Actualizaciones de seguridad.

Transcripción

1 Responsable de Seguridad Informática 22 de junio de 2012 Información del documento: Tipo Procedimiento Nivel de Criticidad Criticidad Alta Versión 1.0 Fecha 22/06/2012 Propietario Prosecretaría de Informática Responsable de actualización Fernando Menzaque Revisión histórica: Versión Fecha Actualizó Motivo de modificación /02/2011 Fernando Menzaque Implementación de los procedimientos de respaldo 1

2 Índice 1. Objetivo Antecedentes Sistemas alcanzados Funciones Prosecretaría de Informática Responsable de Seguridad Informática Responsable del Área de Redes y Servidores Responsable de un Equipo Responsable de un Servidor Responsable de un Servidor de un Sistema Crítico Responsable de un Sistema Crítico Alertas de Seguridad Aplicación de actualizaciones Registro de actualizaciones Autorizaciones de servicios al exterior Excepciones Auditoría Cumplimiento. 6 I. Principios Básicos de la Norma. 7 II. Procedimiento de notificación de las actualizaciones. 7 III.Reportes de actualizaciones. 7 IV. Pruebas sobre los equipos. 7 2

3 1. Objetivo. Este documento reglamenta la Política de Seguridad de la Información en lo que respecta a las actualizaciones de seguridad de las aplicaciones y de los sistemas informáticos críticos. 2. Antecedentes. Esta reglamentación se basa en los principios enunciados por la Política de Seguridad de la Información en sus secciones 9.1. Requerimientos para el Control de Acceso. y Seguridad de los Servicios de Red Sistemas alcanzados. Este norma se aplica, pero no se restringe, a los sistemas controlados por la Prosecretaría de Informática o alojados en sus instalaciones, que en adelante serán considerados sistemas críticos: 1. Los servicios web. 2. Los servidores que presten servicios web. 3. Los servidores que presten servicios a usuarios fuera de la UNC. 4. Los servidores que presten servicios a sistemas de los items anteriores. 4. Funciones. Las obligaciones asociadas a esta norma serán distribuidas siguiendo el principio de que cada Unidad Organizativa es la responsable de la información almacenada en los equipos conectados a la red de datos de la Universidad en el espacio físico de su jurisdicción, salvo que expresamente se diga lo contrario. Es responsabilidad de: 4.1. Prosecretaría de Informática. Proveer el sistema de envío de alertas de actualizaciones. Elaborar y mantener actualizada una lista de correo electrónico (tecnicos@psi.unc.edu.ar) con las direcciones de los administradores de servidores y servicios de la UNC Responsable de Seguridad Informática. Comunicar las alertas de seguridad emitidas por el ICIC Cert a todos los administradores de servidores y servicios de la UNC. Categorizar las alertas de acuerdo al riesgo potencial sobre los servidores y servicios de la UNC. 1 Los términos y definiciones utilizados están contenidos en el glosario publicado la página web de la Prosecretaría de Informática. 3

4 Determinar el alcance de las actualizaciones. Elaborar un procedimiento para que los administradores registren el cumplimiento de las actualizaciones. (Ver Anexo II) Elaborar un listado de los sistemas operativos recomendados. (Ver listado) Elaborar un reporte mensual sobre el cumplimiento de las actualizaciones. (Ver Anexo III) 4.3. Responsable del Área de Redes y Servidores. Definir las pruebas que se realizarán a los equipos. (Ver Anexo IV) Mantener un listado de los servidores y servicios críticos con sus correspondientes responsables Responsable de un Equipo. Administrar el equipo y las actualizaciones de seguridad. Seguir las recomendaciones sobre administración de los sistemas elaborada por el Responsable de Seguridad Informática y el proveedor del sistema operativo y de las aplicaciones instaladas Responsable de un Servidor. Administrar el equipo, las actualizaciones de seguridad, el mantenimiento y la continuidad de los servicios instalados en el servidor. Podrá delegar la administración de uno o más servicios en un tercero pero dicha acción será documentada y comunicada al responsable de la Unidad Organizativa y a la UAI. Deberá documentar y supervisar la instalación y las actualizaciones de las aplicación instaladas ya sea que estén incluidas en el sistema operativo o no Responsable de un Servidor de un Sistema Crítico. Administrar el equipo, las actualizaciones de seguridad, el mantenimiento y la continuidad de los servicios instalados de el servidor. Podrá delegar la administración de uno o más servicios en un tercero pero dicha acción será documentada y comunicada al responsable de la Unidad Organizativa y a la UAI. Deberá documentar y supervisar la instalación y las actualizaciones de las aplicación instaladas ya sea que estén incluidas en el sistema operativo o no. Reportar las fechas de las actualizaciones realizadas de acuerdo con el procedimiento definido por el Responsable de Seguridad de la Información. Reportar al Responsable de Seguridad Informática la instalación de sistemas críticos en su servidor Responsable de un Sistema Crítico. Administrar las actualizaciones de seguridad, el mantenimiento y la continuidad del servicios. Deberá documentar y supervisar la instalación y las actualizaciones de la aplicación. Reportar las fechas de las actualizaciones realizadas de acuerdo con el procedimiento definido por el Responsable de Seguridad de la Información. 4

5 5. Alertas de Seguridad. Una alerta de seguridad es la difusión de que una nueva vulnerabilidad a sido descubierta. Estas alertas pueden ser originadas por el distribuidor del sistema operativo, el distribuidor de la aplicación, el ICIC Cert o el Responsable de Seguridad Informática. El Responsable de Seguridad Informática podrá clasificar las alertas de seguridad de la siguiente manera: Según su impacto en altamente críticas, críticas, importantes, moderadas o leves. Según la aplicación de las actualizaciones en obligatorias o recomendadas. Según su alcance en alertas para servidores, para estaciones de trabajo o para ambos. Las alertas de seguridad vigentes en la Universidad serán las notificadas por el ICIC CERT y las difundidas por el Responsable de Seguridad Informática. Para los sistemas críticos, también se considerarán vigentes las alertas de seguridad proporcionadas por el proveedor del sistema operativo y de las aplicaciones instaladas. Las actualizaciones sugeridas en las alertas difundidas por el ICIC CERT, por el proveedor del sistema operativo y por el proveedor de las aplicaciones siempre serán de aplicación recomendada. El Responsable de seguridad Informática podrá modificar esta clasificación. La difusión de los alertas de seguridad se realizará por la página web de la Prosecretaría de Informática y por la lista tecnicos@psi.unc.edu.ar Aplicación de actualizaciones. Los responsables de servidores y aplicaciones alcanzados por un alerta de seguridad analizarán la aplicabilidad de la actualización a las condiciones de su servidor. El resultado del análisis podrá ser: 1. La actualización no es pertinente. 2. La actualización es pertinente y se realizará de inmediato. 3. La actualización es pertinente pero se pospondrá por un plazo determinado. 4. La actualización es pertinente pero no se realizará. En los casos 3 y 4 se elaborará un informe se lo agregará al historial de actualizaciones. El responsable de un equipo registrará las actualizaciones en el historial Registro de actualizaciones. El registro de las actualizaciones se realizará usando el procedimiento que defina la Prosecretaría de Informática. La fecha del reporte electrónico de la actualización se tomará como fecha de cumplimiento de las obligaciones que surgen de esta norma. (Ver Anexo III). 5

6 5.3. Autorizaciones de servicios al exterior. Cuando una equipo deba recibir conexiones externas a la UNC, el Responsable del Área Informática de una Unidad Organizativa comunicará (por nota electrónica) dicha situación a la Prosecretaría Informática. En la nota se hará constar: Nombre, Apellido, teléfono, celular y correo electrónico (en la UNC) del Responsable. Servicios que prestará. Si corresponde la fecha de finalización del servicio. Previo a la autorización, el Prosecretario de Informática solicitará que se realicen las pruebas que defina el Responsable del Área de Redes y Servidores con el objeto de garantizar el cumplimiento de esta norma. 6. Excepciones. El responsable de un servidor puede posponer la aplicación de actualizaciones en los siguientes casos: Cuando el sistema no pueda detenerse por ser un sistema crítico y de alta disponibilidad. En este caso el responsable deberá elaborar un cronograma de mantenimiento planificado. Este cronograma será cargado en el historial de actualizaciones. Cuando tenga una política escrita y aprobada por la autoridad competente que así lo disponga. 7. Auditoría. La UAI verificará el cumplimiento de esta norma mediante auditorías periódicas. Sin perjuicio de ello, la Prosecretaría de Informática podrá requerir acceso a los equipos y sistemas cuya seguridad haya sido comprometida y que afecten a la seguridad de sistemas críticos o de la red de datos de la UNC. 8. Cumplimiento. El cumplimiento de esta norma es requisito indispensable para que un equipo o sistema tenga acceso a través de Internet. La Prosecretaría de Informática implementará las reglas necesarias para bloquear el acceso a los equipos que no cumplan con esta norma. 6

7 I. Principios Básicos de la Norma. Esta reglamentación se basa en los principios enunciados por la política de seguridad de la Información en sus secciones 9.1. Requerimientos para el Control de Acceso. y Seguridad de los Servicios de Red. Cada sistema tendrá un responsable designado por el Responsable de la Unidad Organizativa. En los servidores se utilizarán versiones del sistemas operativos para las cuales el proveedor continúe proporcionando actualizaciones de seguridad. El responsable un equipo será el responsable por todas las aplicaciones instaladas en él. El responsable un equipo aplicará las actualizaciones de seguridad sugeridas por el ICIC Cert y por el proveedor del sistema operativo y aplicaciones instaladas. El Responsable de Seguridad Informática definirá el nivel de criticidad y el ámbito de aplicación de las recomendaciones de ICIC Cert. Cada equipo que solicite acceso desde el exterior deberá aprobar las pruebas de seguridad que se le realicen antes de obtener el acceso pedido II. Procedimiento de notificación de las actualizaciones. Las actualizaciones se notificarán por correo electrónico a la cuenta actualizaciones@psi.unc.edu.ar. En el asunto se consignará el nombre (calificado) del servidor y si corresponde el nombre del servicio actualizado En el cuerpo (texto plano) se detallarán los paquetes o aplicaciones actualizados. III. Reportes de actualizaciones. Mensualmente se realizará un reporte automatizado con los siguientes datos que será entregado a la UAI y al Responsable de cada dependencia. Dependencia Servidor Actualizaciones Vulnerabilidades SO Última Seguridad Otras Críticas Medias Bajas actualización IV. Pruebas sobre los equipos. Mensualmente se realizará un test completo de vulnerabilidades con el software openvas. Semanalmente se realizará un test específico sobre las aplicaciones declaradas. 7