INFORME Nº GTI INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE

Transcripción

1 INFORME Nº GTI INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE 1. Nombre del Área El área encargada de la evaluación técnica para la adquisición de licencias adicionales y contratación del servicio de soporte técnico, actualización y mantenimiento del software Quest Change Auditor, es el Departamento de Soporte Técnico de la Gerencia de Tecnologías de Información (GTI) de esta Superintendencia. 2. Nombre y Cargo del Responsable de la Evaluación El analista responsable de la evaluación es el Sr. Edgar Pajuelo Rubina, Técnico de Redes y Comunicaciones del Departamento de Soporte Técnico de la Gerencia de Tecnologías de Información. 3. Fecha La fecha del presente informe es el 01 de octubre de Justificación La Superintendencia de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones (SBS), para el cumplimiento de sus funciones de regulación y supervisión de los Sistemas Financiero, de Seguros y del Sistema Privado de Pensiones, así como para prevenir y detectar el Lavado de Activos y Financiamiento del Terrorismo, ha implementado una plataforma de gestión de eventos y registros de auditoría para la plataforma Microsoft Windows, sobre los cuales se administran los servicios de almacenamiento de archivos en la red de datos, de autenticación de usuarios en el Directorio Activo 1 y de correo electrónico institucional. Actualmente, la Superintendencia cuenta con los siguientes productos de software Quest Change Auditor, los cuales permiten realizar las labores de auditoría anteriormente indicadas: Tabla N 01: Detalle del Software de Quest Change Auditor N Nombre del Producto Cantidad de Licencias 1 Quest Change Auditor for Active Directory Quest Change Auditor for Exchange Quest Change Auditor for Windows File Servers 900 El software Quest Change Auditor audita y refuerza la seguridad de una variedad de componentes de infraestructura, que han sido implementados para soportar todos los procesos y funciones de negocio de todos los usuarios de esta Superintendencia. El software registra todos los eventos (altas, bajas y cambios) que se presentan en el Directorio Activo, los servidores de correo electrónico Microsoft Exchange y los servidores de archivos (file servers). De esta forma, se puede identificar qué usuario (Administrador, Operador o usuario final) 1 Del inglés Active Directory, contiene todas las credenciales de autenticación para los servicios de correo electrónico y almacenamiento de archivos en la red de datos Los Laureles Nº Lima 27 - Perú Telf. : (511) Fax: (511)

2 realiza cambios sobre estos recursos, así como la fecha, hora, origen y otros datos adicionales. Este registro sirve para las tareas de auditoría y supervisión de accesos, que forman parte de las funciones de Seguridad de la Información asumidas por esta Gerencia. En el caso del Directorio Activo, a través del cual se crean, modifican y eliminan las cuentas y privilegios de usuario para acceso a la red de datos y el correo electrónico institucional, el software permite registrar todos los movimientos realizados en el mismo. Así, por ejemplo, si un Administrador u Operador crearan un usuario o grupo de usuario nuevo y le asignara permisos sin contar con ningún tipo de autorización, el software registraría estas transacciones o movimientos, permitiendo que, a través de la tarea de revisión correspondiente, se identifique quién, cuándo y cómo realizó estas operaciones no autorizadas. De esta forma, se asegura que todos los usuarios del Directorio Activo estén, en efecto, debidamente autorizados, con los accesos y privilegios que les corresponden. En el caso del correo electrónico institucional, el software permite hacer el mismo seguimiento y supervisión sobre los eventos que puedan presentarse, tal como lo hace con el Directorio Activo. Esto resulta importante, en la medida en que, a través del correo electrónico institucional se transmite internamente información confidencial o crítica, por lo que es necesario contar con un registro de auditoría que permita determinar cómo se realiza la gestión de cuentas y buzones de usuario y los permisos efectivos sobre ellos. Por ejemplo, de realizarse un cambio no autorizado sobre una determinada cuenta de correo electrónico, tal como el reenvío de mensajes o accesos, se podrá identificar quién y cuándo hizo la modificación. De esta forma, se podrá garantizar la seguridad e integridad de las cuentas y buzones de correo electrónico de la Superintendencia. En el caso de los servidores de archivos, el software permite realizar auditoría sobre los mismos, para determinar los cambios sucedidos. En los servidores de archivo, se almacenan los archivos de trabajo del personal de la Superintendencia, los cuales pueden contener información crítica o indispensable para las labores de las áreas. Por ejemplo, si se eliminan, mueven o renombran uno o varios archivos de estos servidores, estas operaciones quedarán registradas, así como los datos del usuario, la fecha y hora en que se realizaron. De esta forma, se podrá identificar las transacciones no autorizadas o que generaron algún incidente (pérdida de archivos, modificación de carpetas, entre otros). Por otro lado, como procesos de mejora continua en la Seguridad de la Información, se requiere implementar la auditoría para los inicios de sesión de usuario final, sean éstos de manera local o de manera interactiva en la red. Los sistemas operativos cuentan con registros de auditoría nativos (propios), que permiten llevar un registro sobre los inicios de sesión realizados por los usuarios. Sin embargo, estos registros son almacenados de manera temporal, en archivos de reutilización cíclica, lo que no permite tener archivos históricos por períodos prolongados en los propios sistemas operativos. Por otro lado, para garantizar la continuidad de la auditoría de inicios de sesión, estos archivos nativos deberían ser exportados a otros medios de almacenamiento. Dado el número de usuarios, de servidores y la topología de red existente en la Superintendencia, es necesario contar con un nivel de auditoría de inicios de sesión que provea gestión, mayor detalle y capacidad. Esto permitirá mantener un seguimiento de los inicios de sesión de manera histórica, a través de registros que son centralizados y almacenados en un gestor de base de datos, lo cual, facilita la explotación de la información y establece líneas base y patrones de comportamiento inusual de los inicios de sesión. Así mismo, permitirá automatizar reportes de auditoría y atender los requerimientos de las áreas usuarias, mediante reportes personalizados en demanda. Los Laureles Nº Lima 27 - Perú Telf. : (511) Fax: (511) /8

3 Adicionalmente, este software también se empleará para proveer reportes e informes de seguridad y auditoría de accesos, requeridos por los entes de control que auditan de manera periódica y formal a la Superintendencia, con el fin de asegurar el cumplimiento de normas y estándares vigentes. Por otro lado, es importante indicar que la Norma Técnica Peruana NTP-ISO/ IEC 27001:2008 EDI. Tecnología de la Información. Sistemas de Gestión de Seguridad de la Información. 2a. Edición, que fue formalizada mediante Resolución Ministerial PCM, aprueba el uso obligatorio de dicha norma técnica en las entidades del estado. En tal sentido, resulta pertinente adecuar los procedimientos e implementar buenas prácticas y herramientas que permitan cumplir los objetivos de control y controles precisados en la norma. En lo referido a registros y seguimiento de eventos de auditoría para inicios de sesión de usuarios, la norma precisa lo siguiente: A Monitoreo Objetivo: Detectar actividades de procesamiento de información no autorizadas A Registro de Auditoría: Control.- Se deben producir y guardar, por un periodo acordado, los registros de auditoría que registren las actividades de los usuarios, excepciones y eventos de seguridad, con el fin de asistir a investigaciones futuras y de monitoreo del control de acceso. A.11.5 Control del Acceso al sistema operativo Objetivo: Prevenir accesos no autorizados a los sistemas operativos. A Procedimientos seguros de conexión: Control.- Se usará un proceso de registro de conexión (login) seguro para acceder a los servicios de información. A Identificación y autenticación del usuario: Control.- Todos los usuarios tienen un identificador único para su uso propio y exclusivo para sus actividades y debe elegirse una técnica de autenticación adecuada para sustentar la identidad del usuario En ese sentido, el software Quest Change Auditor cuenta con un módulo denominado Logon Activity, el cual brinda las facilidades necesarias para realizar una gestión de eventos y registros de auditoría de los inicios de sesión a los sistemas operativos y sesiones de red interactivas, ambos requeridos por la Norma Técnica Peruana NTP-ISO/ IEC 27001:2008. Desde su adquisición en el año 2009, el software Quest Change Auditor ha cumplido satisfactoriamente con las expectativas de los administradores de plataforma de esta Gerencia, llegando a convertirse en una importante herramienta para sus labores de gestión de la plataforma tecnológica. En tal sentido, la Gerencia de Tecnologías de Información manifiesta la necesidad de seguir contando con los productos de software Quest Change Auditor, como herramienta de gestión de eventos y registros de auditoría de la plataforma Microsoft Windows y para los registros de inicio de sesión de usuario final. Así mismo, este producto debe contar el servicio de soporte técnico, actualización y mantenimiento respectivo, a fin de atender las necesidades de las áreas usuarias y obtener las últimas modificaciones y actualizaciones que el fabricante del software libere durante la vigencia del contrato. 5. Alternativas Desde su adquisición, el software Quest Change Auditor ha sido utilizado como una herramienta importante en la gestión y almacenamiento de los eventos y registros de auditoría de la plataforma Los Laureles Nº Lima 27 - Perú Telf. : (511) Fax: (511) /8

4 Microsoft Windows, lo que ha permitido cumplir con las políticas internas de seguridad de la información, así como con las normas externas en la misma materia. Cabe mencionar, que el módulo de auditoría para inicios de sesión (Logon Activity) forma parte integral y funcional del software Quest Change Auditor, por lo cual, sólo opera bajo dicha plataforma. Esto permite desde una única consola almacenar y gestionar los registros y eventos de auditoría. Si se cambiara de software, sería necesario volver a implementar la totalidad de reglas y registros de auditoría, a la tecnología del nuevo software reemplazante, con el consecuente esfuerzo en horas-hombre y el potencial riesgo de, en ese proceso, perder información o funcionalidad ya incorporada en los actuales sistemas de información y aplicaciones. Esta problemática no estaría presente si toda la plataforma se mantuviera en el mismo producto de software, en este caso Quest Change Auditor, lo cual hizo imprescindible estandarizar el servicio de soporte técnico, actualización y mantenimiento en el año 2011 y últimamente en el año 2014 para su renovación y adquisición de licencias adicionales, esto con la finalidad de minimizar el riesgo de incompatibilidad tecnológica y evitar que se tenga que implementar una nueva plataforma para gestión de eventos y registros de auditoría. Como resultado, mediante Resolución SBS N , de fecha 28 de diciembre de 2011, se aprobó la estandarización del servicio de soporte técnico, actualización y mantenimiento del software Quest Change Auditor y mediante Resolución SBS N , de fecha 05 de febrero 2014 se aprobó el proceso de estandarización del uso, servicio de soporte técnico, actualización y mantenimiento del software Quest Change Auditor, cumpliendo para ello con lo dispuesto por la Directiva N OSCE/CD, que refiere los lineamientos para la contratación que hace referencia a una determinada marca o tipo particular de producto o servicio. Las estandarizaciones anteriormente indicadas fueron necesarias para la renovación del servicio de soporte técnico, actualización y mantenimiento de las licencias en uso y la adquisición de licencias adicionales, y confirma la decisión de la Superintendencia en continuar utilizando el software Quest Change Auditor como herramienta de gestión de eventos y registros de auditoría de la plataforma Microsoft Windows en la Superintendencia. En ese sentido, la Superintendencia ha adquirido licencias adicionales y/o ha renovado el servicio de soporte técnico, actualización y mantenimiento del software Quest Change Auditor en marzo del presente año, mediante la Adjudicación Directa Selectiva (ADS) Nº SBS. De esta manera, el software Quest Change Auditor ha sido gradualmente renovado desde el año 2009, y de esta forma, se ha asegurado la correcta operatividad, funcionamiento, soporte técnico y actualización de versiones del software, reduciendo así la posibilidad de obsolescencia tecnológica y preservando el valor económico de la inversión realizada. Por ello, si bien existen en el mercado alternativas disponibles para implementar soluciones de gestión de eventos y registros de auditoría de inicios de sesión bajo plataformas Microsoft Windows, resulta conveniente aprovechar la tecnología disponible y en uso en la Superintendencia, del fabricante de software Quest. Esto permite reducir el riesgo de incompatibilidad entre soluciones de diferentes fabricantes y poder gestionar la información de auditoría histórica almacenada durante los últimos años a través de esta herramienta. De esta forma, continuar con el uso del software de auditoría Quest Change Auditor permitirá la optimización de la gestión de auditoría en los siguientes términos: Los Laureles Nº Lima 27 - Perú Telf. : (511) Fax: (511) /8

5 Optimización de los agentes de auditoría. Permite la reutilización de agentes de auditoría previamente desplegados en los servidores de red y en el Directorio Activo, de manera tal que no se tendría que instalar nuevos agentes de auditoría y, por lo tanto, sólo se contaría con un agente de comunicación, en lugar de diversos agentes operando en paralelo, en caso se considerase un software distinto de auditoría. En dicho escenario, otros productos de software no estarían en condiciones de validar y soportar dicha instalación. Gestión de eventos a través de una misma consola. Permite reutilizar la consola de administración actual para todos los eventos de auditoría y, de esta manera, administrar los eventos de todos los servidores involucrados en una misma consola. El uso de una solución de auditoría distinta, obligaría a contar con una consola para la explotación de los eventos auditados a la fecha, y otra distinta para los futuros eventos y registros de auditoría. En ese sentido, es importante indicar que la información de los eventos y registros de auditoría gestionada por el software Quest Change Auditor sólo puede ser explotada a través de su propia consola. Optimización de base de datos y reportes de auditoría. Permite almacenar todos los eventos de auditoría actualmente registrados (Directorio Activo, correo electrónico y almacenamiento de archivos en red) y los nuevos registros de inicio de sesión, en una misma base de datos y, de esta manera, generar reportes de auditoría personalizados de los eventos de auditoría correlacionados. En el caso de adquirir una solución de auditoría distinta, la información se deberá almacenar en otra base de datos y los reportes tendrían otros campos y tablas distintas. Por otro lado, es importante considerar que el servicio de soporte técnico, actualización y mantenimiento requerido garantiza la atención de problemas o fallas en el software, a cargo del propio fabricante. De esta manera, se asegura la correcta funcionalidad y operatividad del software, al contar con un servicio de soporte técnico que permita canalizar consultas técnicas o reportar fallas directamente al fabricante, como se ha suscitado en situaciones anteriores y las cuales han sido resultas. Además, este servicio permite la actualización del software a las nuevas versiones liberadas, lo cual garantiza su funcionalidad al reducir la posibilidad de obsolescencia tecnológica, lo cual preserva el valor económico de la inversión realizada. En tal sentido, esta Gerencia considera que se debe mantener el software Quest Change Auditor como herramienta de gestión de eventos y registros de auditoría de inicio de sesión bajo plataformas Microsoft Windows, por lo cual no se evaluarán alternativas para su reemplazo, debido al nivel de inversión realizado, a los servicios implementados, a la integración con la plataforma actual de auditoría y al costo que implicaría migrar o adquirir otro software. 6. Análisis Comparativo Técnico Dado que esta Gerencia considera que se debe mantener el software Quest Change Auditor como herramienta de gestión de eventos y registros de auditoría de la plataforma Microsoft Windows, y en vista de que dicho software se encuentra estandarizado para su uso y servicio de soporte técnico, actualización y mantenimiento, no se realizará el análisis comparativo técnico basado en la Parte 3: Proceso de Evaluación de Software de la Guía de Evaluación de Software, aprobada por Resolución Ministerial N PCM, al no ser posible su aplicación, puesto que no se evaluarán alternativas para el reemplazo del software Quest Change Auditor. Esta excepción está contemplada en el Reglamento de la Ley Nº 28612, Ley que Regula el Uso, Adquisición y Adecuación del Software en la Administración Pública, y será comunicada a la Oficina Nacional de Gobierno Electrónico e Informática (ONGEI), tal como está establecido en el mencionado Reglamento. Los Laureles Nº Lima 27 - Perú Telf. : (511) Fax: (511) /8

6 Adicionalmente, la necesidad de que el servicio de soporte técnico, actualización y mantenimiento del software Quest Change Auditor sea provisto por el mismo fabricante o por un distribuidor autorizado para tal fin, responde a que es indispensable asegurar los siguientes puntos: El soporte técnico es prestado por personal del fabricante o del distribuidor que, formalmente, está autorizado por el fabricante para revisar código fuente, librerías, modificar programas o resolver problemas, asumiendo la responsabilidad de los cambios realizados. De esta forma, no se pierde la garantía sobre el software. La condición de distribuidor autorizado asegura que el personal está en capacidad de resolver problemas recurriendo a las fuentes de información provistas por el fabricante, algo a lo que un distribuidor no autorizado no tendría acceso. La actualización de las versiones del software garantiza su vigencia tecnológica en el tiempo, además de permitir el acceso a mejoras en la funcionalidad del software, en beneficio de los usuarios. Un distribuidor autorizado comparte con el fabricante, por contrato, la responsabilidad sobre el desempeño del software y cualquier eventualidad que el mismo pueda originar. En ese sentido, todo incidente de orden técnico o funcional es atendido por el fabricante, a través de su distribuidor original, el cual provee las instrucciones o realiza los contactos con el fabricante. En ese sentido, contar con un servicio de soporte provisto por el fabricante del software, garantiza la correcta operatividad, funcionamiento, soporte técnico y actualización de versiones del software. Caso contrario, la inversión realizada podría estar en riesgo de pérdida ante la eventualidad de una falla o error, que no estaría cubierta por la garantía del fabricante al no contar la Superintendencia con un servicio que permita atender estos requerimientos. Adicionalmente, este servicio no puede ser brindado por otra empresa, debido a que no se contaría con la autorización (por derechos de propiedad intelectual) para modificar el software, por lo cual la contratación de un servicio de soporte brindado por una empresa no autorizada resultaría contraproducente, desde el punto de vista operativo y económico. 7. Análisis Comparativo de Costo Beneficio Dado que esta Gerencia considera que se debe mantener el software Quest Change Auditor como herramienta de gestión de eventos y registros de auditoría de la plataforma Microsoft Windows, y en vista de que dicho software se encuentra estandarizado para su uso y servicio de soporte técnico, actualización y mantenimiento, no se realizará el análisis comparativo de costo-beneficio, puesto que no se evaluarán alternativas para el reemplazo del software Quest Change Auditor. A partir de las cotizaciones solicitadas a los representantes autorizados para comercializar el software Quest Change Auditor, el costo de la adquisición de licencias adicionales y del servicio de soporte técnico, actualización y mantenimiento para los productos de software Quest Change Auditor Logon Activity por un período de tres (03) años es de S/.111,935.74, incluyendo los impuestos de Ley. 8. Conclusiones Las conclusiones del presente informe son las siguientes: Los Laureles Nº Lima 27 - Perú Telf. : (511) Fax: (511) /8

7 La Superintendencia de Banca, Seguros y Administradoras Privadas de Pensiones (SBS), para el cumplimiento de sus funciones de regulación y supervisión de los Sistemas Financiero, de Seguros y del Sistema Privado de Pensiones, así como para prevenir y detectar el Lavado de Activos y Financiamiento del Terrorismo, cuenta con una plataforma de gestión de eventos y registros de auditoría de los productos Microsoft Windows, y sobre la cual requiere gestionar y registrar los inicios de sesión de usuario final. Actualmente, la Superintendencia cuenta con novecientas (900) licencias del software Quest Change Auditor for Active Directory, novecientas (900) licencias del software Quest Change Auditor for Exchange y novecientas (900) licencias del software Quest Change Auditor for Windows File Servers, los cuales permiten realizar las labores de auditoría. Desde el año 2009, y a través de los Informes Técnicos Previo de Evaluación de Software Nº GTI, Nº GTI, N GTI y Nº GTI elaborados por la Gerencia de Tecnologías de Información (GTI), la Superintendencia ha adquirido licencias y ha renovado los servicio de soporte técnico, actualización y mantenimiento del software Quest Change Auditor. Mediante Resolución SBS N , de fecha 05 de febrero de 2014, se aprobó la estandarización del uso, y servicio de soporte técnico, actualización y mantenimiento del software Quest Change Auditor en la Superintendencia, cumpliendo para ello con lo dispuesto por la Directiva N OSCE/CD, que refiere los lineamientos para la contratación que hace referencia a una determinada marca o tipo particular de producto o servicio. El software Quest Change Auditor Logon Activity auditará y registrará todos los eventos de inicios de sesión de usuario final en la plataforma Microsoft Windows, lo que ayudará a cumplir con la normatividad actual y facilitará las tareas de auditoría y supervisión de accesos y cumplimiento, que forman parte del monitoreo de la función de Seguridad Informática a cargo de esta Gerencia. Esta Gerencia considera que se debe mantener el software Quest Change Auditor como herramienta de gestión de eventos y registros de auditoría de los plataforma Microsoft Windows en la Superintendencia, por lo cual, no se evaluarán alternativas para su reemplazo, debido al nivel de inversión realizado, a los servicios implementados, a la integración con la plataforma actual de auditoría y al costo que implicaría migrar o adquirir otro software. Esta excepción está contemplada en el Reglamento de la Ley Nº 28612, Ley que Regula el Uso, Adquisición y Adecuación del Software en la Administración Pública, y será comunicada a la Oficina Nacional de Gobierno Electrónico e Informática (ONGEI), tal como está establecido en el mencionado Reglamento. Otro factor a tener en cuenta y que favorece a la alternativa de adquisición de licencias adicionales del software Quest Change Auditor, es el valor intangible relacionado al nivel de conocimientos (know how) que posee el personal técnico, lo cual no ha sido valorizado económicamente y que refuerza la alternativa mencionada. El servicio de soporte técnico, actualización y mantenimiento garantiza la atención de problemas o fallas en el software, a cargo del propio fabricante. De esta manera, se asegura la correcta funcionalidad y operatividad del software, al contar con un servicio de soporte técnico, actualización y mantenimiento que permita canalizar consultas técnicas o reportar fallas en el mismo, directamente al fabricante. También, este servicio permite la actualización del software a las nuevas versiones liberadas, lo cual garantiza su funcionalidad al reducir la posibilidad de obsolescencia tecnológica, lo cual preserva el valor económico de la inversión realizada. Por lo expuesto, se requiere la adquisición de licencias adicionales del producto de software Quest Change Auditor para el módulo Logon Activity y su respectivo servicio de soporte técnico, actualización y mantenimiento de las licencias, necesario para asegurar la correcta operatividad, Los Laureles Nº Lima 27 - Perú Telf. : (511) Fax: (511) /8

8 funcionamiento, soporte técnico y actualización de versiones del software, el cual es utilizado en la Superintendencia como herramienta de gestión de eventos y registros de auditoría de la plataforma Microsoft Windows. 9. Firmas Igor Sakuma Carbonel Gerente de Tecnologías de Información Edgar Pajuelo Rubina Técnico de Redes y Comunicaciones Los Laureles Nº Lima 27 - Perú Telf. : (511) Fax: (511) /8