GUÍA DEL PROCESO DE MONITOREO PARA CUENTAS DE USUARIOS Vigente a partir del 03/06/2016
Propiedad del Banco Nacional de Obras y Servicios Públicos, S.N.C. Av. Javier Barros Sierra No. 515, 8 Piso, Col. Lomas de Santa Fe, Ciudad de México, C.P. 01219 Tel. 52701200 La reproducción total o parcial de este documento podrá efectuarse mediante la autorización expresa de la, otorgándole el crédito correspondiente. Vigente a partir del 03/06/2016
Hoja de Autorización Elaboró Israel Rojas Luna Subgerente de Seguridad de la 2 Rúbrica Revisó Juan Carlos Rodríguez Rodríguez Gerente de Seguridad de la Rúbrica De conocimiento Julio Cesar Carrasco Ruiz Gerente de Cómputo Rodrigo Mendoza Camacho Subgerente de Cómputo Institucional Aprobó José Luis Cummings Ibarra Director de Contraloría Página 1 de 14 Acuerdo(s)/FAC
Sección de Control de Cambios Revisión Página (s) Modificada (s) Descripción del Cambio 01 Todas Incorporación de políticas, lineamientos y procedimientos relativos al proceso de monitoreo de cuentas de usuarios con privilegios de administrador. Fecha de Emisión 01/03/2016 Página 2 de 14 Acuerdo(s)/FAC
Contenido Sección I. Visión General 4 I.1. Objetivo 4 I.2. Alcance 4 I.3. Responsabilidades respecto del manual 5 I.4. Instancias de Autorización 6 I.5. Definiciones y Términos 6 Sección II. Políticas 7 Sección III. Procedimiento 10 Sección IV. Anexos 14 Página 3 de 14 Acuerdo(s)/FAC
Sección I. Visión General I.1. Objetivo Contar con un mecanismo que proporcione las actividades a realizar en la ejecución de un monitoreo de identificadores de usuarios, tanto en aplicaciones institucionales, como en usuarios con privilegios de administrador en Bases de datos, estableciendo así, políticas, lineamientos y sus procedimientos correspondientes. I.2. Alcance Identificar periódicamente los posibles eventos en el uso de cuentas con privilegios de administrador en las bases de datos y aplicaciones institucionales que son clasificadas como críticas medulares; asimismo, aquellas cuentas de usuarios en aplicativos que no estén en uso y que pongan en riesgo la confidencialidad, integridad y disponibilidad de la información. Página 4 de 14 Acuerdo(s)/FAC
I.3. Responsabilidades respecto del manual Responsable Director de Contraloría Gerente de Seguridad de la Subgerente de Seguridad de la Responsabilidad Autorizar esta guía. Proponer mejoras. Coordinar la actualización del presente documento cuando se requiera o derive de: o Observaciones y/o recomendaciones por parte de las instancias de supervisión y fiscalización, así como de las autoridades competentes; o Cambios en la estructura organizacional de Banobras; y, mejora del proceso de calidad regulatoria. o Gestionar la publicación de este documento en la Normateca. Enviar a guarda y custodia el documento. Rubricar todas las hojas. Elaborar esta guía conforme a mejores prácticas. Proponer y coordinar la implementación de mejoras. Página 5 de 14 Acuerdo(s)/FAC
I.4. Instancias de Autorización El presente documento debe ser autorizado por la. I.5. Definiciones y Términos Acceso: es el privilegio de una persona para utilizar una entidad (sistema,, base de datos). Cuenta / identificador de usuario con privilegios de administrador: es un identificador asignado al usuario responsable de la gestión de uno o más servicios o recursos informáticos. Aplicación: es el conjunto de componentes que automatizan un proceso. Base de datos: es una colección de datos relacionados y almacenados para el manejo de información de una organización. Sistema operativo: es la interfaz entre los programas utilizados por el usuario y el equipo de cómputo. GESI: Grupo Estratégico de Seguridad de la. Cuenta Súper Usuario: cuenta con el privilegio más alto dentro de una Infraestructura creada por el fabricante para mantenimientos o actualizaciones del fabricante. Repositorio: carpeta digital o espacio en disco designado para el depósito de insumos para el procedimiento de monitoreo. Cédula de análisis: informe con los resultados del análisis de la información de accesos. Informe de accesos: informe con los datos de los accesos registrados de las cuentas de usuario con privilegios de administrador. Evento ajeno operación del titular: se considerará a cualquier acceso que no sea propio de las actividades del titular de la cuenta o accesos de los que no se tenga evidencia documental. Directriz de Seguridad Operacional SCI: docuemento con políticas y procedimeintos en la que la Subgerencia de Computo Institucional basa sus procesos de operación dentro de Página 6 de 14 Acuerdo(s)/FAC
Sección II. Políticas II.1. Del monitoreo en Bases de Datos. 1. Toda solicitud de acceso s bases de datos, deberá ser del conocimiento de la Gerencia de Seguridad de la, a través del visto bueno del personal de ésta. 2. Las solicitudes de accesos deberán estar en resguardo de la Gerencia de Seguridad de la. 3. Toda modificación que se lleve a cabo con una cuenta de administrador en las bases de datos catalogadas como críticas, deberá quedar debidamente documentada y registrada en un control de cambios. 4. La documentación generada del cambio realizado, debe ser envidada de manera electrónica Gerencia de Seguridad de la. 5. Los accesos de los usuarios administradores de las bases de datos productivas deberán permanecer con un estatus inactivo y sólo serán activados por solicitud y por evento. 6. La Gerencia de Seguridad de la, deberá notificar vía oficio Dirección de Tecnologías de la y Comunicaciones, de los eventos que no fueron documentados. 7. La configuración de los reportes de monitoreo en las bases de datos, deben contemplar como mínimo lo siguiente: Administración de cuentas. Usuarios con privilegios. Administración de objetos. Cambios de configuración autorizados y no autorizados. 8. Los reportes de actividades realizados en las bases de datos por usuarios administradores, deben ser generados de forma automática o por evento para su análisis. 9. El acceso a usuarios con privilegios de administrador en los activos de información críticos deberán, apegarse s Directrices de la Gestión de Cuentas de Usuario. 10. Una vez utilizads cuentas de Súper Usuario, el responsable deberá realizar el cambio de contraseña siguiendo la Directriz de Seguridad Operacional SCI, con la supervisión de la Gerencia de Seguridad de la y deberán ser resguardadas nuevamente. Página 7 de 14 Acuerdo(s)/FAC
II.2. Del monitoreo en Aplicativos. 1. Toda modificación que se lleve a cabo con una cuenta de usuario con privilegios de administrador en los aplicativos críticos institucionales, debe estar debidamente documentada. 2. La Gerencia de Seguridad de la resguardará la evidencia documental. 3. La Gerencia de Seguridad de la, hará del conocimiento de las áreas involucradas de cualquier uso indebido del acceso permitido. 4. La información que conformara el reporte de monitoreo de usuarios en las Aplicaciones Críticas Medulares, deberá contemplar como mínimo lo siguiente: Nombre Usuario Fecha Terminal Login Loguot Última Conexión exitosa Cambios en las tablas de ABC de usuario de la aplicación II.3 Del monitoreo de acceso de usuarios en aplicaciones 1. El intercambio de información entre las áreas participantes en este proceso, debe solicitarse mediante oficio dirigido a los titulares de las áreas correspondientes. 2. Se deberá contar con la información más reciente de listados de personal y reporte de usuarios por aplicativo para poder realizar la validación de accesos. 3. La Gerencia de Seguridad de la, será la que solicite la inhabilitación de los usuarios Gerencia de Cómputo, e informará al Administrador Operativo, el resultado del monitoreo. Página 8 de 14 Acuerdo(s)/FAC
II.3. Lineamientos 1. La Dirección de Tecnologías de y Comunicaciones, proporcionará el listado de los usuarios con privilegios de administrador de las Bases de Datos, Servidores y Aplicativos, catalogados como críticos medulares de forma actualizada. 2. La Dirección de Tecnologías de y Comunicaciones, pondrá a disposición de la Gerencia de Seguridad de la, cualquier solución o herramienta, que sirva para el monitoreo de cuentas de usuarios con nivel de administrador en los activos de información catalogados como críticos (Bases de datos, servidores, equipos de redes y aplicativos). 3. El área de Recursos Humanos, actualizará y mantendrá disponible la información de las plantillas del personal activo que labora en la Institución. 4. El área de Recursos Humanos, notificará Gerencia de Seguridad de la, los movimientos de personal (altas, bajas y cambios) de forma periódica. 5. El uso de cuentas de Súper Usuario (Sys, Oracle, root, adm) estarán en resguardo del área responsable de cada tecnología correspondiente infraestructura tecnológica de Banobras. 6. La utilización de éstas cuentas de Súper Usuario se estarán documentando y notificando Gerencia de Seguridad de la. 7. La Gerencia de Seguridad de la, participará en la definición de los reportes para el monitoreo de cuentas de usuarios con privilegios de administrador. 8. La Dirección de Tecnologías de y Comunicaciones, proporcionará un repositorio par generación de los reportes o las bitácoras de acceso. 9. Las herramientas proporcionadas por la Dirección de Tecnologías de y Comunicaciones, proveerá de los recursos necesarios (accesos, licencias y manuales) par generación de los reportes que requier Gerencia de Seguridad de la. 10. Los ejercicios de monitoreo se realizarán como mínimo cada tres meses. 11. El monitoreo de acceso de usuarios en aplicaciones se realizarán mínimo una vez al año, por cada uno de los aplicativos. Página 9 de 14 Acuerdo(s)/FAC
Sección III. Procedimiento III.1. Diagrama de Flujo del Proceso de Monitoreo de Cuentas de Usuarios con privilegios de Administrador. Inicio B Dirección de Tecnologías de y Comunicaciones 1. Define Herramientas de Monitoreo Gerencia de Seguridad de la Gerencia de Seguridad de la 2. Revisa información de accesos, genera cédula, solicita evidencia e informa de evento(s) identificado](s) 4. Notifica evento(s) identificado(s) El/los titular(es) de la(s) cuenta(s) proporciona(n) evidencia documental del/los evento(s)? No B Gerencia de Seguridad de la 6. Resguarda documentación Sí Titular(es) de la(s) cuenta(s) de usuario con privilegios Fin 3. Envía evidencia A Página 10 de 14 Acuerdo(s)/FAC
III.2. Descripción de Actividades del proceso de Monitoreo de Cuentas de Usuario con privilegios de Administrador. Responsable No. Actividad Entregable 1.0 Define herramientas de monitoreo. Dirección de Tecnologías de y Comunicaciones La Gerencia de Seguridad de la Dirección de Tecnologías de y Comunicaciones Gerencia de Seguridad de la 1.1 1.2 2.0 2.1 2.2 2.3 Proporciona herramientas de monitoreo para los activos de la información. Genera listado de usuarios con privilegios de administrador en los activos de información catalogados como críticos Define políticas dentro de la herramienta de monitoreo para los usuarios con privilegios de administrador. Revisa y consolid información de accesos documentados y autorizados vs controles de cambio. Genera reporte de análisis con la herramienta de monitoreo e identifica actividades no documentadas o autorizadas por control de cambios. Solicita al/las área(s) responsable(s) del/los titular(es) de la(s) cuenta(s), la evidencia documental que justifique el/los evento(s) identificado(s). El/los titular(es) de la(s) cuenta(s) proporciona(n) evidencia documental del/los evento(s)? Sí, continúa actividad 3.0 No, continúa actividad 4.0 3.0 Envía evidencia. Envía al área responsable de la Gerencia 3.1 de Seguridad de la, la evidencia. 4.0 Notifica evento(s) identificado(s) Notifica el/los evento(s) detectado(s) al 4.1 GESI. 5.0 Resguarda documentación. Resguard documentación generada 5.1 durante el procedimiento de monitoreo. Reporte de los activos de información catalogados como críticos que soportan las herramientas de monitoreo. Formatos de usuarios con privilegios de administrador Documento de configuración de políticas Catálogo de usuarios con privilegios de administrador Informe de resultados Oficio de requerimiento de evidencia. Evidencia documental. Informe de notificación de eventos. Minutas y acuerdos, oficios e informes Página 11 de 14 Acuerdo(s)/FAC
III.3. Diagrama de flujo del proceso de monitoreo de usuarios en aplicaciones Inicio A Gerencia de Seguridad de la 1. Solicita listado del personal de BANOBRAS Administrador Operativo de la Aplicación Institucional 6. Revisa listado con propuesta de usuarios a inhabilitar Recursos Humanos 2. Genera listado solicitado Área responsable del usuario Gerencia de Seguridad de la 7. Envía justificación 3. Solicita listados de usuario Gerencia de Seguridad de la Gerencia de Cómputo 8. Informa ret roalimentación recibida de las áreas involucradas 4. Genera listados Gerencia de Seguridad de la 5. Realiza análisis de la información Gerencia de Cómputo 9. Recibe, gestiona y ejecut solicitud de inhabilitación de usuario(s); notifica y envía evidencia de la ejecución. Salida Informe de monitoreo de usuarios A Fin Página 12 de 14 Acuerdo(s)/FAC
III.4. Descripción de actividades del proceso de validación de accesos de usuarios en aplicaciones Responsable No. Actividad Entregable Gerencia de Seguridad de la Recursos Humanos Gerencia de Seguridad de la Gerencia de Cómputo Gerencia de Seguridad de la Administrador Operativo de la Aplicación Institucional Área responsable del usuario Gerencia de Seguridad de la Gerencia de Cómputo 1.0 Solicita listado de personal de BANOBRAS. Solicita a Recursos Humanos el listado del personal que Oficio con solicitud de 1.1 labora en BANOBRAS (insumo par realización del análisis). plantilla de personal de BANOBRAS. 2.0 Genera listado solicitado. 2.1 Genera el listado del personal que labora en BANOBRAS. Plantilla de personal actualizado. 3.0 Solicita listados de usuarios. Solicita Gerencia de Cómputo el listado de usuarios en Oficio con solicitud de 3.1 aplicativos de BANOBRAS (insumo par realización del listado de usuarios y análisis). bitácoras de acceso 4.0 Genera listados. 4.1 Genera listado de usuario y actividades en aplicativos de BANOBRAS. 5.0 Realiza análisis de la información. Realiza análisis de los listados proporcionados por Recursos 5.1 Humanos y por la Gerencia de Cómputo. Identifica usuarios dados de baja por Recursos Humanos y 5.2 usuarios sin actividad en los aplicativos, genera un listado con propuesta de usuarios a inhabilitar. Envía listado de usuarios propuestos a inhabilitar 5.3 Gerencia de Cómputo con copia al Administrador Operativo del Aplicativo Institucional y al área responsable del usuario. 6.0 Revisa listado con propuesta de usuarios a inhabilitar. Revisa el listado con propuesta de usuarios a inhabilitar e 6.1 informa al área responsable de la Gestión de Accesos de cualquier discrepancia. 7.0 Envía justificación. Revisa el listado con propuesta de usuarios a inhabilitar y 7.1 justifica el acceso al área responsable de la Gestión de Accesos. Informa retroalimentación recibida de las áreas 8.0 involucradas 8.1 Se informa Gerencia de Cómputo vía correo, las modificaciones al listado inicial. Recibe, gestiona y ejecut solicitud de inhabilitación 9.0 de usuario(s); notifica y envía evidencia de la ejecución. 9.1 Recibe y gestion solicitud de inhabilitación de usuarios. Ejecut inhabilitación de usuarios. 9.2 Nota: Esta actividad dependerá de la cantidad de usuarios identificados. 9.3 Notifica y envía evidencia de la inhabilitación de usuarios al área responsable de la Gestión de Accesos Listado de usuarios y bitácoras de acceso por aplicativo. Listado con propuesta de usuarios a inhabilitar Oficio con listado de usuarios a inhabilitar Inconsistencias detectadas Justificación de accesos Correo electrónico informado los cambios Inhabilitación de usuario. Correo electrónico con notificación y evidencia Página 13 de 14 Acuerdo(s)/FAC
Sección IV. Anexos Nombre 1 Anexo A, Manual para generar reportes de Audit Vault Bases de Datos Oracle Página 14 de 14 Acuerdo(s)/FAC