Antecedentes El Departamento de Tecnología y Sistemas de la Información (DTI) es el encargado de planificar, implementar y administrar la infraestructura TIC que permita proveer los servicios tecnológicos que demanda la institución. En el marco del Plan Estratégico 2014-2017 y con el objeto de minimizar los riesgos a lo que está expuesta la información, estamos trabajando en la implementación de un Sistema de Gestión de la Seguridad de la Información (SGSI) basado en la norma ISO 27000. A la fecha hemos logrado la implementación parcial de los controles siguientes: Seguridad ligada a los recursos humanos a) Cese o cambio de puesto de trabajo Se tiene documentado e implementado el procedimiento para informar con prontitud desde el Departamento de recursos humanos todos los cambios significativos ocurridos en las tareas y condiciones laborales de los usuarios finales a los administradores de seguridad que manejen sus identificadores de usuario. Estos procedimientos son: Procedimiento cancelación, suspensión de cuenta de usuario (ARI-GST-02 R01,) Procedimiento para la creación de usuarios a empleados (ARI-GST-02 y ARI-GST- 03) Los privilegios de los usuarios finales quedan suspendidos con prontitud, en el caso de que la persona haya sido despedida, transferida, ascendida, dada de permiso sin remuneración o, de algún otro modo, ya no desempeñe el mismo cargo. Control de accesos a) Gestión de accesos a los usuarios La gestión de accesos a los usuarios a la red de la ONE,está pautada y controlada por la política de creación y/o cancelación de usuarios, identificada como ARI-GST-02, en esta se especifican los procedimientos a realizar para la creación y/o cancelación de usuarios en la red institucional, así como los permisos por nivel funcional, operacional o los privilegios especiales y derechos de acceso de los mismos. Los usuarios solo pueden acceder a la información que necesitan y están aprobados a ver y/o modificar. 1
b) Control de Acceso a sistemas y aplicaciones Todos los sistemas y aplicaciones de producción de la Institución poseen registros de los operadores de los sistemas y aplicaciones, donde se muestran los períodos de arranque y de parada de las aplicaciones de producción, los períodos de arranque y de reinicio de los sistemas, los cambios a la configuración de los sistemas, los errores de los sistemas y sus acciones correctivas, y la confirmación de que los archivos y las salidas fueron manejados correctamente. Se cuenta con un dominio en Microsoft Windows Server 2008, conjuntamente con la instalación de un directorio activo, (Active Directory) y sus respectivas políticas de control de acceso a nivel operacional y/o funcional, control del tiempo de vigencia de las claves de acceso, métodos de autenticación, entre otros. Seguridad Física y Ambiental a) Controles físicos de entrada La ONE cuenta con controles de acceso físico a las áreas del centro de datos, área de soporte técnico, dispositivos biométricos de acceso a áreas claves del DTI. Todos los equipos Informaticos que brindan servicio a la ONE están ubicados en el centro de datos, el cual esta adecuado en base a las normas existentes. Así mismo existen las políticas relacionadas al control de entrada y salida de equipos Informaticos, todas ellas alineadas al dominio 11.2 de la norma ISO-27002. b) Seguridad del cableado El acceso al cableado estructurado de la red está restringido al personal del área de administración de redes, y su trazado está debidamente protegido mediante bandejas electro soldadas. 2
Seguridad de la información en la gestión de continuidad del negocio La ONE con la meta de continuar con la norma ISO-27002 y específicamente en el control 9.2.2, cuenta en su centro de datos con niveles de redundancia en el suministro de: Energía eléctrica segura (UPS) con dos unidades UPS, de 70Kva y 40Kva respectivamente. Dos unidades de aire acondicionado de precisión de 9.0 toneladas cada una. Y se está en proceso de tramitar la adquisición de un generador eléctrico de emergencia de unos 90Kva para uso exclusivo del centro de datos. Así mismo, se cuenta con un sistema de detección, prevención y supresión de incendio, sistema de video vigilancia del centro de datos y detectores de humedad. Seguridad en la Operativa a) Protección contra código malicioso Una de las herramientas instalada para cumplir con el control de código malicioso es un sistema de anti-virus de los mejores del mercado para la prevención, detección y eliminación de virus Informaticos, códigos maliciosos en las computadoras personales y servidores. Así como la verificación de todo correo electrónico que sale y entra a la institución a los fines de proteger la disponibilidad de la información estadística. b) Copias de seguridad La Unidad de almacenamiento que contiene las bases de datos estadísticas cuenta con niveles de redundancia de hasta un tercer nivel, los discos duros se encuentran configurados en niveles de RAID-5, además de que la unidad como tal posee, dos discos adicionales o "spare", lo que permite la disponibilidad y seguridad de la información ante una eventual salida de uno de los discos duros, así como también doble controladora de comunicación vía fibra óptica, conectadas a los servidores mediantes switches de red de fibra, para tener en funcionamiento lo que es técnicamente conocido como SAN (Storage Área Network). 3
Se encuentra en funcionamiento una herramienta de respaldo de la información, la cual está configurada con políticas de respaldos de la información de acuerdo a las mejores prácticas, entre las cuales se encuentra el respaldo a cintas y concluido este, las mismas son transferidas a una bóveda de seguridad en el exterior, a los fines de brindar la disponibilidad de la información ante un eventual desastre. Los administradores de las bases de datos, conceden los permisos correspondientes a los usuarios internos (analistas) para que estos realicen las tabulación y el procesamiento requerido, solo las personas autorizadas (en su sentido amplio podríamos referirnos también a sistemas) pueden conocer los datos o la información correspondiente. Con relación a la integridad de los datos solo las personas autorizadas (en su sentido amplio podríamos referirnos también a sistemas) pueden conocer los datos o la información correspondiente de acuerdo a lo establecido en las políticas institucionales. Seguridad en las Telecomunicaciones En cuanto a la seguridad perimetral informática se cuenta con: a. Un equipo de seguridad perimetral e interna, conocido técnicamente como FIREWALL o cortafuegos, el cual posee controles a nivel de anti-virus, anti-malware, anti-spam, Sistema de Detección de Intrusos (IDS) y Sistema de Prevención de Intrusos (IPS). b. Se tiene en funcionamiento un sistema de DLP (Data Loss Prevention) o Sistema de Prevención de Data a nivel básico, el cual de acuerdo a las políticas y mejores prácticas de seguridad de la información, impide que información clasificada como sensitiva o confidencial sea divulgada o salga de la institución sin el debido permiso para realizar la misma. Estamos recomendando a la institución la instalación del sistema completo con todas sus bondades y controles, los cuales apoyaran significativamente la prevención y el uso adecuado de la información. c. Nuestras redes locales (LAN) están segregadas (ver control 13.1.3 norma ISO27002) en VLANs (redes de área local virtuales), lo cual controla que el trafico de información. 4
Accesos a las bases de Datos Los accesos a las bases de datos se encuentran controlados mediante la autenticación con el directorio activo (Active Directory) implementado en la institución, con este protocolo solamente los usuarios, con los derechos y privilegios para el acceso a las bases de datos puedan tener estos accesos. Así mismo los accesos a las bases de datos que son públicas en la web, están controlados y protegidos con la implementación de un sistema de firewall, un IDS e IPS. En la actualidad existen base de datos en diferentes servidores ubicados físicamente en el centro de datos, las cuales son respaldas de acuerdo a la política de respaldo de la información, estas base de datos son las siguientes: Almacenamiento Central de Datos Oracle (Data WareHouse - DWH). Base de Datos REDATAM de : o IX Censo Nacional de Población y Vivienda 2010 o III Censo Nacional de Población y Vivienda 2002 o ncuesta Nacional de Hogares de Propósitos Múltiples (ENHOGAR) 2005, 2006, o 2007 y 2011 o Encuesta Nacional de Ingresos y Gastos de los Hogares (ENIGH) 2007 o Encuesta Nacional de Fuerza de Trabajo (ENFT) 2003, 2004, 2005, 2006, 2007, o 2008, 2009, 2010, 2011, 2012 y 2013 o Encuesta Demográfica y de Salud (ENDESA) 2002 o Base de Datos ENI 2012. Base de Datos del Centro de Documentación (CENDOC). (Documanager). Base de datos de MS-SQL Server con el Censo del 2010. Base de Datos Digital cartográfica. Base de datos de Comercio Exterior. Base de datos de SPSS y CSPro. entre otras. Sin embargo, existen base de datos en MS-Access que están bajo la administración de los usuarios finales y que se encuentra en proceso de transición a la División de Plataforma del DTI. 5
Protección de las bases de datos Toda la información de las bases de datos está siendo respalda a unidades de cintas LTO y de acuerdo al calendario de respaldos, en el tiempo indicado, las cintas son trasladadas a bóvedas externas. Cada aplicación implementada en la ONE, tiene un usuario dueño de la base de datos, el cual es quien tiene los privilegios para hacer las modificaciones, inserciones o borrados de los datos de acuerdo a las funciones de la aplicación desarrollada. Ningún usuario funcional final de alguna aplicación tiene acceso directo a manipular la información, lo que nos garantiza que la información se mantendrá integra en su contenido y flujo. Sin embargo, en la actualidad el DTI recomienda que todas las bases de datos de la ONE pasen a ser gestionadas por el área de Bases de Datos y se abandone la práctica de poseer localmente en los computadores las mismas. 6