ANEXO TÉCNICO No. 2 SERVICIOS DE SEGURIDAD DE LA INFORMACION PARA LA SOLUCIÓN PROVISTA

Transcripción

1 ANEXO TÉCNICO No. 2 SERVICIOS DE SEGURIDAD DE LA INFORMACION PARA LA SOLUCIÓN PROVISTA 1.1. INTRODUCCION. De acuerdo con la definición del ITGI 1 se entiende por Gobierno de Tecnología como la: Responsabilidad de la Junta de Directores por el liderazgo, las estructuras organizacionales y los procesos que aseguren a la empresa que la función de tecnología de la información soporta apropiadamente el alcance de los objetivos y estrategias de la organización 2 Un elemento esencial para la implementación exitosa de un programa de Gobierno de TI es que la organización adopte las mejores prácticas de un Sistema de Gestión de Seguridad de la Información (SGSI). La adopción de un modelo como el ISO 27000, exige que la organización realice un diagnóstico de su estado de seguridad. Así las cosas, la Federación Colombiana de Municipios - Dirección Nacional Simit, dadas las políticas de seguridad de la información vigentes en la entidad requiere que la solución y objeto de este procesos sea completamente cubierto bajo el marco de la política de seguridad de la información que está alineada con la Norma ISO y la ISO 27002, por lo cual cada hito, componente, servicio, infraestructura y asesoría debe estar enmarcada en la norma, dejando plena documentación y evidencia de su cumplimiento OBJETIVO La Federación Colombiana de Municipios requiere de un diagnóstico de seguridad y emitir las recomendaciones pertinentes para su fortalecimiento alineado con el modelo ISO e ítemes planteados en el alcance de la solución requerida. 1 IT Governance Institute, ITGI. 2 Win Van Grembergen and Steven De Haes, Implementing information technology governance, Igi Publishing, 2008, pág, 5

2 ENFOQUE TÉCNICO Y METODOLOGIA A SER PROPUESTA: OBJETIVOS ESPECIFICOS a) Determinar el nivel de exposición a ataques mediante la realización de pruebas de vulnerabilidad externas e internas de la infraestructura aquí provista ó requerida. b) Realizar un análisis de brecha frente a la norma ISO Anexo A - Objetivos de control y controles c) Definir las plantillas de aseguramiento apropiadas para la infraestructura crítica de la Federación Colombiana de Municipios. d) Realizar aseguramientos a servidores críticos de LA FEDERACIÓN. e) Transferir conocimientos a los responsables de la seguridad de la información en la Federación Colombiana de Municipios METODOLOGIA PROPUESTA El diagnóstico de seguridad de la información se debe llevar a cabo mediante la realización de tres servicios: Pruebas de vulnerabilidad externas e internas Análisis gap ISO Aseguramientos 1.3. PRUEBAS DE VULNERABILIDAD EXTERNAS E INTERNAS OBJETIVO Identificar las vulnerabilidades presentes en la infraestructura tecnológica conectada a internet y desde la red local DESCRIPCION Se deben realizar pruebas de vulnerabilidad externas con el fin de identificar riesgos sobre la plataforma tecnológica de la organización conectada hacia Internet. Durante las pruebas, se debe buscar evaluar la funcionalidad de los diferentes sistemas de seguridad perimetrales implementados en la plataforma

3 tecnológica tales como Firewalls, sistemas de detección de Intrusos, sistemas de encripción, sistemas de autenticación, entre otros. Se deben realizar pruebas de vulnerabilidad internas de la red de la organización con el fin de identificar riesgos sobre la plataforma tecnológica considerada como crítica. En este aspecto el consultor obra como un funcionario de la entidad, en donde se garantiza que tiene acceso a la red local. Se revisan servidores, bases de datos, firewalls, sistemas de detección de Intrusos, sistemas de encripción, sistemas de autenticación, entre otros ACTIVIDADES Metodología de pruebas La metodología utilizada debe estar soportada por los estándares Open- Source Security TestingMethodology (OSSTMM) e ISSAF (informationsystemssecurityassessmentframework). El equipo consultor que se debe presentar a la FCM la metodología de pruebas de vulnerabilidad externas. Dentro de los temas que se deben tratar son: Tipos de pruebas a realizar Alcance de las pruebas Mecanismos de comunicación con el cliente ante posibles incidentes Solución a inquietudes Definición de direcciones IP públicas e IP privadas a analizar Junto con la organización se deben confirmar las direcciones IP objetivos para las pruebas de vulnerabilidad. Definición de las fechas y horas para la realización de las pruebas Junto con la organización se establecen las fechas y horas más convenientes para la realización de las pruebas tanto externas como internas. Realización de pruebas de vulnerabilidad En las fechas y horas establecidas, desde las instalaciones del proveedor, se deben llevar a cabo las pruebas de vulnerabilidad externas. Para las internas se acuerdan los puntos de la red de la Federación Colombiana de

4 Municipios desde donde se llevaran a cabo los análisis. Durante el desarrollo de las pruebas el equipo de consultores debe estar en permanente comunicación con la organización para informar el avance y los resultados de las mismas. Son de especial importancia el reporte de los hallazgos críticos los cuales requieren acciones correctivas inmediatas. Informe de pruebas de vulnerabilidad. Finalizadas las pruebas de vulnerabilidad, el equipo consultor debe analizar los hallazgos encontrados y debe realizar un informe borrador el cual se presenta a la FCM. Con base en la retroalimentación que se reciba, se debe proceder a realizar los ajustes en el informe y se programa la presentación del informe final. Validación del informe de pruebas de vulnerabilidad El informe final de las pruebas debe estar sustentado ante las diferentes instancias que considere la organización. El objetivo de estas presentaciones es crear conciencia sobre las remediaciones (acciones correctivas) que debe emprender la organización sobre las vulnerabilidades detectadas ASEGURAMIENTOS OBJETIVO Se debe elevar el nivel de protección de sistemas operacionales, bases de datos, aplicaciones, dispositivos de comunicaciones, elementos de seguridad y componentes inalámbricos, mediante ajustes en su configuración actual tendientes a mitigar la probabilidad de explotación de las vulnerabilidades técnicas identificadas en cada uno de ellos DESCRIPCION De acuerdo con los resultados de las pruebas de vulnerabilidad internas y externas se deben seleccionar los servidores, bases de datos, aplicaciones y dispositivos a asegurar (hardening). El objetivo del aseguramiento es elevar el nivel de protección de los dispositivos seleccionados y comprobar que los niveles de exposición se reducen después de realizada la maniobra.

5 ACTIVIDADES Definición de los componentes a asegurar En conjunto con la organización se deben definir los elementos de la infraestructura a asegurar, esta infraestructura está limitada dentro de la arquitectura e infraestructura provista en el marco de ejecución del presente proceso/contrato. Como buena práctica se deben desarrollar talleres y presentaciones necesarias ante los administradores de plataformas y dispositivos y los usuarios funcionales y finales de las aplicaciones sobre la mecánica a seguir en los aseguramientos y los posibles efectos de los mismos. Igualmente se acuerdan las condiciones ideales para la maniobra incluyendo las medidas preventivas que debe adoptar la organización: copias de datos, configuraciones, planes de contingencia, etc. Se debe construir conjuntamente el cronograma de aseguramientos en las ventanas de tiempo más apropiadas de acuerdo con las instrucciones de la organización. Generación de las plantillas de aseguramiento Para cada uno de los elementos e infraestructura a asegurar se deben buscar las plantillas de aseguramiento más actualizadas y disponibles en diferentes fuentes: buenas prácticas y recomendaciones del fabricante. El equipo consultor revisa las planillas e introduce los ajustes necesarios de acuerdo con las condiciones particulares de la organización y las entrega a la misma para su revisión y aprobación. En la revisión de las plantillas es necesario que participen los funcionarios de tecnología, los responsables de soporte y mantenimiento, los líderes de seguridad, administradores de aplicaciones y los usuarios finales. Aseguramiento En las fechas y horas pactadas (ventanas) se debe proceder con la realización de la maniobra de aseguramiento prevista. Previo a la misma, el

6 equipo consultor junto con la organización verifican que se hayan cumplido las tareas de alistamiento: Copias de respaldo de configuraciones Copias de respaldo de aplicaciones y de datos Presencia en sitio de los responsables convocados: Proveedores, administradores, usuarios funcionales, etc. Si alguna de las premisas anteriores no se cumple es necesario cancelar la maniobra y programarla de nuevo. Es esencial tener en cuenta estas premisas pues la logística de preparación es bastante compleja y una ventana que se cancela significa un retraso de al menos dos semanas en el cronograma de trabajo. Pruebas post aseguramiento Finalizada la maniobra y verificado el correcto funcionamiento de las aplicaciones dependientes de los dispositivos asegurados, se programa lo que se conoce como un re-test. Este re-test consiste en evaluar las vulnerabilidades presentes en el dispositivo o componente después que este ha sido asegurado. El resultado del re-test se compara contra los resultados de las pruebas de vulnerabilidad inicialmente realizadas y se establecen: Vulnerabilidades que se corrigen Vulnerabilidades que continúan y la causa de esta situación Nuevas vulnerabilidades Los dueños de los componentes deben conocer y aceptar el nivel de riesgo residual presente. Elaboración del informe Finalizados los aseguramientos y las pruebas post-aseguramiento, el equipo del contratista analiza los resultados de los mismos y realiza un informe borrador el cual se presenta a la entidad. Con base en la retroalimentación que se reciba, se procede a realizar los ajustes en el informe y se programa la presentación del informe final.

7 Validación del informe El informe final con los resultados del aseguramiento es sustentado ante las diferentes instancias que considere la Federación Colombiana de Municipios: Dirección TIC, Dirección Nacional Simit, usuarios finales, proveedores, entre otros. El objetivo de estas presentaciones es crear conciencia sobre las remediaciones (acciones correctivas) emprendidas y la necesidad de realizar este tipo de labores de manera periódica. Presentación del informe El informe del aseguramiento se da a conocer a la entidad. La presentación se sustenta ante las diferentes instancias que considere la misma ENTREGABLES En la tabla 3 a continuación se presenta la lista de entregables de Seguridad de la Información: Servicio Entregables Pruebas de vulnerabilidad externas e internas Análisis Gap ISO Aseguramientos Resumen de los problemas encontrados desde Internet, organizados por nivel de criticidad. Resumen de los hallazgos encontrados a nivel interno Recomendaciones para elevar los niveles de protección Presentaciones para las charlas de sustentación y sensibilización Declaración de aplicabilidad (SOA) Informe de análisis GAP Lista de dispositivos a asegurar Plantillas genéricas de aseguramiento Plantillas finales con los cambios efectuados a los componentes Informe con los resultados del aseguramiento Resultados de las pruebas post-aseguramiento Tabla 1. Entregables del servicio de gestión de seguridad.