente presentada en los sistemas expuestos a Internet. Estos ataques en ocasiones son realizados con fines fraudulentos, otros con el objetivo específico de sabotear las operaciones de una empresa o institución, buscando generar desconfianza sobre la organización, o simplemente el deseo de probar o evaluar qué tan robusta pudiera ser la seguridad de algún sistema expuesto, deseo alimentado generalmente por mera curiosidad. 10

12 Indistintamente del motivo, los riesgos y el impacto que se produce debido a estos ataques son considerables y se traducen a la larga en costos y pérdidas para la institución, empresa u organización. CSI Computer Crime & Security Survey, organización que recopila información de la comunidad informática en los Estados Unidos de América, sobre como han sido afectados sus respectivos entornos tecnológicos y de red por crímenes informáticos, presentó varios datos estadísticos en su informe anual los cuales se mencionan a continuación: El la figura 1.1, se detalla el ámbito de actividad en el que se desempeñaban las organizaciones consultadas. Actividad desempeñada por las organizaciones encuestadas Figura 1.1 Fuente: CSI Computer Crime & Security Survey CSI Computer Crime and Security Survey - : Robert Richardson, CSI Director} 11

13 Entre los datos más relevantes incluidos en éste reporte anual tenemos los datos: En los casos en que existieron fraudes de índole financiero las perdidas llegaron a ascender a los USD. $ Casi el 50% de las organizaciones consultadas reconocieron haber tenido incidentes relacionados con código malicioso o virus. Cerca del 10% de las organizaciones sufrieron incidentes relacionados con el servicio de resolución de nombres o DNS (Domain Name Service). El 27% de las organizaciones mencionadas en el punto anterior reconocieron que estos ataques habían sido específicamente apuntados a su organización y no un ataque al azar. 1 Ocurrencia de incidentes de seguridad en el año 2008 Figura 1.2 Fuente: CSI Computer Crime & Security Survey CSI Computer Crime and Security Survey - : Robert Richardson, CSI Director 1RICHARDSON, Robert, CSI Computer Crime & Security Survey CSI Computer Crime and Security Survey, USA, p. 2 12

14 Organizaciones que reportaron pérdidas debido a intrusiones en el año 2008 Figura 1.3 Fuente: CSI Computer Crime & Security Survey CSI Computer Crime and Security Survey - : Robert Richardson, CSI Director Principales tipos de incidencias ocurridas por año Figura 1.4 Fuente: CSI Computer Crime & Security Survey CSI Computer Crime and Security Survey - : Robert Richardson, CSI Directo Estos eventos ocurrieron inclusive organizaciones que contaban con herramientas de seguridad, lo cual comprueba que no basta con estar a la vanguardia de las soluciones de seguridad informática disponibles en el mercado. 13

15 Herramientas de seguridad utilizadas Figura 1.5 Fuente: CSI Computer Crime & Security Survey CSI Computer Crime and Security Survey - : Robert Richardson, CSI Director Como puede concluirse por los datos estadísticas anteriormente expuestos el afán de preservar la integridad, confidencialidad y disponibilidad de la información, no puede basarse únicamente en mecanismos técnicos, que en algún momento pueden también ser vulnerables, nombrando entre ellos firewalls, sistemas de prevención de intrusos, aplicaciones antivirus, y demás. La gestión efectiva de la seguridad de la información va un paso más adelante, en ella se involucra a toda la organización y sus miembros, la dirección, inclusive los proveedores y clientes, todos guiándose por una política definida en la que se establezca las directrices a seguir, existiendo procedimientos precisos para las diferentes acciones técnicas o no técnicas en las que la información se vea involucrada. Mediante un SGSI - Sistema de Gestión de Seguridad de la Información- la institución como tal conoce los riesgos a los que su información se ve expuesta, consiguiendo mantenerlos en un nivel mínimo y sobre todo controlarlos mediante una lógica definida y documentada. 14

16 1.5.2 Marco conceptual La Norma ISO/IEC 27001, la cual brinda directrices para la implementación de un Sistema de Gestión de Seguridad de la Información incluye una sección denominada Términos y definiciones las cuales se detallan a continuación: Activo Cualquier cosa que tenga valor para la organización. Disponibilidad La propiedad de estar disponible y utilizable cuando lo requiera una entidad autorizada. Confidencialidad La propiedad que esa información esté disponible y no sea divulgada a personas, entidades o procesos no-autorizados 2 Seguridad de información Preservación de la confidencialidad, integridad y disponibilidad de la información; además, también pueden estar involucradas otras propiedades como la autenticidad, responsabilidad, no-repudio y confiabilidad. Evento de seguridad de la información Una ocurrencia identificada del estado de un sistema, servicio o red indicando una posible violación de la política de seguridad de la información o falla en las salvaguardas, o una situación previamente desconocida que puede ser relevante para la seguridad. 2 El sistema gerencial incluye la estructura organizacional, políticas, actividades de planeación, responsabilidades, prácticas, procedimientos, procesos y recursos integridad la propiedad de salvaguardar la exactitud e integridad de los activos. (ISO/IEC :2004) 15

17 Sistema de gestión de seguridad de la información SGSI Esa parte del sistema gerencial general, basado en un enfoque de riesgo comercial; para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información. Riesgo residual El riesgo remanente después del tratamiento del riesgo. Aceptación de riesgo Decisión de aceptar el riesgo. Análisis de riesgo Uso sistemático de la información para identificar fuentes y para estimar el riesgo. Valuación del riesgo Proceso general de análisis del riesgo y evaluación del riesgo. Evaluación del riesgo Proceso de comparar el riesgo estimado con el criterio de riesgo dado para determinar la importancia del riesgo. Gestión del riesgo Actividades coordinadas para dirigir y controlar una organización con relación al riesgo. Tratamiento del riesgo Proceso de tratamiento de la selección e implementación de medidas para modificar el riesgo. 16

18 Enunciado de aplicabilidad Enunciado documentado que describe los objetivos de control y los controles que son relevantes y aplicables al SGSI de la organización Formulación de hipótesis y variables Hipótesis General A través de un SGSI es posible establecer los mecanismos adecuados que mediante su aplicación permiten mitigar al máximo los riesgos asociados al uso de la tecnología, información y sistemas informáticos, salvaguardando los recursos de la sede Hipótesis Particulares Se puede mantener un control adecuado sobre las actividades relacionadas con la seguridad que el personal encargado realiza a través de aplicar los controles mencionados en el apartado Organización de la seguridad de la información de la norma. Al aplicar los controles que forman parte del apartado Gestión de Activos se puede asegurar que se de un uso aceptable de los recursos y sistemas de información por parte de los funcionarios de la sede a fin de mitigar los riesgos. A través de la aplicación del apartado Seguridad de los recursos humanos, es posible controlar al recurso humano a fin de que este no se convierta en un factor que pueda vulnerar la seguridad de la información o de los recursos entregados a los mismos. La política de Seguridad física y ambiental incluida en la norma permite mediante su aplicación salvaguardar eficientemente los recursos informáticos de catástrofes naturales robos, perdidas, y daños intencionales o no intencionales que puedan afectar la disponibilidad del recurso 3 En este Estándar Internacional el término control se utiliza como sinónimo de medida. 17

19 El apartado Gestión de las comunicaciones y permitirán mantener seguras las comunicaciones y operaciones informáticas. Como parte de la norma se incluye una sección de Control de Accesos que mediante su aplicación en las operaciones informáticas de la sede, evitará el acceso no autorizado a la información de los sistemas y servicios utilizados por los funcionarios, docentes, y estudiantes de la sede. La sección Adquisición, desarrollo y mantenimiento de los sistemas de información establece lineamientos de seguridad que permitan mantener seguro el proceso de adquisición y desarrollo de soluciones tecnológicas. Mediante la política de Gestión de un incidente en la seguridad de la información se proveen directrices sobre cómo proceder en caso de ocurrir un incidente de seguridad en un sistema o servicio informático. Como parte del SGSI se incluye la Gestión de la continuidad del negocio que mediante su aplicación ayudarán a mantener activos y disponibles los sistemas, datos y servicios que sustentan las operaciones fundamentales de la institución. El apartado de Cumplimiento provee una guía que permite asegurar que se dé fiel cumplimiento a la política de seguridad de la información a través de procedimientos y políticas. 1.7 Aspectos metodológicos de la investigación Tipos de estudio En el desarrollo de un proyecto pueden utilizarse diferentes tipos de estudios o investigación, entre estos tenemos: 18

20 Tipo de investigación descriptiva Este proyecto utilizó investigación descriptiva pues detalla en forma breve y especifica los componentes de la investigación permitiendo comprobar en forma sistemática y progresiva las necesidades de la entidad objeto de estudio. Tipo de investigación no experimental La presente investigación es no experimental pues las circunstancias implicadas o características del objeto de estudio no son modificables, el investigador no posee control sobre estas, ni tiene la capacidad de influir sobre ellas pues ya han ocurrido. El investigador tampoco posee control sobre los efectos causados por las circunstancias vigentes en la institución. Tipo de investigación explicativa Es explicativa pues a través del proceso de investigación, intenta establecer las causas de los eventos objeto de este estudio, mediante el análisis de la situación actual queda claramente explicita la necesidad de normalizar los controles en lo referente a la seguridad de la información. Tipo de investigación de campo Esta investigación es de campo pues se apoya en información obtenida mediante entrevistas, reuniones, observación y asesoramiento técnico Métodos de investigación Durante el desarrollo de este proyecto se utilizaran los métodos de investigación inductiva y deductiva. Además se aplicarán las siguientes técnicas de investigación: 19

21 Observación directa Cuestionarios Podemos decir que se utilizará el método inductivo deductivo, pues ayuda a la identificación o determinación de que controles o aspectos de la política son aplicables a la institución, así como descartar aquellos que no sean necesarios. Adicionalmente se utilizaran los siguientes procedimientos: Analítico Distinción y separación de las partes. Obtención de un cuerpo compuesto a partir de la combinación de cuerpos simples o de cuerpos compuestos más sencillos que el que se trata de obtener. Este procedimiento se utilizará para descomponer y disponer de forma estructurada los diferentes aspectos a aplicar como parte de la política de seguridad de la información de la sede. Para obtener información relevante que permita la realización de este proyecto se recurrirá a la técnica de investigación descriptiva, la misma que mediante la observación y entrevistas se ocupa en descubrir y comprobar la relación entre las variables de la investigación, permitiendo así descubrir y establecer las necesidades reales y la relevancia de cada aspecto del proyecto. Análisis (analítico) Deducción (método deductivo) Análisis datos históricos Enfoque del sistema (experimental) Estudio de estándar (descriptivo) Fuentes y técnicas de recolección de la información Para el desarrollo de esta tesis los autores han utilizado los siguientes mecanismos de recolección de información: 20

22 Observación Entrevistas Datos estadísticos Discusión con personal capacitado Evaluación en base a experiencia Tratamiento de la información Durante el desarrollo de este proyecto se recopiló información relacionada con el uso de tecnologías de información dentro de la sede Guayaquil de la UPS, se realizó un estudio de la información recibida, topología de red, herramientas y aplicativos utilizados, para luego establecer las políticas y procedimientos aplicables a la institución. Para este fin se utilizaron las siguientes técnicas de tratamiento de información: Experimentación La experimentación, método común de las ciencias y las tecnologías, consiste en el estudio de un fenómeno, reproducido generalmente en condiciones particulares de estudio que interesan, eliminando o introduciendo aquellas variables que puedan influir en él. Se entiende por variable todo aquello que pueda causar cambios en los resultados de un experimento y se distingue entre variable independiente, dependiente y controlada. 4 Registro Es común que durante el proceso de recolección de información, parte de ella no sea recordada o se pierda debido a no contar con un registro adecuado de cada dato importante, al realizarse mayormente vía Internet las entrevistas realizadas al coordinador de sistemas, se registro en un archivo electrónico las respuestas o toda información que pudiera ser relevante en el proceso de análisis. 4 Wikipedia, Internet 21

23 Análisis y categorización La información recolectada permitió realizar una análisis detallado a fin de establecer que controles de la norma serian aplicables a la infraestructura de la sede Guayaquil de la UPS, en este sentido fue necesario categorizar la información en función del apartado de la norma analizado. 1.8 Resultados e impactos esperados Con la implantación de un SGSI se logrará minimizar considerablemente los riesgos asociados al uso de la información y se mantendrán normalizados los procesos ya existentes ajustándose a las necesidades de de la sede Guayaquil de la UPS. Es importante tomar en cuenta que se requerirá realizar cambios en los procedimientos administrativos de la Universidad, y existirá un impacto principalmente en el recurso humano durante el proceso de concienciación y adopción de cultura de seguridad informática. 22

24 CAPÍTULO II ANÁLISIS, PRESENTACIÓN DE RESULTADOS Y DIAGNÓSTICOS 23

25 2.1 Análisis de la situación actual Luego de realizar el análisis en base a la información recopilada de la coordinación de sistemas, es posible establecer que la infraestructura tecnológica tiende a volverse más compleja debido al crecimiento organizacional de la Universidad, en función de eso los controles ya establecidos llegan a ser poco eficientes y deben ser mejorados, y alineados a una normativa que haya sido previamente comprobada como exitosa tal como lo es la norma ISO serie De forma general puede concluirse que se mantienen actualmente ciertos controles que permiten mantener la información relativamente segura, sin embargo estos controles dejan de ser efectivos a medida que la infraestructura, y el volumen de la información van en aumento, razón por la cual es prudente robustecer los controles y alinearlos a la normativa ISO 2700 que permitirá potenciar las políticas o controles existentes. A través de la aplicación de esta norma se podrán corregir o mejorar los controles existentes que dan origen a los siguientes problemas encontrados durante el desarrollo de este proyecto: Falta robustecer los lineamientos de seguridad física que permitan mitigar riesgos de causen daños intencionados o no intencionados por parte de usuarios o terceros. No existen políticas documentadas y difundidas con respecto al manejo o uso aceptable de los activos de información, sean de hardware, software o información. No se están aplicando por completo los controles necesarios a fin de minimizar la propagación de código malicioso en los equipos de computo, que pudieran incluso llegar a afectar servidores o repositorios de información. Existe una elevada tasa de pérdida de equipos o partes dentro de los laboratorios de cómputo, al ser sensibles a hurto. 24

26 No existe un plan de contingencia documentado y difundido que permita garantizar la continuidad de las operaciones fundamentales de la institución. Los recursos humanos, siendo generalmente el punto más vulnerable en la seguridad de la información, no se encuentra regulado mediante políticas formales de comportamiento y uso de activos de información. Existe información que no se encuentra viajando a través de los medios de forma segura, no existen al momento mecanismos de encriptación, si a través de estos medios se transmitiera información crítica se corre un alto riesgo de comprometer datos académicos calificaciones, registros, y demás información sensible manejada por los funcionarios de la sede. Los controles relacionados a los servicios internos brindados por la Universidad tales como mensajería electrónica, no son lo suficientemente robustos, lo cual puede originar perdida de información, consumos excesivos de recursos debido a ser objeto de spamming,perdida de servicio debido a ser calificados como spammers en listas negras disponibles en Internet y demás. 2.2 Análisis comparativo, evolutivo, tendencias y perspectivas La gestión de riesgo asociada a cada uno de los servicios y sistemas brindados por la Institución se ha establecido de acuerdo al tipo de negocio, servicios brindados, el equipamiento suministrado, servicios subcontratados para mantener la comunicación y las instalaciones físicas que posee la institución De acuerdo a la situación actual y a los factores de riesgos encontrados se pueden realizar los siguientes cuestionamientos y cuadros comparativos mediante los cuales se podrá evaluar cada uno de los puntos citados en una escala del 1 al Pregunta 1 Cuál es el índice de riesgo que actualmente maneja la universidad de acuerdo al tipo de negocio que esta maneja y la información que es transmitida por los medios? 25

27 Activo de Información Importancia Ocurrencia Estimada Riesgo Actual Información Académica 5 4 4,5 Información Financiera 5 4 4,5 Información de Inventario 5 4 4,5 Información de RRHH 5 4 4,5 Tabla 2.1 Fuente: Los Autores Índice de Riego de Acuerdo al tipo de Información Importancia Ocurrencia Estimada Riesgo Actual Información Información Información Académica Financiera de Inventario Información de recursos humanos Figura 2.1 Fuente: Los Autores Pregunta 2 Cuál es la situación actual y riesgo estimado con relación a los servicios brindados por la institución? Activo de información Importancia Ocurrencia Estimada Riesgo Actual Correo Electrónico 4 5 4,5 Información Almacenada Acceso a Internet 5 4 4,5 Servicios de Directorio Active 5 4 4,5 Tabla 2.2 Fuente: Los Autores 26

28 De acuerdo a los Servicios Brindados por la Institución Importancia Ocurrencia Estimada Riesgo Actual 0 Correo Información Acceso a Electrónico Almacenada Internet Servicio de Directorio Active Figura 2.2 Fuente: Los Autores Pregunta 3 Cuál sería la valoración y riesgo asociado a los activos de información y equipos según su uso? Activo de información Importancia Ocurrencia Estimada Riesgo Actual Estaciones de Trabajo Criticas 5 4 4,5 Estaciones de Trabajo 3 4 3,5 Equipos en los Laboratorios Servidores 5 4 4,5 Tabla 2.3 Fuente: Los Autores Aplicaciones De Acuerdo al tipo de información procesada en las Estaciones de Trabajo Estaciones de Trabajo Criticas Estaciones Equipos en de Trabajo los Laboratorios Servidores Importancia Ocurrencia Estimada Riesgo Actual Figura 2.3 Fuente: Los Autores 27

29 2.2.4 Pregunta 4 Cuál sería la valoración del riesgo asociado al uso de aplicaciones o servicios a través de la infraestructura de networking de la sede? Importancia Ocurrencia Estimada Riesgo Actual Red Local 5 4 4,5 Firewall 5 3,5 4,25 Servicios de la Red 4 3,5 3,75 Telefonía VoIp 5 3,5 4,25 Tabla 2.4 Fuente: Los Autores Riesgo de acuerdo Servicio brindado Importancia Ocurrencia Estimada Riesgo Actual 0 Red Local Firewall Servicion de la Red Telefonia VoIp Figura 2.4 Fuente: Los Autores Pregunta 5 Qué tan expuestos están los canales de comunicación manejados por la sede y que tan críticos son estos? Activo de información Enlace de Datos Guayaquil - Cuenca Enlace Video Conf. Guayaquil Cuenca Importancia Ocurrencia Estimada Riesgo Actual 5 3,3 4, Tabla 2.5 Fuente: Los Autores 28

30 Riegos asociados a los servicios subcontratados Importancia Ocurrencia Estimada Riesgo Actual 0 Enlace de Datos Gye - Cue Enlace Video Conf Gye - Cue Figura 2.5 Fuente: Los Autores Pregunta 6 Al carecer con una política de seguridad y planes de contingencia. Cuáles podrían ser considerados con los puntos más vulnerables dentro de la institución? Activo de información Importancia Ocurrencia Estimada Riesgo Actual Oficinas Laboratorios 5 3,22 4,11 Sala de servidores Tabla 2.6 Fuente: Los Autores Vulnerabilidad de acuerdo al nivel de riesgo dentro de cada uno de los servidores Importancia Ocurrencia Estimada Riesgo Actual 0 oficinas laboratorios sala de servidores Figura 2.6 Fuente: Los Autores 29

31 2.3 Verificación de hipótesis Según lo analizado, la institución estaría en un nivel alto de exposición en tema de seguridad, tomando en cuenta la importancia de la calidad de los servicios brindados, como el riego actual identificado al poder implementar métodos y políticas de control, estos mantendrán una tendencia a decrecer al menos en usa tasa del 50%. Índice de Riego después de Aplicar el Control de Seguridad Información Académica Información Financier Información de Inventario Información de recursos humanos Importancia Ocurrencia Estimada Riesgo Actual Riesgo luego del Control Figura 2.7 Fuente: Los Autores En la aplicación de nuevos métodos de control que mantengan segura la información que es transmitida por los diferentes medios así como mantener una política de encriptación permitirá mejorar el nivel de seguridad de la información que a través de los medios es transmitida. De acuerdo a los Servicios Brindados por la Institución después de la Aplicación del Control Correo Información Acceso a Electrónico Almacenada Internet Servicio de Directorio Active Importancia Ocurrencia Estimada Riesgo Actual Riesgo luego del Control Figura 2.8 Fuente: Los Autores 30

32 Entre los servicios brindados por la universidad se encuentra el de mensajería electrónica, el cual es blanco de spammers, o correo basura, por otro lado el acceso a Internet puede representar una vulnerabilidad que permita accesos no autorizados o propagación de código malicioso si no existen los controles adecuados. Aplicaciones De Acuerdo al tipo de información procesada en las Estaciones de Trabajo después de la Aplicaciones del Control Estaciones de Estaciones de Trabajo Críticas Trabajo Equipos en los Laboratorios Servidores Importancia Ocurrencia Estimada Riesgo Actual Riesgo luego del Control Figura 2.9 Fuente: Los Autores Existen varias estaciones de trabajo que son consideradas críticas debido a la información almacenada en las mismas y las funciones que estas desempeñan. Es necesario aplicar controles sobre estos activos que permitan mitigar el riesgo de daño por código malicioso, uso indebido o por variaciones de corriente. Con la aplicación de una política de contingencia se podrá evitar la pérdida de la disponibilidad del servicio que estos equipos prestan, y se evitará considerablemente incidencias como las antes mencionadas. Riesgo de acuerdo Servicio brindado después del Control importancia ocurrencia estimada Riesgo Actual Riesgo luego de Control 0 Red Local Firewall Servicio de la Red Telefonía VoIp Figura 2.10 Fuente: Los Autores 31

33 Podrían potenciarse los controles existentes que permitan transmitir de manera mas segura la información a través de los diferentes canales de comunicación disponibles. Riegos al Mantener Servicios SubContratados con otros Proveedores después de la aplicación del control Enlace de Datos Gye - Cue Enlace Video Conf Gye - Cue Importancia Ocurrencia Estimada Riesgo Actual Riesgo luego de Control Figura 2.11 Fuente: Los Autores Unos de los principales objetivos es mantener los servicios, servidores y redes interconectados entre las sedes, mediante la aplicación de los controles sugeridos en la norma, se podría monitorear y garantizar la calidad del servicio brindado por el (los) proveedor (es). Vulnerabilidad de acuerdo al nivel de riesgo dentro de cada uno de los servidores después de la política Importancia Ocurrencia estimada Riesgo Actual Riesgo luego de Control 0 Oficinas Laboratorios Sala de servidores Figura 2.12 Fuente: Los Autores 32

34 A fin de cuantificar el cumplimiento actual y esperado con las mejores prácticas en seguridad informática, se ha realizado el análisis GAP incluido a continuación. Un análisis GAP examina las diferencias entre la gestión actual y la información presupuestada. Los resultados obtenidos representan el grado en el que una organización ha cumplido sus objetivos. Aspecto Porcentaje Protección Actual Gestión de Activos 5% Seguridad física y ambiental 11,80% Gestión de las comunicaciones y operaciones 12,80% Control de Accesos 10% Adquisición, desarrollo y mantenimiento de los sistemas de información 15% Gestión de la continuidad del negocio 10% Tabla 2.7 Fuente: Los Autores Cumplimiento con mejores prácticas en seguridad informática Universidad Politécnica Salesiana Sede Guayaquil Gestión de Activos 100% Cumplimiento Cumplimiento ideal Gestión de la continuidad del negocio 80% 60% 40% 20% 0% Seguridad física y ambiental Adquisición, desarrollo y mantenimiento de los sistemas de información Gestión de las comunicaciones y operaciones Control de Accesos Figura 2.13 Fuente: Los Autores 33

35 Aspecto Porcentaje Protección Inicial esperado Gestión de Activos 50% Seguridad física y ambiental 64,20% Gestión de las comunicaciones y operaciones 62,80% Control de Accesos 60% Adquisición, desarrollo y mantenimiento de los 60% sistemas de información Gestión de la continuidad del negocio 60% Tabla 2.8 Fuente: Los Autores Cumplimiento mejores prácticas seguridad informática Gestión de la continuidad del negocio Adquisición, desarrollo y mantenimiento de los sistemas de Gestión de Activos 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% Seguridad física y ambiental Gestión de las comunicaciones y operaciones Cumplimiento actual Control de Accesos Cumplimiento ideal Figura 2.14 Fuente: Los Autores Como puede apreciarse en la figura 2.14 el cumplimiento con las mejores prácticas es limitado, debido a mantener controles de forma empírica, mas no existe un 34

36 cumplimiento formal de los controles aceptados como mejores prácticas en seguridad informática. Este hecho incrementa notablemente los riesgos de que la información o sistemas se vean comprometidos en caso de una incidencia. El establecimiento de un SGSI, lograría elevar los niveles de cumplimiento y a la vez minimizar el riesgo asociado al uso de la información. 35

37 CAPÍTULO III PROPUESTA DE CREACIÓN DISEÑO - PLANEACIÓN DE UN SGSI SEDE GUAYAQUIL UNIVERSIDAD POLITÉCNICA SALESIANA 36

38 3.1 Definición Un Sistema de Gestión de Seguridad de la Información constituye una herramienta de gestión para todo tipo de organizaciones en lo relacionado a la preservación de la información que esta maneja. Los sistemas informáticos almacenan gran cantidad de información fundamental para las organizaciones, estos sistemas, como cualquier otro, son propensos a riesgos de seguridad y pueden ser blanco de un sin número de amenazas internas y externas. Los riesgos pueden categorizarse principalmente como: Riesgos Físicos Accesos no autorizados o controlados, catástrofes naturales, vandalismo. Riesgos Lógicos Ataques informáticos, códigos maliciosos, virus, troyanos, ataque de denegación de servicio. El SGSI permite evaluar, reconocer, y aceptar controladamente los diferentes riesgos a los que la información está sujeta, esto se lo consigue a través de la definición de políticas, procedimientos y controles en relación a los objetivos de negocio consiguiendo con esto mantener el riesgo por debajo de los parámetros establecidos por la organización gestionando estos de manera sistemática, definida, documentada y ampliamente difundida Alcance El proceso de implementación de un Sistema de Gestión de Seguridad de la Información se basa en lo estipulado en la norma ISO/IEC La norma ISO es un estándar para la seguridad de la información el cual fue aprobado y publicado como estándar internacional en Octubre de 2005 por la ISO 5 Fuente: INTERNET - International Organization for Standardization y por la IEC International Electrotechnical Commission. 6 37

39 La norma ISO especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el conocido Ciclo PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Planificar (Plan) Qué hacer y cómo para satisfacer política y objetivos para la seguridad de la información? Implementar (DO) Poner en práctica lo planificado. Verificar (Check) Verificar si se ha hecho lo planificado y si lo que se ha hecho resulta eficaz. Mejora Continua (Act) Cómo y qué mejorar? Figura 3.1 Fuente: INTERNET Fuente: INTERNET Wikipedia 38

40 Este proyecto se encuentra definido como un DISEÑO orientado a cubrir los requerimientos de la primera fase de implementación de un SGSI, y el objeto de estudio será el Departamento de Sistemas de la Sede Guayaquil de la Universidad Politécnica Salesiana. Según el estándar establecido, a saber, ISO/IEC 27001, en la fase de Planificación se incluirá lo detallado a continuación: Análisis detallado que permita establecer los límites del sistema en función de la estructura organizacional y recursos tecnológicos disponibles, incluyendo la debida justificación. Elaboración y documentación de una política de seguridad en términos de las características del negocio, organización, activos y tecnología. Definir el enfoque, y metodologías a utilizarse en la valoración riesgos de la organización. Identificación de riesgos, amenazas y vulnerabilidades a las que están expuestos los activos definidos dentro del alcance del Sistema de Gestión de Seguridad de la Información (SGSI). Análisis y evaluación de riesgos, que implica el cálculo realista de la posibilidad de que los riesgos identificados tengan una ocurrencia, valorar el impacto comercial que estos acarrearían, y determinar si el riesgo es aceptable en términos del negocio. Identificación y evaluación de las opciones o acciones para los riesgos previamente evaluados. Seleccionar los objetivos de control o controles a utilizarse en el tratamiento de riesgos, existen diferentes controles recomendados en la norma ISO/IEC 39

41 27001, deberá realizarse un análisis de la organización a fin de definir cuáles de ellos son aplicables al negocio. Definición de los riesgos residuales, es decir, los riegos que permanecen incluso luego de realizar las acciones preventivas pertinentes, estos deberán clasificarse como aceptables o inaceptables para la organización y ser puestos a consideración de la dirección a fin de ser aprobados previo a continuar con la fase de implantación. Preparar un Enunciado de Aplicabilidad Obtener la autorización de la gerencia para implementar y operar el SGSI Plan de implementación Uno de los fundamentos del diseño del SGSI es la elaboración de la política de seguridad informática a aplicarse en la sede Guayaquil de la Universidad Politécnica Salesiana, los aspectos a tratarse, se detallan a continuación: Definir los alcances del Sistema de Gestión de Seguridad de la Información. Definir una política de seguridad de la información en términos de la lógica y política organizacional, la cual incluirá: o Política de Seguridad - A.5 8 o Organización de la seguridad de la información - A.6 o Gestión de Activos - A.7 o Seguridad de los recursos humanos - A.8 o Seguridad física y ambiental - A.9 7 Aplicable en caso que la organización decida continuar con las tres fases de implementación restantes del Sistema de Gestión de Seguridad de la Información (SGSI), fases que no son parte del análisis y estudio de esta tesis. 8 Corresponde al número identificador del control según la norma ISO/IEC

42 o Gestión de las comunicaciones y operaciones - A.10 o Control de Accesos - A.11 o Adquisición, desarrollo y mantenimiento de los sistemas de información - A.12 o Gestión de un incidente en la seguridad de la información - A.13 o Gestión de la continuidad del negocio - A.14 o Cumplimiento - A15 Definir el enfoque de evaluación del riesgo de la organización Analizar y evaluar el riesgo Seleccionar los objetos de control y controles a fin de mitigar la posibilidad de incidencia de los diferentes riesgos identificados Enunciado de Aplicabilidad 3.4 Alcances del SGSI Para la gestión financiera, administrativa y académica de la Universidad Politécnica Salesiana sede Guayaquil, es necesario el uso de sistemas de información, servicios informáticos e información almacenada en servidores y repositorios. El SGSI pretende regularizar y controlar todo aspecto concerniente al uso de los mismos a fin de mantener las operaciones lo más seguras posibles sin impactar el nivel de servicio y la continuidad de las operaciones. El alcance del SGSI de la Universidad Politécnica Salesiana sede Guayaquil es delimitado de la siguiente manera: Servicios implicados Procesos académicos tales como matriculación estudiantes, registro y 41

43 gestión de información de estudiantes, docentes, registros académicos, pensum académico, calificaciones, horarios de clases y demás procesos de esta índole. Procesos financieros tales como registro de pagos, información financiera, contable, información de cobros y demás procesos relacionados. Procesos administrativos tales como nomina, talento humano, inventarios, activos fijos y demás procesos relacionados. Localizaciones físicas El SGSI objeto de esta planificación está delimitado y es aplicable a la sede Guayaquil de la Universidad Politécnica Salesiana Campus Centenario ubicado en Chambers # 227 y Laura Vicuña Guayaquil- Ecuador. Sistemas de Información Los sistemas de información gestionados por este sistema son los siguientes: o Sistema Académico o Sistema Financiero o Sistema Administrativo o Correo Electrónico o Servicio Internet (Proxy, Firewall NAT) o Sistemas de monitoreo y respaldos o Sistemas y aplicativos residentes en equipos de computo de los diferentes departamentos 42

44 3.5 Política de seguridad de la información A.5 Política de seguridad 1.- ASPECTOS GENERALES En la actual era de negocios electrónicos la información ha adquirido un nivel aun más crítico como activo dentro de las organizaciones, razón por la cual es de vital importancia que esta sea debidamente resguardada. Es conocido la gran diversidad de amenazas tanto internas como externas a las que la información se puede ver sometida, es por eso que la política de seguridad intenta minimizar al máximo los riesgos que asociados con la información, siendo posible conseguir esto únicamente si la política de seguridad de la información se eleva al mismo nivel de la política organizacional. El éxito de esta política radica en el compromiso por parte de las autoridades de la institución, una amplia difusión de la misma, y el serio compromiso de cumplimiento por parte de los usuarios. 2.- Objetivos del control Resguardar al mayor grado posible la información como bien preciado de la organización, además de los elementos tecnológicos o sistemas que procesan la misma a fin de minimizar al máximo el riesgo de incidentes que afecten la confidencialidad, integridad o disponibilidad de la información. Establecer un estándar que guiará las diversas operaciones a realizarse con la información, estándar que deberá mantenerse actualizado y difundido a fin de asegurar que esta política cumpla con los objetivos antes mencionados. 3.- Alcance La política es aplicable a todo ámbito dentro de la Universidad Politécnica Salesiana Sede Guayaquil en el que intervenga la información, principalmente al Departamento de Sistemas, en el que se concentra la gestión de la seguridad, así como los 43

45 laboratorios de computo, siendo también extensible a entidades externas en caso de trabajar colaborativamente o en outsourcing. 4.- Responsabilidad Todos los docentes, directores de área, jefes departamentales, personal técnico, personal administrativo y estudiantes son responsables de observar y cumplir la Política de Seguridad de la Información dentro del área a su responsabilidad y por extensión hacer cumplir la misma al personal bajo su cargo si el caso lo amerita, interviniendo como actores principales los mencionados a continuación: Oficial de Seguridad Informática Estará encargado de las diversas tareas relacionadas a la administración de la seguridad de los sistemas de información de la sede, y responsable de supervisar todos los aspectos relacionados con la presente política de seguridad. Adicionalmente se encargara de cubrir o delegar tareas relacionadas a satisfacer los requerimientos de seguridad de la información a nivel operativo detallados en esta política. Usuarios Propietarios de la Información Los propietarios de la información, son responsables de clasificar y catalogar la misma según el nivel de criticidad y confidencialidad, mantener documentada y actualizada esta información y definir específicamente que usuarios necesitan acceder en función de sus competencias y que nivel de acceso es requerido. Coordinador / Jefe de Talento Humano Sede Guayaquil Será responsable de notificar a todo personal que ingresa su responsabilidad de cumplir con la Política de Seguridad de la Información y de todas las normas administrativas o técnicas que se apliquen. 44

46 Tendrá la responsabilidad de publicar o notificar al personal bajo su dirección sobre la presente política de seguridad de la Información y cualquier cambio que en esa se produzca. Usuarios de la información y de los sistemas Son responsables de conocer, difundir, cumplir y fomentar el cumplimiento de la presente política, Es responsable además de dar fiel cumplimiento a la política de seguridad en toda acción, función, o tarea relacionada directa o directamente con la información que accede o maneja. Auditor (es) Interno(s) Es necesario que luego de la implementación de un SGSI, se realicen auditorias que permitan asegurar el cumplimiento de los lineamientos de seguridad establecidos, el auditor tendrá la obligación de realizar revisiones periódicas sobre el SGSI, constatando el fiel cumplimiento en todo ámbito relacionado al manejo de la información o recursos tecnológicos. Una vez realizada esta auditoría, será responsable de presentar un informe detallado con las novedades presentadas. 5.- Política de Seguridad de la Información Generalidades La política de Seguridad de la Información se encuentra conformada por normativas y patrones a seguir para las diferentes instancias en las que la información y patrones que se ve relacionada. En conformidad con el estándar ISO/IEC la política de Seguridad de la información incluirá lo a continuación detallado: 45

47 Organización de la Seguridad Clasificación y Control de Activos Seguridad del Personal Seguridad Física y Ambiental Gestión de las Comunicaciones y las Operaciones Control de Acceso Desarrollo y Mantenimiento de los Sistemas Administración de la Continuidad de las Actividades del Organismo Cumplimiento El Oficial de Seguridad de la Informática revisará periódicamente los lineamientos de la presente política a fin de mantenerla actualizada, y además realizará toda modificación necesaria debido a cambios en la infraestructura tecnológica, variación en los procedimientos internos, o inclusión de nuevas tecnologías o sistemas, asegurándose en lo posterior que esta sea difundida al personal de la sede en todos los niveles que correspondan. Sanciones Se aplicarán sanciones administrativas a quien incumpla la Política de Seguridad de la Información, estas sanciones serán definidas por la dirección, y serán establecidas en función de la gravedad de la omisión o incumplimiento. Las sanciones deberán ser difundidas a todo el personal junto con la Política de Seguridad de la Información. Objetivos de la Política de Seguridad Asegurar que la información sea accedida únicamente por personas autorizadas ya sean funcionarios de la institución o personal externo. Mantener la confidencialidad de la información Garantizar que la integridad de la información sea mantenida durante todo el ciclo de vida de la información. 46

48 Establecer un plan de continuidad de las operaciones y probarlo regularmente. Asegurar que todo el personal cuente con capacitación en materia de seguridad de la información, además de conocer la obligatoriedad del cumplimiento de la política de seguridad en todos los niveles organizacionales. Garantizar que todas las vulnerabilidades y debilidades en materia de seguridad sean reportadas sistemáticamente. Garantizar que los requerimientos de disponibilidad de la información sean cumplidos. Establecer la necesidad de crear procedimientos técnicos y administrativos que sirvan de soporte a la política de seguridad de la información, debe incluirse procedimientos para control de código malicioso, gestión de contraseñas, y planes de contingencia. El oficial de seguridad informática es encargado de mantener y mejorar progresivamente el sistema. Las jefaturas departamentales son responsables de asegurar el cumplimiento de la política de seguridad por parte del personal bajo su mando. A.6 Organización de la seguridad de la información 1.- Aspectos Generales La Política de Seguridad de la Información debe estar directamente relacionada a los objetivos y políticas organizacionales que gobiernan el funcionamiento de la institución. Para esto es necesario establecer y definir un sujeto que gestione la 47

49 seguridad de la información y realice o establezca responsabilidad sobre tareas tales como la aprobación de nuevas políticas, cambios en la misma, y definición de roles dentro de este proceso. Debe tomarse en consideración que para dar cumplimiento a ciertas operaciones, actividades, o funciones será necesaria la interacción con entidades externas, ya sean de otra sede,institución, proveedores, o empresas que brindan servicio de outsorcing, para estos casos debe tomarse en cuenta que la información puede verse en riesgo si el acceso a la misma no se produce de manera adecuada y controlada, razón por la cual es necesario establecer normativas y parámetros a seguir a fin de protegerla. 2.- Objetivos del Control Implementar en la Universidad Politécnica Salesiana sede Guayaquil, la gestión unificada de la seguridad de la información, especificando las instancias que permitan implantar controles apropiados para garantizar su cumplimiento. Establecer con claridad las funciones y responsabilidades dentro de la gestión de la seguridad de la información. Definir medidas de seguridad que permitan regular los accesos a activos de información por parte de personal de organismos externos a la sede logrando minimizar al máximo los riesgos en la misma. Promover el uso de asesoramientos externos en materia de seguridad de la información a fin de complementar la política detallada en este documento. 3.- Alcance del Control El control será aplicable a todos los recursos o personal que directa o indirectamente interactúan con los activos de información, y se hace extensible a los recursos externos que requieran acceso a información interna servicios o sistemas informáticos. 48

50 4.- Responsabilidad sobre el Control El funcionario encargado de la seguridad informática dentro de la sede Guayaquil de será responsable de promover la implantación de la política de seguridad, además será el responsable de las actualizaciones en la política que en conformidad a cambios sean necesarias, realizará o delegará a personal bajo su mando la realización de monitoreos, pruebas de intrusiones, análisis de riesgos, implementación de controles y realización de procedimientos de orden técnico en lo relacionado a la seguridad de la información. Deberá además evaluar la necesidad de solicitar asesoramiento externo en caso de existir la necesidad. El personal a cargo de realizar la contratación de servicios o adquisición de bienes relacionados a tecnologías de la información deberá incluir en los contratos la exigencia de cumplimiento de las normativas expuestas en la política de seguridad implementada, además de incluir una cláusula de compromiso estricto de confidencialidad. 5.- Política de Organización de la Seguridad de la Información A Coordinación de la seguridad de información En concordancia con la estructura organizacional y del departamento de sistemas, las tareas de administrar la seguridad de Información estará a cargo del Oficial de Seguridad Informática, quien impulsará el cumplimiento de la presente política, se encargará además de solicitar apoyo de los jefes departamentales a fin de obtener información relevante sobre sus respectivas áreas en caso de requerirla. La Coordinación de la seguridad de la Información tendrá la responsabilidad de: Revisar y exponer ante la (las) autoridades de la Sede la política de seguridad de la información y fomentar su aprobación. Descubrir y documentar nuevos riesgos a los que la información se pueda ver sometida e incluir mecanismos para mitigarlos dentro de esta política. 49

51 Realizar los cambios necesarios a la Política de Seguridad, fomentar su aprobación, y delegar a quien corresponda la difusión en todos los niveles organizacionales. Mantenerse atento ante los incidentes de seguridad que se presenten, y asegurarse que sean documentados. Evaluar nuevas tecnologías a establecerse en la infraestructura tecnológica de la sede a fin de que la utilización de esta, no se contraponga a la política de seguridad establecida, y en caso de ser aprobadas establecer los controles necesarios para minimizar al máximo el riesgo de exposición. Fomentar la cultura de seguridad de la Información en todos los niveles. Establecer planes de continuidad del negocio o planes de contingencia que permitan mantener los sistemas y servicios disponibles. Debe existir una constancia, o compromiso de aceptación por escrito por parte de la persona que la dirección de la Sede asigne para que realice las funciones de coordinación de la seguridad de la información, quien deberá cumplir las obligaciones anteriormente detalladas. 50

52 MODELO DECLARACIÓN DE ACEPTACIÓN CARGO OFICAL DE SEGURIDA INFORMATICA Fecha: / / El que suscribe (Nombre del funcionario asignado a este cargo) con C.I#...declara aceptar el nombramiento de OFICIAL DE SEGURIDAD INFORMATICA de la Universidad Politécnica Salesiana Sede Guayaquil, acepta conocer y aceptar todos los términos,condiciones atribuciones y obligaciones que se encuentran detallados en la Política de Seguridad de la Información sección A.6.1 del SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION. NOMBRE DE FUNCIONARIO ASIGNADO CARGO Aclaraciones: Figura 3.2 Fuente: Los Autores A Asignación de responsabilidades de la seguridad de la información. El Oficial de Seguridad Informática asignado por la dirección será responsable de establecer controles cooperativos con los demás departamentos si las circunstancias lo ameritan y cumplir con las tareas especificadas a continuación: 51

53 MATRIZ RESPONSABILIDADES SGSI Universidad Politécnica Salesiana Sede Guayaquil DETALLE Seguridad en recursos humanos Seguridad Física y Ambiental Gestión de las comunicaciones y operaciones Control de Accesos Adquisición desarrollo y mantenimiento de los sistemas de información Gestión de incidentes seguridad Gestión Continuidad Negocio RESPONSABLE Ing. Javier Ortiz -Dirección Talento Humano Ing. Javier Ortiz Ing. Javier Ortiz Ing. Javier Ortiz Ing. Javier Ortiz Martha Yanqui Ing. Javier Ortiz Ing. Javier Ortiz Tabla 3.1 Fuente: Los Autores A Proceso de autorización para los medios de procesamiento de información Dentro del esquema organizacional puede presentarse la necesidad de añadir nuevos medios o elementos destinados a procesamiento de la información. La autorización de estos nuevos recursos será responsabilidad conjunta de las diferentes unidades o departamentos involucrados junto con el oficial de seguridad de la información, tomando en cuenta el propósito de los mismos y considerando las condiciones de uso recomendadas por el responsable de la seguridad de la información. Es necesario realizar una inspección y análisis de los componentes de hardware, software y conectividad a fin de verificar que se encuentren en congruencia con la política de seguridad establecida, y determinar las posibles vulnerabilidades o amenazas que este nuevo recurso podría implicar. 52

54 A Revisión independiente de la seguridad de la información. Es recomendable que las autoridades de la Universidad Politécnica Salesiana designen a personal calificado para efectuar auditorias y revisiones independientes una vez establecido el Sistema de Gestión de Seguridad de la Información, esto garantizará que las políticas que forman parte de este documento estén siendo aplicadas en las diferentes labores cotidianas en las que la información se ve involucrada. A.6.2 Entidades Externas A Identificación de riesgos relacionados con entidades externas Al momento de requerir servicios o asesorías de terceros, sean personas naturales o jurídicas, el responsable de la seguridad de la información deberá en conjunto con el titular del departamento al que se solicita acceso, desarrollar un análisis que incluirá los diversos riesgos que implica la actuación del recurso externo en cuestión. En este análisis debe incluirse, el nombre del recurso externo que accederá a cualquier activo de información, el tipo de acceso que se autorizará, los motivos para los cuales el acceso es solicitado, y un análisis de cómo este acceso podría poner en riesgo la disponibilidad, integridad o confidencialidad de la información. Este análisis debe presentarse por escrito y ser registrado en los archivos de tareas administrativas relacionadas con la seguridad de la información. Posterior a esto se definirán los controles necesarios a fin de mitigar los riesgos analizados, no se autorizará el acceso antes que la fase de análisis de riesgo, y establecimiento de controles hayan sido concluidas. A Tratamiento de la seguridad en contratos con terceras personas Todo contrato o convenio con entidades terceras, de ninguna manera deberá vulnerar el contenido de las políticas de seguridad informática establecidas. 53

55 Cada solicitud de información por parte de la entidad externa deberá ser analizada y aprobada por el oficial de seguridad de la información fundamentándose en los diferentes aspectos de la política de seguridad informática institucional. Al momento de compartir la información deberá constar de los debidos controles que permitan garantizar la confidencialidad, e integridad de la información. Todo contrato de prestación de servicios, asesoría, o consultaría deberá contemplar los siguientes controles: Conocimiento de la política de seguridad organizacional y un compromiso firmado de fiel cumplimiento. Procedimientos que incluyan la forma en que el contratado protegerá los activos de información involucrados en su labor temporal en la institución, sean bienes de hardware, software, información, datos no procesados, procedimientos de notificación de la ocurrencia de un evento relacionado con la seguridad, procedimientos que aseguren la no divulgación de información privada, entre otros aplicables. Niveles de servicio esperado y obtenidos. Establecer representante legal, y obligaciones del mismo. Definir por escrito si existen derechos de autor o de propiedad intelectual en alguno de los bienes de información, en caso de existirlos el personal externo deberá tomar las precauciones que se amerite. Control de Acceso, acceso físico, acceso a sistemas o servicios informáticos a través de usuarios contraseñas, tokens, y demás. Estos controles deberán caducar una vez terminada la participación del personal externo en la institución. 54

56 Consentimiento por escrito que otorgará la facultad al oficial de seguridad informática o persona delegada por la máxima autoridad de la sede, para auditar las tareas realizadas por el personal externo a fin de asegurarse que los acuerdos y controles establecidos están cumpliéndose. Establecer un plan de contingencia en caso de verse afectados uno de los bienes de información utilizados por el personal externo. Documentar procesos que permitan conocer los cambios realizados y llevar un control de los mismos. Controles o procedimientos que eviten que los bienes de información sean afectados por código malicioso o malware. Definir por escrito si el personal externo ha subcontratado a otra entidad para realizar parte de las funciones adjudicadas, y establecer la relación entre los mismos. Convenio firmado de confidencialidad. A.7 Gestión de Activos 1.- Aspectos Generales Como parte de la gestión de la seguridad de la información, la institución, debe mantener conocimiento sobre todo los activos que posee sean estos de hardware, software, información, o datos no procesados y clasificarlos a fin de realizar un riguroso control de riesgos asociados a cada uno de ellos. Entre estos recursos tenemos: equipos informáticos, hardware, equipos de comunicaciones, software, bases de datos, medios de almacenamiento masivo y backups,archivos físicos e información digital de las diferentes unidades organizativas, equipos de acondicionamiento de aire, red suministro eléctrico, UPS, entre otros. 55

57 Cada uno de los activos anteriormente citados deben estar clasificados por criterios como, nivel de criticidad, sensibilidad, nivel de confidencialidad, unidad organizativa que lo utiliza, etc. Dado que la información puede residir en diversas formas, ya sea impresa, almacenada en dispositivos removibles, ópticos, magnéticos, o información transmitida por medios físicos cableados o no cableados es necesario establecer controles que permitan asegurar la confidencialidad de los mismos. Todos los controles mencionados y demás controles aplicables únicamente podrían ser establecidos exitosamente con un conocimiento de los activos de la información que se intenta proteger, teniendo en mente que la información es uno de los bienes más críticos de cualquier organización. 2.- Objetivos Del Control Mantener la protección apropiada de los activos de la información Lograr clasificar los activos en base a criterios previamente definidos. Establecer niveles de protección y controles sobre los activos ya clasificados. 3.- Alcance Del Control El control será aplicable a toda la información manejada dentro de las actividades o labores llevadas a cabo en la sede Guayaquil de la Universidad Politécnica Salesiana. 4.- Responsabilidad Sobre El Control Cada uno de los propietarios de la información o activos es responsable de clasificar y catalogarla según su nivel de criticidad, mantener de forma documentada todo cambio que en ella se realice y que esta información este actualizada. 56

58 El responsable departamental supervisará el proceso de documentación y clasificación de la información que dentro de su departamento se esta administrando. El Oficial de Seguridad Informática será el encargado de que los lineamientos de seguridad orientados al control de activos se estén llevando a cabo en cada unidad organizacional. 5.- Política De Organización de la Seguridad de la Información A Inventario de Activos Como parte de la Política de Seguridad de la información, deben mantenerse identificados los activos sobre todo los más importantes y su relación con los sistemas de información, así como sus respectivos propietarios y la ubicación física de los mismos. El inventario de activos de información debe mantenerse actualizado en caso de existir alguna modificación en alguno de los activos, la responsabilidad administrativa de que estas tareas se estén realizando recaen sobre el responsable de cada departamento. Debe establecerse una revisión periódica, no superior a 6 meses, la misma que será supervisada por la jefatura departamental. A Propiedad de los activos. Los activos de información pertenecen a la Universidad Politécnica Salesiana, a menos que a través de un mecanismo contractual, se establezca lo contrario, de tal manera que la facultad de otorgar acceso a la información institucional será el oficial responsable de la seguridad de la información. Toda información residente en cualquier recurso informático de la sede puede ser sujeto de revisiones periódicas por parte del oficial de seguridad informática o a quien designe para esta función. 57

59 Al pertenecer la información a la Universidad, queda terminantemente prohibida la compartición con entidades externas a menos que sea previamente autorizado por las autoridades pertinentes. Cada uno de los activos utilizados por los diferentes departamentos de la sede Guayaquil de la Universidad Politécnica Salesiana, hardware, software, equipos de comunicaciones, así como la información y datos asociados deben estar bajo custodia de una parte designada dentro de la organización, a saber una jefatura departamental, o el funcionario a cargo de las actividades relacionadas con ese activo de información. Al existir una correspondencia del activo de información con el funcionario a su cargo se crea la responsabilidad no repudiable sobre el uso que al activo en cuestión se dé, además de la responsabilidad de cumplir con los lineamientos de seguridad. PROPIETARIOS DE LA INFORMACIÓN INFORMACIÓN PROPIETARIO PROCESOS INVOLUCRADOS Financiera Contable Contabilidad Controles Contables Estrategias Financieras Auditorias Contables y Financieras Controles y Auditorias Tributarias Control pago colegiaturas estudiantes Académica Secretaria del Campus Matriculas a estudiantes Controles Académicos Estudiantes Académica Directores de Carrera Asignación de estudiantes a cursos Diseño de horarios para Docentes Nómina Dirección Talento Humano Control sobre los docentes Evaluaciones de desempeño 58

60 Académica Secretaria del Campus Asignación de Paraacadémicos Inventarios Administrativo Control de Inventarios Activos Fijos Tabla 3.2 Fuente: Los Autores A Uso aceptable de los activos Los activos de información de la Universidad Politécnica Salesiana Sede Guayaquil, incluyendo software, aplicaciones y archivos son propiedad de la misma y solo pueden utilizarse para fines laborales y legales, por esto deberán seguirse los siguientes lineamientos: Computadoras personales Toda modificación realizada sobre los equipos de cómputo de la sede deberá ser autorizada por el Oficial de Seguridad Informática. Toda modificación, instalación, desinstalación, o cualquier mantenimiento sobre los equipos será realizado exclusivamente por el personal del departamento de sistemas de la sede. Deberá mantenerse un inventario completo de software y hardware de cada uno de los computadoras personales, debería inventariarse y mantenerse la siguiente información: 1. Nombre del equipo 2. Dirección IP 3. Mascara Subred 4. Nombre de dominio 5. Ubicación física 6. Modelo Procesador 7. Marca y Modelo del Equipo 59

61 8. Numero de procesadores 9. Velocidad Procesador 10. Versión Sistema Operativo 11. Service Pack instalado 12. Función del equipo 13. Memoria RAM 14. Almacenamiento en Disco 15. Números seriales de componentes. Se deberán observar los siguientes lineamientos con relación al uso de los equipos informáticos. 1. No ingerir alimentos o bebidas cerca de los equipos 2. No fumar cerca de los equipos 3. Mantener protección contra variaciones de voltaje 4. No insertar objetos en las ranuras de los equipos 5. No realizar cambios o actividades de mantenimiento sobre el hardware 6. Conservar los equipos bajo las adecuadas condiciones ambientales 7. Nunca dejar los equipos encendidos, deberán apagarse los equipos cuando no estén en uso. Computadoras portátiles Los equipos portátiles de la sede se han adquirido específicamente con el fin de facilitar el desarrollo actividades relacionadas con la institución. Su uso deberá ser orientado al cumplimiento de las actividades relacionadas con el área o departamento asignado. El uso para propósito personal deberá ser ocasional, racional y bajo ninguna circunstancia deberá obstaculizar las actividades laborales de la institución. 60

62 Deberá mantenerse un inventario de los equipos portátiles que incluya las características de los mismos así como su ubicación. Los equipos portátiles deberán permanecer dentro de las instalaciones de la sede durante horario laboral. Los equipos portátiles pueden salir de las instalaciones de la sede bajo total responsabilidad del usuario al que se le ha asignado el equipo, el cual tomara todas las precauciones del caso en su uso y transporte. En caso de ausencia por enfermedad, licencia, o vacaciones, el equipo portátil deberá permanecer en las instalaciones o a disposición del departamento al que el equipo ha sido asignado Computadoras propiedad de terceros Deben mantenerse deshabilitados los dispositivos de comunicación o MODEMS. Utilizar únicamente las aplicaciones necesarias para el desarrollo de las funciones asignadas. Instalar únicamente software licenciado y autorizado por la sede. Mantener actualizadas las aplicaciones con los últimos hotfixes o parches recomendados por el fabricante. Mantener activo y actualizado el software antivirus. Se deberá controlar el acceso al equipo a fin de evitar el acceso a personas no autorizadas a fin de preservar la información residente en el equipo. Tomar las medidas necesarias para no vulnerar la seguridad informática institucional mediante el uso no responsable del equipo. 61

63 Conocer cumplir y difundir las políticas de seguridad de la información adoptadas por la sede. Sistemas de Información Las herramientas tecnológicas así como los sistemas de información y servicios informáticos, como el correo electrónico y la Internet, sólo podrán ser utilizados posterior a la autorización del Oficial de Seguridad Informática en respuesta a pedido de la jefatura del respectivo departamento. Cada jefe departamental tiene la responsabilidad de definir las tareas que conllevan acceso a tal herramienta. El uso de tales recursos constituye un privilegio otorgado con el propósito de agilizar los trabajos de la institución gubernamental y NO es un derecho. Toda información almacenada, creada o transmitida desde o hacia los sistemas de información de la Universidad Politécnica Salesiana, es propiedad de la institución, por lo que le serán aplicadas todas las disposiciones establecidas en la política de seguridad de la información. La divulgación de tal información sin autorización está estrictamente prohibida. La alteración fraudulenta de cualquier documento en formato electrónico redundará en las sanciones que el consejo disciplinario considere aplicables. Es responsabilidad de la Universidad, tomar todas las medidas aplicables a fin de garantizar la confidencialidad de la información privada de los estudiantes. Los usuarios de los sistemas de información de la Universidad están obligados a respetar los derechos de propiedad intelectual de los autores de las obras, programas, aplicaciones u otros, manejadas o accedidas a través de dicho sistema. El software y utilitarios así como los sistemas de información de la Universidad deben tener su respectiva licencia vigente o autorización de uso 62

64 para poder ser utilizadas los mismos que sólo podrán ser instalados por personal autorizado de la Universidad, a saber, personal técnico del departamento de sistemas. Además, no podrán instalarse programas sin la previa autorización de la Jefatura de Sistemas, inclusive si estos son programas gratuitos o de código abierto. Queda terminantemente prohibido reproducir los medios de instalación de las aplicaciones, utilitarios, y sistemas de información utilizados en la sede Guayaquil de la Universidad Politécnica Salesiana, además queda prohibido el uso de los mismos a no ser con fines institucionales. La Universidad es responsable de establecer las pautas mediante las cuales se crean y asignan las cuentas de usuario, incluyendo los mecanismos de seguridad aplicables tales como contraseñas, controles de acceso a los servidores y sistemas para auditar y monitorear su uso, además de mecanismos que aseguren la integridad y seguridad de los datos y comunicaciones que se envían a través de medios cableados o no cableados. Los usuarios de los sistemas deberán cumplir con todas las normas de uso y dando fiel cumplimiento a la política de seguridad de la información emitidas por la sede Guayaquil de la Universidad Politécnica Salesiana. Cada usuario es responsable por el uso adecuado de los códigos de acceso o contraseñas asignadas. El uso de los sistemas de información será auditado por el personal autorizado por el Oficial de seguridad de la Información, a fin de de garantizar el uso apropiado de los recursos. Los usuarios no deben tener expectativa de intimidad alguna con relación a la información almacenada en su computadora o buzón de correo electrónico. Acceder a información o a un buzón de correo que no es el asignado, mediante la modificación de privilegios de acceso o la interceptación de 63

65 información en cualquier otra manera está prohibido, por lo que tal acción se sancionará conforme a lo dispuesto por las autoridades de la Universidad. La Universidad es responsable de verificar que el servicio de Internet y el correo electrónico estén funcionando adecuadamente además de asegurar que la información almacenada se encuentre protegida de acceso no autorizado. El departamento de sistemas deberá implementar controles tales como Firewalls, antivirus, IPS/IDS, entre otros aplicables. La Universidad se reserva el derecho de emprender los procesos administrativos, pertinentes con relación a los actos cometidos, aunque los mismos no estén expresamente prohibidos en este documento, si dichos actos, directa o indirectamente, ponen en riesgo la integridad, confiabilidad o disponibilidad de la información, los equipos y los sistemas de información de la Universidad. Cualquier violación a las normas puede conllevar la revocación de privilegios de uso de los Sistemas de información y deberá ser notificada al Oficial de Seguridad Informática y, al director de talento humano y al jefe inmediato del empleado. Internet El acceso a Internet es propiedad de la Universidad y deberá ser utilizado exclusivamente como una herramienta de trabajo siguiendo las normas que rigen el comportamiento del personal docente, administrativo, y estudiantes, nunca con fines no oficiales o para actividades personales o con fines de lucro. Los usuarios que tengan acceso al Internet a través de la Universidad no deberían tener expectativa de privacidad alguna con relación al uso y los accesos realizados a través de la Internet. La Universidad se reserva el derecho a intervenir y auditar los accesos realizados por los usuarios a través de su sistema de información, el acceso a la Internet y el contenido de lo accedido. La Universidad no se responsabiliza por la validez, calidad, o contenido de la Información contenida en la Internet. 64

66 La Universidad será responsable por velar que la conexión a Internet se lleve a cabo cumpliendo fielmente la Política de Seguridad de la información y deberá monitorear el funcionamiento correcto de las mismas. Cualquier información o servicio publicado en Internet deberá ser autorizado por las autoridades de la Universidad y bajo el conocimiento del Oficial de Seguridad Informática. Queda prohibido el acceso a sitios de dudosa procedencia, sitios de hacking, warez, pornográficos, o de contenido no apropiado según lo defina la institución. Se encuentran prohibidas las descargas de software o aplicaciones desde Internet. Se realizará inspecciones periódicas y revisiones sobre el uso que se esté dando al acceso a Internet por parte de los funcionarios de la sede y de personal externo laborando dentro de las instalaciones. Se establecerán restricciones de acceso a través del uso de perfiles en el equipo que permite el acceso a Internet (Proxy Server). Los perfiles serán categorizados de la siguiente forma: o Acceso Total : Sin restricción alguna o Acceso Intermedio Utilizado para labores del Departamento de sistemas o Acceso Restringido Acceso restringido a Internet asignado a la mayoría de usuarios. los 65

67 Correo electrónco: El sistema de correo electrónico es propiedad de la Universidad por lo cual se reserva el derecho absoluto de auditar, monitorear e investigar sobre los buzones de correo a fin de corroborar el correcto uso que se le esté dando al mismo. El uso del correo electrónico será únicamente destinado a propósitos oficiales relativos a las funciones del usuario. Queda prohibido el uso del mismo para asuntos personales o con fines de lucro, los usuarios están obligados a velar por el cumplimiento de las normas relacionadas al uso de este servicio. Queda prohibido transmitir información confidencial de la Universidad Politécnica Salesiana sin contar con la debida autorización. En caso de enviar información confidencial debe ser transmitida de forma encriptada a fin de evitar divulgación de la misma. En caso de existir sospecha de que información ha sido interceptada o divulgada deberá informarse de inmediato al Oficial de Seguridad Informática a fin de tomar las medidas necesarias. Deberán existir normas mediante las cuales se asignan cuentas de correo electrónico incluyendo medidas de seguridad, nombres de usuario, contraseñas y demás mecanismos de autenticación. Los usuarios no deberán utilizar o acceder a cuentas de correo electrónico de otros dominios que no sean el institucional, a menos que hayan sido previamente autorizados a usar los mismos, así como páginas o sitios de mensajería instantánea. Deberá utilizarse el correo para comunicaciones cortas y concisas. Las comunicaciones electrónicas, deben tener las características básicas de cordialidad y respeto. 66

68 Los mensajes deben ser enviados desde el correo electrónico de quien los firma. Las cuentas de correo electrónico deben ser creadas usando el estándar establecido por la coordinación de sistemas de la sede. Se asignará un tamaño de buzón de correo para cada usuario, es decir un espacio de almacenamiento en el servidor de correo, destinado al guardar los mensajes electrónicos de cada usuario. Se evitará en el nombre del destinatario y el asunto el uso de caracteres especiales como slash (/), tildes ( ), guiones (-), y demás. Siempre se escribirá en el campo Asunto una frase que haga referencia directa al contenido del texto. La funcionalidad confirmación de lectura deberá utilizarse de manera mesurada a fin de evitar la congestión en el envío de los correos electrónicos. En caso de ausencias superiores a ocho días deberá utilizarse la opción de respuestas automáticas informando la ausencia del funcionario así como la duración de su ausencia. Luego de un periodo superior a 30 días de inactividad, el personal de sistemas deshabilitará la cuenta de correo asignada al usuario. Los usuarios deberán asegurarse antes del envío de archivos adjuntos que éstos no contengan virus o código malicioso. Queda prohibida bajo cualquier circunstancia a reproducción y envío de mensajes en cadenas o similares, el incumplimiento de esta disposición redundaría en suspensión del servicio temporal o definitiva. 67

69 El contenido de los mensajes de correo se considera confidencial y solo perderá este carácter en casos de investigaciones administrativas, judiciales o incidentes relacionados con Seguridad Informática. Política de SPAM Mantener depurada la base de datos de direcciones s para evitar envíos innecesarios, eliminar direcciones de correo incorrectas. En lo posible no se compraran listas de direcciones de correo electrónico a usarse con fines publicitarios o de mercadeo, en caso de hacerlo, existir clara evidencia sobre el origen lícito de las mismas. Evaluar al proveedor de servicio de Internet (ISP) antes de contratar el servicio. En caso de realizar envíos de boletines o similares, debe proveerse a los destinatarios, de mecanismos que permitan cancelar dicha suscripción. A fin de evitar ser catalogados como SPAMMERS por filtros bayesianos se deben tomar en cuenta los siguientes lineamientos: Evitar en lo posible el uso de terminología comercial en la redacción de los correos Evitar expresiones como Free gratis Compre ahora y similares. No escribir con letras mayúsculas en el campo asunto del correo electrónico. Evitar en lo posible el uso excesivo de símbolos ($,%,!!), suelen ser utilizados en correos catalogados como SPAM. 68

70 Evitar la frase haga clic aquí a lo largo de la redacción del correo Tener precaución al incluir código HTML en los correos electrónicos Evitar incluir controles Active-X o animaciones flash Mantener activada la resolución inversa en los servidores de nombres (DNS) Monitorear regularmente las listas negras de SPAMERS. A.7.2 Clasificación de la información A Lineamientos de clasificación Para clasificar un Activo de Información, se evaluarán las tres características de la información en las cuales se basa la seguridad: confidencialidad, integridad y disponibilidad. A continuación se establece el criterio de clasificación de la información en función a cada una de las mencionadas características: Por Confidencialidad TIPO A Información Pública, No confidencial TIPO B Información Reservada Uso Interno destinada a personal de la organización y cuya divulgación podría crear riesgos LEVES a la organización. TIPO C Información Reservada - Confidencial utilizada únicamente por un grupo de personas autorizadas dentro de la organización, y cuya divulgación ocasionaría perdidas significativas para la Institución. 69

71 TIPO D Información Reservada Secreta destinada a un grupo pequeño de personas dentro de la institución, generalmente mandos altos o directivos, la divulgación de esta información supondría pérdidas graves para la institución. Tabla 3.3 Fuente: Los Autores Por Integridad TIPO A TIPO B TIPO C Información cuya modificación puede ser fácilmente corregida Información cuya modificación puede corregirse pero que ocasionaría perdidas leves a la institución o a terceros. Información cuya modificación no autorizada es difícil de corregir, y que ocasionaría daños o pérdidas significativas para la institución o a terceros. TIPO D Información que al ser modificada sin autorización no puede ser corregida, ocasionando pérdidas graves o cuantiosas para la institución o a terceros. Tabla 3.4 Fuente: Los Autores Por Disponibilidad TIPO A Información que al no encontrarse disponible NO afecta las operaciones de la institución TIPO B TIPO C Información que al no hallarse disponible durante una semana afecta levemente las operaciones de la institución o de terceros. Información que al no hallarse disponible durante 24 horas afecta significativamente las operaciones de la institución o de terceros. 70

72 TIPO D Información que al no hallarse disponible durante 1 hora afecta significativamente las operaciones de la institución o de terceros. Tabla 3.5 Fuente: Los Autores A todo activo de información deberá asignársele un valor por cada criterio, a saber, confidencialidad, disponibilidad, e integridad, tal como se muestra en la tabla a continuación: ACTIVO CONFIDENCIALIDAD DISPONIBILIDAD INTEGRIDAD Información financiera de alumnos. C C D Tabla 3.6 Fuente: Los Autores Luego de asignar valores por los diferentes criterios se deberá asignar una clasificación según el criterio citado a continuación: CRITIDIDAD BAJA Todos los valores dentro del rango de A hasta B CRITICIDAD MEDIA Alguno de los valores asignados es C CRITICIDAD ALTA Alguno de los valores asignados es D Deberán identificarse los medios o archivos físicos utilizando las etiquetas mencionadas respetando el código de color para establecer el nivel de criticidad de la información, a saber alta, media, y baja. 71

73 A Etiquetado y manejo de información El almacenamiento de la información cumplirá con procedimientos para el rotulado y manejo de la misma, de acuerdo al esquema de clasificación definido. Se etiquetarán los recursos de información tanto en formatos físicos como electrónicos guardados en dispositivos de almacenamiento, e incorporarán las siguientes actividades de procesamiento de la información: Copia de información Almacenamiento Transmisión por correo normal, electrónico, o fax Otros aplicables A.8 Seguridad de los recursos humanos 1.- Aspectos Generales Así como lo es la información, el recurso humano es de vital importancia dentro de cualquier organización, es fundamental educar y mantener informado al personal desde su ingreso a la organización sobre los lineamientos de seguridad incluidos en la política así como las sanciones en caso de incumplimiento. 2.- Objetivos Del Control Reducir los riesgos derivados al error humano, omisiones, comisión de ilícitos o uso no apropiado de los activos de información y equipos. Mantener informado al personal sobre las responsabilidades en materia de seguridad incluso desde el proceso de selección, durante el tiempo en que la persona presta servicios a la institución y al momento de cesar en sus funciones. Garantizar que los usuarios estén al tanto de las amenazas en materia de seguridad de la información y estén capacitados para respaldar la política establecida por la Universidad en materia de seguridad. Establecer compromisos de confidencialidad con todo el personal y personal externo que tenga acceso a la información fin de minimizar los riesgos y sus efectos en caso de ocurrencia. 72

74 3.- Alcance Del Control Esta Política es aplicable a todo el personal interno de la Universidad Politécnica Salesiana sede Guayaquil, sin importar cual sea su situación, y al personal externo que se involucre en tareas dentro del ámbito del Organismo y relacionadas con la seguridad. 4.- Responsabilidad Del Control El departamento de gestión de talento humano deberá difundir entre los empleados e informar sobre las obligaciones con relación al cumplimiento de la política de seguridad de la información, además de dar a conocer la política de seguridad desde el proceso de selección. Los usuarios en general son responsables de cumplir la política de seguridad de la información y reportar las debilidades, amenazas, vulnerabilidades o cualquier incidente relacionado con la seguridad de la información al oficial de seguridad informática. 5.- Política - Seguridad De Los Recursos Humanos A.8.1 Antes del empleo A Roles y responsabilidades Es necesario establecer responsabilidad sobre el cumplimiento de las normas de seguridad de la información tanto de los empleados ya sea como docentes, personal administrativo o de servicio, así como contratistas. En el caso de los empleados existirá una labor conjunta entre la coordinación de talento humano y el oficial de seguridad informática a fin de asegurar que los funcionarios de la universidad, sin importar el nivel que estos ocupen cumplan fielmente las disposiciones expuestas en esta política. En el caso de los proveedores, la labor sea compartida entre el oficial de seguridad informática y la jefatura del departamento que solicita el servicio prestado razón por la cual el personal externo ya sea contratista o accesoria ha sido contratada. 73

75 A Selección En el caso de los aspirantes cargos ya sea como docentes o personal administrativo, deberán realizarse investigaciones previas tanto de antecedentes como de cualquier hecho que podría sugerir que la persona podría representar algún tipo de amenaza a la seguridad de la institución. A fin de cumplir esto deberán realizarse pruebas de admisión, referencias laborales, personales, record que acredite no poseer problemas de índole legal, entre otros. Deberá en el caso de proveedores existir una pre-calificación a fin de verificar todos los aspectos legales, éticos, e historial del comportamiento del proveedor o asesor con la finalidad de garantizar que la participación de los mismos no redunde en una amenaza a la seguridad. Para este fin deberán solicitarse recomendaciones personales, record legal, garantías, listado de clientes, y certificaciones de acreditación. Entre las verificaciones a considerar en el proceso de selección de personal administrativo, docente o proveedores deberán realizarse las siguientes: a) Disponibilidad de referencias de carácter satisfactorias; por ejemplo, una referencia comercial y una personal. b) Chequeo del currículo vitae del postulante buscando integridad y exactitud. c) Confirmación de las calificaciones académicas y profesionales mencionadas d) Chequeo de identidad independiente ya sea, cédula, pasaporte o documento similar. A Términos y condiciones de empleo Una vez realizada la selección de un funcionario, asesoría, o proveedor, cualquiera sea el caso debe existir un contrato firmado y legalizado, el mismo debe incluir cláusulas de confidencialidad, y las obligaciones que en materia de seguridad de la información el contratado sea funcionario, persona natural o jurídica deberá cumplir. 74

76 Como parte del contrato debe incluirse una cláusula en la cual el contratado acepta los términos y condiciones que lo obligan y declaran como responsable de dar cumplimiento a las políticas de seguridad de la información que sean aplicables. Se consideran las siguientes como condiciones de empleo: a) Todos los usuarios empleados, contratistas y terceros que tienen acceso a información sensible debieran firmar un acuerdo de confidencialidad o no divulgación antes de otorgarles acceso a los medios de procesamiento de la información. b) Aceptación de las responsabilidades y derechos por parte de los empleados, contratistas y cualquier otro usuario; por ejemplo, con relación a las leyes de derecho de auditoría y legislación de protección de data c) Aceptación de las responsabilidades para la clasificación de la información y la gestión de los activos organizacionales asociadas con los sistemas y servicios de información manejados por el empleado, contratista o tercera persona d) Aceptación de las responsabilidades del usuario empleado, contratista o tercera persona con relación al manejo de la información recibida de otras compañías o partes externas. e) Aceptación de las responsabilidades de la organización por el manejo de la información personal, incluyendo la información creada en el transcurso del empleo con la organización. f) Las responsabilidades que se extienden fuera del local de la organización y fuera del horario normal de trabajo. g) Las acciones a tomarse si el usuario empleado, contratista o tercera persona no cumple los requerimientos de seguridad de la organización. A.8.2 Durante el empleo 75

77 A Gestión de responsabilidad Los términos y condiciones de empleo, los cuales deberán estar incluidos en los contratos, establecerán la responsabilidad de los empleados en materia de seguridad de la información. Adicionalmente los procesos contractuales deberán establecer que las responsabilidades se extienden más allá de los límites de la Sede Guayaquil de la Universidad Politécnica Salesiana e incluso fuera del horario laboral. A Capacitación y educación en seguridad de la información Cada integrante de la institución, los usuarios externos y contratistas que desempeñan funciones en la misma, deberán recibir una adecuada capacitación y actualización periódica en lo relacionado a la política y normas relacionadas a la seguridad. Esto incluirá los requerimientos de seguridad y las responsabilidades que cada usuario adquiere al iniciar sus labores. El responsable de la gestión de talento humano será la persona encargada de coordinar las labores de capacitación necesarias para la difusión y conocimiento de la política de seguridad. El material destinado a la capacitación en seguridad de los usuarios será responsabilidad del oficial de seguridad informática, en conjunto con personal de las diversas áreas implicadas y cada seis meses se revisará y actualizará a fin de que la misma sea precisa y cumpla el objetivo para la cual fue concebida. A Proceso Disciplinario Todos los incumplimientos u omisiones implicaran según la gravedad el inicio de un proceso disciplinario formal según normas establecidas y políticas administrativas internas vigentes de la Universidad Politécnica Salesiana Sede Guayaquil. Todo proceso disciplinario debe garantizar el tratamiento correcto y ecuánime para los empleados sobre los que se levanta sospecha de cometer incumplimientos de la política de seguridad. 76

78 Este proceso debe proporcionar una respuesta equilibrada tomando en consideración las circunstancias, naturaleza, gravedad, atenuantes y agravantes. En casos de gravedad elevada, el proceso debería permitir la remoción inmediata de los derechos, accesos y privilegios, y en caso que amerite la separación inmediata del funcionario. A.8.3 Terminación o cambio de empleo A Responsabilidades de terminación Es responsabilidad del funcionario que cesa en sus funciones presentar la renuncia a su cargo con suficiente tiempo de antelación, al menos con 15 días. La jefatura del departamento donde el funcionario realizó sus labores tendrá la responsabilidad de supervisar la entrega formal del cargo al funcionario encargado de cubrir la vacante, esto incluirá la documentación relacionada al cargo, información, llaves, credenciales, y demás. El oficial de seguridad informática o el funcionario que designe de entre el personal de sistemas serán responsables de cancelar todas las credenciales de acceso a los diferentes sistemas de información, acceso a Internet y buzones de correo electrónico. A Devolución de activos Dentro del proceso de cesación de funciones, es necesario que se cumpla con una entrega formal de los activos entre los cuales deberá incluir: Devolución de software, manuales y documentos institucionales así como de equipos y herramientas de trabajo..activos organizacionales, equipos de computo equipos de telefonía móvil tarjetas de acceso, e información almacenada en medios de almacenamiento, ya sean fijos o removibles. 77

79 En caso que el empleado o contratista empleaba equipos propios para el cumplimiento de sus funciones, debe asegurarse que la información relevante sea transferida a la organización y eliminada definitivamente del equipo. En caso que el empleado o contratista posea conocimientos necesarios para tareas operativas, administrativas o demás que vayan relacionados con la institución, se debe asegurar que este conocimiento sea documentado y trasferido a la organización A Eliminación de derechos de acceso Todos los derechos de acceso, equipos, y demás activos de información, que hayan sido concedidos a los usuarios, empleados o contratistas deberían ser retirados al terminar sus funciones ya sea contrato o acuerdo. En caso de cambiar de funciones, dentro de la misma institución, deben retirarse todos los derechos de acceso no aprobados debido a no ser necesarios para las nuevas funciones. Entre los derechos de acceso a retirar se encuentran los siguientes: Acceso físico Acceso lógico Llaves Tarjetas de identificación Medios de procesamiento de información Suscripciones Documentación que identifique a la persona como miembro de la institución 78

80 Claves secretas Otras aplicables El retiro de derechos de acceso deberá realizarse con suficiente anticipación con relación a la fecha de cese de funciones del empleado o contratista tomando en cuenta los siguientes factores: Quien origina la terminación del contrato o acuerdo,si es iniciado por el empleado o contratista o por parte de las autoridades de la Universidad Politécnica Salesiana Sede Guayaquil La razón por la que se termina el contrato o acuerdo. La criticidad de las responsabilidades que el empleado o contratista actualmente mantiene. El valor de los activos que el empleado o contratista mantiene bajo su custodia. A.9 Seguridad física y ambiental 1.- Aspectos Generales La gestión de la seguridad física permite reducir en gran manera los riesgos de existir daños debido a accesos físicos no autorizados mediante la definición de zonas restringidas y establecimiento de perímetros de seguridad. Controlar los factores ambientales o de entorno permite garantizar el funcionamiento adecuado de los equipos de procesamiento y preservar el servicio mediante evitar interrupciones debido a causas físicas. 2.- Objetivos del Control Evitar accesos no autorizados que causen daños o interferencia en los servicios informáticos, instalaciones y redes de la Universidad sede Guayaquil. 79

81 Mantener protegido el equipamiento destinado a procesar la información de la Universidad, tanto servidores como computadores de escritorio, portátiles, dispositivos de red, y demás, ubicándolos en áreas protegidas y con acceso restringido y controlado apropiadamente. Proteger los activos sobre todo los de hardware que procesan información en caso de tener que ser trasladados fuera del perímetro protegido de la debido a motivos de mantenimiento o reparaciones. Gestionar y minimizar el riesgo de que factores ambientales de alguna manera puedan afectar el funcionamiento de la infraestructura informática de la institución. Evitar perdida de equipos tanto en las oficinas, sala de servidores, o laboratorios de cómputo de la Universidad. 3.- Alcance del Control El alcance del control está delimitado a todos los elementos o recursos físicos que forman parte de la infraestructura, equipos de cómputo, servidores, medios de almacenamiento, dispositivos removibles, equipos de comunicación, cableado, redes no cableadas, y demás. 4.- Responsabilidad del Control El oficial de seguridad informática en conjunto con las jefaturas de las diversas áreas deberá definir las áreas críticas que deben establecerse como zonas restringidas o dentro de un perímetro de seguridad así como la definición de las posibles amenazas ambientales para cada departamento y tomar las precauciones para mitigar el riesgo. El área de sistemas se encargara de seguir las indicaciones del Oficial de seguridad informática en cuanto a la implementación de las áreas protegidas y coordinara la contratación de empresas terceras en caso que se requiera. Las jefaturas departamentales definirán los niveles de acceso a establecerse para sus respectivas áreas. 80

82 El personal en general, administrativo, o docente es responsable minimizar el riesgo de divulgación de documentos mediante mantenerlos almacenados con la seguridad del caso y no expuestos sobre los escritorios. 5.- Política - Seguridad Física Y Ambiental A.9.1 Áreas Seguras A Perímetro de seguridad física Cada recurso tecnológico ya sea propiedad de la Universidad o de terceros, que procese información de la institución deberá cumplir contados los lineamientos de seguridad física que se emitan a fin de restringir y evitar el acceso no autorizado a los mismos. Los funcionarios encargados del proceso o almacenamiento de información deberán cumplir con las normas básicas de cuidado de los componentes tecnológicos así como velar por mantener las condiciones adecuadas de higiene. Todo cambio a la infraestructura física de la sede, deberá ser previamente analizado a fin de asegurar que con el mencionado cambio no se vulnere la seguridad de los activos. Se deben establecer barreras o medidas de control físico dentro de las instalaciones de la institución dentro de las cuales deben ubicarse los elementos más críticos dentro del procesamiento de información. La Universidad Politécnica salesiana sede Guayaquil, definirá perímetros o áreas de seguridad a fin de proteger las áreas que contienen elementos o equipos relacionados con el procesamiento de información así como las redes de datos, red eléctrica, sistemas de aire acondicionado y cualquier área relacionada a garantizar el correcto funcionamiento de los sistemas de información. 81

83 A fin de establecer el perímetro de seguridad se delimitará físicamente en oficinas protegidas por accesos controlados por personal de la Universidad o por dispositivos de autenticación como lo son los dispositivos biométricos. Definir el plan de instalación y la definición de las áreas, serán establecidas por el oficial de seguridad informática, una vez haya evaluado la criticidad de las áreas a proteger y los riesgos a los que estas pueden verse sometidas. En caso de ser aplicables se implementaran los siguientes controles o lineamientos: Enumerar los perímetros de seguridad y documentarlos. Encontrar las instalaciones críticas dentro del perímetro de los edificios o construcciones. Deben tomarse precauciones como el no existir brechas en el perímetro que permitan fácilmente acceso no autorizado. Las paredes externas de los edificios deberían ser una construcción sólida y las puertas externas deben estar protegidas contra accesos no autorizados, protegidas por sistemas de vigilancia constante por video, vallas, alarmas sonoras y cerraduras. Las puertas o ventanas deben mantenerse cerradas cuando el personal abandone el área segura. El área de sistemas debe ser restringida y siempre mantenerse controlado el acceso a la misma. Debe existir un área de recepción en la cual se controlara el acceso de personal externo hacia las oficinas de la Universidad. En la recepción debe solicitarse identificación a las personas que ingresan y confirmar con el personal interno si se permite o no el acceso. 82

84 Las puertas de emergencia deben contar con alarmas y ser monitoreadas y probadas periódicamente y asegurarse que cumplan con las regulaciones locales solicitadas por el Cuerpo de Bomberos, así como regulaciones internacionales. Deben instalarse principalmente en las áreas de acceso a las oficinas y en áreas restringidas, dispositivos de detección de intrusos, sensores de movimiento, etc. los mismos que deberán cumplir las regulaciones internacionales y ser probados periódicamente. Se recomienda separar los dispositivos o equipamiento de procesamiento de información utilizados por el personal interno de la Universidad de los que son utilizados por personal externo, contratistas o asesores. Se define como área segura por ejemplo a una oficina con llave, habitaciones rodeadas por una barrera de seguridad interna y continua. Evidentemente varían los requerimientos de seguridad de acceso entre las diferentes áreas de la Universidad así que puede ser necesario establecer barreras de acceso entre áreas si el caso así lo requiere. En conformidad a lo anteriormente mencionado, se consideran las siguientes como áreas seguras o restringidas dentro de la sede Guayaquil de la Universidad Politécnica Salesiana: 1. Oficinas del Departamento de Sistemas En estas oficinas se concentran lo equipos de comunicación, seguridad perimetral y servidores de aplicaciones y servicios informáticos, archivos físicos, digitales, inventarios de equipos y contraseñas, lo cual convierte a esta sección del edificio en un área segura que debe ser resguardada según la política anteriormente expuesta. 2. Bodega Lugar de almacenaje que pudiera ser objeto de incidentes tales como robo / hurto 83

85 3. Direcciones de Carrera Los directores de carrera manejan información confidencial relacionada con el plan académico, información sobre estudiantes, docentes, etc. El acceso a esta área debe ser restringido y regulado por la presente política El oficial de seguridad informática es responsable de mantener identificados y documentados los sitios protegidos detallando: Identificación del edificio y área Elementos a proteger Medidas de protección física A Controles de acceso físico Para poder acceder a las áreas protegidas deben establecerse controles de acceso físico los cuales deben ser definidos por el Oficial de seguridad informática. El oficial de seguridad informática deberá asegurarse que los controles incluyan las siguientes características: Inspeccionar a los visitantes que requieran acceso a las áreas protegidas, así como llevar un registro en la bitácora de visitas el nombre del visitante, hora de entrada, hora de salida, persona a la que visita, y el área a la que accede. El visitante debe ser informado sobre las medidas de seguridad que debe observar mientras permanezca en las instalaciones de la sede. Controlar y limitar el acceso a información que haya sido clasificada como confidencial o con grado de criticidad medio o alto, así como el acceso a las áreas protegidas. Se sugiere utilizar controles de autenticación para autorizar y validar los accesos a las áreas protegidas de la sede, tales como personal de seguridad con listado de personas autorizadas, uso de tarjetas magnéticas, credenciales, entre otros. Se recomienda implementar el uso de identificaciones para todo el personal interno la cual debería mantenerse siempre visible, así como credenciales 84

86 para los visitantes las cuales especificaran visitante. a que área tiene acceso el Realizar una actualización cada tres meses de los derechos de acceso a todas las áreas protegidas, deberá mantenerse documentada cada modificación de los derechos, y deben ser firmados por el responsable departamental. A Seguridad de oficinas, habitaciones y medios Entre las áreas protegidas se encuentran las oficinas en la que se encuentran los diferentes equipos y dispositivos relacionados con el procesamiento de información y principalmente el departamento de sistemas, lugar donde se concentra el cableado de red, y servidores de aplicación y servicios informáticos. Las siguientes medidas de protección deberán observarse dentro de las áreas protegidas: Las instalaciones críticas que se encuentran deben ubicarse en lugares que no permitan el acceso no autorizado Asegurarse que los edificios u oficinas en los cuales se realicen actividades críticas relacionadas con el procesamiento de la información sean discretos sin existir señalización exagerada o signos obvios que permitan identificarlas fácilmente. Desplegar los dispositivos como impresoras, maquinas de fax, plotters, copiadoras, multifunciones, entre otras, dentro de áreas protegidas a fin de evitar uso no autorizado. Se instruirá al personal de seguridad establecer vigilancia sobre ventanas y puertas las cuales deberán permanecer cerradas a menos que sea necesario lo contrario, dando especial atención a las ubicadas en la planta baja o que represente riesgos especiales. 85

87 Mantener físicamente separadas las áreas de procesamiento de información administradas por la Universidad con la áreas de procesamiento de información manejadas por terceros. Debe impedirse el acceso a directorios telefónicos e información de contacto del personal interno. Almacenar equipos redundantes y respaldos de información en un sitio seguro, distante, dentro de un área protegida a fin de evitar daños ocasionados ante contingencias. A Protección contra amenazas externas o ambientales Deben establecerse controles que permitan proteger a la infraestructura contra daño por fuego, inundación, terremoto, explosión, revuelta civil y otras formas de desastres naturales o causados por el hombre. Debe considerarse cualquier amenaza contra la seguridad presentada por locales vecinos; tales como, amenaza de fuego en un edificio vecino, escape de agua en el techo o pisos en sótano o una explosión en la calle. A fin de evitar o reducir los daños por fuego, inundación, terremoto, explosión, revuelta civil y otras formas de desastres naturales o causados por el hombre se deberán seguir los siguientes lineamientos: Los materiales peligrosos o combustibles debieran ser almacenados a una distancia segura del área asegurada. Los suministros a granel como papelería no debiera almacenarse en el área asegurada El equipo de reemplazo y los medios de respaldo debieran ubicarse a una distancia segura para evitar el daño de un desastre que afecte el local principal 86

88 Se debiera proporcionar equipo contra-incendios ubicado adecuadamente. Mantener activo y documentado un plan de contingencia que permita restablecer el servicio en el menor tiempo posible. A Trabajo en áreas seguras A fin de robustecer la seguridad en las áreas protegidas se establecen lo siguientes controles y lineamientos, estos son aplicables sobre tareas en estas áreas por parte de personal interno o externo: El personal debe conocer la existencia del área protegida y de las actividades que en ella se llevan a cabo SOLO si es necesario e indispensable para que el personal cumpla con sus labores. Evitar la ejecución de trabajos en estas áreas por parte de personal externo, y siempre deberán ser supervisados por el personal responsable dentro de la Universidad. Mantener bloqueadas las áreas protegidas y establecer inspecciones periódicas El acceso al personal externo debe ser limitado a las áreas críticas de procesamiento de información. Estos accesos deberán ser autorizados registrados, y controlados. Evitar el ingreso a las áreas protegidas de equipos móviles, fotográficos de video, audio o cualquier dispositivo que registre información a menos que haya sido autorizo previamente por el Oficial de seguridad informática. Queda prohibido, comer, beber o fumar dentro de las áreas críticas de procesamiento de información. 87

89 A Áreas de acceso público, entrega y carga Se mantendrán bajo control las áreas donde se realicen recepción de materiales o equipos teniendo en cuenta que estas áreas estarán aisladas de las instalaciones de procesamiento de información, a fin de impedir accesos no autorizados. Con este fin se establecerán controles físicos que considerarán los siguientes lineamientos: Limitar el acceso a las áreas de recepción, desde el exterior de la sede, sólo se permitirá el acceso al personal previamente identificado y autorizado. Diseñar el área de recepción de manera tal que los suministros puedan ser descargados sin que el personal que realiza la entrega acceda a otros sectores del edificio. Proteger todas las puertas exteriores del área de recepción cuando se abre la puerta interna. Inspeccionar el material entrante para descartar peligros potenciales antes de ser trasladado desde el área de depósito hasta el lugar de uso. Registrar el material entrante al ingresar al sitio pertinente. A.9.2 Seguridad del equipo A Ubicación y protección del equipo Deben considerarse las diferentes amenazas físicas y ambientales a los que los equipos que procesan información pueden verse expuestos al momento de definir el lugar donde se ubicaran los mismos. Los siguientes principios o pautas deben tomarse en cuenta: 88

90 Debe evitarse instalar equipos de procesamiento de datos en lugares de libre acceso, o en aquellos en que no sea posible establecer controles previos a ingresar al área. Los sitios u oficinas destinadas a procesamiento de datos críticos, clasificados, así como la sala de servidores deben estar estratégicamente ubicados a fin de mantener permanente supervisión y vigilancia sobre el uso de los mismos. Reducir el nivel de protección requerida mediante aislar en un entorno independiente los sistemas o repositorios de información mas críticos o que manejen información confidencial. Se deberán realizar minuciosas supervisiones semestrales evaluando las condiciones ambientales constatando que estas no afecten de forma negativa los equipos repositorios y procesadores de información, en caso de encontrarse sugerencias deberán aplicarse de inmediato. A Redes de suministro eléctrico Los equipos deberán estar protegidos y tolerante a fallas en el sistema de suministro eléctrico. La alimentación de energía eléctrica deberá apegarse a los requerimientos del fabricante de los equipos. Además es necesario que se observen las siguientes recomendaciones a fin de asegurar la disponibilidad de los equipos, y sistemas: Contar con múltiples tomas de energía eléctrica y acometidas a fin de no tener un único punto de falla en el suministro de energía eléctrica para los equipos. Contar con un sistema de suministro eléctrico de emergencia (UPS) que permita tener suficiente tiempo para realizar un apagado sistemático de los equipos en caso de pérdida del suministro eléctrico. 89

91 La capacidad del equipo a adquirirse será determinada luego de un análisis de la cantidad de equipos a protegerse, es necesario que este análisis determine los equipos más críticos que serán protegidos en función del servicio que estos desempeñan o la información que estos manipulan o almacenan. Al momento se cuenta con esta protección en los departamentos o secciones más críticos, que permiten mantener el flujo eléctrico hasta por 30 minutos posterior a la pérdida de suministro.los departamentos son detallados a continuación: Departamento de Sistemas 30 minutos Secretaria- 10 minutos Tesorería 10 minutos Direcciones de carrera 10 minutos Se prohíbe terminantemente la conexión de cualquier equipo que no se encuentre entre los que se definieron previamente para ser protegidos por el sistema de suministro eléctrico UPS Debe existir un sistema de iluminación de emergencia El Oficial de seguridad informática realizara una inspección semestral en conjunto con el personal técnico respectivo a fin de asegurarse la disponibilidad y correcto funcionamiento de la red de suministro eléctrico. A Seguridad del cableado Al ser la red de cableado eléctrico y de datos un elemento crítico dentro de la infraestructura tecnológica de la Universidad, debe ser protegido de intercepciones o daños intencionales o no intencionales mediante aplicar las siguientes normas: Las líneas de cableado eléctrico o de datos en lo posible deberán ser subterráneas o contar con la protección necesarias tales como canaletas, tuberías, y demás. 90

92 El cableado de datos deberá estar protegido a fin de evitar intercepciones no autorizadas mediante el uso de tuberías. No se desplegará el cableado de datos a través de áreas de acceso público o no controladas. El cableado eléctrico y el cableado de datos deben desplegarse de manera separada a fin de evitar interferencias o pérdidas de paquetes de datos. Los cables de red deberán ser identificados a través de marcadores numéricos, lo cual minimizará el riesgo de manipulación errónea de los mismos. Los puntos de red deben estar claramente identificados en el bastidor o patch panel. Debe mantenerse documentados los diferentes empalmes y conexiones a fin de evitar errores de manipulación. Para los sistemas más sensibles,como servidores de bases de datos, y demás repositorios o procesadores de información critica deberán tomarse estas medidas adicionales a las mencionadas anteriormente: o Utilización de tubos blindados y de cajas con llave para los puntos de inspección del cableado. o Utilizar una ruta de cableado estratégicamente dispuesta que brinde la seguridad y protección adecuada. o Utilización de fibra óptica. o Utilizar un escudo electromagnético para la protección del cableado. 91

93 o Acceso controlado y registrado para el acceso a las terminales de cableado y realización de empalmes. El oficial de Seguridad informática realizará una inspección trimestral en busca de cualquier dispositivo instalado en la red que pudiera representar una amenaza a la seguridad del mismo. El plan de inspección mencionado en el punto anterior debe incluir una revisión detallada de las áreas de concentración de cableado las cuales se detallan a continuación: o Departamento de Sistemas, concentración principal de cableado o Direcciones de carrera, Interconexión en cascada con el sitio principal de cableado (Departamento de sistemas) o Biblioteca, Conexión inalámbrica con el sitio principal de la sede (Departamento de sistemas) o Datacenter, Se encuentra planificada la implementación de un datacenter que concentrará el cableado y equipos de comunicación, este debe ser el principal punto en el que el Oficial de seguridad informática deberá enfocarse durante las inspecciones planificadas. A Mantenimiento de los equipos Se realizarán mantenimientos periódicos de los equipos a fin de asegurar la disponibilidad de los mismos, tomando en cuenta los siguientes lineamientos: Deben seguirse las recomendaciones del fabricante de los equipos con respecto a la periodicidad de los mantenimientos para los mismos. Solo el personal de sistemas de la Universidad está autorizado a realizar el mantenimiento de los equipos. 92

94 Luego de realizar el mantenimiento el personal de sistemas colocará sellos que garantizarán la no manipulación de los equipos. El personal de sistemas mantendrá una bitácora, manual o digital de cada equipo señalando los daños encontrados y posibles fallas, así como las acciones de remediación y mantenimientos realizados. Se prohíbe terminantemente al personal de sistemas el acceso, copia o divulgación de la información clasificada que se encuentre almacenada en el equipo al momento de realizar el mantenimiento. Se deben observar los requerimientos impuestos por la empresa aseguradora en caso de que los equipos estén asegurados, y los requerimientos aplicables en caso de estar vigente el periodo de garantía del equipo por parte del fabricante. A Seguridad del equipo fuera de las instalaciones En la sede Guayaquil de la Universidad, se utilizan equipos informáticos portátiles con información corporativa, y son utilizados por las siguientes áreas: Vicerrectorado Coordinación administrativa Coordinación académica Coordinación de talento humano Coordinación de pasantitas Coordinación de sistemas Pastoral Analista de sistemas Directores de carrera (5) 93

95 Al momento de utilizar equipos de procesamiento de datos o repositorios de información deberán seguirse los siguientes lineamientos a fin de asegurar la protección de los mismos y de la información que estos almacenan: Los equipos y medios de almacenamiento nunca deberán ser desatendidos durante el periodo en que se mantienen fuera de las oficinas, en caso de ser computadoras portátiles siempre se mantendrán cerca como equipaje de mano y en lo posible de forma discreta. Seguir rigurosamente las recomendaciones técnicas y ambientales dispuestas por el fabricante. Los equipos deben contar con un seguro adecuado para protegerlos durante este tiempo. La información almacenada en los equipos portátiles debe ser encriptada. Establecer medidas técnicas que obliguen a autenticarse luego de un periodo corto de inactividad. En caso de realizar tele trabajo, la conexión hacia los servidores o servicios de la sede debe realizarse a través de un túnel VPN, cifrando la información enviada. A.10 Gestión de las comunicaciones y operaciones 1.- Aspectos Generales Las comunicaciones permiten el intercambio de información y acceso a la misma desde las diferentes ubicaciones geográficas de la Universidad, pero a la par con los beneficios que estas encierran existe un riesgo latente al utilizarlas. Herramientas de comunicación como la Internet, correo electrónico y mensajera instantánea se han convertido en un foco de proliferación de software malicioso, virus, troyanos, puertas traseras, y un punto vulnerable que puede ser explotado por 94

96 piratas informáticos, es por eso que es necesario establecer lineamientos que permitan minimizar los riesgos producidos por la manipulación de información a través de canales de comunicación. 2.- Objetivos del Control Garantizar que la manipulación de la información a través de canales de comunicación se encuentre siempre disponible y que el uso de los mismos se realice de modo seguro, mediante establecer controles, responsabilidades y procedimientos que permitan mitigar los riesgos presentes y evitar incidentes de seguridad que pondrían en riesgo la información como activo principal de la institución. 3.- Alcance del Control Esta política es aplicable a todos los sistemas de información y los sistemas de comunicación que son utilizados por los mismos. 4.- Responsabilidad del Control La aplicación de los lineamientos expuestos en esta política será supervisada por el oficial de seguridad de la información en cada una de las áreas de la Universidad Politécnica Salesiana sede Guayaquil, contando con la colaboración de los responsables de las diferentes áreas. El Oficial de seguridad de la información además es responsable de de realizar los procedimientos relacionados con esta política. El departamento de sistemas realizará las labores operativas necesarias para dar cumplimiento a la presente política, realizando esto siempre bajo la supervisión del oficial de seguridad de la información. 95

97 5.- Política Gestión del las Comunicaciones y Operaciones A.10.1 Procedimientos y responsabilidades operacionales A Procedimientos de operación documentados Como parte de la gestión de la seguridad de la información es necesaria la creación y actualización de los procedimientos operativos relacionados con los diferentes sistemas de información que la Universidad Politécnica Salesiana Sede Guayaquil. Cuando se realice una modificación a los procedimientos, esta debe ser autorizada por el Oficial de Seguridad de la información. Entre la documentación que debe elaborarse debe constar: Documentación sobre procesamiento de información utilizando los diferentes sistemas de la Universidad. Instructivo para manejo de errores comunes y generales que pudieran presentarse el proceso de manipulación de la información. Restricciones en el uso de utilitarios del sistema. Gestión de servicios. Aplicación de procedimientos de reinicio de sistemas o servicios que permitirá garantizar la calidad y confiabilidad del servicios brindado por la universidad en los caso de que estos hayan sido reiniciado ya sea por procedimiento de rutinarios o de fuerza mayor. Procedimiento de instalación, cambio, o reemplazo de componentes dentro de los sistemas de información o comunicaciones. Procedimientos de instalación y mantenimiento de los equipos de procesamiento de información y comunicaciones. 96

98 Procedimientos de monitoreo de los sistemas de información y comunicaciones. Información sobre personal técnico a contactar en caso de errores o problemas operativos ya sea de los sistemas propietarios de la universidad como de los ISP que proveen los servicios de comunicación entre las sedes. Procedimientos de resguardo de información. Procedimientos de Respaldos. Procedimiento de uso de correo electrónico. A Control de cambios en las operaciones Todos los cambios realzados en el ambiente operativo deberán ser evaluados previamente y documentado. El control de los cambios a realizarse es responsabilidad del oficial de seguridad de la información, quien en conjunto con el personal de sistemas evaluará las posibles implicaciones al realizar dichos cambios. Cualquier cambio que afecte la plataforma tecnológica debe ser requerido por los usuarios de la información y aprobado formalmente por el responsable de la administración del componente tecnológico, Jefe de Oficina, o Director o a quienes estos formalmente deleguen. De ninguna manera un cambio será aprobado, realizado e implantado por la misma persona o área. Una bitácora debe ser mantenida registrando todos los cambios en el ambiente de producción. Entre los procedimientos y/o documentación requeridos se encuentran los siguientes: Registro de cambios significativos en la infraestructura. Evaluación de implicaciones posibles. 97

99 Documento de aprobación para realizar el cambio. Planificación del proceso de cambio. Procedimiento que permita reversar el cambio realizado. Matriz de pruebas sobre el nuevo escenario. Notificación por escrito a los departamentos implicados la cual debe incluir los cambios realizados. A Separación de los ambientes de desarrollo y producción. Los entornos de desarrollo y de producción deben mantenerse separados, de preferencia físicamente separados, al momento de que un sistema o servicio deba ser trasladado del entorno de desarrollo a producción deben documentarse reglas y procedimientos de forma previa. Los siguientes lineamientos deberán observarse: Ejecutar la aplicación, programa, o servicios de desarrollo y producción en diferentes ambientes, y diferentes servidores manteniéndose aislados uno del otro. Separar las actividades de desarrollo en ambientes aislados En caso del software de producción, en lo posible evitar el acceso a código fuente o herramientas de debugging. Los sistemas de autenticación y control de acceso a los ambientes de desarrollo y producción deben ser independientes. Mantener documentados los nombres y cargos de los propietarios de la información de ambos ambientes. 98

100 En lo posible el personal de desarrollo no tendrá acceso al entorno de producción a menos que sea requerido y previamente autorizado por el Oficial de seguridad de la información. Durante el proceso de pruebas en el ambiente de desarrollo deberán realizarse todas las pruebas pertinentes, las mismas que deberán documentarse de forma similar al formato mostrado a continuación: 99

101 PLAN DE PRUEBAS AMBIENTE DE DESARROLLO 1. Datos Generales Nombre de la prueba Objetivo Tipo de prueba Funcional / Técnica Módulos o programas Tiempo estimado 2. Roles Roles que intervienen en la prueba Responsabilidades 3. Descripción general de las pruebas 4. Plan de Pruebas No Descripción Observaciones del plan de pruebas S/N 6. Criterios de aceptación de la prueba 7. Firmantes Elaborado por: Autorizado por: Firma: Firma: Cargo: Cargo: Fecha: / / Fecha: / / Figura 3.3 Fuente: Los Autores 100

102 Entrega del servicio Se incluirán controles de seguridad, definiciones del servicio y niveles de entrega incluidos en el acuerdo de entrega del servicio de terceros se implementen, operen y mantengan. En el caso de la sede Guayaquil de la UPS, se cuentan con contratos de provisión de enlaces de datos y video conferencia entre las sedes de Guayaquil y Cuenca, así como la provisión de acceso a Internet. Deberán seguirse los siguientes lineamientos a fin de regularizar la aceptación del servicio contratado: La entrega del servicio de enlaces de datos o de cualquier servicio en el que se contratase a un tercero, deberá incluir los acuerdos de seguridad pactados, definiciones del nivel de servicio esperado y aspectos de la gestión del servicio. En caso de los acuerdos de abastecimiento externo, la organización debería planear las transacciones de información, medios de procesamiento de la información y cualquier otra cosa que necesite transferirse, y debiera asegurar que se mantenga la seguridad a través del período de transición. El personal de sistemas de la sede Guayaquil de la UPS, es responsable asegurar que el proveedor mantenga una capacidad de servicio suficiente junto con los planes de trabajo diseñados para asegurar que se mantengan los nivel de continuidad del servicio en caso de existir fallas importantes en el servicio o un desastre que cause una pérdida de disponibilidad del servicio Monitoreo y revisión de los servicios de terceros Todos los servicios, reportes y registros provistos por terceros debieran ser monitoreados y revisados periódicamente y serán sometidos a auditorias a fin de asegurar que se esté dando fiel cumplimiento a lo acordado entre ambas partes. 101

103 La auditoria y el monitoreo permanente de los servicios asegurarán que se cumplan los términos y condiciones de seguridad de los acuerdos, y que se manejen apropiadamente los incidentes y problemas de seguridad de la información. Entre las tareas asociadas a este aspecto se encuentran las siguientes: Monitorear los niveles de desempeño del servicio que permitan dar fe de que el proveedor está cumpliendo a conformidad con los acuerdos. Revisar de los reportes de servicio emitidos por el proveedor del servicio Recopilar información sobre incidentes de seguridad de la información relacionados con la entrega del servicio contratado. Revisar los rastros de auditoría del proveedor del servicio y los registros de eventos de seguridad, problemas operacionales, fallas, e interrupciones detectadas y reportadas. Resolver y manejar cualquier problema identificado en la entrega del servicio. La responsabilidad de manejar la relación con terceros se debiera asignar a una persona o equipo de gestión de servicios, en caso de la sede Guayaquil de la UPS, el funcionario pertenecerá al departamento de sistemas. Se llevará un control permanente relacionado con la entrega del servicio que permita la identificación de vulnerabilidades y reporte y(o) respuesta a un incidente de seguridad a través de un proceso, formato y estructura de reporte definidos 102

104 Manejo de cambios en los servicios de terceros Se gestionarán los cambios en la provisión de servicios, incluyendo el mantenimiento y mejoramiento de las políticas, procedimientos y controles de seguridad de la información existentes teniendo en cuenta el grado crítico de los sistemas y procesos del negocio involucrados y la re-evaluación de los riesgos. Esta gestión deberá incluir lo siguiente: Los cambios realizados por la organización para implementar mejoras en los servicios ofrecidos actualmente; desarrollo de cualquier aplicación y sistema nuevo; modificaciones y(o) actualizaciones de las políticas y procedimientos de la organización. Controles nuevos para solucionar incidentes de la seguridad de la información y para robustecer la seguridad en el servicio recibido. Control de modificaciones en los servicios de terceros para implementar: cambios y mejoras en las redes, uso de tecnologías nuevas, adopción de productos nuevos o versiones más modernas, desarrollo de herramientas y ambientes nuevos, cambios en la ubicación física de los medios del servicio, entre otros. A.10.3.Planeación y aceptación del sistema. A Gestión de capacidad El oficial de seguridad de la información se encargará o delegará funciones de monitoreo de las necesidades futuras que los diferentes sistemas de información o servicios informáticos deberán cubrir. Es necesario que periódicamente se realice un análisis de las nuevas necesidades de la institución así como la posibilidad de hacer uso de nuevas tendencias relacionadas con la tecnología y seguridad de la información. 103

105 Los posibles limitantes en los procesos de manipulación de la información y necesidades de mejoramiento deberán ser informados y se buscará una futura solución u optimización a través de la aplicación de una nueva tecnología y(o) la implementación o actualización de sistemas o servicios informáticos. A Aceptación del sistema. El Oficial de seguridad de la información en conjunto con el personal técnico relacionado con la implementación de un nuevo sistema de información o servicio informático sugerirán los criterios a observar al momento de aceptar la implementación de nuevos sistemas, y(o) actualizaciones de versiones ya existentes. Antes de realizar la aprobación formal se deberán considerar los siguientes puntos: Evaluación de impacto en el desempeño y calidad del servicio. Capacidad de recuperación ante errores o desastres, planes de contingencia. Elaboración de los procedimientos de operación para la nueva solución. Prueba de la efectividad de los procedimientos de operación de la nueva solución. Controles de seguridad aplicables. Evidencia comprobable de que el nuevo servicio o sistema no afectara a los demás sistemas en producción, sobre todo en horas de alta demanda de trabajo. Aceptación por parte del Oficial de Seguridad de la información, indicando de que el nuevo sistema o servicio no se convertirá en un eslabón débil dentro de la gestión de la seguridad de la información Plan de capacitación en la nueva herramienta, sistema, o servicio informático. 104

106 Comprobar que el nuevo elemento es fácil de utilizar y no entorpecerá los procesos relacionados al uso del mismo. A.10.4 Protección contra software malicioso y código móvil A Controles contra software malicioso El oficial de seguridad informática deberá establecer los controles técnicos o no técnicos que permitan detectar, prevenir y proteger la infraestructura tecnológica de la Universidad de software malicioso como virus, troyanos, puertas traseras, entre otros, así mismo elaborar una estrategia para concienciar a los usuarios de la información, sistemas, y servicios informáticos El personal de sistemas será encargado de la implementación operativa de estos controles. Los controles deberán incluir las siguientes observaciones: Definir formalmente una política que prohíba el uso de software no autorizado dentro de la Universidad. Todo software que sea utilizado por la Universidad deberá ser adquirido de acuerdo a las leyes vigentes y siguiendo los procedimientos establecidos por la Universidad. Deberá fomentarse la cultura informática al interior de la institución que asegure el conocimiento por parte de los funcionarios de la sede acerca de las implicaciones que podrían acarrear la instalación de software ilegal en los computadores. No se brindará soporte técnico sobre cualquier aplicación instalada en los equipos de la Universidad que no se encuentre autorizada por la coordinación de sistemas para su uso 105

107 Se mantendrá un inventario detallado del software instalado en los equipos así como el software instalado con fines de evaluación. A fin de detectar software ilegal o potencialmente peligroso el departamento de sistemas realizará revisiones e inspecciones periódicas de forma aleatoria. Deberá disponerse de una herramienta que permita administrar y controlar de forma automática el software instalado en los equipos. Todo software ilegal encontrado deberá ser desinstalado inmediatamente. Las aplicaciones actualmente autorizadas para uso en las computadoras de la sede son: a. APLICATIVOS o Microsoft Office con sus respectivos aplicativos dentro del paquete de instalación o Adobe PhotoShop (Relaciones Publicas) b. SEGURIDAD CLIENTES o Antivirus F-Secure c. SISTEMAS OPERATIVOS CLIENTES o Microsoft Windows XP SP2 Elaborar procedimientos que permitan evitar riesgos relacionados con la obtención de archivos y programas desde o a través de redes públicas como Internet. Instalar en todos los equipos software de detección y eliminación de virus y software malicioso y mantener actualizadas las definiciones. 106

108 Los sistemas operativos deberán estar actualizados con los últimos parches de seguridad o hotfixes, si la instalación de los mismos pudieran representar cambios significativos en la infraestructura actual, estos deberán ser evaluados previamente en un entorno de desarrollo independiente. Establecer una política de revisión y escaneo de los archivos recibidos previo a su utilización. Alertar a los usuarios sobres las estrategias utilizadas para la difusión de los virus y demás código malicioso a fin de evitar posibles infecciones. Establecer una política de uso de dispositivos removibles que evitará la propagación de código malicioso, generalmente residente en dispositivos móviles. Todos los equipos personales y portátiles deberán siempre mantener instalado configurado y funcionando el software antivirus aprobado por la coordinación de sistemas Es responsabilidad del usuario reportar al departamento de sistemas cualquier problema relacionado a infección de virus o software malicioso en el equipo a él asignado. La coordinación de sistemas se asegurara de que se realicen las actualizaciones de las definiciones de virus en todos los equipos clientes. A.10.5 Respaldo de información o Backups A Respaldo de la información Se deberán analizar los requerimientos de respaldo y preservación de la información, para esto el Oficial de seguridad informática junto con el personal designado por el departamento de sistemas y propietarios de la información se reunirán periódicamente realizaran las respectivas definiciones. 107

109 La persona designada dentro del departamento de sistemas como responsable de los respaldos de información controlará la realización de las copias periódicas de los datos y de llevar a cabo pruebas periódicas de restauración. Se definirá una ubicación física, segura, con los controles de acceso necesarios y con condiciones ambientales adecuadas para el almacenamiento de las copias de seguridad. Los procedimientos operativos relacionados con el respaldo de la información deberán seguir los siguientes lineamientos: Definir y establecer por escrito que tipo de información es necesario respaldar y hasta que nivel. Llevar una bitácora exacta sobre la realización de los respaldos de la información, y documentación sobre el procedimiento a seguir para la restauración. Definir el tipo de respaldo, sea este total, incremental, o diferencial y la frecuencia con la que se los realizará. Los registros de las copias de seguridad deberán incluir el nivel de criticidad de la información almacenada en los medios. Los medios deberán almacenarse en un lugar aislado, lejos de áreas de libre acceso, buscando áreas en las que sería menos probable la incidencia de algún desastre o daño causado por factores ambientales. Debe existir un plan de pruebas sobre los medios de almacenamiento, los cuales serán probados periódicamente, los tiempos serán definidos por el Oficial de seguridad informática. 108

110 Los procedimientos de restauración realizados por el departamento de sistemas deberán ser revisados y probados a fin de asegurar la efectividad de los mismos. En caso de información altamente critica o confidencial, la información deberá utilizarse encriptación al momento de almacenarla en los medios. En caso del respaldo de información de sistemas críticos el respaldo será total, aplicaciones, y datos de todos los sistemas, en general toda la información que sería necesaria a fin de recuperar el servicio en caso de un desastre. Deberá además establecerse por escrito el periodo de tiempo en que se retendrá la información almacenada en los medios. En caso de utilizar dispositivos que permiten automatizar los respaldos, estas deberán ser probadas en cada una de las fases, respaldo y recuperación, antes de ser puestas en producción, es importante además realizar pruebas periódicas que aseguren la confiabilidad del dispositivo. Deben almacenarse copias de seguridad en otra ubicación física evitando destrucción de las mismas en caso de una catástrofe como en caso de incendios u otros. A.10.6 Gestión de seguridad de redes A Controles de red Las redes de comunicación de datos de la Universidad deben ser administradas y monitoreadas de con regularidad y manteniendo la seguridad en las operaciones, garantizando que la información trasmitida a través de la red se mantenga segura y libre de acceso no autorizado. 109

111 La red de datos de la Universidad Politécnica Salesiana sede Guayaquil es administrada por el departamento de sistemas, siendo responsable el Coordinador de sistemas de elaborar controles y procedimientos operativos que observen los siguientes principios: En lo posible deberá delegarse las tareas de administración de red a personal no relacionado con tareas operativas con los sistemas de cómputo. El Coordinador de Sistemas deberá establecer responsabilidades sobre las diferentes tareas de administración y monitoreo de la red, incluyendo equipos de comunicación, enrutadores, switches y canales de comunicación. Deben existir controles especiales a fin de asegurar la confidencialidad de la información transmitida a través de redes públicas como Internet o a través de redes inalámbricas. Pueden utilizarse recursos de orden técnico como redes privadas virtuales (VPN) y utilizar encriptación sobre las redes inalámbricas. Debe existir registros de accesos a la red que permita llevar un control de la actividad de red e identificar algún comportamiento anormal en la misma. Dentro del departamento de sistemas existen los siguientes cargos y funciones de entre los cuales el Coordinador de sistemas puede delegar funciones inherentes a controlar la red de datos: Analista Programador Técnico en soporte y mantenimiento Asistente de soporte y mantenimiento 110

112 En lo relacionado con la administración de los equipos de conectividad de red tales como concentradores, enrutadores y demás se tomaran en cuenta las siguientes recomendaciones: o Configurar usuario y contraseña diferentes a los establecidos por defecto en fábrica. o Permitir acceso administrativo únicamente a direcciones IP establecidas para este fin. o Tiempo de 30 segundos de time out para sesiones inactivas o Guardar registro de auditoría de las conexiones de administración realizadas. o Realizar respaldos de la configuración del switch al menos una vez al mes. o Las contraseñas de las comunidades SNMP deberá ser diferente a la establecida por defecto en fábrica. o Almacenamiento de las contraseñas de administración y contraseñas de comunidades Con respecto a la seguridad en dispositivos de interconexión inalámbrica se deben tomar en cuenta los siguientes lineamientos: Puntos de Acceso Inalámbrico (Access Point) Broadcast: Deshabilitado Modo de Seguridad: WPA/WPA2 con PSK Método Cifrado de Datos: TKIP Periodicidad de cambio de clave: 3 meses Nombre de red (SSID): No debe ser fácilmente asociado por un posible intruso. A Seguridad de los servicios de red Para todo servicio de red que se planee implementar, refiriéndose a que este sea interno, como un nuevo segmento de red, o externo como un nuevo enlace Wan de datos, deberá asegurarse que este incluya características de seguridad que permita mantener el nivel de servicio lo más alto posible. 111

113 Para este fin el Coordinador de Sistemas se asegurará de monitorear la capacidad operativa del proveedor de servicios, en caso de ser externo, a fin de constatar que se encuentra en la capacidad de proveer los servicios contratados en concordancia a los requerimientos impuestos por la Universidad. El Coordinador de Sistemas de la sede deberá asegurarse que el proveedor implemente las características necesarias a nivel de seguridad y nivel de servicio que se han establecido en el contrato de prestación de servicios. Se define en esta política como servicios de red, implementados interna o externamente por ejemplo a servicios de redes privadas, soluciones de seguridad como firewalls, IPS/IDS, redes privadas virtuales, así como de enlaces Wan de banda ancha. Los servicios de red deben incluir control sobre las conexiones, VPNs, soluciones de seguridad tales como firewalls, sistemas de prevención de intrusiones, etc. Estos servicios pueden ser ofrecidos por el proveedor o implementados por el departamento de sistemas de la sede. Las características de seguridad que estos servicios deben cumplir son los siguientes: El servicio de red debe contar con mecanismos de seguridad como controles autenticación, control de acceso, y de conexión y cifrado. Cumplir con los requerimientos técnicos establecidos previamente por la Universidad, los cuales permitan una conexión segura a los servicios de red. Incluir procedimientos sobre la utilización del servicio de red, procedimientos que permitan restricción de acceso al servicio o aplicaciones. 112

114 A.10.7 Gestión de medios A Gestión de medios removibles El Coordinador del departamento de sistemas diseñará procedimientos para la administración de los medios removibles, como memorias flash, cintas discos, tapes, etc. Para la gestión de estos dispositivos se seguirán los siguientes libamientos: En caso de que la información almacenada en dispositivos removibles como cintas, discos ópticos, etc. deberá ser eliminada utilizando herramientas que permitan asegurar que la misma no pueda luego ser restaurada utilizando software destinado a este fin. Deben estar claramente identificados los dispositivos que requieran que se ejecute el proceso de eliminación segura mencionado en el anterior punto Es necesario mantener un registro de la eliminación de los medios que contengan información confidencial a fin de tener registros para futuras auditorias o intervenciones. Se recomienda seguir las siguientes normas de seguridad con relación a los dispositivos removibles: o Únicamente se permite el uso de dispositivos removibles a los usuarios que lo requieran para el cumplimiento de sus funciones. o Debe mantenerse identificado el tipo de información que se almacenará en los dispositivos o El responsable del medio velará por el buen uso de la información en el medio almacenada. 113

115 o El responsable del medio velará por la seguridad de la información durante el traslado del medio. o En caso de pérdida del medio el responsable está obligado a reportar el incidente al oficial de seguridad informática. o En caso de ser necesaria la eliminación de la información contenida en el medio se lo realizara a través de mecanismos seguros. o Los medios removibles deben ser utilizados como medio de transporte de información y bajo ninguna circunstancia como almacenamiento primario. A Procedimientos de manejo de la información Deben definirse procedimientos para el manejo de la información de acuerdo a lo definido en la sección de Clasificación y control de activos. Estos procedimientos deberán incluir: Protección a documentos físicos o digitales, sistemas de información redes de comunicación de datos, comunicaciones móviles, correo electrónico y demás servicios o sistemas en los que información se encuentre envuelta. El acceso a estos activos será permitido únicamente a personal autorizado y designado por el coordinador de sistemas Mantener una bitácora que incluyan los accesos realizados a esta información Conservar los sistemas y medios de almacenamientos en un ambiente apropiado de acuerdo a las especificaciones del fabricante. Se almacenara en los servidores únicamente información propietaria de la sede Guayaquil de la Universidad Politécnica Salesiana. 114

116 Toda información de carácter sensible deberá almacenarse en servidores repositorios de información manteniendo la seguridad de acceso pertinente. En los computadores personales se mantendrá almacenada únicamente información de apoyo, no clasificada como critica para la institución. A Seguridad en la documentación de los sistemas de información Todos los sistemas de información deben contar con documentación operativa y guías de administración, al ser esta información sensible se deben seguir las siguientes pautas sobre su custodia: La documentación del sistema debe almacenarse de manera segura con sus respectivos índices y seguridades de acceso a la documentación almacenada en cada una de ellas. La cantidad de usuarios autorizados a acceder a la misma se mantendrá al mínimo. Los documentos del sistema de acceso público deben ser almacenados con la debida seguridad de acceso, a través de credenciales, usuario y contraseña, certificados digitales, tokens, etc. Existe documentación sobre los sistemas de información residentes en la sede de Cuenca, información como diccionario de datos y estructuras de almacenamiento, de forma impresa y almacenada digitalmente con los debidos controles de acceso. A esta información tienen acceso: Jefe de desarrollo de software Director de Sistemas Personal designado por los anteriormente mencionados 115

117 A.10.9 Servicios de Comercio Electrónico A Transacciones en línea La Universidad Politécnica Salesiana sede Guayaquil, a través de su portal Web permite a los estudiantes realizar consultas financieras y académicas a sus clientes, en este caso los estudiantes, así como también realizar pagos vía Internet con las diferentes tarjetas de crédito con las que ha realizado convenios. La institución debe garantizar que durante las transacciones en línea no exista transmisión incompleta, divulgación de información privada, plagio de identidad, o acceso no autorizado a los datos transmitidos a través de Internet. Es por eso se recomienda tomar las siguientes medidas preventivas: Utilizar firmas electrónicas en ambas partes que participan en la transacción Durante la realización de la transacción deben existir certeza de que : o Las credenciales de usuario son validas y han sido verificadas o La transacción se ha realizado de forma confidencial o Existe privacidad en ambas partes involucradas Al utilizarse un canal de comunicaciones público, la información debe ir encriptada. Se utilizaran protocolos de comunicación seguros (SSL) Los medios de almacenamiento donde se guarden las transacciones realizadas en línea deben contar con protecciones robustas a fin de evitar accesos no autorizados. Cumplir con las leyes y regulaciones vigentes y establecidas por el estado ecuatoriano. 116

118 A Información disponible públicamente. La información que puede ser vista desde Internet a través del portal Web de la Universidad debe contar con la suficiente seguridad de acceso que permita asegurar la no modificación de la misma. Se realizará pruebas de penetración aplicadas sobre los servidores que publican información a través de Internet a fin de descubrir vulnerabilidades que permitan afectar la confiabilidad e integridad de la información en ellos almacenados. Adicionalmente deberá observarse las regulaciones legales establecidas por el estado referente a comercio electrónico y manejo de información. A Monitoreo Se deberá detectar cada una de las actividades que involucren el procesamiento de la información que no ha sido autorizada por el Coordinador de Sistemas, también se deberán utilizar bitácoras de operador y registrar cada una de las fallas para poder asegurar que se identifiquen cada uno de los problemas en las distintas dependencias Las tareas de monitoreo realizadas deberán cumplir con cada uno de los lineamientos establecidos en este documento: Gestión de Monitorio Sede Cuenca En vista que los gestores de base de datos como las aplicaciones de gestión académicas residen en la sede de Cuenca, el personal de sistemas de la sede matriz se encargara de monitorear cada uno de los eventos, alertas, y estado de los mismos asegurándose de documentar de los eventos ocurridos. Gestión de Monitorio Sede Guayaquil Como parte de las tareas del personal de sistemas de la sede Guayaquil se encuentra el monitoreo de la disponibilidad y estado de los servicios informáticos, servidores y equipos utilizados tanto por el personal docente como por los estudiantes. 117

119 Se deberá mantener un constante monitoreo de los servicios más críticos de la sede, mencionados a continuación: Enlace a Internet Enlaces hacia Cuenca Proxy Server Carga de los servidores Estado y utilización de los enlaces inalámbricos A Registro de Auditoria Se deberán generar el registro de la auditoria que deberá contener cada una de las excepciones y los eventos que hayan sido relativos con la seguridad informática Todas las acciones generadas en el proceso de auditoría se deberán mantener en un periodo acordado, el cual permitirá facilitar los procesos de investigación y el monitoreo de los controles de acceso concedido en cada uno de los procesos. Los registros de auditoría deberán seguir los siguientes lineamientos de seguridad Utilizar las ID o nombre de usuario. Fecha, hora que identifique las fecha de ingreso y salida. Presentar la identidad y dirección IP de donde inició sesión el usuario. Mantener un registro de intentos fallidos que serán registrado en el sistema Mantener un registro de los accesos no permitidos por un mencionado usuario. Registrar los cambios en la configuración de los perfiles del usuario en el sistema. 118

120 Mantener un registro del uso de las utilidades y aplicaciones que son empleadas por el usuario del sistema. Mantener una bitácora del acceso al que tuvo el usuario. Mantener controles que monitoreen los de accesos ya sea por emisión de sonidos o alarmas. Mantener un control de activación y desactivación de los sistemas de protección, como de aquellos sistemas de anti-virus y de detección de intrusos. Se deberán implementar las medidas de control de la protección a la privacidad apropiadas sobre la información privada o confidencial sobre el usuario que mediante el monitoreo se podría obtener. El Encargado del departamento de Sistemas no deberá tener permisos para borrar o desactivar los controles de auditoría, y de igual forma se realizaran auditorias sobre las actividades realizadas por él. A Uso del Sistema de Monitoreo Se deberán contemplar los procedimientos para el monitoreo de cada uno de los medios de procesamiento de la infamación y estos medios serán revisados de manera periódica en cada una de las actividades realizadas y almacenadas La determinación del nivel de monitoreo de las actividades de los medios de procesamiento de la información estarán de acuerdo a su evaluación realizada en cuanto a su criticidad y al riesgo al que están expuestos. Cada uno de los sectores deberá considerar las siguientes implicaciones: Incluir ID del usuario. Fecha y hora de ingreso y salida. 119

121 Tipo de acción realzada. Identificación de los documentos y los sitios donde tuvo acceso. Identificación de los programas y/o utilidades que fueron ejecutados. Anexo de la operaciones catalogadas como privilegiadas. Uso y fecha de ingreso con las cuentas privilegiadas. Dispositivos de entrada y salida que fueron utilizados para adjuntar o eliminar la información. Intentos de acceso no autorizados - Registros de accesos fallidos por el usuario. - Registro de acciones fallidas que involucren datos o información dentro de los sistemas. - Violaciones a políticas de seguridad establecidas en los dispositivos de seguridad como firewalls. Alertas o fallas del sistema: - Implementar alertas en caso de fallas o degradación del servicio. - Control sobre acciones realizadas por red, y alertas de saturación de los canales de comunicación - Alertas en tiempo real en cuanto se realcen cambios en alguna configuración Monitorear cambios o intentos de cambios 120

122 A Protección del registro de Información Este control está orientado a proteger de cambios no autorizados y operaciones no autorizadas en los medios de registro. Para la implementación de este control se deberá considerar: Considerar las alteraciones que se hayan registrado en cada según los mensajes. Salvaguardar aquellos archivos de registro que va ha ser editados o eliminados. Debe asegurarse que los registros sean almacenados con seguridad evitando almacenar los mismos en medios de almacenamiento defectuosos. A Registro del Administrador y Operador Se deberán registrar cada una de las actividades realizadas por el encargado del departamento de Sistemas y los operadores a los que se les ha delegado tareas relacionadas con la administración de sistemas. Se registrara lo siguiente Hora en el que ocurre el evento Tipo de evento o acción realizada Identificación del usuario involucrado Tareas o procesos secundarios envueltos incluso los ejecutados a bajo nivel A Registro de Fallas Debe mantenerse un registro detallado de cada una de las fallas significativas que los sistemas, servicios informáticos o bases de datos presenten durante su normal operación, se deberían observar los siguientes lineamientos: 121

123 Realizar una revisión de cada uno de los registros, de manera que se permitan saber si ya han sido resueltas de manera parcial o total. Revisión de las medidas correctivas ejecutadas que permita establecer las acciones a tomar en caso de que el problema se presente en lo posterior. A Sincronización de relojes Los relojes de cada uno de los sistemas de procesamiento de la información, deberán mantenerse sincronizados con una fuente que proporcione una hora exacta. En caso de establecer un servidor contra el cual se sincronizaran los demás, este deberá apegarse el estándar previamente establecido por la organización, en este caso se ha definido la zona horaria para la región continental de Ecuador (GMT-5) La sincronización de relojes, fechas y zona horaria será de vital importancia para asegurar la exactitud al momento de definir el momento en que algún evento se suscita a través de las labores de monitoreo definidas en esta política. A.11 Control de Accesos 1.- Aspectos Generales Las acciones que permiten una gestión y control sobre los accesos al los activos de información o sistemas son la base de todo sistema de gestión de seguridad informática. Es por esto que es de vital importancia la implementación de controles y procedimientos que permitan garantizar que el control y asignación de privilegios sobre el acceso a sistemas, repositorios de información, y bases de datos. Estos controles deben mantenerse documentados y actualizados, pero sobre todo debe existir un riguroso control por parte del encargado de la seguridad en cuanto al 122

124 cumplimiento de estos controles durante la operación diaria de los sistemas y activos de información. En este aspecto es importante el compromiso adquirido por los usuarios a fin de llevar a cabo los lineamientos sugeridos, razón por la cual la divulgación de esta política debe ser masiva. 2.- Objetivos del Control Evitar todo acceso no autorizado tanto a los activos de información, bases de datos, y sistemas de información. Establecer mecanismos de seguridad de accesos a través de robustas técnicas de autenticación. Controlar el acceso desde o hacia redes públicas o de entidades externas. Mantener un registro de eventos de actividades de los usuarios y realizar auditorías sobre los mismos. Concienciar a los usuarios sobre la importancia de la seguridad de acceso e impulsarlos a cumplir rigurosamente los controles y políticas aquí descritas. Garantizar la seguridad y acceso a la información al utilizar equipos portátiles, conexiones remotas, o computación móvil. 3.- Alcance del Control Esta política es aplicable a todas las acciones relacionadas con acceso a recursos de información, a todos los usuarios sobre los cuales recaen privilegios de acceso a sistemas o bases de datos, así como a personal técnico del área de sistemas y de seguridad informática 123

125 4.- Responsabilidad del Control La elaboración de las políticas de control de acceso y controles serán responsabilidad del Oficial de seguridad informática, de igual manera será la persona encargada de autorizar los permisos que los usuarios a través de la jefatura de su respectivo departamento soliciten. Es también responsable de auditar los accesos de los usuarios a los diferentes recursos de información a través de la revisión de logs de actividades, y de acceso. Los jefes departamentales son los responsables de avalar las solicitudes de acceso de sus respectivos subalternos, y aprobarlas por escrito. Es por su parte responsabilidad de los usuarios de la información, sistemas y servicios informáticos observar rigurosamente esta política y darle cumplimiento. 5.- Política Control De Accesos A.11.1 Requerimiento comercial para el control del acceso A Política de control de acceso La política de control de acceso y derechos que los usuarios individualmente o grupalmente deben ser claramente establecidos. Estos controles deben ser tanto de acceso físico como lógico. Dentro de los lineamientos de implementación debe tomarse en consideración lo siguiente: Establecer los requerimientos de seguridad para las aplicaciones o sistemas críticos de la institución. Identificar que información está ligada a los sistemas de información y debe ser protegida. 124

126 Debe existir consistencia entre los niveles de accesos establecidos y el nivel de criticidad con el que fue catalogada la información. Asegurar el cumplimiento de las regulaciones y legislación vigente. Definir niveles de acceso de usuario estándar para personal que se ajuste a labores básicas dentro de la institución. Gestionar la seguridad de acceso tanto para ambientes simples como distribuidos tomando en cuentas las comunicaciones que para esto se requiera. Establecimiento de un procedimiento que permita autorizar los accesos necesarios por los usuarios de la información o sistemas. Si se delegan las tareas operativas de concesión de derechos de acceso estas deben ser documentadas y controladas por el Oficial de seguridad de la Información. Cronograma de revisión y auditoria de privilegios concedidos. Controles que permitan revocación de privilegios de acceso. Los permisos de acceso a los sistemas de información son concedidos por el administrador de base de datos luego de existir solicitud y aprobación por escrito del permiso solicitado. A continuación se muestra un formato referencial que podría servir como constancia de la solicitud y concesión de privilegios de acceso. 125

127 FORMULARIO DE SOLICITUD DE ACCESO A SISTEMAS DE INFORMACIÓN SOLICITUD DE ACCESO A SISTEMAS DE INFORMACIÓN 1. Datos Generales Sede: Departamento 2. Datos del usuario Nombre y Apellido del Solicitante: Cargo: TEL 1: Correo electrónico: 3.Perfil del Usuario que se está creado ( Marque la opción) Sistema de información: Creación Modificación Perfil 1 Eliminación: Prefil2 Cambio Perfil: Elaboración Revisión Aprobación 5. Firmantes Solicitado por: Firma: Autorizado por: Firma: Cargo: Cargo: Fecha: / / Fecha: / / 6. Aprobación ( Para uso interno Coordinación ) Aprobado por: Observaciones Firma: Cargo: Fecha: / / 7. Condiciones 126

128 Condiciones: a) El usuario y contraseña otorgado es de uso personal b) El usuario y contraseña por ningún motivo debe ser transferido a otro funcionario. c) La suspensión temporaria o definitiva del funcionario deberá ser comunicada de inmediato al administrador de usuarios del sistema siguiendo los mecanismos definidos d) Los cambios de perfiles del funcionarios, deberán ser comunicados al administrador de usuarios del sistema siguiendo los mecanismos definidos e) Todas las operaciones realizadas en los sistemas, son responsabilidad del funcionario propietario del usuario. f) Debe de salir del sistema cada vez que no esté en uso. g) Los inconvenientes asociados a las habilitaciones y modificaciones deberán ser comunicados al administrador de usuarios del sistema Figura 3.4 Fuente: Los Autores A.11.2 Gestión del acceso del usuario A Inscripción del usuario Debe desarrollarse un procedimiento que permita registrar de manera única a los usuarios que requerirán acceso a la información. Se deben tomar en cuenta los siguientes lineamientos en el registro de usuarios: Utilizar nombres de usuarios únicos que permitan el no repudio de las acciones realizadas con el mismo. Realizar chequeos que permitan establecer que el usuario tenga la autorización asignada por el administrador del sistema, servidor, o base de datos. 127

129 Chequear que el nivel de acceso otorgado sea el estrictamente necesario para que el usuario pueda realizar únicamente las tareas relacionadas con su trabajo. Al momento de registrar un usuario el funcionario deberá firmar el formulario que indique su usuario, mecanismo de autenticación, sistema al que se le ha concedido acceso y privilegios asignados. Bajo ninguna circunstancia el personal de sistemas otorgará privilegios de acceso sin haber completado el proceso normal de aprobación. Asegurarse que no se asignen nombres de usuarios repetidos para los sistemas o servicios. Se establecerá en el contrato de servicios del funcionario una cláusula que indique la sanción por incumplimiento a la política de seguridad y control de accesos. A Gestión de privilegios Los privilegios de acceso se mantendrán al mínimo necesario para el cumplimiento de las funciones individuales de cada funcionario, estos privilegios serán regulados a través de los siguientes lineamientos de seguridad: Deben establecerse por escrito y de forma detallada los privilegios de acceso que el usuario tendrá para cada uno de los sistemas de información, base de datos, y servicios informáticos a utilizarse en la institución, de ninguna manera se asignaran privilegios generales para todos los servicios. Los privilegios se asignaran en función de la premisa solo lo que el usuario necesita saber, no se asignaran funciones ni accesos a ningún módulo o servicio que no sean los que estrictamente se necesitan para el cumplimiento de su función. En lo posible se utilizaran herramientas de software automatizadas para la asignación de privilegios, permisos y accesos a menús. 128

130 Los privilegios se asignaran a usuarios específicos y nunca a usuarios generales designados a utilizarse para tareas básicas de operación del sistema con datos o información pública. Deberá prestarse especial atención al uso que el personal de tecnología da al usuario administrador del(los) sistema(s), pues el uso indebido supondría una vulnerabilidad significativa a la seguridad. A Gestión de claves secretas de los usuarios La asignación de contraseñas de acceso a los sistemas e información deberá ser gestionada por un proceso de autorización previo a la asignación de los mismos, este procedimiento deberá incluir lo siguiente: Debe firmarse el formulario que incluye el enunciado de confidencialidad de las credenciales de autenticación de usuario Se deberá asignar inicialmente una clave temporal a los usuarios y establecer los mecanismos que permitan que el usuario cambie su contraseña a fin de que ni el usuario del departamento de sistemas la conozca. Establecer un procedimiento que permita corroborar la identidad del funcionario previo a entregarle su nombre de usuario y contraseñas para los sistemas o servicios. Las claves temporales de igual forma deben entregarse a los usuarios de manera segura en sobre sellado y existiendo una constancia escrita y firmada de la recepción de la misma Las contraseñas de los sistemas o servidores nunca deberán ser almacenadas en los equipos de computo a menos que estas sean almacenadas utilizando en algoritmos robustos de encriptación 129

131 Bajo ninguna circunstancia se mantendrán las contraseñas establecidas desde fabrica para los equipos nuevos que la institución adquiera, antes de ser puestos en producción se les asignaran contraseñas con la longitud adecuada. 130

132 FORMULARIO DE ENTREGA Y RESPONSABILIDAD DE CONTRASEÑAS SOLICITUD DE ACCESO 1. Datos Generales Sede: Departamento 2. Datos del usuario Nombre y Apellido del Solicitante: Cargo: TEL 1: Correo electrónico: 3. Perfil del Usuario que se está creado ( Marque la opción) Sistema de información: Usuario / Contraseña Usuario Contraseña 4. Aceptación de obligaciones del usuario h) El usuario y contraseña otorgado es de uso personal i) El usuario y contraseña por ningún motivo debe ser transferido a otro funcionario. j) La suspensión temporaria o definitiva del funcionario deberá ser comunicada de inmediato al administrador de usuarios del sistema siguiendo los mecanismos definidos k) Los cambios de perfiles del funcionarios, deberán ser comunicados al administrador de usuarios del sistema siguiendo los mecanismos definidos l) Todas las operaciones realizadas en los sistemas, son responsabilidad del funcionario propietario del usuario. m) Debe de salir del sistema cada vez que no esté en uso. Los inconvenientes asociados a las habilitaciones y modificaciones deberán ser comunicados al administrador de usuarios del sistema 5. Firmantes Recibido por: Entregado por: Firma: Firma: Cargo: Cargo: Fecha: / / Fecha: / / Figura 3.5 Fuente: Los Autores 131

133 Con relación a las contraseñas utilizadas por el personal encargado de administrar los servidores, deberá entregarse un listado de los usuarios y contraseñas para cada servidor o sistema luego de contar con la respectiva autorización. Puede utilizarse un formato similar al presentado a continuación: CONTRASEÑAS DE ACCESO SERVIDORES SOLICITUD DE ACCESO A SISTEMAS DE INFORMACIÓN 1. Datos Generales Sede: Departamento o Coordinación 2. Datos del administrador Nombre y Apellido del Solicitante: Cargo: TEL 1: Correo electrónico: 3. Perfil del Usuario que se esta creado ( Marque la opción) DIRECCION IP HOSTNAME USUARIO CONTRASEÑA SERVER1 Root ********** SERVER2 Root ********** SERVER3 Root ********** SERVER4 Root ********** SERVER5 Root ********** 4. Aceptación de obligaciones del usuario 5. Firmantes Recibido por: Firma: Entregado por: Firma: Cargo: Cargo: Fecha: / / Fecha: / / Figura 3.6 Fuente: Los Autores 132

134 A Revisión de los derechos de acceso de los usuarios El oficial de seguridad informática realizará una revisión periódica de los derechos de acceso establecidos para los usuarios. Este proceso de revisión debe observar los siguientes lineamientos: Los derechos de acceso a los usuarios deberán ser revisados al menos cada 6 meses de forma ordinaria, y de forma extraordinaria en caso de existir una promoción o ascenso de un funcionario, o en caso de el funcionario cese en sus funciones dentro de la institución. Los derechos de acceso deberán ser revisados y ajustados cuando se traslada o transfiere a un funcionario a otra área o departamento dentro de la organización. Los accesos privilegiados, usuarios administradores, o usuarios con acceso a información altamente crítica deberán ser revisados cada 3 meses. Los accesos privilegiados deben ser registrados a fin de dar especial atención a estos. Los usuarios asignados al personal de tecnología o sistemas deberán ser especialmente auditados al contar con derechos totales de acceso Responsabilidades del usuario Uso de las claves secretas Este control está orientado a buen uso de las prácticas de seguridad informática y el uso de las contraseñas para el acceso a la información. Siendo las contraseñas un medio de validación e identificación del usuario, como un medio para la clasificación de los medios de acceso a los servicios otorgados; el mencionado usuario deberá apegarse al siguiente alineamiento de la política de control. 133

135 Mantener la no divulgación de las contraseñas Llevar un cambio periódico de las contraseñas o en el caso que exista algún indicio que acceso de acceso no permitido este deberá modificar su clave de acceso La selección de una contraseña adecuada, deberá ir de acuerdo a las prescripciones informadas por el responsable de la seguridad informática. Para esto el usuario deberá llevar a cabo los siguiente lineamientos: o Que sean fácil de recordar por el usuario. o Que no mantenga una relación directa con el usuario y que esta no se pueda obtener de manera sencilla, como tampoco utilizar información como nombres, teléfonos, fechas de nacimiento, etc. o Estas no deberán contener una secuencia consecutiva de caracteres o un alineamiento totalmente numérico. Realizar un cambio de las contraseñas cada vez que el sistema lo amerite y tratando en lo menos posible de reutilizar antiguas claves empleadas. Realizar en cambio de las contraseñas provisionales desde el primer inicio de sesión en el sistema. Evitar la inclusión de las contraseñas en los procesos de automatización. Cualquier anomalía relacionada con el hurto, robo o pérdida de la contraseña; como aquellos indicios en la pérdida de la confiabilidad de los sistemas deberán ser notificado de acuerdo a lo establecido en la política de Comunicación de incidentes relativos. No compartir las claves individuales con los demás usuarios. 134

136 Evitar el uso de las claves personales con fines comerciales y no comerciales Equipo del usuario desatendido Este control está orientado para aquellos equipos que se encuentran desatendidos y no mantengan la protección apropiada. Cada uno de los usuarios deberá mantenerse al tanto de los requerimientos de seguridad y los procedimientos adecuados para el equipo desatendido Cerrar cada una de las sesiones al terminar de procesar la información, en el caso de contener un procedimiento de cierre automático de la sesión o protectores de pantallas activados con clave secreta de acceso al equipo. Finalizar las sesiones del sistema en los equipos servidores, y computadores de escritorio al terminar la sesión. Asegurar el encendido de las computadoras de escritorio o terminales de acceso contra el uso no autorizado mediante un seguro de clave o control equivalente Política de escritorios y pantalla limpios La información critica o confidencial de la universidad, ya sea escrita o almacenada en dispositivos electrónicos, deben ser guardados bajo llave, en caso de la información más crítica se debería almacenar en cajas fuertes o archivadores, teniendo especial cuidado cuando la oficina se encuentra desatendida. Los computadores deben apagarse o bloquearse al momento de abandonar las oficinas. El uso de fotocopiadoras, faxes, escáner, cámaras digitales, memorias usb, y demás deberán ser controlados y permitidos únicamente en caso de ser necesario. 135

137 Los documentos confidenciales deberán ser retirados inmediatamente de la impresora Control de acceso a la red A Politica sobre el uso de los servicios de red El acceso a la red a través de servicios no asegurados podrían afectar el optimo redimiendo de la infraestructura tecnológica de todo el Organismo de la Universidad Politécnica Salesiana. Para esto es necesario garantizar que cada uno de los usuarios que mantengan acceso a la red y sus servicios brindados; no lleguen a comprometer la seguridad de los mismos. El jefe de operaciones como responsable del Área Informática mantendrá a su cargo el otorgamiento del acceso a los servicios y los recursos brindados por la infraestructura tecnológica de la institución, estos solo deberán ser brindados únicamente con el pedido formal del titular departamental quien será el que solicite los permisos para el personal a su cargo. La importancia de este control es por las conexiones de acceso a la red y las aplicaciones que estarán procesando la información ya serán catalogadas como clasificadas o criticas, como para aquellos usuarios que utilicen el acceso desde aquellos sitios definidos como de alto riesgo para la institución como también aquellas áreas públicas que están fuera del control de seguridad de la institución. Los procedimientos aplicados en este control están orientados a la activación y desactivación de los derechos de acceso a las redes de la universidad el cual contemplaran los siguientes ítems: 136

138 a) Identificación de cada una de las redes de la universidad; sus servicios brindados y cuales serán de fácil acceso. La universidad utiliza una red clase B en su entorno de networking la dirección de red es /16. b) Aplicación de normas de procedimientos de autorización para determinar los usuarios, redes y servicios al cual se le podrán otorgar. Establecer políticas de control y procedimientos de gestión para precautelar el acceso a las conexiones y servicios brindados por la red. A Autentificación del usuario para las conexiones externas Las conexiones externas son clasificadas como una de las principales vulnerabilidades por los accesos no autorizados a la información de la Institución. Por estos motivos el acceso de aquellos usuarios remotos estará sujeto al cumplimiento de cada uno de los procedimientos de autenticación. El responsable de la Seguridad Informática será el que tome la decisión sobre cual tipo de autenticación disponible implementar. La autenticación de cada uno de los usuarios remotos que ingresan al sistema deberá mantenerse bajos los siguientes principios: Facilitarle un método de autenticación físico. Asignación de herramientas de autenticación. Contemplar registro de los posee de autentificadores. Mantener un registro de rescate en el momento que exista la desvinculación del personal en la institución. Implementación de métodos de revocación de acceso del autentificador, en el caso que se vea comprometido la seguridad informática. 137

139 Utilización de líneas dedicadas privadas o herramientas de verificación de la dirección del usuario de red. con la finalidad de poder constatar el origen de la conexión. A Identificación del equipo en las redes Las herramientas de conexión automática o de escritorio remoto para un determinado equipo puede ser un medio fácil para obtener un acceso no autorizado a cualquiera de las aplicaciones que posee la Institución. Para esta particular es muy importante que la institución mantenga métodos de autentificación robustos el cual evitara una infiltración de las personas no autorizadas a las aplicaciones de la institución. A Protección del puerto de diagnostico y configuración remoto Muchos de los servidores u equipos de comunicación mantienen instalados puerto de administración (ILO) y diagnostico remoto. En este caso se deben contemplar mecanismos de seguridad apropiados, que irán relacionados con el acceso y seguridad física. A Segregación en redes En caso de que la red de datos sea extensa, se los deberá dividir los dominios lógicos y mantener los segmentos separados. Para estos casos deberá existir la documentación necesaria de los perímetros de seguridad que sean más convenientes para dicha implementación. Debe contemplarse además la instalación de gateways con funcionalidades de firewall o redes privadas virtuales que permitan segmentar las redes segregadas y el trafico que recorre en cada un de ellas, como también la aplicación de las políticas de control de acceso. 138

140 Las redes pueden ser segregadas mediante IP switching y enrutamiento controlando el trafico entre los diferentes segmentos de red, adicional a las configuraciones que permitan enrutamiento entre segmentos de red deberían existir mecanismos de control de acceso entre redes. Para la subdivisión de los dominios de la red se tomara en cuenta los siguientes criterios: Establecer los requerimientos de la seguridad del dominio y para cada segmento de red independientemente. Definir que grupos integraran los segmentos de red. Segmentar aquellos grupos que están expuestos a peligros externos (DMZ). La universidad actualmente mantiene segregadas las redes a través del uso de VLANs, la distribución se menciona a continuación: o VLAN Laboratorios: Estas VLANs están destinadas a separar las redes de los diferentes laboratorios de las redes de uso de la institución. o VLAN para departamento administrativo o VLAN para departamento financiero o VLAN de uso general. A Control de conexión a la red Al existir diferentes segmentos de red segregados por subredes y controlados mediante dispositivos de seguridad de red, será necesario establecer controles que permitan el acceso específicamente a los servicios que sean necesarios protegiendo: 139

141 a) Servicios tales como correo electrónico b) Transferencia de archivos c) Acceso interactivo d) Acceso a la red fuera de los horarios laborales e) Sistemas de información o servicios de red f) Otros controles aplicables A Control de enrutamiento de la red En el caso de las redes compartidas, principalmente aquellas que se han extendido fuera de los límites de la organización, se deberá incorporar controles de ruteo para asegurar que las conexiones y flujos de información no violen la política de control de acceso. Este control deberá contemplar la verificación de los direcciones IP de origen como de destino, control sobre los protocolos de enrutamiento dinámico, estático, traducción de direcciones (NAT) y controles de listas de acceso (ACL). En vista que la Universidad utiliza un Proxy de conexión y un gateway que realiza NAT, estos deben proveer controles de accesos asociados a la dirección fuente y destino. A.11.5 Control de acceso al sistema operativo A Procedimientos para un registro seguro El acceso a los servicios e información, solo será posible a través de una conexión segura. El procedimiento de conexión seguro para los sistemas informáticos deberá ser diseñado con la finalidad de minimizar cualquier oportunidad de acceso no autorizado. La constitución de este procedimiento procurará evitar la divulgación de la información del sistema, a fin de no proveer de información a un usuario no autorizado, deberán evitarse banners que informen sistema operativo, versiones, sistema o servicio instalado, etc. 140

142 El procedimiento de identificación deberá contemplar los siguientes parámetros: a) Mantener la confidencialidad de los identificadores o aquellas aplicaciones del sistema que solo deberán ser mostrados cuando el proceso de conexión segura se haya completado en su totalidad. b) Alertar mediante mensajes en pantalla (Banners) que únicamente usuarios autorizados podrán acceder a los servicios. c) Evitar mostrar mensajes de ayuda que puedan proveer de información a un atacante o usuario no autorizado del sistema d) La validación de la conexión solo se realizara al completarse en su totalidad los datos de entrada. En el caso de generarse un error en el proceso de conexión, este no deberá mostrar el motivo u origen del error; como tampoco el sistema deberá indicar que parte de los datos han sido ingresados de manera errónea. e) Limitar el número de conexiones permitidas como y de intentos fallidos, registrarlos, y bloquear cualquier usuario que haya alcanzado el máximo de intentos no permitidos. f) Limitar el tiempo máximo de conexión permitido, en el caso que este sea excedido, el sistema deberá finalizar la sesión y cancelar la conexión g) Al realizar una conexión exitosa, el sistema deberá visualizar al usuario su última fecha de conexión exitosa incluyendo la hora, fecha y equipo de la conexión A Identificación y autenticación del usuario Todos aquellos usuarios que hagan uso del sistema incluido al personal de sistemas (soporte técnico, operadores, coordinador de sistemas, y demás.) deberán contar con un identificador único (ID de usuario) que será de uso personal y exclusivo, de esta 141

143 manera se podrá rastrear los eventos realizados por el usuario. Los indicadores de los usuarios no deberán dar indicios de los niveles de privilegios que contiene. En casos excepcionales, se podrá utilizar los identificadores compartidos para un grupo de usuarios o para una tarea específica, en estos casos se deberán establecer los motivos, justificación y contar con aprobación de la Coordinación de sistemas y el Oficial de Seguridad Informática. Al implementarse un mecanismo de autentificación físico tales como identificadores de hardware, deberá contarse con un procedimiento que incluya la siguiente información: a) Asignar una herramienta de autentificación. b) Registrar los poseedores de autentificación. c) Desactivar el dispositivo de autenticación o desvincular al personal asociado. d) Revocar el acceso del autentificador, en el caso que se encuentren indicios de acciones que podrían comprometer la integridad de la información. A Sistema de gestión de claves secretas Siendo las contraseñas uno de los principales medios de autenticación de usuarios al momento de acceder a un determinado servicio informático estas deberán constituir una herramienta eficaz e interactiva que garantice un acceso seguro. Las características fundamentales que deberá tener un sistema de autenticación por contraseñas son: a) Obligar el uso de las contraseñas individuales que garanticen responsabilidad por parte de cada uno de los usuarios del sistema. b) Permitir que el usuario administre y pueda cambiar su contraseña después de un determinado plazo de tiempo, como también incluir un procedimiento de confirmación para contemplar errores en los ingresos. 142

144 c) Imponer un patrón de selección de contraseñas de calidad. d) Implementar cambios de contraseñas en casos de que el usuario ingrese su propia contraseña. e) Obligar a los usuarios nuevos a modificar las contraseñas por defecto utilizadas para ingresar a los sistemas o servicios informáticos. f) Ocultar las contraseñas en el momento que estas son ingresadas g) Almacenar de manera individual los archivos de contraseñas y los sucesos registrados por las aplicaciones del sistema. h) Las contraseñas deberán ser almacenadas utilizando un algoritmo de cifrado unidireccional. A Uso de las utilidades del sistema Es necesario que existan controles y limitaciones sobre los utilitarios que son utilizados dentro de la institución, este control debe incluir: a) Utilización de procedimiento de autenticación para los utilitarios del sistema b) Clasificación entre los utilitarios del sistema y el software de aplicación. c) Limitar el uso de los utilitarios. d) Evitar que terceras personas adquieran conocimiento sobre la existencia el uso y funcionamiento de los utilitarios de la institución. e) Limitar la disponibilidad de los sistemas utilitarios únicamente a lo estrictamente necesario para el cumplimiento de las funciones del personal. f) Registrar cada uno de los eventos originados por los utilitarios de sistema. 143

145 g) Definir y documentar cada uno de los niveles de autorización para el uso de los utilitarios. h) Remover todo aquel software que pueda ser considerado como innecesario A Cierre de una sesión por inactivadada Luego de pasar un periodo de tiempo definido por el Oficial de Seguridad Informática las sesiones establecidas deberán finalizar automáticamente, se cerrarán las aplicaciones y se eliminará el contenido mostrado en la pantalla del sistema o servicio Debe establecerse este control con restricciones elevadas principalmente sobre equipos altamente críticos, equipos de acceso público, o ubicados en áreas fuera de la gestión de seguridad de la institución. A Limitación del tiempo de conexión El oficial de seguridad Informática deberá establecer las restricciones de conexión con relación a horarios, especialmente a aplicaciones críticas, esta reducción minimizará las posibilidades de accesos no autorizados, protegiendo proactivamente la red de datos e información. Estos controles deberán ser más estrictos en equipos de acceso público o en aquellos ubicados en áreas sin seguridad física implementada. Los controles deberán incluir: a) Establecimiento de periodos cortos en caso de procesos o aplicaciones críticas u copia de archivos por lotes. b) A menos que exista un requerimiento por escrito y aprobado que indique lo contrario, se deberá limitar el acceso a los sistemas e información a horarios de oficina únicamente. 144

146 c) Los equipos o usuarios sobre los cuales no se establece restricción por horarios, deberán estar inventariados y debidamente documentados, las razones por las cuales se realizo esta excepción, incluso si esta es ocasional o temporal. A.11.6 Control de acceso a la aplicación y la información A Restricción del acceso a la información Existirá restricción sobre el acceso a los sistemas de información e información almacenada en repositorios, tanto a los usuarios normales como a los pertenecientes al departamento de sistemas, en función a la política de Control de Accesos establecida en este mismo documento. Para restringir el acceso a la información se establecerán los siguientes controles: a) Proveer una interfaz que permita controlar los accesos a los sistemas de información y servicios. b) Los usuarios deberán poseer conocimiento limitado sobre los sistemas, su estructura e información contenida en cada equipo. c) Establecer permisos sobre la información, tanto de lectura, escritura y ejecución. d) Garantizar que los sistemas brinden acceso únicamente a la información requerida por el usuario y a la que este tenga acceso según los permisos establecidos. e) Realizar una revisión periódica sobre los accesos y permisos sobre la información, esta revisión no superara los seis meses. f) Evitar el acceso a la información de forma directa, no debe permitirse acceso a la información a no ser a través del sistema de información debidamente autenticado. 145

147 A Aislar el sistema confidencial El nivel de criticidad de los sistemas va relacionado con lo sensible y confidencial que la información residente en los mismos posee, es por eso que es necesario establecer que sistemas necesitan ejecutarse en un equipo independiente y cuales podrían compartir recursos al ejecutarse en un solo equipo. Para esto deben tomarse en cuenta las siguientes consideraciones: a) Identificar y documentar los sistemas de información, servicios, o repositorios de información altamente críticos b) Identificar y dar a conocer a los administradores de sistemas cuales son los sistemas sensibles que deberán ejecutarse sobre un servidor exclusivamente y cuales podrían compartir recursos al coexistir con otro sistema. c) Coordinar con el Responsable del Área informática, qué servicios estarán disponibles en el entorno donde se ejecutará la aplicación, de acuerdo a los requerimientos de operación y seguridad especificados por el administrador de la aplicación. d) Considerar la seguridad en la administración de las copias de respaldo de la información que procesan las aplicaciones. A.11.7 Computación y tele-trabajo móvil A Computación y comunicaciones móviles Se categorizan como dispositivos móviles de trabajo y/o comunicación: Computadores portátiles, PDA (Asistente Personal Digital) Teléfonos Celulares y sus tarjetas de memoria Dispositivos de almacenamiento, CDs, DVD, Disquetes, etc. Cualquier dispositivo de almacenamiento de conexión USB Tarjetas de identificación personal (control de acceso) Dispositivos criptográficos, Cámaras digitales, etc. 146

148 En esta categoría se deberá incluir todo dispositivo que almacene información confidencial de la Universidad y que sean propensos a eventos que comprometan la seguridad de la misma. Con relación a los dispositivos anteriormente detallados debe asegurarse: a) Protección física del dispositivo b) Acceso seguro al dispositivo c) La utilización de los dispositivos en lugares públicos. d) Establecer y mantener al mínimo necesario el acceso a información y servicios del Organismo a través de dichos dispositivos. e) Deben utilizarse técnicas criptográficas al momento de transmitir o almacenar información clasificada en estos dispositivos. f) Deben existir mecanismos de resguardo de la información contenida en los dispositivos. g) Los dispositivos deben poseer protección contra software malicioso. A la par con las ventajas que el uso de dispositivos móviles permite, se incrementa la posibilidad de ocurrencia de eventos que pongan en riesgo la información tales como perdida, robo, hurto, etc., es por esto que se restringirá al mínimo necesario el uso de estos dispositivos, y debe capacitarse al personal a fin de que sean usado con precaución, deben seguirse las siguientes recomendaciones: a) Permanecer siempre cerca del dispositivo. b) No dejar desatendidos los equipos. c) No llamar la atención al portar un dispositivo o equipo portátil. 147

149 d) No utilizar identificaciones o logos de la Universidad en el dispositivo, a menos que sea estrictamente necesario. e) No poner datos de contacto técnico en el dispositivo. f) Mantener cifrada la información clasificada. g) Se reportará rápidamente cualquier incidente sufrido a fin de tomar medidas de remediación de inmediato. h) En caso de pérdida se revocaran las credenciales afectadas de inmediato i) Notificación a grupos de Trabajo donde potencialmente se pudieran haber comprometido recursos. A Tele-trabajo El trabajo remoto utiliza tecnología de comunicaciones para permitir que el personal trabaje en forma remota desde un lugar externo a la sede Guayaquil. El trabajo remoto sólo será autorizado por el Responsable de la Unidad Organizativa o departamento, o de niveles superiores en el nivel jerárquico correspondiente conjuntamente con el Oficial de Seguridad Informática, cuando se verifique que son adoptadas todas las medidas que correspondan en materia de seguridad de la información, a fin de cumplir las normas de prevención de incidentes En caso de que un funcionario de la Universidad necesite acceso remoto a aplicaciones o información debe realizarse la petición avalada por la jefatura departamental respectiva exponiéndose los motivos que justifiquen la petición Los controles a aplicarse en el trabajo remoto comprenden: a) Proveer de mobiliario para almacenamiento y equipamiento adecuado para las actividades de trabajo remoto. 148

150 b) Definir qué tipo de tareas están permitidas realizarse de manera remota, restringir el acceso por horarios, la clasificación de la información que se puede almacenar en el equipo remoto desde el cual se accede a la red de la Universidad y sus sistemas y servicios internos a los cuales se ha dado acceso al funcionario. c) Proveer de mecanismos de comunicación seguros, encriptación, túneles vpn, y demás. d) Incluir lineamientos de seguridad física. e) Definir reglas y orientación respecto del acceso de terceros al equipamiento de tele-trabajo. f) Proveer soporte al hardware y mantenimiento al software. g) Definir los procedimientos de backup y de continuidad de las operaciones. h) Efectuar auditoria y monitoreo de la seguridad. i) Realizar la anulación de las autorizaciones, derechos de acceso y devolución del equipo cuando finalicen las actividades remotas. j) Asegurar el reintegro del equipo o dispositivo en las mismas condiciones en que fue entregado, en el caso de ya no ser necesario el acceso remoto, se dará notificación por escrito de la devolución al jefe departamental y al Oficial de seguridad Informática. Se implementarán procesos de auditoría específicos para los casos de accesos remotos, que serán revisados regularmente. Se llevará un registro de incidentes a fin de corregir eventuales fallas en la seguridad de este tipo de accesos. 149

151 A.12 Adquisición, desarrollo y mantenimiento de los sistemas de información 1.- Aspectos Generales Las fases de desarrollo y el mantenimiento de los sistemas utilizados por la Universidad Politécnica Salesiana Guayaquil son parte fundamental dentro de la gestión de la seguridad de la información. Al momento de realizar el análisis y diseño de los procesos que soportan estas aplicaciones se deben identificar, documentar y aprobar los requerimientos o mecanismos de seguridad a incorporar durante las etapas de desarrollo e implementación. Adicionalmente, se deberán diseñar controles de validación de datos de entrada, procesamiento interno y salida de datos. Dado que los analistas y programadores tienen el conocimiento total de la lógica de los procesos en los sistemas, se deben implementar controles que eviten acciones dolosas por parte de estas personas u otras que puedan operar sobre los sistemas, bases de datos y plataformas de software de base y en el caso de que se lleven a cabo, identificar rápidamente al responsable. Asimismo, es necesaria una adecuada administración de la infraestructura de base, Sistemas Operativos y Software de Base, en las distintas plataformas, para asegurar una correcta implementación de la seguridad, ya que en general los aplicativos se asientan sobre este tipo de software. 2.- Objetivos del Control Deben incluirse en los sistemas controles de seguridad y validación de datos al momento de operar el mismo. Definir y documentar las normas y procedimientos que se aplicarán durante el ciclo de vida de los sistemas o aplicativos y en la infraestructura de base en la cual se apoyan. Definir los métodos de protección de la información crítica o sensible. 150

152 3.- Alcance del Control La presente política es aplicable a todos los sistemas informáticos, tanto desarrollados por la Universidad Politécnica Salesiana como por terceros, y a todos los Sistemas Operativos y(o) Software de base que integren cualquiera de los ambientes administrados por la Universidad. 4.- Responsabilidad del Control Será responsabilidad del Oficial de seguridad informática junto con el propietario de la Información establecer los controles a ser implementados en los sistemas desarrollados internamente o por terceros, en función de una evaluación previa de riesgos. El Responsable de Seguridad Informática, junto con el Propietario de la Información, definirá en función de la criticidad de la información, los requerimientos de protección mediante métodos criptográficos. Adicionalmente el Oficial de Seguridad Informática cumplirá las siguientes funciones: a) Definir los procedimientos de administración de claves. b) Verificar el cumplimiento de los controles establecidos para el desarrollo y mantenimiento de sistemas. c) Garantizar el cumplimiento de los requerimientos de seguridad para el software. d) Definir procedimientos para: el control de cambios a los sistemas; la verificación de la seguridad de las plataformas y bases de datos que soportan e interactúan con los sistemas; el control de código malicioso; y la definición de las funciones del personal involucrado en el proceso de entrada de datos. 151

153 El administrador del departamento de Sistemas propondrá quiénes realizarán la administración de las técnicas criptográficas y claves. El responsable del área de administración de sistemas incorporará aspectos relacionados con el licenciamiento, la calidad del software y la seguridad de la información en los contratos con terceros por el desarrollo de software, el responsable del área legal participará en dicha tarea. 5.- Política Control de Accesos A.12 Adquisición, desarrollo y mantenimiento de los sistemas de Información. A.12.1 Análisis y Especificaciones de los Requerimientos de Seguridad Debe observarse los siguientes lineamientos: a) Establecer un procedimiento en la etapa de análisis y diseño del sistema, incluyendo como requerimientos del sistema mecanismos de seguridad, esto debe incluir una etapa de evaluación de riesgos previa al diseño, para definir los requerimientos de seguridad e identificar los controles apropiados. b) Evaluar los requerimientos de seguridad definidos para las aplicaciones y cuantificar los riesgos envueltos y costos económicos y en rendimiento implicados al ser aplicados en el sistema. c) Es importante tomar en cuenta que los controles introducidos en la etapa de diseño, son significativamente menos costosos de implementar y mantener que aquellos incluidos durante o después de la implementación. A.12.2 Seguridad en los sistemas de aplicación A fin de mantener la confidencialidad, disponibilidad e integridad de la información, ya sea por modificación o uso inadecuado de los datos pertenecientes a los sistemas de información, se establecerán controles y registros de auditoría, verificando: 152

154 a) Validación de los datos de entrada del sistema b) El procesamiento interno. c) La autenticación de mensajes (interfaces entre sistemas) d) Validación de datos de salida A Validación de datos de entrada Debe existir un procedimiento que regule la validación de los datos de entrada en la etapa de diseño de sistemas, debes especificarse controles que aseguren la validez de los datos ingresados, controlando también datos permanentes y tablas de parámetros. Este procedimiento considerará los siguientes controles: a) Control de secuencia. b) Control de monto límite por operación y tipo de usuario. c) Control del rango de valores posibles y de su validez, de acuerdo a criterios predeterminados. d) Control de paridad. e) Control contra valores cargados en las tablas de datos. f) Controles por oposición, de forma tal que quien ingrese un dato no pueda autorizarlo y viceversa. g) Debe establecerse un procedimiento que permita realizar revisiones periódicas de contenidos de campos claves o archivos de datos, definiendo quién lo realizará, en qué forma, con qué método, quiénes deberán ser informados del resultado, etc. h) Debe existir un documento que especifique las alternativas a seguir para responder a errores de validación en un aplicativo. i) Se definirá un procedimiento que permita determinar las responsabilidades de todo el personal involucrado en el proceso de entrada de datos A Procesamiento Interno Debe establecerse un procedimiento que permita establecer lineamientos durante la fase de diseño, a fin de que se incorporen controles de validación que eviten posibles problemas en las tareas de procesamiento de los sistemas o aplicaciones 153

155 A fin de conseguir esto se realizaran: a) Procedimientos que establezcan los controles y verificaciones necesarios para prevenir la ejecución de programas fuera de secuencia o cuando falle el procesamiento previo. b) Procedimientos que establezcan la revisión periódica de los registros de auditoría de forma de detectar cualquier anomalía en la ejecución de las transacciones. c) Procedimientos que realicen la validación de los datos generados por el sistema. d) Procedimientos que verifiquen la integridad de los datos y del software cargado o descargado entre computadoras. e) Procedimientos que controlen la integridad de registros y archivos. f) Procedimientos que verifiquen la ejecución de los aplicativos en el momento adecuado. g) Procedimientos que aseguren el orden correcto de ejecución de los aplicativos, la finalización programada en caso de falla, y la detención de las actividades de procesamiento hasta que el problema sea resuelto. A Autenticación de Mensajes Las aplicaciones o sistemas necesitaran en algún momento realizar transmisiones de los datos procesados, generalmente esta información es altamente critica, en estos casos deberán seguirse los lineamientos y controles criptográficos a fin de garantizar la confidencialidad de la información, estos controles criptográficos son detallados a continuación. A.12.3 Controles criptográficos Deberán utilizarse sistemas, técnicas, o algoritmos de encriptación a fin de garantizar la protección de la información fundamentada en un análisis de riesgo efectuado, con el fin de asegurar una adecuada protección de su confidencialidad e integridad. 154

156 A Política sobre el uso de controles criptográficos La Universidad Politécnica Salesiana define la aplicación de la política de uso de técnicas criptográficas a fin de garantizar su correcto uso y asegurar la confidencialidad de la información: a) Se utilizarán controles criptográficos en los siguientes casos: 1. Para la protección de claves de acceso a sistemas, datos y servicios. 2. Para la transmisión de información clasificada, fuera del ámbito del Organismo. 3. Para el resguardo de información, cuando así surja de la evaluación de riesgos realizada por el Propietario de la Información y el Responsable de Seguridad Informática. b) Se desarrollarán procedimientos respecto de la administración de claves, de la recuperación de información cifrada en caso de pérdida, compromiso o daño de las claves y en cuanto al reemplazo de las claves de cifrado. c) El Oficial de Seguridad Informática definió las siguientes responsabilidades: Función Cargo Implementación de la política de uso de técnicas criptográficas Oficial Seguridad Informática Administración de contraseñas Departamento Sistemas Tabla 3.7 Fuente: Los Autores d) Se podrá elegir entre los siguientes algoritmos de encriptación y tamaño de clave 155

157 CIFRADO SIMÉTRICO Algoritmo Encriptación Longitud Clave AES 128/192/256 3DES 168 bits IDEA 128 bits RC4 128 bits RC2 128 bits Tabla 3.8 Fuente: Los Autores CIFRADO ASIMÉTRICO Casos de Utilización Algoritmo Longitud Clave Para certificados utilizados en servicios RSA 2048 bits relacionados a la firma digital (sellado de tiempo, almacenamiento seguro de documentos electrónicos, etc.) Para certificados de sitio seguro bits para DSA 2048 bits certificados de Certificador o de información ECDSA 210 bits de estado de certificados RSA 1024 bits RSA 2048 bits Para certificados de usuario (personas físicas o DSA 2048 bits jurídicas) ECDSA 210 bits RSA 1024 bits DSA 1024 bits Para digesto seguro ECDSA 160 bits SHA bits Tabla 3.9 Fuente: Los Autores El Oficial de Seguridad Informática debe estar atento a los mejoramientos en los algoritmos arriba mencionados a fin de utilizar los algoritmos más robustos y en consonancia con el rendimiento de los sistemas. 156

158 A Cifrado A través de un análisis y evaluación de riesgos que llevará a cabo el Propietario de la información y el Oficial de Seguridad Informática, se establecerá el nivel requerido de protección, tomando en cuenta el tipo y la calidad del algoritmo de cifrado utilizado y la longitud de las claves criptográficas a utilizar. Al implementar la Política del Organismo en materia criptográfica, se considerarán los controles aplicables a la exportación e importación de tecnología criptográfica. Debe utilizarse algoritmos de cifrado para la protección de la información confidencial almacenada en los medios y dispositivos móviles o removibles o a través de las líneas de comunicación: Los controles criptográficos o de cifrado permiten cumplir los diferentes objetivos de seguridad: a. Confidencialidad: utilizando la codificación de la información para proteger la información confidencial o crítica, ya sea almacenada o transmitida; b. Integridad/autenticidad: utilizando firmas digitales o códigos de autenticación del mensaje para proteger la autenticidad e integridad de la información confidencial o crítica almacenada o transmitida; c. No-repudiación: utilizando técnicas criptográficas para obtener prueba de a ocurrencia o no-ocurrencia de un evento o acción. A Firma Digital Las firmas digitales proporcionan un mecanismo de protección de la autenticidad e integridad de los documentos electrónicos. Pueden aplicarse a cualquier tipo de documento que se procese electrónicamente. Se implementan mediante el uso de una técnica criptográfica sobre la base de dos claves relacionadas de manera única, donde una clave, denominada privada, se utiliza para crear una firma y la otra, denominada pública, para verificarla. 157

159 Es primordial proteger la integridad de la clave pública. Esta protección se provee mediante el uso de un certificado de clave pública. Las claves criptográficas utilizadas para firmar digitalmente no deberían ser empleadas en procedimientos descifrados de información. Dichas claves deben ser resguardadas bajo el control exclusivo de su titular. A No Repudio Esta condición permite resolver disputas acerca de la ocurrencia de un evento o acción. Su objetivo es proporcionar herramientas para evitar que aquél que haya originado una transacción electrónica niegue haberla efectuado Gestión de claves Protección de Claves Criptográficas Se implementará un sistema de administración de claves criptográficas para respaldar la utilización por parte del Organismo de los dos tipos de técnicas criptográficas, a saber: a) Criptografía de clave secreta (criptografía simétrica), cuando dos o más entidades comparten la misma clave y ésta se utiliza tanto para cifrar información como para descifrarla. b) Criptografía de clave pública (criptografía asimétrica), cuando cada usuario tiene un par de claves: una clave pública (que puede ser revelada a cualquier persona) utilizada para cifrar y una clave privada (que debe mantenerse en secreto) utilizada para descifrar. Las claves asimétricas utilizadas para cifrado no deben ser las mismas que se utilizan para firmar digitalmente De igual manera se proporcionará una protección adecuada a los equipos y dispositivos utilizados para generar, almacenar y archivar claves, considerando el alto nivel de criticidad de los mismos, las claves deberán tener la debida protección, confidencialidad, y mecanismos de respaldo en caso de pérdida. 158

160 Normas, Procedimientos y Métodos Los procedimientos y normativas relacionados a la gestión de claves deberán incluir lo siguiente: Generar claves para diferentes sistemas criptográficos y diferentes aplicaciones. Generar y obtener certificados de clave pública de manera segura. Disponer de mecanismos que permitan difundir claves de forma segura a los usuarios, incluyendo información sobre cómo deben activarse cuando se reciban. Almacenamiento de claves, debe incluirse la forma de acceso a las mismas por parte de los usuarios autorizados. Cambiar o actualizar claves, incluyendo reglas sobre cuándo y cómo deben cambiarse las claves. Revocación de claves criptográficas Recuperar claves perdidas o alteradas como parte de la administración de la continuidad de las actividades del Organismo, por ejemplo para la recuperación de la información cifrada. Archivar claves, por ejemplo, para la información archivada o resguardada. Recuperar claves perdidas o alteradas como parte de la administración de la continuidad de las actividades del Organismo, por ejemplo para la recuperación de la información cifrada. 159

161 Mecanismos de destrucción de claves de encriptación Registrar y auditar el uso de las claves de encriptación por parte de los usuarios. Adicionalmente a la protección establecida para preservar las claves secretas y privadas, deberá tenerse en cuenta la protección de las claves públicas. A.12.4 Seguridad de los archivos de sistema A Control del software operaciones A fin de mitigar al máximo el riesgo de alteración de los sistemas durante la implementación de software propietario o desarrollado por terceros deben tomarse en cuenta los siguientes lineamientos: Cada software, programa, o aplicación, desarrollada por el departamento de sistemas de la Universidad o por un tercero tendrá un único responsable designado formalmente y por escrito por el encargado del Departamento de Sistemas Ningún programador o analista con permisos únicamente para el ambiente de desarrollo y mantenimiento de aplicaciones podrá acceder a los ambientes de producción. El encargado del departamento de sistemas, propondrá para su aprobación por parte del Oficial de seguridad informática junto con el encargado del área de desarrollo, la asignación de la función de implementador al personal de su área que considere adecuado, quien tendrá como responsabilidades: Coordinar con el equipo o personal de desarrollo y de infraestructura la implementación de modificaciones o nuevos programas en el ambiente de Producción. 160

162 Asegurar que los sistemas y servicios utilizados en el ambiente de producción se encuentren aprobados según las políticas vigentes. Instalar las modificaciones, controlando previamente la recepción de la prueba aprobada por parte del Analista Responsable, del sector encargado del testeo y del usuario final. Asegurarse que la puesta en producción de sistemas o aplicaciones no se realice a menos que no existan problemas, vulnerabilidades de seguridad y documentación precisa sobre la administración y gestión del software. Debe tomarse en cuenta adicionalmente: Almacenar únicamente los ejecutables en el ambiente de producción, no debe existir información de desarrollo tales como librerías o formularios, etc. Mantener actualizada la bitácora de actualizaciones de los sistemas. Mantener almacenadas las versiones previas del sistema, como parte del plan de contingencia. Definir un procedimiento que establezca los pasos a seguir para implementar las autorizaciones y conformes pertinentes, las pruebas previas a realizarse, etc. No permitir la modificación al código fuente por parte del analista o desarrollador designado como implementador. El personal que ha sido designado como implementador no podrá ser un funcionado que se encuentre envuelto las tareas de desarrollo del software. 161

163 A Protección de la data de prueba del sistema En caso de ser necesario realizar pruebas sobre los sistemas utilizando datos, estos nunca deberán realizarse sobre datos puestos en producción, adicionalmente deben seguirse los siguientes lineamientos de seguridad: a) Prohibir el uso de bases de datos operativas. En caso contrario se deben despersonalizar los datos antes de su uso. Aplicar idénticos procedimientos de control de acceso que en la base de producción. b) Solicitar autorización formal para realizar una copia de la base operativa como base de prueba, llevando registro de tal autorización. c) Eliminar inmediatamente, una vez completadas las pruebas, la información operativa utilizada. A Control de acceso al código fuente del programa Es importante preservar la integridad del código fuente a fin de evitar modificaciones no autorizadas, es por esto que deben seguirse las siguientes directrices: El responsable del departamento de sistemas deberá designar a una persona calificada como custodio y Administrador de código fuente, quien tendrá diferentes responsabilidades como: a. Proveer al Área de Desarrollo los programas fuentes solicitados para su modificación, manteniendo en todo momento la correlación programa fuente / ejecutable. b. Llevar un registro actualizado de todos los programas fuentes en uso, indicando nombre del programa, programador, Analista Responsable que autorizó, versión, fecha de última modificación y fecha / hora de compilación y estado (en desarrollo, y en producción). 162

164 c. Verificar que el Analista Responsable que autoriza la solicitud de un programa fuente sea el designado para la aplicación, rechazando el pedido en caso contrario. Registrar cada solicitud aprobada. d. Administrar las distintas versiones de una aplicación. e. Asegurar que un mismo programa fuente no sea modificado simultáneamente por más de un desarrollador. Debe restringirse al administrador de programas fuentes el acceso de escritura sobre los programas fuentes bajo su custodia. Como regla, debe existir únicamente un código fuente por cada ejecutable a fin de que exista correspondencia única. Deben establecerse procedimientos técnicos que garanticen que cada vez que se ponga en producción un código fuente cree únicamente un ejecutable correspondiente al mismo. Evitar que la función de administrador de programas fuentes sea ejercida por personal que pertenezca al sector de desarrollo y/o mantenimiento. Debe evitarse el almacenamiento de códigos fuentes históricos (que no sean los correspondientes a los programas operativos) en el ambiente de producción. Prohibirse el acceso a los operadores a los códigos fuentes a fin de evitar modificación o eliminación no autorizada. Mantener una política de respaldo de los códigos fuentes, el esquema de respaldo debe ser probado periódicamente mediante restauración. 163

165 12.5 Seguridad en los procesos de desarrollo y soporte Procedimientos del control de cambios A fin de mitigar el riesgo de modificaciones no controladas debe aplicarse la política de control de cambios sobre el software en desarrollo tomando en consideración lo siguiente: Los cambios solicitados sobre los sistemas deben hacerse por escrito y por usuarios calificados para ello Llevar una bitácora que contenga los niveles de acceso para realizar cambios sobre el software o aplicaciones. En caso de que el cambio en las aplicaciones implique una manipulación de datos, debe contarse con la aprobación del propietario de la misma. Identificar todos los elementos que requieren modificaciones (software, bases de datos, hardware). Revisar periódicamente los mecanismos establecidos a fin de mantener la integridad de los datos. Antes de realizar cualquier cambio en las aplicaciones debe contarse con la aprobación por escrito del responsable del área de sistemas y del oficial de seguridad informática. Solicitar la revisión del Responsable de Seguridad Informática para garantizar que no se violen los requerimientos de seguridad que debe cumplir el software. Los cambios siempre se realizaran en el ambiente de desarrollo 164

166 Los cambios se aprobaran luego de realizar varias pruebas de concepto junto con el usuario del sistema Luego de realizarse un cambio debe actualizarse la documentación del sistema adaptándose al nuevo cambio o funcionalidad modificada en el software. Mantener actualizado el control de versionamiento del software. Debe garantizarse que la realización del cambio no implicara la interrupción de servicio, dando especial atención a los sistemas sobre los que se sustentan las operaciones de la Sede. Antes de realizar cualquier cambio en los sistemas, debe informarse al departamento al que pertenecen el o los usuarios del mismo. Garantizar que sea el implementador quien efectúe el paso de los objetos modificados al ambiente operativo, de acuerdo a lo establecido en Control del Software Operativo Revisión técnica de la aplicación luego de cambios sistema Siempre que se realicen cambios programados sobre los sistemas deben realizarse pruebas a fin de asegurar su correcto funcionamiento, para este fin se definirá un procedimiento que incluya: Seguir los procedimientos necesarios para garantizar la integridad y control de aplicaciones y asegurarse de que no hayan sido comprometidas ninguna de las funcionalidades del sistema a raíz del cambio. Asegurarse que previo a realizar cualquier cambio todo el personal involucrado haya sido notificado formalmente. Asegurar la actualización del Plan de Continuidad de las Actividades del Organismo. 165

167 Filtrado de información En vista que mucho software puede incluir código malicioso que envíe información confidencial y vulnere así la seguridad de la información en necesario observar las siguientes normas: Calificar únicamente a proveedores acreditados y adquirir productos ya evaluados tanto en su funcionalidad como en seguridad Examinar los códigos fuentes (cuando sea posible) antes de utilizar los programas. Controlar el acceso y las modificaciones al código instalado. Utilizar y mantener actualizados los sistemas de protección contra la infección del software con código malicioso. A.12.6 Gestión de Vulnerabilidades técnicas A Control de las vulnerabilidades técnicas Debe mantenerse actualizado el inventario completo de los activos de información que la Universidad maneja, siguiendo los lineamientos establecidos en esta política de seguridad. De la misma forma el inventario del software con el que se cuenta debe mantenerse debidamente documentado y actualizado, debe incluir información como fabricante del software, versión, y actualizaciones o service packs instalados. Las normas que deben observarse en la gestión de vulnerabilidades de orden técnico son las siguientes: a. Deben nombrarse responsables de las tareas de gestión de vulnerabilidades, tareas como monitoreo, evaluación, y mitigación de las vulnerabilidades 166

168 b. Debe realizarse una planificación en línea de tiempo que corresponda a la respuesta que el departamento de seguridades y sistemas de a las vulnerabilidades existentes. c. Tan pronto se identifica una vulnerabilidad debe realizarse un análisis de riesgo y acciones correctivas a fin de mitigar el riesgo de ocurrencia, esto será a través de actualizaciones, parches y demás configuraciones de índole técnico recomendados por el fabricante. d. Dependiendo de lo crítico de la vulnerabilidad o del riesgo implicado, se realizaran las acciones de remediación tales como actualizaciones cumpliendo con la política de control de cambios detallada anteriormente. e. Preferentemente deberán probarse y evaluarse las actualizaciones antes de instalarlas en el ambiente de producción, esto se decidirá en función de la evaluación del riesgo para la vulnerabilidad en cuestión. f. En caso de no existir por parte del fabricante una actualización o parche que mitigue la vulnerabilidad encontrada se podrán tomar las siguientes acciones preventivas: 1) Desconectar los servicios o capacidades relacionadas con la vulnerabilidad. 2) Adaptar o agregar controles de acceso; por ejemplo, firewalls en los límites de la red. 3) Incrementar el monitoreo para detectar o evitar ataques reales. 4) Elevar la conciencia acerca de la vulnerabilidad. 5) Mantener un registro de auditoría de todos los procedimientos realizados. 167

169 6) El proceso de gestión de vulnerabilidad técnica debiera ser monitoreado y evaluado regularmente para asegurar su efectividad y eficacia. 7) Se debieran tratar primero los sistemas en alto riesgo. A.13 Gestión de un incidente en la seguridad de la información 1.- Aspectos Generales Es necesario asegurar que los eventos y debilidades de la seguridad de la información asociados con los sistemas de información sean comunicados de una manera que permita que se realice una acción correctiva oportuna, esto permitirá que se consiga un aprendizaje sobre la vulnerabilidad, causas y efectos de la misma. 2.- Objetivos del Control Establecer procedimientos formales de reporte y de la intensificación de un evento. Todos los usuarios empleados contratistas y terceros debieran estar al tanto de los procedimientos para el reporte de los diferentes tipos de eventos y debilidades que podrían tener un impacto en la seguridad de los activos organizacionales. Se les debiera requerir que reporten cualquier evento y debilidad de la seguridad de la información lo más rápidamente posible en el punto de contacto designado. 3.- Alcance del Control Esta política es aplicable al tratamiento de las vulnerabilidades en cada uno de los sistemas operativos, aplicaciones, dispositivos o equipos utilizados en la Universidad Politécnica Salesiana, los cuales son administrados por el departamento de sistemas de la Universidad. 4.- Responsabilidad del Control Es responsabilidad del Oficial de Seguridad Informática definir las acciones a tomar en caso de existir vulnerabilidades o incidentes de seguridad, además de coordinar con el personal operativo del departamento de sistemas las acciones a tomar. 168

170 5.- Política Gestión de un incidente en la seguridad de la información 13.1 Reporte de los eventos y debilidades de la seguridad de la información Reportes de eventos en la seguridad de la información El reporte de eventos relacionados a incidentes de seguridad debe estar regulado y documentado, de tal forma que exista constancia de la incidencia y se cuente con información necesaria para la toma de decisiones. Debe definirse un punto de contacto el mismo que debe ser conocido por toda la organización, en este caso el Oficial de Seguridad Informática es el funcionario designado a recibir las notificaciones de incidentes de seguridad, el medio de contacto será a través de , y en caso de tratarse de un nivel alto de criticidad se notificara telefónicamente, o utilizando el medio de comunicación mas efectivo según las circunstancias. Cada uno de los funcionarios de la Universidad, docentes, o personal externo debe conocer su responsabilidad de notifica cualquier evento o incidente de seguridad del cual tuviera conocimiento, además de conocer el procedimiento a seguir para la notificación del incidente, este proceso debe incluir: a) Procesos de retroalimentación que permitan conocer cuando el incidente haya sido remediado b) Formatos de reporte de eventos de seguridad que sirvan como sustento y evidencia de la incidencia a fin de justificar las acciones correctivas a realizarse c) Deberá adicionalmente: 1. Anotar todos los detalles importantes inmediatamente (por ejemplo, el tipo de no-cumplimiento o violación, mal funcionamiento actual, mensajes en la pantalla, conducta extraña); 169

171 2. No realizar ninguna acción por cuenta propia, sino reportar inmediatamente al Oficial de Seguridad Informática. d) Referencia a un proceso disciplinario formal establecido para tratar con los usuarios empleados, contratistas o terceros que cometen violaciones de seguridad. En ambientes altamente críticos puede implementarse sistemas de alertas automáticas en caso de existir incidentes, para esto pueden utilizarse dispositivos móviles de comunicación como busca personas, celulares, o correo electrónico. A Reportes de la debilidades de la seguridad Se deberá asegurar que todo el personal relacionado con la Universidad Politécnica Salesiana Sede Guayaquil, conozca de la necesidad y responsabilidad de reportar cualquier evento o sospecha de alguna debilidad en el perímetro de seguridad de la Sede. Para este fin se establecen los siguientes lineamientos: Todos los usuarios o usuarios externos están obligados a reportar cualquier debilidad de cualquier índole del que llegasen a conocer, ya sea a su Jefatura departamental, o al Oficial de Seguridad Informática, la notificación de la debilidad deberá realizarse inmediatamente se tenga conocimiento de la misma. El mecanismo de reporte debiera ser fácil, accesible y estar disponible lo más posible. Los usuarios deben conocer que se encuentra estrictamente prohibido mediante esta política, tratar de probar una debilidad sospechada que el usuario haya descubierto o de la que haya llegado a conocer. A.13.2 Gestión de los incidentes y mejoras en la seguridad de la información Se entiende por incidente en la plataforma informática a cualquier evento que ponga en riesgo la integridad, disponibilidad, confiabilidad, y consistencia de la información. 170

172 En la gestión de incidentes que permitan mejorar y robustecer el perímetro de seguridad se tomaran en consideración las siguientes normas: Deben establecerse procedimiento para tratar diferentes tipos de incidentes como: 1) Fallas del sistema de información y pérdida del servicio. 2) Código malicioso. 3) Negación del servicio. 4) Errores resultantes de data incompleta o inexacta. 5) Violaciones de la confidencialidad e integridad. 6) Uso indebido de los sistemas de información. Adicional a los planes de contingencia de la Universidad debe existir documentación sobre: 1) Análisis e identificación de la causa del incidente 2) Mecanismos de contención 3) Planeación e implementación de la acción correctiva para evitar la recurrencia, si fuese necesario. 4) Comunicaciones con aquellos afectados por o involucrados con la recuperación de un incidente 5) Reportar la acción a la autoridad apropiada 6) Recolectar y asegurar rastros de auditoría y evidencia similar, conforme sea apropiado para: Poder realizar el análisis interno del problema Utilizar como evidencia forense en relación a una violación potencial del contrato o el requerimiento regulador o en el caso de una acción legal civil o criminal. Negociación para la compensación de los proveedores del software y Servicio. 171

173 Deberán controlarse formal las acciones para la recuperación de las violaciones de la seguridad y para corregir las fallas en el sistema; los procedimientos debieran asegurar que: Únicamente el personal claramente identificado y autorizado tengan acceso a los sistemas vivos y la data Se deben documentar detalladamente todas las acciones de emergencia realizadas La acción de emergencia será reportada a la gerencia y revisada de una manera adecuada La integridad de los sistemas y controles comerciales sea confirmada con una demora mínima. A Aprender de los incidentes en la seguridad de la información La información obtenida de incidencias relacionadas con la seguridad debe ser analizada y debe permitir realizar acciones preventivas a fin de evitar incidentes futuros, esto implica un aprendizaje en función de experiencias ocurridas. La evaluación de los incidentes en la seguridad de la información puede indicar la necesidad de incrementar o establecer controles adicionales para limitar la frecuencia, daño y costo de ocurrencias futuras, o tomarlos en cuenta en el proceso de revisión de la política de seguridad A Recolección de evidencia Debe darse especial atención a la recolección de evidencia en casos de existir un incidente o cuando se vulnere la seguridad en algún La recolección de evidencia deberá abarcar: 172

174 a) Admisibilidad de la evidencia: si la evidencia se puede o no se puede utilizar en la corte o procesos legales. b) Peso de la evidencia: La evidencia debe cumplir con los estándares que cataloguen a la evidencia lo suficientemente contundente como para que sea aceptada inclusive en instancias legales. c) Para lograr el peso de la evidencia, se debiera demostrar mediante un rastro de auditoría sólido la calidad y la integridad de los controles utilizados para proteger correcta y consistentemente la evidencia asegurando que los registros tales como los log de actividad no sean modificados y se encuentren intactos para el análisis. d) Para la información en medios de cómputo: se debieran realizar imágenes dobles o copias e) Se debiera mantener un registro de todas las acciones realizadas durante el proceso de copiado y el proceso debiera ser atestiguado. f) Tanto los originales como los medios copiados deben ser asignados bajo custodia y almacenados con la seguridad del caso. A.14 Gestión de la continuidad del negocio 1. Aspectos Generales La continuidad de las operaciones de la institución es catalogada como un aspecto critico que debe involucrar recursos y personal de cada una de las áreas. El proceso en el desarrollo e implementación de cada uno de los planes de contingencia será calificado como una herramienta básica para garantizar el desenvolvimiento de las actividades de la Institución. 173

175 La elaboración y constante revisión de los planes de contingencia es parte integral en el proceso de gestión de seguridad, debiendo cumplir cuidadosamente los controles destinados a identificar y riesgos, y así poder atenuar posibles interrupciones el servicio ofrecido, lo cual se traduciría en pérdidas para la institución. 2. Objetivos El objetivo de esta política es minimizar al máximo los efectos de perdidas temporales o permanentes en la disponibilidad de los sistemas, servicios, o información, ya sea esto accidental o causado por desastres naturales, fallas en el equipamiento, o acciones deliberadas y que vulneren los procesos criítos para la institución. Analizar y evaluar las posibles consecuencias en caso de existir interrupción en el servicio, y así poder aplicar medidas correctivas a fin de evitar inconvenientes de este tipo en lo posterior. Loas planes de contingencia a aplicarse en la sede deben incluir los siguientes aspectos: 1) Notificación / Activación: El administrador debe mantenerse al tanto de la ocurrencia de algún evento que pueda afectar el nivel de servicio. 2) Reanudación: Iniciar las operaciones nuevamente de manera total o al menos parcial. 3) Recuperación: Lograr el funcionamiento normal y original de los sistemas o servicios informáticos. 174

176 3. Alcance Esta política será aplicable en todas las dependencias relacionadas directa o indirectamente con el adecuado funcionamiento de los sistemas de información, servicios informáticos y sistemas de acceso a la información almacenada en las bases de datos de la institución. 4. Responsabilidad El Oficial de Seguridad Informática tomara participará activamente en la definición, documentación, pruebas y actualización de los diferentes planes de contingencia que se pueda implementar en aquellas áreas catalogadas como criticas El Oficial de seguridad informática en conjunto con el personal de sistemas y contando con la colaboración de los propietarios de la información serán responsables de: Identificar las amenazas que pueden causar interrupciones en los procesos y actividades de la institución Evaluar cada uno de los riesgos identificados y determinar la gravedad del impacto ocasionado por estas interrupciones. Identificar cada uno de los controles preventivos Desarrollar estratégicamente un plan que permita garantizar la continuidad de las actividades de la institución inclusive en caso de presentarse incidentes que afecten la disponibilidad de los mismos. El personal de sistemas es responsable de la implementación de soluciones tecnológicas, ya sean de hardware, software, o comunicaciones, a fin de dar cumplimiento a esta política. El Oficial de seguridad informática será responsable de auditar el cumplimiento a nivel técnico y administrativo de la presente política. 175

177 A.14.1 Aspectos de la seguridad de la información de la gestión de la continuidad del negocio A Incluir la seguridad de la información en el proceso de la gestión de la continuidad del negocio Se debe desarrollar, mantener, y difundir como política organizacional la continuidad del negocio. Al ser la seguridad de la información parte del plan de gestión de continuidad del negocio es necesario: Comprender los riesgos en términos de probabilidad de ocurrencia, e impacto en los servicios o sistemas, los mismos que deberán ser priorizados desde los más críticos hasta los de menor prioridad. Identificar los activos de información más críticos envueltos en las operaciones de la Universidad. Comprender el impacto que tendrían las interrupciones ocasionadas por incidentes relacionados con la seguridad de la información. Evaluar la posibilidad de asegurar económicamente los activos de la institución. Garantizar la seguridad e integridad del personal y de los activos de información. Desarrollar y mantener documentados los planes de contingencia necesarios para evitar interrupciones de servicio. Plan de pruebas correctamente documentados. 176

178 Asegurarse que el plan de continuidad se integre a las demás políticas organizacionales. A Continuidad del negocio y evaluación del riesgo La continuidad en las operaciones va directamente relacionada con la identificación de eventos o serie de eventos que pudieran causar interrupciones en los procesos de la Universidad, tales como fallas de tipo eléctrico, errores humanos, catástrofes naturales, incendios, terrorismo, y demás. Cada uno de estos eventos deben ser evaluados y tasados en función de posibilidad de ocurrencia a fin de definir los mecanismos adecuados para superar cada uno de estos eventos en caso de ocurrencia, y que el servicio no se vea afectado. La evaluación de los riesgos implicados en la continuidad de las operaciones no debería ser efectuado de forma independiente por el personal de tecnología, debe realizarse contando con la colaboración de las áreas implicadas y propietarios de la información. La mencionada evaluación debería considerar los procedimientos administrativos, académicos, y financieros que normalmente se llevan a cabo a diario. Por otro lado debería identificarse, cuantificarse y priorizarse los riesgos alineándose en todo momento con los objetivos organizacionales. Luego de contar con los resultados de la evaluación de riesgo debe formularse la estrategia que permita la continuidad de las operaciones, incluyendo procedimientos de orden técnico y administrativo, el mismo que debe contar con la aprobación y respaldo de las máximas autoridades de la sede. A Desarrollar e implementar los planes de continuidad incluyendo la seguridad de la información El plan de continuidad de las operaciones debería realizarse luego de la evaluación de los riesgos asociados con este aspecto, entre los lineamientos a considerar deberían tomarse los siguientes: 177

179 Especificar con claridad los procedimientos a ejecutarse a fin de mantener la continuidad de las operaciones, debe también identificarse a los responsables de su ejecución. Establecer el nivel aceptable de pérdida de servicio o información. Implementar los procedimientos de recuperación y restauración de las operaciones, y disponibilidad de los sistemas según los niveles establecidos. Documentar los procesos y controles. Capacitar al personal sobre los procesos y las implicaciones técnicas y no técnicas que estos conllevan. Plan de pruebas y mejoramiento continúo de los procesos. A Marco Referencial de la planeación de la continuidad del negocio A fin de mantener la consistencia en los diversos planes de continuidad deben mantenerse un solo marco referencial al cual cada plan o procedimiento se alinearía. Los objetivos de cada plan estarán orientados a identificar claramente las condiciones necesarias para su puesta en ejecución, así como la identificación de aquellas personas que estarán al cargo de ejecutar cada uno de los procedimientos que forman parte de este plan. La definición del marco para la planificación de la continuidad de las actividades de la institución debería contemplar lo siguiente: Los escenarios para activar los planes de contingencia Detalle de los procedimientos emergentes que establecen las acciones puntuales que deben realizarse después de cada evento. Procedimientos de contingencia que establecen las acciones tomadas para recuperar la disponibilidad de los servicios. 178

180 Procedimientos temporales de orden técnico que aseguran una recuperación y restauración exitosa de los servicios. Procedimientos de reanudación que permitan volver al normal funcionamiento de los servicios y sistemas Matriz de responsabilidad de las personas implicadas. A Prueba, mantenimiento y re-evaluación de los planes de continuidad del negocio Los planes de contingencia cumplen su objetivo cuando su efectividad se ha visto probada, es por esto que debe existir un plan de pruebas evaluación y mejoramiento de los planes y procesos relacionados con la continuidad de las operaciones. Este programa debe incluir el escenario en el que se realizarían las pruebas y debería cumplir con los siguientes lineamientos: Pruebas flexibles de simulación utilizando diferentes escenarios y periodos de interrupción. Simulaciones parciales. Pruebas técnicas de operación, asegurando que a través de los procesos y planes la información logra ser recuperada de manera íntegra. Pruebas de levantamiento de un sitio alterno en caso de contarse con el, debe re-diseccionarse todas las peticiones y comunicación hacia el sitio secundario de preferencia de manera automática. Pruebas del servicio Simulaciones completas poniendo a prueba todos los planes de continuidad. 179

181 A.15 Cumplimiento 1.- Aspectos Generales La política de seguridad de la información detallada en este documento debe ser cuidadosamente cumplida, tanto por los usuarios internos o funcionarios de la Universidad como en caso del personal externo colaborando con la misma. Para esto deben establecerse normativas que aseguren su cumplimiento. 2.- Objetivos Del Control Cumplir con todas las disposiciones relacionadas con la seguridad de la información y los procesos en los que la información se vea envuelta, a fin de evitar posibles sanciones administrativas, o posibles litigios en caso de que el incumplimiento redunde en un delito informático. Garantizar que todos los sistemas y servicios informáticos de la Sede Guayaquil cumplan con la política de seguridad de la información detallados en este documento. Revisar periódicamente los sistemas de información a fin de garantizar que las políticas de seguridad están siendo cumplidas cuidadosamente. Garantizar que exista protección sobre los sistemas y la información que la universidad maneja, así como una auditoria de eventos que permita corroborar el cumplimiento individual en cada sistema a la política de seguridad. 3.- Alcance del Control Esta Política es aplicable a todo el personal de la Universidad Politécnica Salesiana Sede Guayaquil, cualquiera sea su situación o funciones dentro de la institución. Es aplicable además a los sistemas de información, normas, procedimientos, documentación y plataformas técnicas de la Universidad y a las auditorias efectuadas sobre los mismos. 180

182 4.- Responsabilidad del Control El Oficial de Seguridad Informática será responsable de: Definir normas y procedimientos que permitan garantizar el cumplimiento de las políticas. Realizar revisiones periódicas que garantice el cumplimiento de la política de seguridad. Verificar periódicamente los sistemas de información garantizando el cumplimiento de las mejores prácticas. Garantizar la seguridad y el control de las herramientas utilizadas para las revisiones de auditoría. Los Responsables de los diferentes departamentos son responsables del control y cumplimiento de las normas y procedimientos de seguridad establecidos dentro de su correspondiente área. Todos los empleados de los mandos medios y superiores conocerán, comprenderán, darán a conocer, cumplirán y harán cumplir la presente Política y la normativa vigente. 5.- Política Cumplimiento A Cumplimiento de las políticas y estándares de seguridad y cumplimento técnico A Cumplimiento con las políticas y estándares de seguridad Deben revisarse regularmente el cumplimiento del procesamiento de la información dentro de su área de responsabilidad con las políticas y estándares de seguridad apropiados, y cualquier otro requerimiento de seguridad. 181

183 En caso de existir algún incumplimiento como resultado de la revisión, la dirección debería: a) Determinar cuáles fueron los motivos incumplimiento b) Definir la necesidad de acciones para asegurar que no se repita el incumplimiento c) Determinar e implementar la acción correctiva apropiada d) Revisar la acción correctiva tomada. Toda acción debe ser debidamente registrada a fin de tomarla en cuenta en futuros incidente y en tomas de decisiones en temas de seguridad. A Chequeo del cumplimiento técnico El chequeo técnico del cumplimiento de la política de seguridad en los sistemas deberá hacerse utilizando herramientas que permitan realizar análisis exhaustivos sobre los mismos, estos análisis deberán ser realizados por un Ingeniero en sistemas especializado en seguridad informática y siendo supervisado por el encargado del departamento de sistemas. En caso de realizarse pruebas de penetración o evaluaciones de vulnerabilidad, se debiera tener especial cuidado ya que estas actividades pueden llevar a comprometer la seguridad del sistema. Las pruebas de vulnerabilidad deben realizarse de manera controlada, planificada y cada prueba que se realice debe ser debidamente documentada, tanto en la definición de la prueba como en los resultados de esta. Luego de realizar pruebas de penetración deben emitirse un informe con las novedades presentadas y deberán tomarse acciones de remediación de manera inmediata. 182

184 3.6 Gestión De Riesgos Definición de riesgo Puede definirse como riesgo a cualquier evento que impide que se cumpla el objetivo predeterminado de algo, en el ambiente informático puede ser un sistema, servicio, o herramienta tecnológica. Según la Organización Internacional de la Normalización (ISO) se define como riesgo tecnológico a La probabilidad de que una amenaza se materialice utilizando vulnerabilidades existentes en un activo o grupo de activos generándole perdidas a daños Según la definición formal mencionada anteriormente podrían tabularse como elementos que forman parte del riesgo informático a los siguientes: Probabilidad Amenazas RIESGO INFORMÁTICO Vulnerabilidades Activos Impacto Figura 3.6 Fuente: Los Autores 183

185 Probabilidad Que tan probable que ocurra o se haga efectivo el riesgo, este puede evaluarse de forma cuantitativa, esta valoración debe realizarse sin que se vea involucrada ninguna acción que minimice el riesgo. Al momento de cuantificar la probabilidad se puede disponer como recurso la experiencia en entornos o circunstancias iguales o parecidas al objeto de estudio. Amenazas Pueden catalogarse como amenazas a aquellas acciones que podrían provocar efectos negativos para la organización, generalmente se relaciona el termino amenaza con fallas accesos no autorizados código malicioso, desastres naturales, entre otras. Vulnerabilidades Se relaciona el término vulnerabilidad a una característica negativa que tiene el activo la cual permitiría que se materialice alguna de las amenazas a la que el activo se encuentra expuesto. Una amenaza sin una vulnerabilidad no lograría materializar ningún daño sobre el activo. Activos Son los bienes que posee la organización, en términos informáticos los activos de información son los datos, información, sistemas, servicios informáticos o equipamiento utilizado por el recurso humano de la organización. Impacto Se relaciona con la severidad de las consecuencias en caso de que ocurra o se materialice un riesgo, estas consecuencias o suelen traducirse en pérdidas monetarias, confianza, mercado, y de oportunidades de negocios Gestión de riesgos El riesgo informático es algo que no puede evitarse o mitigarse en su totalidad, pero a través de una adecuada gestión de riesgos puede mantenerse al mínimo el porcentaje de incidencia. 184

186 Para que exista gestión de riesgo deben considerarse los elementos descritos en la siguiente ecuación: ECUACIÓN GESTIÓN DE RIESGOS Gestión Riesgo = Análisis Riesgos + Tratamiento Riesgos Figura 3.7 Fuente: Los Autores Metodología de análisis de riesgos El análisis, cuantificación y gestión de riesgo en las operaciones de la Sede Guayaquil de la UPS, ha sido elaborado en base a la metodología de gestión MAGERIT. MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información) es una metodología promovida por el CSAE (Consejo Superior de Administración Electrónica) que persigue una aproximación metódica al análisis de riesgos para la gestión de la seguridad que no deje lugar a la improvisación ni que dependa exclusivamente de la experiencia del analista de riesgos. MAGERIT no pretende que la seguridad de la información sea absoluta, pues tal aseveración es inexistente. Siempre hay que aceptar un riesgo que debe ser conocido y sometido al umbral de calidad que se requiere del servicio Análisis y evaluación de riesgos A través de la metodología MAGERIT se realizó el análisis de los riesgos existentes en la Sede Guayaquil de la UPS incluido en el ANEXO1. 185

187 3.6.5 Enunciado de aplicabilidad El Enunciado de aplicabilidad es uno de los principales documentos requeridos por la norma ISO/IEC Es un documento en el cual deben documentarse los objetivos de control o controles seleccionados, así como las razones para su selección. También debe registrarse la exclusión de cualquier objetivo de control y controles enumerados en la norma. 3.7 CONCLUSIONES Cabe concluir que este estudio de tesis esta orientada a poder identificar cada uno de los puntos más críticos que se ha venido presentado con el avance de la tecnología han llegado a ser considerado con una vulnerabilidad en la seguridad informática. Citando algunos de estos como la calidad de los servicios brindados por la institución; el servicio de mensajería, navegación que es utilizado tanto por el recurso humano dentro de la institución como el personal docente, al no contener un política que regule el uso de estos servicios y que permite que los mencionados recursos sea utilizados de manera indiscriminada, es considerado como un factor grave y atentatorio a la calidad de servicio y esta repercutirá en los controles de la seguridad informática. La utilización de métodos de encriptación como de aquellos mecanismos de autenticación para salvaguardar los datos que viajan por la infraestructura tecnológica de la institución son factores primordiales en la seguridad de la información, ya que estos permiten mantener la confidencialidad de la información y la confiabilidad que dicha información no ha sido alterado por algún tipo o mecanismo de intrusión. El adecuado manejo de una política documentada, ayudará en futuros procesos de auditoria a saber los orígenes de cada uno de los cambios, como también a identificar posibles omisiones a la seguridad que se han originados con el transcurso y avance de la tecnología. 186

188 Todos estos controles dentro de un política bien estructura permite mejorar los niveles de seguridad ya sea en su parte física, estructural, tecnológica y en la su parte metódica documental, donde se podrán ir identificando cada uno de problemas presentados. El cual podrá ser tomado como tema de estudio para poder identificar posibles mecanismos y falencia al momento de implementas controles y políticas de seguridad dentro de una institución. 3.8 Recomendaciones La aplicación de cada uno de los puntos de esta tesis contemplan las situaciones actuales de la institución, como aquellos puntos críticos omitidos en el actual procedimiento de seguridad que la institución maneja ; y el alto índice de inseguridad que se puede presentar al mantener el esquema actualmente utilizado. Como parte del estudio realizado, este permitió identificar la omisión en ciertos puntos de la seguridad, que con el desarrollo tecnológico este se ha convertido en una amenaza al tipo de negocio que maneja la institución y a los servicios para el manejo del personal humano. El uso de los controles citados a los largo de este documento ayudaran a reducir el índice de riesgo obtenidos con los controles actuales; con un decrecimiento de un 50 a 60 % de los niveles de riesgos anteriormente citados. La perfecta propagación de la documentación contenida en cada uno de los controles y que haga referencia a las personas involucradas en los diferentes controles ayudaran mucho a mantener bajo el nivel de incidencia en los controles de seguridad. La implementación de este documento permitirá reducir el riesgo actualmente encontrado en la seguridad presentado tanto a nivel de infraestructura como en la parte de documentación la cual presenta una carencia de información física no implementada y tampoco difundida en los entornos de la institución. El cual podrá servir como ayuda para futuras implementaciones y temas de estudio a nivel de la misma institución. 187

189 3.9 BIBLIOGRAFÍA INTERNET Wikipedia: Sin Autor: INTERNET Asepal.es : Sin Autor : 56fc5e28c01a0dbdea3f1e5 INTERNET Mondragón.edu : Sin Autor : MU_archivos/Nextel.pdf INTERNET Revista Ays : Sin Autor: ISO / IEC ISO / IEC: Documentación Normas ISO/IEC serie ISO ISO INTERNET ISO Blogspot : Sin Autor : INTERNET ISO es: Sin Autor: ISMS Forum Spain 188

190 3.10 ANEXOS ANEXO 1: Plan de Continuidad del Negocio Definición El plan de continuidad del negocio es un proceso está diseñado para prevenir interrupciones que afecten el normal desempeño de las actividades relacionadas con el negocio, evitando así perdidas a la institución, las cuales pueden ser económicas, causales de litigios legales, o incluso afectar la posición que la institución tiene en el mercado. En caso de la ocurrencia de un incidente que afecte algún recurso relacionado con el negocio, y este no haya podido ser evitado, el plan de continuidad debe tender a minimizar su impacto, tanto en tiempo como en sentido económico. Estas acciones pueden tener un alcance operativo o tecnológico. Ciclo de vida de una contingencia El ciclo de vida de una contingencia comprende los diferentes eventos en línea de tiempo, lo cual incluye, el momento en el que existe normal operación, la ocurrencia de un incidente, las acciones para restablecer parcialmente las operaciones y el momento en ocurre el restablecimiento a la normalidad de las operaciones. CICLO DE VIDA DE UNA CONTINGENCIA Figura 3.9 Fuente: Instituto de Estudios Bancarios Guillermo Subercaseaux 189

191 Los Desastres Los desastres son eventos que impactan negativamente las operaciones del negocio, causan interrupción en la operación de procesamiento de información crítica Análisis del impacto (BIA) El Análisis del impacto en el negocio tiene como objetivo determinar y entender que procesos son fundamentales para mantener las operaciones continuas y calcular su posible impacto. Este proceso es un elemento fundamental dentro del plan de continuidad del negocio. Según el Business Continuity Institute los tres objetivos principales a tomar en consideración en el análisis de impacto son los siguientes: Entender los procesos críticos que soportan el servicio, estableciendo la prioridad de cada uno de estos servicios y los tiempos estimados de recuperación (RTO). Determinar los tiempos máximos tolerables de interrupción (MTD). Apoyar el proceso de determinar las estrategias adecuadas de recuperación. Clasificación de los recursos en las operaciones Críticos Funciones que pueden realizarse sólo si las capacidades se reemplazan por otras idénticas. No pueden reemplazarse por métodos manuales. Muy baja tolerancia a interrupciones. Dentro de la Sede Guayaquil, los recursos críticos son los siguientes: o Repositorios de información, archivos compartidos por red o Servicio de Active Directory o Sistema de información académico 190

192 o Sistema de información financiero o Sistema de información de talento humano o Servidores o Equipos de conectividad de red (back-bone) o Firewall o Enlaces de datos Guayaquil-Cuenca o Edificios, oficinas, sala de servidores o Recurso humano Vitales Pueden realizarse manualmente por un periodo breve. Costo de interrupción un poco más bajos, sólo si son restaurados dentro de un tiempo determinado 5 o menos días. Dentro de la Sede Guayaquil, los recursos vitales son los siguientes: o Correo Electrónico o Estaciones de trabajo criticas o Equipos de laboratorio o Telefonía VoIp Sensitivos Funciones que pueden realizarse manualmente por un periodo prolongado a un costo tolerable. El proceso manual puede ser complicado y requeriría de personal adicional. Dentro de la Sede Guayaquil, los recursos sensitivos son los siguientes: o Acceso a Internet o Video conferencia 191

193 No críticos Funciones que pueden interrumpirse por tiempos prolongados a un costo pequeño o nulo. Dentro de la Sede Guayaquil, los recursos sensitivos son los siguientes: o Estaciones de trabajo, normales Figura 3.10 Fuente: Instituto de Estudios Bancarios Guillermo Subercaseaux Metodología utilizada para el desarrollo del BIA El impacto de análisis del negocio permite determinar las labores y recursos esenciales para respaldar la continuidad del negocio, su criticidad, el impacto que tendrá en el negocio, sus del negocio DE SISTESEG, su criticidad, su impacto para el negocio, sus RTOs (Recovery Time Objective tiempo de recuperación objetivo), RPOs (Recovery Point Objective) o punto de recuperación objetivo y MTD (Maximum Tolerable Downtime tiempo máximo tolerable fuera de servicio) Para este fin debe seguirse el siguiente proceso: 1. Identificar instalaciones 2. Identificar procesos en cada instalación: 3. Analizar la criticidad de los procesos en cada instalación 4. Calcular el RTO, RPO y MTD de cada proceso en cada instalación: 5. Determinar procesos críticos en cada instalación: 192

194 Figura 3.11 Fuente: Instituto de Estudios Bancarios Guillermo Subercaseaux RTO (Recovery Time Objective) Es la duración de tiempo dentro del cual un proceso dentro del negocio debe ser restablecido luego de una interrupción o desastre a fin de evitar consecuencias inaceptables para la organización. Esto incluye el tiempo el tiempo destinado a solucionar el problema sin realizar un recovery, el proceso de recovery como tal y comunicación con los usuarios. 193

195 El RTO es establecido durante el Análisis de impacto del negocio (BIA) por el propietario del proceso, el cual deberá ser aprobado por el Oficial de seguridad informática. RTO (Recovery Time Objective) RTO Tiempo 6 horas Desastre o interrupción Figura 3.12 Fuente: Los Autores El impacto de análisis del negocio permite determinar las labores y recursos esenciales para respaldar la continuidad del negocio, su criticidad, e impacto. RPO (Recovery Point Objective) EL RTO expresa la cantidad de datos que una aplicación puede llegar a perder antes de que ello suponga repercusiones negativas para la empresa. Va estrechamente relacionado con la disponibilidad de información respaldada a la cual reversar en caso de una interrupción o un desastre, la cantidad de información o transacciones realizadas desde el último punto de recovery y el incidente es la cantidad de data perdida. 194

196 Cuanto más se aproximen los valores RPO y RTO de una aplicación a cero, mayor será la dependencia de la organización del proceso en particular y, por consiguiente, mayor prioridad tendrá a la hora de recuperar los sistemas en caso de desastre RPO (Recovery Point Objective) RPO RTO 01:00am Backup 08:00am Tiempo 6 horas Desastre o interrupción Figura 3.13 Fuente: Los Autores WRT (Work Recovery Time) El WRT comprende la cantidad de tiempo necesario para restaurar la data y transacciones comprendidas desde el punto de recovery o último backup disponible, además de la data o transacciones realizadas manualmente desde la incidencia del desastre o interrupción hasta el RTO. 195

197 WRT (Work Recovery Time) RPO RTO WRT Transacciones manuales 6 horas 01:00am Backup 08:00am Tiempo 2 horas Desastre o interrupción Figura 3.14 Fuente: Los Autores MTD (Maximum Tolerable Downtime) Este término se refiere al máximo de tiempo tolerable contado desde la incidencia del desastre o la interrupción hasta la recuperación total del servicio y de la data o transacciones realizadas, en otras palabras el restablecimiento total del servicio luego del incidente. 196

198 MTD (Maximum Tolerable Downtime) MTD = RTO + WRT MTD RPO RTO WRT Transacciones manuales 6 horas 01:00am Backup 08:00am Tiempo 2 horas Desastre o interrupción Figura 3.15 Fuente: Los Autores Desarrollo de plan de contingencia Las condiciones de normal operación pueden verse interrumpidas por diversos tipos de incidentes encasillados en las siguientes categorías: PERDIDA DE DATOS En esta categoría se agrupan eventos relacionados con pérdida de información. o Recursos envueltos En esta categoría podría incluirse los repositorios de información y archivos compartidos por 197

199 No se incluye la información utilizada por los sistemas de información debido a que esta se encuentra almacenada en servidores que forman parte de la infraestructura de red de la Sede Matriz en Cuenca, sobre la cual el departamento de sistemas de la sede Guayaquil no ejerce administración. o Causas Perdida de datos causados por terrorismo, sabotaje, robo, software malicioso, virus, Worms, entre otros o Medidas de Prevención (recomendaciones) Generar respaldos periódicos Mantener una política de respaldos y pruebas de restablecimiento de información, a fin de asegurarse que en caso de perdida, la misma pueda ser restaurada y estar disponible para las operaciones. Resguardo Externo De preferencia, una copia de los respaldos deben ser almacenados en ubicaciones externas, garantizando la disponibilidad del respaldo en caso de que la perdida sea causada por una catástrofe natural tal como incendios, terremotos, inundación, entre otros. Copiado Remoto de datos En vista que existe un enlace de datos hacia Cuenca, podría utilizarse este canal para realizar copia remota de datos, la cual puede ser configurable para ser realizada calendarizadamente por las noches, con esto se garantiza otro recurso de recuperación en caso de pérdida. Imágenes de Disco Podría adoptarse como complemento a la política de respaldos, la realización de una copia exacta conocida como imagen de disco, en vista del volumen en almacenamiento que esto requeriría podría realizarse semanal, o quincenalmente. Antivirus, Antispyware 198

200 A fin de evitar que los archivos de información almacenados en el repositorio sean comprometidos por la existencia de código malicioso es necesario mantener actualizada la solución antivirus con la última versión tanto del motor antivirus como con las últimas firmas de definición de virus. INTERRUPCIONES OPERACIONALES En esta categoría se agrupan eventos relacionados con pérdida de disponibilidad de algún tipo de equipamiento. Recursos envueltos Los recursos envueltos en esta categoría son: Servicio de Active Directory Sistema de información académico Sistema de información financiero Sistema de información de talento humano Servidores Equipos de conectividad de red (back-bone) Firewall Enlaces de datos Guayaquil-Cuenca Estaciones de trabajo criticas Equipos de laboratorio Telefonía VoIp Acceso a Internet Video conferencia Estaciones de trabajo, normales Causas Perdida de disponibilidad causada por fallas de hardware, fallas eléctricas, fallas en componentes internos de los equipos tales como discos duros o memorias, y robo de hardware. Medidas de Prevención (recomendaciones) 199

201 Datacenter de contingencia Centros de datos que agrupan una réplica de los sistemas, servicios, e información que el sitio principal, el trafico es diseccionado manual o automáticamente cuando el sitio principal es detectado como fuera de servicio. Los Datacenter de contingencia son recomendados para ambientes con un flujo transaccional muy alto, en los cuales se justifica los elevados costos de inversión. Al momento las operaciones en la sede Guayaquil no requerirían la implementación de un esquema de Datacenter de contingencia, en caso de un crecimiento futuro en la infraestructura, pero sobre todo en un aumento en la criticidad de los sistemas, podría considerarse un Datacenter de contingencia como una buena opción de continuidad de negocio. Equipamiento redundante Es vital establecer redundancia principalmente en los puntos más críticos de la infraestructura. Servicio de Active Directory Microsoft recomienda mantener múltiples controladores de dominio y servidores de catálogo globales en varias ubicaciones que replican con frecuencia la información del directorio. Para proteger Active Directory en el nivel del servidor, se necesita hacer copias de seguridad periódicas de los controladores de dominio y servidores de catálogo global, incluyendo una copia de seguridad del estado del sistema de los servidores de directorio en la organización. Servidores, Sistemas de Información Los sistemas de información y servicios residentes en los servidores existen varios componentes que son necesarios para su correcto funcionamiento. Múltiples son las probabilidades, tales como fallos en el servidor, fallos en disco, fuentes de alimentación eléctrica, tarjetas de red, etc. Es por esto que el plan de continuidad requiere se considere la implementación de lo siguiente: 200

202 Redundancia en Procesador Utilizar discos Hotswap Redundancia en Discos (RAID ) Redundancia en interfaces de Red Fuentes de alimentación redundantes Redundancia en Suministro eléctrico como UPS y generadores de energía eléctrica. Equipos de conectividad de red (back-bone) A fin de garantizar la conectividad de red puede modificarse la topología de red a fin de que existan al menos dos diferentes caminos para llegar a los puntos de conexión críticos. Adicional a esto puede adquirirse equipos de conectividad o concentradores adicionales y configurarlos en redundancia. 201

203 INTERNET REDES WAN Figura 3.16 Fuente: Los Autores Redundancia en Firewall El firewall es un elemento de hardware (Cisco ASA) ubicado generalmente en el perímetro con la finalidad de controlar las comunicaciones mediante permitir o denegar conexiones según la política de seguridad definida por el responsable de la red. A fin de evitar pérdidas de servicio debido a fallas presentadas en este dispositivo puede establecerse un esquema de redundancia, ya sea en alta disponibilidad o modo activo/pasivo, o en modo balanceo de carga también llamado modo activo/activo. Con este esquema de redundancia, en caso de un daño en uno de los firewall, el dispositivo de contingencia puede atender todo el tráfico y así mantener el servicio. 202

204 ESQUEMA DE FIREWALLS REDUNDANTES Eth0 : Eth0 : Switch / VLAN Sincronización Internet Eth1 Eth1 Figura 3.17 Fuente: Los Autores Switch / VLAN Enlaces de datos Guayaquil-Cuenca Al momento existen dos enlaces hacia Cuenca, el enlace provisto por la Corporación Nacional de Telecomunicaciones, cuyo ancho de banda es de 512Kb, y un enlace contratado con Telconet con ancho de banda de 1Mb. Esto provee tolerancia a fallos en alguno de los enlaces. Enlaces de Internet La sede cuenta con una conexión a Internet provista por Telconet, con un ancho de banda de 6Mb, en caso de existir un fallo en la infraestructura del proveedor, la sede perdería completamente este servicio. Con este fin existen soluciones de redundancia aplicables tanto en el segmento de red administrado por el proveedor como soluciones aplicables en el dispositivo que protege el perímetro (firewall). En este caso el firewall contaría con una interfaz de red adicional que establecería conectividad hacia Internet a través de un proveedor distinto a Telconet, en caso de existir una falla en alguno de los dos enlaces, se enrutaría todo el tráfico a través del enlace activo, tal como se muestra en la figura a continuación. 203

205 Redundancia de ISPs Figura 3.18 Fuente: Los Autores Equipos de contingencia Existen elementos dentro de la red de datos de la sede que no requerirían un esquema de redundancia a pesar de ser equipos críticos para la institución. En esta categoría podríamos definir, los computadores utilizados en secretaria, direcciones de carrera, telefonía VoIp, y demás equipos relacionadas con tareas que no deberían verse interrumpidas durante largo tiempo debido a la ocurrencia de un daño severo de hardware o software, en estos casos sería aplicable contar con equipos de contingencia o reserva de similares o superiores características listos para ser utilizados en caso de requerirse. 204