ANEXO 11: EJEMPLOS DE PROCEDIMIENTOS Y ESTÁNDARES MÁS USADOS - ESTRATEGIA DE GOBIERNO EN LÍNEA 2.0 Coordinación de Investigación, Políticas y Evaluación Programa Agenda de Conectividad Estrategia de Gobierno en línea República de Colombia - Derechos Reservados Bogotá, D.C., Diciembre de 2011
FORMATO PRELIMINAR AL DOCUMENTO Título: Fecha elaboración aaaa-mm-dd: Sumario: Palabras Claves: ANEXO 11: EJEMPLOS DE PROCEDIMIENTOS Y ESTÁNDARES MÁS USADOS - 2011-12-12 Este documento presenta ejemplos de procedimientos y estándares más usados para la implementación de políticas y normas de seguridad de la información Procedimientos, estándares, políticas, Modelo de Seguridad de la Información, ejemplos Formato: DOC Lenguaje: Español Dependencia: Ministerio de Tecnologías de la información y las Comunicaciones: Programa Agenda de Conectividad Estrategia Gobierno en línea Coordinación de Investigación, Políticas y Evaluación. Código: N/A Versión: 2.0.1 Estado: Aprobado Categoría: Autor (es): Revisó: Aprobó: Información Adicional: Documento técnico Centro de Investigación de las Telecomunicaciones - CINTEL Julio César Mancipe Caicedo Líder de seguridad Estrategia de Gobierno en línea Ana Carolina Rodríguez Rivero Coordinadora Coordinación de Investigación, Políticas y Evaluación Estrategia de Gobierno en línea Firmas: Ubicación: Página 2 de 49
CONTROL DE CAMBIOS VERSIÓN FECHA No. SOLICITUD RESPONSABLE DESCRIPCIÓN 1.0.0 15/12/2010 Equipo de trabajo Extracción de documento de Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea. 2.0.0 30/11/2011 Equipo de trabajo Ajustes según restructuración del modelo 2.0.1 12/12/2011 Equipo de trabajo Aprobado Página 3 de 49
TABLA DE CONTENIDO 1. DERECHOS DE AUTOR... 5 2. INTRODUCCIÓN... 6 3. PROPÓSITO... 7 4. EJEMPLOS DE PROCEDIMIENTOS Y ESTÁNDARES MÁS USADOS DE SEGURIDAD DE LA INFORMACIÓN... 8 4.1. PROCEDIMIENTO DE BACKUP DE SERVIDORES... 8 4.1.1. ANEXO #X FORMATO DE BACKUPS... 11 4.2. PROCEDIMIENTO DE RESTAURACIÓN DE ARCHIVOS... 12 4.2.1. ANEXO #X FORMATO PARA SOLICITAR LA RESTAURACIÓN DE BACKUPS... 12 4.3. PROCEDIMIENTO DE INSTALACIÓN INICIAL DE SISTEMAS Y SERVIDORES... 14 4.3.1. ANEXO #X FORMATO DE HARDENING... 18 4.4. PROCEDIMIENTO DE DADO DE BAJA Y/O RECICLADO DE EQUIPOS... 19 4.4.1. ANEXO #X DADA DE BAJA Y/O RECICLADO DE EQUIPOS... 25 4.5. ESTÁNDAR PARA MANEJO DE CONTRASEÑAS (PASSWORDS)... 26 4.6. ESTÁNDAR PARA ALMACENAMIENTO DE CONTRASEÑAS (PASSWORDS)... 29 4.7. ESTÁNDAR DE CONFIGURACIÓN DE PRIVILEGIOS DE USUARIOS Y ESTACIONES DE TRABAJO... 31 4.8. ESTÁNDAR PARA CONTROLES DE SEGURIDAD EN REDES... 32 4.9. ESTÁNDAR PARA CAPACITACIÓN Y CONCIENTIZACIÓN DE USUARIOS... 33 4.10. ESTÁNDAR PARA AUTENTICACIÓN Y UTILIZACIÓN DE SERVICIOS DE DIRECTORIO... 34 4.11. PROCEDIMIENTO DE CONFIGURACIÓN DE SINCRONIZACIÓN DE RELOJES... 35 SERVIDORES SIN DOMINIO O DOMAIN CONTROLLER... 35 4.12. PROCEDIMIENTO DE MONITOREO DE CONTROLES... 37 4.13. PROCEDIMIENTO PARA GESTIÓN DE VULNERABILIDADES Y ASEGURAMIENTO DE PLATAFORMA... 40 4.14. PROCEDIMIENTO PARA CONEXIÓN DE RED A TERCEROS... 42 4.15. PROCEDIMIENTO PARA LA GESTIÓN DE MEDIOS REMOVIBLES... 44 4.16. PROCEDIMIENTO PARA LA ELIMINACIÓN SEGURA DE INFORMACIÓN DE MEDIOS DE ALMACENAMIENTO... 45 4.17. PROCEDIMIENTO PARA ACTUALIZACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 47 4.18. INSTRUCTIVO DE SEGURIDAD PARA CENTROS DE CÓMPUTO... 48 Página 4 de 49
1. DERECHOS DE AUTOR Todas las referencias a los documentos del Modelo de Seguridad de la Información con derechos reservados por parte del Ministerio de Tecnologías de la Información y las Comunicaciones, por medio del Programa Gobierno en línea. Página 5 de 49
2. INTRODUCCIÓN Como parte del proceso de implementación de políticas de seguridad de la información, en el marco del Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea, se hace necesario que las diferentes entidades planteen procedimientos que se deben cumplir al interior de las mismas. Este documento muestra unos ejemplos particulares de procedimientos y algunos estándares que pueden servir como referencia para que las entidades realicen la respectiva implementación, o para que generen sus procedimientos particulares a partir de las estructuras mostradas. Página 6 de 49
3. PROPÓSITO El propósito de este documento es ofrecer un conjunto de ejemplos de procedimientos y estándares más usados de seguridad de la información para las entidades que proveen servicios para la estrategia de Gobierno en Línea, con el fin de brindar una guía para la generación de procedimientos puntuales y un punto de partida para estructurar los existentes. Página 7 de 49
4. EJEMPLOS DE PROCEDIMIENTOS Y ESTÁNDARES MÁS USADOS DE SEGURIDAD DE LA INFORMACIÓN Los procedimientos y estándares son específicos a las organizaciones y plataformas tecnológicas a las que se aplican. Por esta razón, a diferencia de las políticas que son generales, no es posible definirlos de forma específica y universal. Los capítulos de Procedimientos y Estándares presentados en este documento tienen por objeto, ilustrar algunos ejemplos de procedimientos y estándares generales como modelo a seguir. Los procedimientos y estándares presentados no pueden ser una referencia específica de lo que se debe hacer en una entidad del Estado, ya que los mismos deben desarrollarse e implementarse de acuerdo con las condiciones específicas de cada entidad. 4.1. Procedimiento de Backup de servidores PROCEDIMIENTO DE BACKUP DE SERVIDORES 1. Objetivo: Garantizar copias de respaldo de los datos y archivos de configuración de los diferentes servidores tanto operativos como de aplicaciones de la entidad. 2. Alcance: Este procedimiento aplicará a los siguientes servidores: 1. File Server 2. Itanium. Bases de datos de SQL server de las aplicaciones xxxx 3. Firewall 4. Proxy 5. Desarrollo 6. Xxxxx 3. Responsables: Administrador de servidores, y en su reemplazo el Técnico Administrador de Servidores 4. Secuencia de Eventos: En las noches se deben ejecutar los SCRPITS apropiados, para generar los TARGZ en las máquinas UNIX y LINUX. También en las noches se deben generar las carpetas apropiadas conteniendo la información de las máquinas WINDOWS. En la mañana siguiente, se creará dentro la carpeta Backups del servidor de Copias de Seguridad, una subcarpeta que identifique plenamente el Backup a realizar.ej. NNMMYYYYXXX, donde NN es el número del día (01-31), MM es el número del mes (01-12), YYYY es el año en formato de 4 dígitos (2001, 2017, etc) y XXX es el día de la semana (LUN, MAR. MIER, JUEV, VIER). Dentro de esta Subcarpeta se creará la siguiente estructura: NNMMYYYYXXX Una Subcarpeta para cada servidor al que se le hizo Backup, identificada por el nombre del servidor. 5. Aprobación: Ninguna 6. Prerrequisitos: Una cinta (o el medio que aplique) previamente formateada, o ya utilizada, y debidamente etiquetada, con la siguiente convención: Donde: XXXXX representa YYYYY representa XXXXX-YYYYY-ZZZZZ Página 8 de 49
ZZZZZ representa.. Si el medio de Backup es cinta, antes de iniciarse el Backup se debe garantizar la limpieza de las cabezas de grabación. Estas deben limpiarse cada 30 horas de operación. Rotación de 12 cartuchos 5 dias / 4 semanas / 3 meses Hijo: se asignan x cantidad del medio para back-up total diario [Lun] Padre: se asignan x cantidad del medio para back-up total semanal [Vier] Abuelo: se asignan x cantidad del medio para backup total mensual [Mes] Externos: Se saca una copia adicional el último día del mes y se rotan Lu. Mar. Mié. Jue. Vie. Sáb. Dom Medio: Lun Mar Mier Jue Vier 1 - - Medio: Lun Mar Mier Jue Vier 2 - - Medio: Lun Mar Mier Jue Vier 3 - - Medio: Lun Mar Mier Jue Vier 4 - - Medio: Lun (Mes 1 Mes 2) 1 (Externo 1 Externo 2) 3 1- Sobre el último día hábil del mes 2- Cuando hay un 5to. viernes en el mes 3- Medios que rotan con Almacenamiento Externo - - Vier 5 2 - - El Backup en el disco del Servidor de Copias de Seguridad se debe haber creado la noche anterior. 7. Definiciones: Cuando se habla de medio se hace referencia a xxxxxx (ej. cintas DAT DDS4 de 36/72 GB). 8. Equipo Requerido: Servidor de Copias de Seguridad conectado a la RED y Unidad SCSI externa de Backup en medio (ej. cintas DAT de 36/72 GB). Medio (ej. cartucho de Backup DDS4 de 36/72 GB). 9. Advertencias: EJEMPLOS 1. No reutilizar la cinta de limpieza más de 40 veces 2. No reutilizar un cinta más de 150 veces 3. No esperar a que el LED de limpieza se encienda, limpiar las cabezas cada 30 horas de uso. 4. Siempre verificar cuánto tiempo tomó el Backup, ya que este parámetro es vital para garantizar la limpieza de las cabezas. 5. Se debe verificar la terminación exitosa de TODO Backup 6. Almacenar las cintas fuera del centro de cómputo. 7. Si es el momento adecuado, solicitar el servicio de cambio de cinta 8. Si un día de la semana es festivo, realizar el Backup el siguiente día hábil. 10. Precauciones: Página 9 de 49
1. Para garantizar el correcto desempeño del Servidor de Backups, no mantener en él más de N copias. 2. Diligenciar el formato de Backups relacionado en el anexo # X. 3. Si el Backup no es verificado apropiadamente, repetir todo el proceso de copia a la cinta. 4. Los días que aplique, el Backup de almacenamiento externo debe estar listo de acuerdo a la hora de recogida previamente acordada. 11. Cuerpo del Procedimiento: A través de Scripts automatizados, genere en el servidor de Copias de Seguridad que utilicen la estructura de Backups mencionada en el paso 4, que incluya lo siguiente: Servidor xxxxxx yyyyyyyyyyy X:\aaaaa\bbbbbb\ccccc X:\eeeee\ffffffff\gggggg Servidor zzzzzz wwwwww Ejemplo Todas las bases de datos de SQL (ruta de las bases de datos SQL) Todas las bases de datos de OLAP Directorio z:\ggggg Directorio z:\ffffff Servidor File Server fileserver Copia se seguridad de las bases de datos: Xxxxxxxxx Yyyyyyyyyy Zzzzzzzzz Copia de los documentos xxxxx de los discos: Y:\ bbbbbbb Z:\ eeeeeee Estado del Sistema Ejemplo Directorio Activo Archivos de Inicio Base de Datos del registro de clases COM+ Registro Volumen del Sistema Servidor zzzzzzzz wwwww Base de datos xxxxxxx (ruta de la base de datos) Servidor Correo Administrativo Interno (Exchange) Correo Ejemplo PATH de buzones >> TEKHNE Página 10 de 49
Servidor WEB xxxxxxx (rutas de las carpetas) Servidor DATOS Bases de Datos: (ruta de las bases de datos) Lista de las bases de datos (rutas de otras carpetas) Servidor aplicación xxxxxx Base de Datos: (ruta de base de datos de la aplicación xxxxx) Nombre de base de datos (rutas de otras carpetas) Servidor Firewall Ejemplo /root Servidor Proxy Ejemplo /etc/squid A continuación copie en el medio de Backup (ej. grabe en una cinta) de acuerdo a la política de rotación establecida en el paso 6 la carpeta generada. Verifique la copia Diligencie el Formato de Backups (Anexo X) 4.1.1. Anexo #X Formato de Backups Nombre Cargo Tipo Fecha Cinta ID Hora de Inicio Hora de Finalización Backup Verificado Horas acumuladas Firma Página 11 de 49
4.2. Procedimiento de restauración de archivos PROCEDIMIENTO DE RESTAURACIÓN DE ARCHIVOS 1. Objetivo: Permitir de forma segura y controlada la recuperación de archivos de Backup a los sistemas y datos en producción. 2. Alcance: Este procedimiento aplicará a los siguientes servidores: Ejemplo 1. File Server 2. Itanium. Bases de datos de SQL server de las aplicaciones xxxx 3. Firewall 4. Proxy 5. Desarrollo 6. Xxxxx 3. Responsables: Ejemplo Administrador de servidores, y en su reemplazo el Técnico Administrador de Servidores. 4. Secuencia de Eventos: Reciba debidamente autorizado y diligenciado el formato del Anexo # X. Proceda a realizar la restauración sobre la carpeta apropiada. 5. Aprobación: Ejemplo Director del Departamento solicitante y Director de Sistemas e Informática. De acuerdo al formato del Anexo # X 6. Prerrequisitos: Anexo # X diligenciado y autorizado 7. Definiciones: xxxxxxx 8. Equipo Requerido: Ejemplo Servidor de Copias de Seguridad conectado a la RED y Unidad SCSI externa de Backup en cintas DAT de 36/72 GB. Cartucho de Backup DDS4 de 36/72 GB. 9. Advertencias: Si la restauración es de datos de un sistema de información, éste debe estar fuera de línea antes de iniciar el proceso. 10. Precauciones: Nunca restaurar datos o archivos de un sistema de información en línea. 11. Cuerpo del Procedimiento: Insertar el medio apropiado, elejir los archivos y/o carpetas apropiados, verificar con el Anexo # X en la mano, que la selección sea la correcta y luego iniciar el proceso. Una vez finalizado, verificar que los datos restaurados coincidan con los del medio, registrar fecha y hora de finalización en el Anexo # X. Firmar con VoBo el Anexo # X. Si la verificación de los archivos falla, repetir el proceso, si falla más de tres (3) veces, restaurar un backup anterior e informar tanto a las instancias pertinente (ej. Dirección de Sistemas de Información, Dirección del Departamento solicitante). Registrar el evento en el Anexo # X. 4.2.1. Anexo #X Formato para solicitar la restauración de Backups Ejemplo SOLICITUD MONTAJE DE ARCHIVOS DE BACKUP Página 12 de 49
Datos del Solicitante Nombre y apellidos: Departamento al que pertenece: Datos de la solicitud Motivo para remontar los datos: Archivos o Carpetas a Remontar: Observaciones: Fecha de Solicitud : / / VBo.: Director del Departamento Fecha de Montaje : / / VBo.: Director Sistemas e Informática Página 13 de 49
4.3. Procedimiento de instalación inicial de sistemas y servidores PROCEDIMIENTO DE INSTALACIÓN INICIAL DE SISTEMAS Y SERVIDORES 1. Objetivo: Desarrollar un proceso para implementación de nuevos sistemas que permita que estos arranquen seguros en producción. Por lo general las organizaciones que carecen de este proceso cometen el error de llevar a producción sistemas que no están correctamente parchados, que tienen aplicaciones, usuarios o procesos que no son requeridos, los mismos que se convierten en un alto riesgo de seguridad para las organizaciones. 2. Alcance: Cada sistema nuevo que se ponga en producción, debe seguir una serie de pasos importantes y críticos que permitan reducir el riesgo de compromiso, aligeren el proceso de administración de los mismos a futuro y permitan a la organización el cumplimiento de la norma o normas adoptadas en forma continua. Se debe recordar que para el cumplimiento dichas normas, el proceso deberá estar respaldado con los procedimientos adecuados y se deberá generar la documentación necesaria sin la cual el sistema no será aprobado en un proceso de auditoría. (Estándares de configuración, plantilla de revisión, entregables, etc.) 3. Responsables: Ejemplo Administrador de servidores, y en su reemplazo el Técnico Administrador de Servidores 4. Secuencia de Eventos: Página 14 de 49
5. Aprobación: (aquí se debe describir la aprobación que aplique a la entidad) 6. Prerrequisitos: Sistema nuevo o reinstalado antes de entrar a producción 7. Definiciones: Hardening El proceso de Hardening se usa para asegurar un sistema reduciendo su potencial de ser vulnerado. Por la naturaleza de operación, mientras más funciones cumplen Página 15 de 49
los sistemas, aumenta su potencial de compromiso y su número de vulnerabilidades. Esto explica que los estándares de seguridad (ISO27001, entre otros) soliciten claramente que los sistemas solo cumplan una función (máximo dos si esto es justificado) y que en los mismos se reduzcan los posibles vectores de ataque al remover todas las funciones (aplicativos, programas, etc.), servicios (demonios, puertos, etc.) y usuarios (administradores, superusuarios, regulares, etc) que no sean específicamente requeridos por la función. El Hardening de los sistemas por lo general es específico para cada plataforma y para esto se debe contar con plantillas y documentación generada por los proveedores o fabricantes de los sistemas. Sin embargo, el Hardening de los mismos en su base, es un proceso genérico y puede instituirse y debe implementarse para los que requieren realizar el cumplimiento de distintas normas de seguridad. 8. Equipo Requerido: Sistema nuevo o reinstalado antes de entrar a producción. 9. Advertencias: 1. Realizar pruebas de funcionalidad antes de poner el equipo en producción. 2. Los dueños de las aplicaciones deben dar su aprobación 3. Los usuarios de las aplicaciones deben dar su aprobación 10. Precauciones: 1. Nunca realizar este procedimiento sobre servidores vivos... 2. Si el equipo ya está en producción planear una ventana de mantenimiento y realizar un Backup completo 3. Siempre realizar pruebas 11. Cuerpo del Procedimiento: Instalación Inicial del sistema: En el servidor "nuevo", realizar la instalación del sistema operativo a utilizar, recordando que desde el inicio deberá considerara el cambio de contraseñas y configuraciones de fábrica (requerido por las normas), cualquier cambio debe documentarse en una Hoja de Vida del servidor. Remover el software innecesario: Luego de terminar con la instalación del sistema operativo, el primer paso es remover cualquier software que se haya instalado en el sistema (como parte de un paquete predeterminado) y que no sea requerido para la función única del mismo. Ejemplo: En un servidor de archivos no va a requerir un servicio Web o un controlador de dominio un programa de oficina (Word, Excel, Acrobat Reader), como norma general si no lo requiere no debe existir. Remover o deshabilitar los usuarios innecesarios: Los sistemas operativos por lo general configuran usuarios de distintos tipos, si estos no son requeridos deben ser eliminados, si no pueden ser eliminados se deben inactivar (por ejemplo usuario "invitado"). Adicionalmente, es recomendable renombrar usuarios como el Administrador. Recordar siempre cambiar las contraseñas establecidas en la configuración predeterminada Remover o deshabilitar los servicios innecesarios: De la misma forma, se debe remover todo servicio innecesario del sistema si éste no es explícitamente requerido por la función del servidor. Si no es posible removerlos, Página 16 de 49
se deben deshabilitar, pero es necesario recordar que siempre permanece latente el riesgo de que sean activados por error o como parte de un ataque. Aplicar todos los parches necesarios al sistema operativo: Realizados los pasos anteriores, es momento de aplicar todos los parches de seguridad y de sistema que ha publicado el fabricante. Adicionalmente en este momento es cuando se pueden aplicar los procesos de Hardening recomendados por los fabricantes del sistema, los mismos que contemplaran varias tareas adicionales a las ya mencionadas. Instalar aplicaciones requeridas: Una vez que el sistema base ya está instalado y endurecido, es el momento de instalar los aplicativos y funciones de terceros en el sistema. En este caso se deben considerar los pasos anteriores como un subproceso de Hardening, removiendo todos las funcionalidades no requeridas por la aplicación, cambiando las configuraciones y contraseñas de fabrica y aplicando recomendaciones de Hardening del fabricante (Ej. Instalación de Oracle) Aplicar los parches a las aplicaciones: Realizados estos pasos se deberá aplicar todos los parches de seguridad y de aplicación recomendados por el fabricante. Ejecutar aplicación de detección de vulnerabilidades: Este punto es muy importante ya que aun que se haya realizado a conciencia todos los pasos anteriores, una buena herramienta de identificación de vulnerabilidades nos ayudara a identificar problemas aun ocultos, los cuales deberán ser corregidos de forma apropiada y en los casos en los que no exista solución, se deberá contemplar, la implementación de controles adicionales. Este paso requerirá de documentación adicional y del establecimiento de una política de revisión de vulnerabilidades en forma trimestral. Certificar el sistema para los estándares de la entidad: En este punto, se deberán revisar las consideraciones referentes a los requerimientos de la organización, es necesario que se establezca una lista de revisión que contemple cada uno de los requerimientos de la norma o normas utilizadas o establecidas que afecten a los sistemas en producción. Ejemplo: Contraseñas de no menos de 10 caracteres, funciones adicionales eliminadas, configuración correcta del sistema de LOGS, monitorización de usuarios administradores, instalación de antivirus, etc. Entrada en producción: Por último con el sistema endurecido y certificado para entrar en producción se deberá entrar en el proceso de paso a producción tomando en cuenta las consideraciones respectivas que son parte de cualquier implementación. Diligencie el Formato de Hardening (Anexo X) 12. Referencias: Ejemplo A Process Checklist for System Hardening http://information-security-resources.com/2009/10/20/a-process-checklist-for- Página 17 de 49
system-hardening/ 4.3.1. Anexo #X Formato de Hardening Nombre Cargo Fecha Servidor Pruebas realizada Dueño de la aplicación aprueba Usuario aprueba Firma Página 18 de 49
4.4. Procedimiento de dado de baja y/o reciclado de equipos PROCEDIMIENTO DE DADO DE BAJA Y/O RECICLADO DE EQUIPOS 1. Objetivo. Desarrollar un procedimiento que garantice que al dar de baja y/o reciclar un equipo de cómputo, la información previamente almacenada sea efectivamente destruida. 2. Alcance: Los equipos que se den de baja o se reciclen pueden contener información confidencial susceptible de ser recuperada por los nuevos propietarios. Esto aplica a computadores completos, discos duros, unidades de cinta y en general a cualquier medio de almacenamiento secundario. Antes de dar de baja un equipo o una parte, es responsabilidad de la dirección de sistemas garantizar que no hay información recuperable en dicha máquina o parte. En el Anexo a este procedimiento, se incluyen consideraciones sobre borrado de archivos y disposición de equipos. 3. Responsables: Ejemplo Administrador de servidores, y en su reemplazo el Técnico Administrador de Servidores, Soporte técnico, Almacén. 4. Secuencia de Eventos: 1. Determinar la necesidad de baja y/o reciclado del equipo 2. Considerar la aplicación de este procedimiento para equipos en préstamo o reparación 3. Considerar la aplicación de este procedimiento para medios de almacenamiento removibles. 4. Preservación de los datos originales si aplica 5. Destruir los datos en los equipos en cuestión. 5. Aprobación: Antiguo dueño del equipo y/o encargado de la baja o reciclado del equipo. 6. Prerrequisitos: Sistema a reciclar o dar de baja 7. Definiciones: Dar de baja un equipo: Sacar de producción, por daño, deterioro u obsolescencia tecnológica, un computador, disco duro y/o medio de almacenamiento removible. El equipo en cuestión, NO SERÁ utilizado más en la organización. El destino final es: La basura, o la venta (a un usuario o por chatarra) Reciclado de un equipo: El equipo en cuestión se ASIGNA a un usuario diferente, y permanece operativo dentro de la entidad. 8. Equipo Requerido: : Sistema a reciclar o dar de baja 9. Advertencias: 1. Obtenga aprobación del "dueño" del equipo 2. Realice Backup 3. En el caso de que el equipo en cuestión deba reemplazarse, asegúrese de tener listo e instalado el "nuevo equipo" 4. Obtenga el visto bueno de la instancia adecuada (ej. encargada de activos fijos) 10. Precauciones: 1. Pérdida de información valiosa puede presentarse si no se realiza un Backup completo de la información en el equipo en cuestión 2. Este backup debe verificarse 3. Si se está reemplazando un equipo productivo, instale el nuevo equipo y obtenga el visto bueno del dueño ANTES de destruir la información del Página 19 de 49
equipo en cuestión 11. Determinación de dada de baja o reciclado de equipos El área autorizada, tomará la decisión de dar de baja y/o reciclar el equipo. Esto debe ser informado a la dirección de sistemas para que esta inicie el proceso de destrucción de datos asociado. Preservación de los datos originales De acuerdo con las políticas de preservación y retención de datos de la organización, se debe realizar un Backup de los discos duros y/o medios de almacenamiento del equipo en cuestión Medios removibles TODOS los medios removibles de los equipos en cuestión deben ser destruidos y/o borrados de forma segura, antes de su dada de baja y/o reciclaje. Tenga en cuenta el punto anterior, sobre la preservación de datos originales. Equipos en préstamo o en reparación Consideraciones similares deben tenerse en cuenta cada vez que un equipo sale de la entidad, ya sea con destino a reparaciones, mantenimiento y/o garantía, o como préstamo a un funcionario y/o entidad externa. Si existen equipos "comunales" (que se utilizan de forma sistemática por un grupo de usuarios) se deben definir políticas y procedimientos para asegurar que no se deje información confidencial en ellos, entre usuario y usuario. Consideraciones para la destrucción de datos en medios de almacenamiento El área autorizada, tomará la decisión de dar de baja y/o reciclar el equipo. Esto debe ser informado a la instancia correspondiente de gestión de tecnología (ej. dirección de sistemas) para que esta inicie el proceso de destrucción de datos asociado. 1. Recuerde que cuando borra datos de forma normal estos son enviados a la papelera de reciclaje o su equivalente. En realidad en ningún sistema operativo comercial actual, los datos son sobrescritos y/o eliminados de forma segura. 2. Aún si utiliza la estrategia de no enviar a la papelera con SHIFT SUPR (para Windows), lo único que hace es borrar la entrada principal de la tabla de archivos, pero los datos todavía siguen en el disco INTACTOS. Cuando borramos un archivo, en realidad lo que hacemos es indicarle al sistema operativo que lo marque como borrado y que su espacio en el disco pase a ser reutilizable, los datos en realidad continúan en el disco en su forma original. 3. De la misma forma, formatear un disco no siempre borra los datos. Con el fin de hacer la operación lo más breve posible, en muchas ocasiones sólo se rescriben las cabeceras de los sectores del disco. 4. Si los datos son altamente sensibles y usted desea borrar archivos o grupos de archivos, SOBREESCRIBA LOS ARCHIVOS. Utilice una herramienta que recorra el archivo (físicamente y sector por sector) y escriba ceros o blancos ENCIMA DE EL. Una herramienta gratis que realiza esta labor es PGP (ver Anexo) 5. Si va a dar de baja un disco duro, o va a vender o desechar el computador completo, la única alternativa es realizar un FORMATEO FÍSICO del disco duro. No es igual al Format de DOS (aún con /U) o a formatearlo desde Windows. Página 20 de 49
Implementación Diligencie el Formato de Dada de Baja y/o Reciclado de Equipos (Anexo 1) 12. Referencias: Ejemplo Herramientas y estrategias para borrado seguro de datos. Tomado de http://tecnologiaslibres.net/2009/02/17/borrado-correcto-de-la-informacioncontenida-en-los-discos-rigidos/ Limpieza total del disco Todas las plataformas Darik s Boot and Nuke Una utilidad Open Source de disco de arranque (es decir: funciona en casi cualquier ordenador) soporta una amplia variedad de métodos de limpieza de disco y opera desde el interior de la RAM del ordenador, lo que le permite un borrado de disco a fondo. Limpieza selectiva de archivos Windows Wipe File Aplicación portable que sobreescribe un espacio especifico de disco ocupado por el archivo que desea borrar y deja el resto del disco intacto. DeleteOnClick Se integra con el menú contextual de Windows, agregando un Borrar con seguridad a la opción del menú del click derecho según norma del Departamento de Defensa 5220.22-M en la sobreescritura de archivos. Eraser Además de la supresión de los archivos de forma segura, Eraser se puede programar para realizar sobreescritura en el espacio de disco vacío garantizando el borrado de archivos huérfanos fuera del alcance de Windows. Limpieza selectiva de archivos Mac OS X Permanent EraserAunque los usuarios de Mac han tenido la opción de vaciado seguro de basura, basado en un método de múltiples pases del Departamento de Defensa de EE.UU, desde la versión OS 10.3, Permanent Eraser ofrece tranquilidad para los que necesitan más garantías. Limpieza selectiva de archivos -Linux (Ubuntu) Wipe Package de Ubuntu Unleashed Agrega una segura eliminación de múltiples pases a su archivo con el menú del click derecho, al igual que la mencionada DeleteOnClick en Windows. El método de destrucción física del disco Hay muchas formas de dañar físicamente un disco duro para asegurar los datos, desde una cuidadosa disección hasta darle de martillazos. Página 21 de 49
El objetivo final es hacer que el disco quede inoperable o severamente fragmentado y dañado. Ciertos esfuerzos forenses pueden dar una gran cantidad de recursos para ensamblar la unidad en su conjunto. Pero la mejor protección de datos está en el tiempo que tomemos para destruirlos y dejarlos inoperables.un taladro que atraviese el disco nos tomara unos pocos minutos, pero un buen trabajo con una sesión de 10 minutos con un martillo y unas tijeras pueden hacer maravillas, todo esfuerzo que se tome para destruirlo agregara un poco más de seguridad. Nunca se es demasiado cuidadoso con los datos. La cantidad de esfuerzo que se necesita para limpiar bien un disco o desmantelarlo por destrucción física no es nada en comparación con el tiempo y los dolores de cabeza que tendrá si sufre un robo de identidad o problemas de confidencialidad a causa de los datos que quedaron en el disco. Anexo Archivos Y PGP Una de las principales aplicaciones de PGP es el de encriptar nuestros ficheros y el borrado seguro de los mismos. Encriptar ficheros es necesario tanto para almacenarlos en nuestro PC como para enviar ficheros adjuntos en nuestros correos. La opción más sencilla para encriptar (es válida para el resto de opciones) un fichero es hacerlo mediante el explorador de windows. Para ello nos situamos con el cursor encima del fichero o carpeta que queramos encriptar (o firmar, verificar, desencriptar...) y pulsando sobre él con el botón derecho del ratón nos aparecerá un menú desplegable. Escogemos la opción PGP y en el menú que nos aparecerá elegimos la opción que queramos aplicar. En este caso vamos a encriptar un mensaje Página 22 de 49
Una vez le seleccionamos la opción de encriptar, nos aparecerá un nuevo cuadro de dialogo para elegir la forma y la clave pública del destinatario. Las opciones son las siguientes: Text Output. Esta opción solo es necesaria para enviar ficheros adjuntos a un correo, en aras de compatibilidad con algunos clientes antiguos de correo Wipe Original. Al marcar está opción, cuando PGP genera el fichero cifrado, borra el original (de forma segura). Si no se marca, tendremos tanto el original como el cifrado Conventional Encryption. Con ésta opción lo que haremos es cifrar nuestro fichero. El fichero quedará protegido mediante una Frase Clave que nos pedirá que le indiquemos. Self Decrypting Archive. Esta opción genera el fichero cifrado de forma que pueda ser desencriptado directamente. Es muy útil para enviar ficheros a otras personas que no tienen PGP Página 23 de 49
Cómo es un fichero que quiero guardar seguro en mi computador, yo voy a utilizar las opciones de Wipe Original y Conventional Encryption. Me aparece pues un nuevo cuadro de dialogo pidiéndome que le escriba una frase clave y que la confirme. Pulsamos OK y ya tenemos encriptado nuestro fichero Como se puede comprobar, la extensión del fichero ha cambiado y ahora es necesario desencriptarlo para usarlo. Página 24 de 49
Para desencriptar el fichero solo tenemos que pulsar dos veces sobre el y nos aparecerá un cuadro de dialogo preguntándonos por la frase clave (también se pueden seguir los pasos citados anteriormente pero en vez de las opciones de Encriptar, nos aparecerán las opciones para desencriptar. Otra funcionalidad muy interesante es la de borrado seguro de ficheros. Cuando normalmente eliminamos un fichero, este va a la papelera de reciclaje y posteriormente cuando vaciamos la papelera "en teoría" el fichero se borra. Pero eso no es así, realmente el fichero o partes de él siguen existiendo físicamente en el Disco Duro y con programas adecuados se pueden recuperar. PGP provee una funcionalidad (cada vez que hemos citado Wipe en éstos artículos) que hará que el contenido de nuestros ficheros no puedan ser recuperados. Siguiendo los pasos descritos anteriormente en éste anexo podremos realizar ésta operación (seleccionar fichero, botón derecho del ratón, Seleccionar PGP, Wipe) 4.4.1. Anexo #X Dada de Baja y/o Reciclado de Equipos Nombre Cargo Fecha Equipos Backup Verificado Borrado TOTAL de datos antiguos Usuario anterior aprueba recuperación de datos Firma "dueño" de los datos Visto bueno Almacén Página 25 de 49
4.5. Estándar para manejo de contraseñas (passwords) Se debe tener en cuenta los siguientes consejos: a. No utilizar contraseñas que sean palabras (aunque sean extranjeras), o nombres (el del usuario, personajes de ficción, miembros de la familia, mascotas, marcas, ciudades, lugares, u otro relacionado). b. No usar contraseñas completamente numéricas con algún significado (teléfono, C.C., fecha de nacimiento, placa del automóvil, etc.). c. Elegir una contraseña que mezcle caracteres alfabéticos (mayúsculas y minúsculas) y numéricos. d. Deben ser largas, de 6 caracteres o más. e. Tener contraseñas diferentes en máquinas diferentes. Es posible usar una contraseña base y ciertas variaciones lógicas de la misma para distintas máquinas. f. Deben ser fáciles de recordar para no verse obligado a escribirlos. Algunos ejemplos son: i. Combinar palabras cortas con algún número o carácter de puntuación: soy2_yo3 ii. Usar una sigla de alguna frase fácil de recordar: A rio Revuelto Ganancia de Pescadores iii. iv. Añadir un número al acrónimo para mayor seguridad: A9r7R5G3d1P Mejor incluso si la frase hanhomc v. Elegir una palabra sin sentido, aunque pronunciable: tachunda72, AtajulH, Wen2Mar. vi. Realizar reemplazos de letras por signos o números: En Seguridad Más Vale Prevenir que \/Pq<. Buenas Contraseñas Una buena contraseña debe: Tener mayúsculas y minúsculas. Tener dígitos y/o símbolos de puntuación. Página 26 de 49
Es fácil de recordar y por eso no hay que escribirla. Tiene al menos 8 caracteres de largo, o 12 si es de servidores o equipos. Puede ser escrito (digitado) de forma rápida, de tal manera que nadie pueda seguir con la vista las teclas oprimidas. Nunca Utilice información personal en una contraseña. 1. Utilice palabras que estén en un diccionario o enciclopedia común. 2. Utilice su mismo nombre de usuario. 3. Utilice el nombre su colegio, universidad, iglesia, o alguna agremiación conocida. 4. Utilice el nombre o sigla de su entidad, ni nada relacionado con la misma 5. Utilice secuencias de teclas predecibles o encontradas en el teclado. Ej. 123456789, qwertyuiop, asdfghjklñ, abcdefghijk, etc. 6. Utilice secuencias de letras o caracteres únicos. Ej. 1111111, aaaaaaaa, BBBBBBB 7. Utilice secuencias alternadas de pocos caracteres. Ej. asasas, aaaabbcc, 123aBC, etc. 8. Utilice alguna de las anteriores en relación con un familiar, esposa, hijos, etc. 9. Utilice alguna de las anteriores escrita al revés. Reglas obligatorias para el manejo de contraseñas Los sistemas operativos deben regular las siguientes características en la escogencia de contraseñas: 1. Mínimo 8 caracteres de longitud para estaciones de trabajo. 2. Mínimo 12 caracteres de longitud para servidores, equipos activos de red, dominios, etc. 3. Se deben cambiar cada 4 meses para estaciones de trabajo. 4. Se deben cambiar cada 2 meses para servidores, equipos activos de red, dominios, etc. Página 27 de 49
5. No se pueden reutilizar antes de 6 cambios para estaciones de trabajo. 6. No se pueden reutilizar antes de 12 cambios para servidores, equipos activos de red, dominios, etc. Página 28 de 49
4.6. Estándar para almacenamiento de contraseñas (passwords) ALMACENAMIENTO DE CONTRASEÑAS DE MISIÓN CRÍTICA Cada sistema, dominio, grupo de equipos activos de red, dispositivo de seguridad, control o calidad de servicio, o en general, cualquier máquina, grupo de máquinas, o colección de las mismas, debe tener un solo administrador supremo. De ser necesario accesos paralelos por parte de otros miembros de del grupo de gestión de tecnología, deben crearse cuentas alternas con privilegios limitados. El NO cumplir esta directriz, pone en riesgo todos los procesos de auditoría y control que generalmente se basan en el nombre de usuario. Pero si existe un solo administrador supremo, los riesgos de perder la contraseña suprema en la eventualidad de un accidente, disputa, muerte, u olvido del mismo por parte de dicho administrador, son enormes, por esto se hace necesario el almacenamiento seguro de las contraseñas supremas. Cada vez que el administrador supremo cambie la contraseña, ésta debe ser escrita en una hoja de papel, en caracteres de imprenta, distinguiendo de forma suficiente mayúsculas de minúsculas, símbolos de puntuación y caracteres no estándares. Introduciéndola en un sobre opaco que debe ser sellado y etiquetado, indicando qué contraseña es y a qué sistemas o equipos protege, y entregado al funcionario correspondientes (ej. Director de Infromática) para su almacenamiento en caja fuerte. Tenga en cuenta las siguientes recomendaciones: 1. Limite el acceso de las contraseñas almacenadas en caja fuerte al funcionario correspondiente (ej. Director Informática) o a un grupo de mínimo dos (2) funcionarios de alto nivel. Siempre debe estar presente un miembro de auditoría (interna, o externa si existe y la interna no está disponible). El orden mencionado debe ser respetado, es decir, si se necesita de forma urgente una contraseña almacenada, el primero en optar por el acceso, es el funcionario de mayor nivel (ej. Director de Informática), debidamente acompañado de un miembro de auditoría; en segundo lugar está el funcionario de nivel inmediatamente inferior, por supuesto acompañado de un miembro de auditoría. El tercer lugar es para el grupo de funcionarios alterno. En este caso, si existe, es necesario que esté presente la auditoría externa. 2. Cada vez que la o las contraseñas supremas sean cambiadas, se debe actualizar el almacenado en la caja fuerte. Y debe ser destruido el anterior. 3. Si en algún momento se debe recuperar una contraseña almacenada en caja fuerte, el nuevo administrador supremo debe cambiarla de inmediato, y almacenar la nueva contraseña en la caja fuerte con el procedimiento antes mencionado. 4. TODAS las contraseñas necesarias para una recuperación total de la entidad, deben ser almacenados en caja fuerte siguiendo los pasos anteriores. 5. Pruebe el procedimiento de forma regular. Página 29 de 49
6. Audite esporádicamente el cumplimiento del mismo. Página 30 de 49
4.7. Estándar de configuración de privilegios de usuarios y estaciones de trabajo El usuario de una estación de trabajo, no podrá: 1. Habilitar o deshabilitar programas instalados en la misma. Esto hace especial referencia al sistema antivirus. 2. Instalar o desinstalar programas. En la eventualidad de que el usuario necesite un programa diferente a los instalados por defecto en su computador, éste deberá solicitar este servicio a la instancia correspondiente (ej. Dirección de Informática). Esto aplica también a los programas de agendas digitales, sincronización con portátiles, dispositivos de MP3 (I-PODS), etc. 3. Solicitar la instalación de programas que reemplacen los acogidos como oficiales de la entidad, sin importar o no si estos son de dominio público o licencia libre (GPL, GNU). Por ejemplo: Un usuario nunca podrá solicitar la instalación de un cliente de correo Eudora en reemplazo de Outlook Express. 4. Cambiar su contraseña antes de haberse cumplido la vigencia de la misma especificada en el estándar de contraseñas. Si por un compromiso de seguridad el usuario necesita realizar este cambio antes de tiempo, debe solicitar a la instancia correspondiente (ej. Dirección de Informática) ayuda para realizar esta tarea. 5. Tener acceso al Setup de la máquina, para esto la instancia correspondiente (ej. Dirección de Informática) deberá realizar una apropiada administración de las contraseñas de acceso al Setup. El usuario de una estación de trabajo, deberá contar con: 1. Actualización permanente (automática o manual) del programa de Antivirus. 2. Actualización permanente (automática o manual) de las actualizaciones de seguridad (parches y Service Packs) 3. Posibilidad de ubicar sus archivos coyunturales en un servidor corporativo de archivos, con el fin de garantizar un Backup de los mismos de forma automática y transparente para él. El espacio asignado (Disk Quota) en dicho servidor dependerá de las necesidades justificadas de cada usuario. 4. Acceso permanente a su carpeta personal dentro del servidor corporativo de archivos. 5. Atención permanente de la línea de Help Desk o el mecanismo de soporte existente en la entidad. Página 31 de 49
4.8. Estándar para controles de seguridad en redes Se debe implementar controles de seguridad para las redes, con el fin de garantizar una interconexión fácil y eficiente, a la vez que se proteja la información y los recursos computacionales de la entidad. Se debe implementar sistemas de defensa basados en capas, teniendo en cuenta las siguientes: Perímetro (conexión a redes inseguras, típicamente Internet) Acceso a servidores y servicios de red, con autenticación, autorización y contabilización (AAA) Máquinas de Usuarios (login con nombre de usuario - UserName y contraseña) Dentro de las tecnologías que deben considerarse se encuentran: Tecnologías de Firewalls Detectores / Preventores de Intrusos (IDS/IPS) Acceso a dispositivos de red y plataformas compartidas Implementación de Zonas Desmilitarizadas (DMZ s) para servicios y servidores públicos Redes inalámbricas aseguradas (con encripción fuerte y autenticación) Página 32 de 49
4.9. Estándar para capacitación y concientización de usuarios Las entidades deben promover la concientización y capacitación de sus usuarios en materia de Seguridad de la Información, en TODO lo relacionado con riesgos informáticos y medidas tendientes a minimizar dichos riesgos. TODO aquel que se conecte a Internet DEBE saber qué riesgos inherentes se derivan de dicha conexión. La barrera más débil de cualquier sistema de seguridad es el usuario, por lo tanto es necesario que tanto los funcionarios del área de gestión de tecnología, como el personal de soporte, conozcan y promuevan las medidas básicas de concientización sobre riesgos informáticos, mientras le indican al usuario final las prevenciones a tener en cuenta. De ser posible, se debe implementar la trazabilidad de las acciones de los usuarios, con el fin de poder AUDITAR las mismas de acuerdo a la política corporativa. Hay que recordar que la auditoría es la única manera de saber que está pasando realmente, y poder tomar medidas correctivas a tiempo. Algunas de las buenas prácticas que se deben seguir incluyen: Bloquear las estaciones desatendidas Cambios periódicos de contraseñas Utilización de contraseñas adecuadas NO compartir contraseñas Política de escritorios limpios Algunos temas sugeridos para concientización son: Reporte de incidentes El hecho de que hay auditoría implantada sobre las acciones de los usuarios Compromisos legales y contractuales de confidencialidad y responsabilidad por parte del usuario. La propiedad de la información Requerimientos corporativos sobre contraseñas Políticas de uso aceptable de Intenret y Correo, así como de los recursos computacionales. Propiedad intelectual de creaciones, trabajos y desarrollos Página 33 de 49
4.10. Estándar para autenticación y utilización de servicios de directorio La utilización de autenticación para accesos a servicios de directorio y/o recursos compartidos es de carácter obligatorio. Con esta medida se busca garantizar la utilización de los recursos solo de acuerdo al perfil del usuario, y la NO REPUDIACIÓN de la utilización servicios y/o transacciones realizadas. También garantizan la posibilidad de monitoreo, trazabilidad y auditoría de las acciones de los usuarios de forma unívoca. El acceso a los sistemas coyunturales, de ser posible a TODOS los sistemas, debe protegerse de forma robusta, esto es incluyendo al menos dos de los siguientes métodos de autenticación: 1. Conocimiento: El usuario tiene conocimiento de algo (por ejemplo: una contraseña), ALGO QUE SABE 2. Posesión: El usuario posee un objeto (por ejemplo: una tarjeta o un Token), ALGO QUE TIENE 3. Característica: El usuario tiene una característica que puede ser verificada (por ejemplo: una de sus huellas dactilares) ALGO QUE ES Página 34 de 49
4.11. Procedimiento de configuración de sincronización de relojes En esta sección se incluyen los pasos a seguir para la configuración de sincronización de tiempo en los servidores Windows y UNIX. PROCEDIMIENTO DE BACKUP DE SERVIDORES 1. Objetivo: Garantizar la sincronización de relojes para los equipos de la entidad. 2. Alcance: Este procedimiento aplicará a los siguientes servidores: 1. Servidores windows, 2. linux y unix 3. Responsables: Administrador de servidores, y en su reemplazo el Técnico Administrador de Servidores 4. Cuerpo del procedimiento: Para los servidores Windows se deben considerar dos situaciones diferentes. La primera a los servidores que no pertenecen a un Dominio o que son Domain Controller, y la segunda a los servidores que pertenecen a un Dominio. Servidores sin Dominio o Domain Controller Esta categoría de servidores se debe configurar el servicio de sincronización de tiempo para que se sincronice desde una fuente externa. Para el caso de Colombia, la fuente externa debe ser con la Superintendencia de Industria y Comercio (SIC) que cuenta con la hora legal colombiana. Para realizarlo, se deben seguir los siguientes pasos: Abra una ventana de comandos (cmd.exe). Ejecute el comando: w32tm /config /syncfromflags:manual /manualpeerlist:"ip1 IP2 IP3" Luego, ejecute el comando: w32tm /config /update Servidores en el Dominio. Esta categoría de servidores no necesitan configuración adicional, simplemente con agregarlos a un Dominos, estos se actualizan directamente con el Domain Controller. Si por alguna razón se requiere actualizar de forma manual la hora de un servidor Página 35 de 49
del domino, se debe ejecutar el comando w32tm /resync en una ventana de comandos. Servidores UNIX AIX Los servidores UNIX requieren ser configurados con un servidor NTP para la sincronización de la hora. Para este caso, deben ser configurados con los servidores de la SIC. A continuación se debe ejecutar lo siguiente en una ventana de comando: ntpdate IP1 Edite el archivo /etc/ntp.conf y agregue las siguientes líneas: server IP1server IP2 server IP3 driftfile /etc/ntp.drift tracefile /etc/ntp.trace smitty xntpd y seleccione la opción de iniciar al reiniciar y ahora. Se debe esperar por 10 minutos. Ejecutar el comando lssrc -ls xntpd este debe mostrar un valor diferente al 16. Si el valor obtenido es 16 se deben repetir los pasos. Página 36 de 49
4.12. Procedimiento de monitoreo de controles. PROCEDIMIENTO DE MONITOREO DE CONTROLES 1. Objetivo: Establecer las actividades que permitan realizar el monitoreo de los controles especificados en las políticas de seguridad de la información. 2. Alcance: Este procedimiento aplicará a todos los controles 3. Responsables: oficial de seguridad de la información 4. Cuerpo del procedimiento: No. ACTIVIDAD DESCRIPCION RESPONSABLE REGISTRO 1 Realizar cronograma monitoreo el de Se debe definir un cronograma de revisión anual, para que cada control establecido en las políticas de seguridad, sea verificado. OFICIAL DE SEGURIDAD DE LA INFORMACIÓN N/A 2 Ejecutar cronograma el Se ejecuta mensualmente cada actividad definida en el cronograma, para lo cual se puede seguir lo establecido en el GTO-IT-XXX- MONITOREO. Se desarrolla un informe con este resultado. OFICIAL DE SEGURIDAD DE LA INFORMACIÓN 3 Identificar acciones de mejora Para los controles que no se encuentren implementados o no estén operando, se deben establecer las acciones de mejora (preventivas o correctivas), siguiendo el procedimiento CI-PR- OFICIAL DE SEGURIDAD DE LA INFORMACIÓN N/A Página 37 de 49
005-ACCIONES CORRECTIVAS PREVENTIVAS. y ACTIVIDAD DE MONITOREO Verificación de actividades de contacto con autoridades y con grupos especiales en temas de seguridad de la información. Verificar la implementación y la actualización de la estrategia de seguridad. Verificar la gestión sobre la capacidad de los sistemas de información y la aceptación de la misma. Verificar los controles implementados respecto a código ejecutado y/o almacenado en los activos de información de la Entidad Verificar los controles generados para el código que es transmitido a los afiliados y/o entidades durante la prestación de un servicio a través del portal Web. Verificar el uso y la ejecución de los procedimientos de backup de los activos de información de la entidad. Verificar la información de los logs de auditoría. Verificar procedimientos para creación de usuarios; administración de privilegios, contraseñas y revisión de derechos de acceso Verificar los controles implementados sobre la red de acuerdo a la clasificación de la información involucrada. Verificar el control de acceso a la información y los recursos de la Entidad Verificar controles en el procedimiento para mantener software aplicativo de la Entidad. Verificar que las diferentes dependencias de la Entidad ejecuten sus procedimientos teniendo en cuenta la normatividad vigente en temas de seguridad de la Entidad. Verificar los controles de cifrado implementados Verificar implementación de controles en aplicaciones desarrolladas Página 38 de 49
MONITOREO DE SEGURIDAD EN AREAS SEGURAS Verificar el cableado Mantenimiento de los Equipos Protección y Ubicación de los Equipos Controles físicos de ingreso Retiro de Equipos de las Instalaciones Trabajo en áreas seguras Página 39 de 49
4.13. Procedimiento para gestión de vulnerabilidades y aseguramiento de plataforma PROCEDIMIENTO PROCEDIMIENTO DE GESTIÓN DE VULNERABILIDADES Y ASEGURAMIENTO DE PLATAFORMA 1. Objetivo: Identificar vulnerabilidades en los activos de información de la entidad y reducir su exposición a ataques internos o externos. 2. Alcance: Este procedimiento aplicará a todos los sistemas y activos con vulnerabilidades 3. Responsables: Administrador de servidores, y en su reemplazo el Técnico Administrador de Servidores 4. Definiciones: Protocolos: Conjunto de reglas que especifican el intercambio de datos u órdenes durante la comunicación entre los sistemas. Puertos: Es la interfaz a través de la cual se puede enviar y recibir información. Vulnerabilidad: Es una debilidad en un sistema permitiendo a un atacante violar la confidencialidad, integridad, disponibilidad, control de acceso y consistencia del sistema, de sus datos y aplicaciones. La catalogación de las vulnerabilidades acorde a su criticidad es: 5. Cuerpo del procedimiento: ACTIVIDAD DESCRIPCION Generar el requerimiento de Cambio Ejecución de Pruebas de Vulnerabilidades Internas y Externas Se debe generar un requerimiento de cambio para definir el ambiente en el que se van a ejecutar las pruebas, esto incluye, dirección IP, segmento de red, horario en el que se van a ejecutar, alcance y activos de información, siguiendo el procedimiento de administración del cambio. Se deben definir los escenarios para las direcciones externas e internas desde los cuales se van a realizar las pruebas, esto incluye el direccionamiento IP de la red que se va a evaluar y la topología de la red. Se realiza el escaneo de puertos y se ejecutan las pruebas de vulnerabilidades. Página 40 de 49