Gestión de la Seguridad Informática

Transcripción

1 Documento de Gestión de la Seguridad Informática Versión 01 ARCHIVO: ANEXO6_GESTION DE LA SEGURIDAD INFORMATICA Nº. PÁG: 1 / 6 CREADO: 11/11/a

2 TABLA DE CONTENIDO 1. GESTIÓN DE SEGURIDAD INFORMÁTICA RESPONSABILIDADES MARCO DE REFERENCIA POLÍTICA DE SEGURIDAD INFORMÁTICA GESTIÓN DE INCIDENTES DE SEGURIDAD CONTROL DE ACCESO Autenticación de Usuarios Internos Autorización de Usuarios Internos y Externos Autenticación de Usuarios Externos (Internet) SEGURIDAD EN LA INFRAESTRUCTURA Segregación de ambientes Redes de comunicaciones Ambientes Securitización de los elementos Alertas de Seguridad Redes de comunicación Servidores Base de Datos Puestos trabajo Servicio de Tiempo CUMPLIMENTO CON LAS LEYES DE HABEAS DATA Y ACCESO A LA INFORMACIÓN ENCRIPCIÓN Y FIRMA SERVICIOS EN INTERNET Formas de exponer Aplicaciones en Internet VPN Exposición de servicios de web services seguros Navegación y Correo Electrónico... 6 ARCHIVO: ANEXO6_GESTION DE LA SEGURIDAD INFORMATICA Nº. PÁG: 2 / 6

3 1. Gestión de Seguridad Informática 1.1. Responsabilidades Actualmente BPS cuenta con un departamento dentro de la dedicada especialmente a la Gestión de Seguridad de la Información la cuál es participe en la definición, y responsable en la implantación y aplicación de las políticas de Seguridad Informáticas (lógicas), tanto a nivel de desarrollo, de infraestructura y de los procesos. La implementación de las políticas es responsabilidad de los grupos de desarrollo y de los grupos de soporte de infraestructura Marco de Referencia El marco de referencia que el BPS ha adoptado para la Gestión de Seguridad es la familia ISO (27001 y 27002). Es dentro de ellas que se encaran todas las políticas y actividades relacionadas con la seguridad lógica Política de Seguridad Informática CSEI ( y ASIT ( ) se encuentran elaborando la definición, redacción y aprobación de un conjunto de políticas de seguridad informática a nivel institucional, buscando la aprobación del Comité de Seguridad y el compromiso de las máximas autoridades del BPS para asegurar la confidencialidad, integridad y disponibilidad de la información que es manejada dentro del instituto Gestión de Incidentes de Seguridad La gestión de incidentes de seguridad se encuentra en plena etapa de desarrollo y para ello se ha adoptado un esquema donde se combinan los procesos de la ISO 20000, la ISO y los controles de la ISO De esta forma el BPS se asegura una gestión completa de los incidentes de seguridad dentro de los procesos de gestión que utiliza para la administración de su infraestructura. Consiste en integrar la gestión de los incidentes de seguridad dentro de la Gestión de Incidentes, realizando las derivaciones y jerarquización de los incidentes adecuadamente al igual que los cambios, configuración que se deban de llevar a cabio y no realizar esta gestión de forma aislada Control de Acceso Para el control de acceso el BPS cuenta con un sistema de autenticación y un sistema de autorización Autenticación de Usuarios Internos Existe un único directorio de usuarios internos (funcionarios y equipos de TI tercerizados), el cuál esta implementado en un MS Active Directory. Todos los usuarios tienen un identificador único y personal y se cuenta con políticas para la creación, revocación, vencimiento y bloqueo de las contraseñas. Todos los sistemas del BPS deben autenticar a los usuarios contra este directorio, independientemente del stack tecnológico sobre el cuál este implementado. Existen excepciones, son sistemas legados que se está planificando su migración. Este servicio se les brinda a las aplicaciones desde la infraestructura, por lo que las aplicaciones no deben de implementar la autenticación de los usuarios Autorización de Usuarios Internos y Externos Existe un único Sistema de Autorizaciones, el cuál está implementado en BPS mediante un modelo en una base de datos y WS que permiten su consumo. Todas las aplicaciones deben de autorizar a los usuarios mediante este sistema. Las aplicaciones son las responsables de realizar las invocaciones correspondientes y en base a ello permitir o no a los usuarios ejecutar las funcionalidades que la misma ofrece. ARCHIVO: ANEXO6_GESTION DE LA SEGURIDAD INFORMATICA Nº. PÁG: 3 / 6

4 Este sistema aplica tanto a los usuarios internos (funcionarios y equipos de TI tercerizados) como para los usuarios externos (ciudadanos) Autenticación de Usuarios Externos (Internet) Existe un único directorio de usuarios externos (ciudadanos), el cuál esta implementado en un MS Active Directory. Todos los usuarios tienen un identificador único y personal. Todos los ciudadanos cuentan con un identificador único y personal, para ello se firma un contrato de acceso los servicios y una vez autorizados se le otorga a cada persona un identificador y una contraseña para su ingreso. El servicio es brindado aproximadamente a usuarios y se encuentra en plena expansión Seguridad en la infraestructura A nivel de infraestructura se aplican diferentes políticas, algunas se encuentran completamente implementados y otras en diferentes estados de implementación Segregación de ambientes El concepto de segregación de ambientes se aplica a varios niveles Redes de comunicaciones Las redes de comunicaciones se encuentran debidamente segregadas y en particular todas las que corresponden a la conexión con internet Ambientes Los ambientes de desarrollo, de testeo y de producción a nivel de servidores web y de aplicación, como de bases de datos, se encuentran debidamente diferenciados y el personal de desarrollo no puede ingresar a los ambientes de testeo ni de producción. El ambiente de testeo es una réplica exacta a nivel de software de el ambiente de producción, pudiendo contar o no con el volumen a nivel de base de datos igual al de producción de acuerdo a las necesidades especificas de los sistemas Securitización de los elementos Los elementos que componen la infraestructura se encuentran debidamente securitizados Alertas de Seguridad Se cuenta con un servicio interno de alertas de seguridad, que permite detectar para la plataforma con la que cuenta el BPS las nuevas alertas de seguridad y las correspondientes soluciones, además de contar con los servicios de los proveedores más grandes (Microsoft, Symantec y Oracle) Redes de comunicación A los elementos de la red solamente puede acceder personal autorizado y se verifican que se encuentren debidamente actualizados con respecto a las vulnerabilidades Servidores El ambiente de servidores de entorno Microsoft se encuentra debidamente actualizado de acuerdo a las alertas de seguridad y de forma automatizada. Todos los servidores cuentan con antivirus de Symantec que es el corporativo Base de Datos Las bases de datos solamente pueden ser accedidas por los usuarios autorizados Puestos trabajo Los puestos de trabajo se generan en base a imágenes, las cuales se securizan y se testean con todas las aplicaciones del BPS previo a su liberación. Una vez realizado este procedimiento todas se clonan a partir de esta imagen. El sistema operativo utilizado actualmente es Windows XP Profesional SP3 en español. Dichos puestos cuenta con el servicio de actualización automática de updates de forma centralizada. ARCHIVO: ANEXO6_GESTION DE LA SEGURIDAD INFORMATICA Nº. PÁG: 4 / 6

5 Tienen instalado el antivirus corporativo de Symantec administrado centralizadamente y reciben los updates del mismo de forma automática. Los usuarios que ingresan a las mismas no forman parte del grupo de administradores. Adicionalmente existen controles de seguridad que se aplican mediante Policies de Active Directory. Estos puestos de trabajo llevan instalado una versión de Internet Explorer 6, el cual se encuentra customizado por el BPS. Se realizan dos versiones de las imágenes, una de ellas lleva solamente el software de base sin las aplicaciones internas del BPS, estas estaciones de trabajo son destinadas al área de desarrollo. La segunda versión lleva toda la instalación antes descripta; estas estaciones de trabajo son distribuidas en el resto del BPS Servicio de Tiempo Los servidores y por ende las bases de datos, se encuentran coordinados a nivel de horario mediante un servicio de NTP central, todos los servicios que el BPS cuenta (tercerizados o no) sincronizan contra este servicio Cumplimento con las leyes de Habeas Data y Acceso a la Información Para poder cumplir con este requerimiento BPS tiene un inventario de todos sus sistemas y sus bases de datos que manejan información personal (ya sea persona física ó jurídica) y la forma de acceder a esta información. Actualmente se está en la implementación de procesos de enmascaramiento de datos para los ambientes de testeo y desarrollo, de forma de cumplir cabalmente con la ley Encripción y firma BPS ha adoptado como herramienta para la encriptación y firma digital el estándar de certificados ITU X.509 v3. Los certificados se adquieren a autoridades de certificación autorizadas (El Correo en este caso) y los mismos son para uso de los usuarios internos (funcionarios) debidamente autorizados. Su almacenamiento se realiza en dispositivos seguros tipo minikeys. Su uso actualmente es para firma y encripción de correos electrónicos, pero se encuentran en desarrollo firmas de registros en base de datos y emisión de documentación electrónica firmada (pdf) Servicios en Internet Formas de exponer Aplicaciones en Internet El BPS, dependiendo del tipo de aplicación y su criticidad, definió tres esquemas de conectividad en Internet: Esquema 1 Aplicaciones Auto Contenidas en la DMZ Esquema 2 Aplicaciones Autenticadas Proxeadas Esquema 3 Aplicaciones con la GUI expuesta en la DMZ y la capa de negocio en la red interna En el Esquema 1 toda la aplicación, así como los datos que utilice se encuentra por completo en la DMZ y no cuenta con ningún tipo de acceso a la red interna. En el Esquema 2 toda la aplicación y su entorno de ejecución se encuentran en la red interna. Estas aplicaciones sólo pueden ser accedidas por usuarios que previamente se han autenticado a través del Sistema de Autenticación de usuarios externos (ciudadanos) y se accede de forma proxeada. En este esquema toda comunicación entre el nodo Cliente y el BPS es encriptado a través de HTTPS utilizando un certificado de servidor emitido por una Autoridad Certificadora habilitada (El Correo en este caso). En el Esquema 3 la capa de presentación de las aplicaciones residen en un Portal o servidor web que se encuentra en la DMZ. En caso de requerirse autenticación de usuario las aplicaciones deberán acceder a un servicio utilizando protocolo HTTPS. La capa de presentación de las aplicaciones se conecta mediante web service y/o mensajería a un ESB especializado en servicios de presentación y éste se conecta por mensajería con otro ESB especializado en servicios de negocio. ARCHIVO: ANEXO6_GESTION DE LA SEGURIDAD INFORMATICA Nº. PÁG: 5 / 6

6 1.9.2 VPN Para el acceso a las aplicaciones internas de BPS desde internet, solo para funcionarios con la debida autorización, se utiliza un servicio de acceso remoto vía VPN IPSec. Este servicio es soportado por elementos Cisco (tanto el Terminador de VPN como el cliente). La conexión mediante VPN es exclusiva, es decir, al conectarse a la VPN se deshabilitan otros servicios de conexión que pudiera tener el cliente concurrentemente en ese momento. El terminador de VPN autentica mediante Radius, validando contra el Active Directory interno. Una vez el usuario es autenticado este puede acceder mediante Terminal a herramientas de Ofimática y eventualmente, si está autorizado, a su puesto de escritorio y en él disponer de sus herramientas de uso diario. Actualmente existen 150 usuarios habilitados para utilizar este servicio y todos comparten el mismo perfil de seguridad (a nivel de terminador de VPN). Se está en proceso de evaluación de soluciones de acceso remoto vía SSL VPN, contemplando mayores niveles de seguridad, entre otros: chequeo de postura del equipo remoto, utilización de firewall personales, anti-virus, y detectores de intrusos en los equipos remotos así como la utilización de mecanismos de autenticación fuertes (del tipo lo que se posee ) Exposición de servicios de web services seguros Actualmente no se exponen y/o consumen WebServices en o desde Internet. El BPS se encuentra en un proceso de habilitación de este tipo de funcionalidad de B2B el cuál requerirá hacer uso intensivo de WS-Security en las invocaciones desde el exterior de acuerdo a lo definido oportunamente Navegación y Correo Electrónico Los usuarios internos (funcionarios) del BPS pueden navegar, utilizar su propia cuenta interna para enviar o recibir correo hacia el exterior y acceder a cuenta de correo electrónico de Internet con la debida autorización, para ello se utiliza un reverse-proxy que permite este tipo de servicio. Se encuentra prohibido el uso de módems (de cualquier tecnología) para el acceso a Internet y todas las comunicaciones en este sentido deben de ser a través del enlace corporativo a Internet. Solamente se encuentran habilitados los protocolos de correo y de HTTP/S. ARCHIVO: ANEXO6_GESTION DE LA SEGURIDAD INFORMATICA Nº. PÁG: 6 / 6