CAPITULO 4 EVALUACIN DE LA SEGURIDAD

4.1 GENERALIDADES DE LA SEGURIDAD DEL REA FSICA

La Seguridad Fsica consiste en la "aplicacin de barreras fsicas y procedimientos de control, como medidas de prevencin y contramedidas ante amenazas a los recursos e informacin confidencial". Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cmputo as como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos. La seguridad fsica de los sistemas informticos engloba los mecanismos - generalmente de prevencin y deteccin destinados a proteger fsicamente cualquier recurso del sistema Las principales amenazas que se prevn en la seguridad fsica son: Desastres naturales, incendios accidentales tormentas e inundaciones. Amenazas ocasionadas por el hombre. Disturbios, sabotajes internos y externos deliberados.

A continuacin se analizan los peligros ms importantes que se corren en un centro de procesamiento; con el objetivo de mantener una serie de acciones a seguir en forma eficaz y oportuna para la prevencin, reduccin, recuperacin y correccin de los diferentes tipos de riesgos. Incendios Inundaciones: Para evitar este inconveniente se pueden tomar las siguientes medidas: construir un techo impermeable para evitar el paso de agua desde un nivel superior y acondicionar las puertas para contener el agua que bajase por las escaleras. Instalaciones Elctricas Robo: Las computadoras son posesiones valiosas de las empresas y estn expuestas, de la misma forma que lo estn las piezas de stock e incluso el dinero. Es frecuente que los operadores utilicen la computadora de la empresa para realizar trabajos privados o para otras organizaciones y, de esta manera, robar tiempo de mquina. La informacin importante o confidencial puede ser fcilmente copiada. El software, es una propiedad muy fcilmente sustrable y las cintas y discos son fcilmente copiados sin dejar ningn rastro

Fraude: Cada ao, millones de dlares son sustrados de empresas y, en muchas ocasiones, las computadoras han sido utilizadas como instrumento para dichos fines. Sabotaje: El peligro ms temido en los centros de procesamiento de datos, es el sabotaje. Empresas que han intentado implementar programas de seguridad de alto nivel, han encontrado que la proteccin contra el saboteador es uno de los retos ms duros. Este puede ser un empleado o un sujeto ajeno a la propia empresa.

Control de Accesos

El control de acceso no slo requiere la capacidad de identificacin, sino tambin asociarla a la apertura o cerramiento de puertas, permitir o negar acceso basado en restricciones de tiempo, rea o sector dentro de una empresa o institucin.

Utilizacin de Guardias Utilizacin de Detectores de Metales: El detector de metales es un elemento sumamente prctico para la revisin de personas, ofreciendo grandes ventajas sobre el sistema de palpacin manual. Utilizacin de Sistemas Biomtricos Verificacin Automtica de Firmas: La VAF, usando emisiones acsticas toma datos del proceso dinmico de firmar o de escribir. La secuencia sonora de emisin acstica generada por el proceso de escribir constituye un patrn que es nico en cada individuo. El patrn contiene informacin extensa sobre la manera en que la escritura es ejecutada.. Seguridad con Animales: Sirven para grandes extensiones de terreno, y adems tienen rganos sensitivos mucho ms sensibles que los de cualquier dispositivo y, generalmente, el costo de cuidado y mantenimiento se disminuye considerablemente utilizando este tipo de sistema. Proteccin Electrnica: Se llama as a la deteccin de robo, intrusin, asalto e incendios mediante la utilizacin de sensores conectados a centrales de alarmas. Estas centrales tienen conectadas los elementos de sealizacin que son los encargados de hacerles saber al personal de una situacin de emergencia. Cuando uno de los elementos sensores detectan una situacin de riesgo, stos transmiten inmediatamente el aviso a la central; sta

procesa la informacin recibida y ordena en respuesta la emisin de seales sonoras o luminosas alertando de la situacin. Detectores Pasivos Sin Alimentacin: Estos elementos no requieren alimentacin extra de ningn tipo, slo van conectados a la central de control de alarmas para mandar la informacin de control. Los siguientes estn incluidos dentro de este tipo de detectores: - Detector de aberturas: contactos magnticos externos o de embutir. - Detector de roturas de vidrios: inmune a falsas alarmas provocadas por sonidos de baja frecuencia; sensibilidad regulable. - Detector de vibraciones: detecta golpes o manipulaciones extraas sobre la superficie controlada. Sonorizacin y Dispositivos Luminosos: Dentro de los elementos de sonorizacin se encuentran las sirenas, campanas, timbres, etc. Algunos dispositivos luminosos son los faros rotativos, las balizas, las luces intermitentes, etc. Circuitos Cerrados de Televisin: Permiten el control de todo lo que sucede en la planta segn lo captado por las cmaras estratgicamente colocadas. Los monitores de estos circuitos deben estar ubicados en un sector de alta seguridad. Las cmaras pueden estar a la vista (para ser utilizada como medida disuasiva) u ocultas (para evitar que el intruso sepa que est siendo captado por el personal de seguridad).

4.2 SEGURIDAD LGICA Y CONFIDENCIAL El activo ms importante que se poseen las organizaciones es la informacin, y por lo tanto deben existir tcnicas ms all de la seguridad fsica que la aseguren, estas tcnicas las brinda la seguridad lgica. La seguridad lgica consiste en la aplicacin de barreras y procedimientos que resguarden el acceso a los datos y solo se permita acceder a ellos a las personas autorizadas para hacerla. Algunas de las principales amenazas que tendrn que combatir los administradores de sistemas son el acceso y modificaciones no autorizadas a datos y aplicaciones. La seguridad lgica se basa, en gran medida, en la efectiva administracin de los permisos y el control de acceso a los recursos informticos, basados en La identificacin, autenticacin y autorizacin de accesos. Los objetivos que se plantean sern:

Restringir el acceso a los programas y archivos. Asegurar que los operadores puedan trabajar sin una supervisin minuciosa y no puedan modificar los programas ni los archivos que no correspondan. Asegurar que se estn utilizados los datos, archivos y programas correctos en y por el procedimiento correcto. Que la informacin transmitida sea recibida slo por el destinatario al cual ha sido enviada y no a otro. Que la informacin recibida sea la misma que ha sido transmitida. Que existan sistemas alternativos secundarios de transmisin entre diferentes puntos. Que se disponga de pasos alternativos de emergencia para la transmisin de informacin.

CONTROL DE ACCESO LGICO El control de acceso lgico es la principal lnea de defensa para la mayora de los sistemas, permitiendo prevenir el ingreso de personas no autorizadas a la informacin de los mismos. Para realizar la tarea de controlar el acceso se emplean 2 procesos normalmente: identificacin y autenticacin. Se denomina identificacin al momento en que el usuario se da a conocer en el sistema; y autenticacin a la verificacin que realiza el sistema sobre esta identificacin. Desde el punto de vista de la eficiencia, es conveniente que los usuarios sean identificados y autenticados solamente una vez, pudiendo acceder a partir de ah a todas las aplicaciones y datos a los que su perfil les permita, tanto en sistemas locales como en sistemas a los que deba acceder en forma remota. Esto se denomina single login o sincronizacin de passwords. Los sistemas de control de acceso protegidos con contrasea, suelen ser un punto crtico de la seguridad y por ello suelen recibir distintos tipos de ataques, los ms comunes son: Ataque de fuerza bruta: se intenta recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso. Cuanto ms corta, ms sencilla de obtener probando combinaciones Ataque de diccionario: intentar averiguar una clave probando todas las palabras de un diccionario o conjunto de palabras comunes. Este tipo de

ataque suele ser ms eficiente que un ataque de fuerza bruta, ya que muchos usuarios suelen utilizar una palabra existente en su lengua como contrasea para que la clave sea fcil de recordar, lo cual no es una prctica recomendable Una forma sencilla de proteger un sistema contra los ataques de fuerza bruta o los ataques de diccionario es establecer un nmero mximo de tentativas, de esta forma se bloquea el sistema automticamente despus de un nmero de intentos infructuosos predeterminado. Un ejemplo de este tipo de sistema de proteccin es el mecanismo empleado en las tarjetas SIM que se bloquean automticamente tras tres intentos fallidos al introducir el cdigo PIN. POLTICA DE CONTRASEAS Las contraseas son las claves que se utilizan para obtener acceso a informacin personal que se ha almacenado en el equipo y aplicaciones, como en los entornos web (mail, banca online, redes sociales, etc.). Para que una contrasea sea segura se recomienda: Longitud mnima: cada carcter en una contrasea aumenta exponencialmente el grado de proteccin que sta ofrece. Las contraseas a ser posible deben contener un mnimo de 8 caracteres, lo ideal es que tenga 14 caracteres o ms. Combinacin de caracteres (letras minsculas y maysculas, nmeros y smbolos especiales): cuanto ms diversos sean los tipos de caracteres de la contrasea ms difcil ser adivinarla. .

Algunos mtodos que suelen emplearse para crear contraseas resultan fciles de adivinar, a fin de evitar contraseas poco seguras, se recomienda: No incluir secuencias ni caracteres repetidos. Como"12345678","222222","abcdefg". No utilizar el nombre de inicio de sesin. No utilizar palabras de diccionario de ningn idioma. Utilizar varias contraseas para distintos entornos. Evitar la opcin de contrasea en blanco. No revelar la contrasea a nadie y no escribirla en equipos que no controlas. Cambiar las contraseas con regularidad.

ETAPAS PARA IMPLANTAR UN SISTEMA DE SEGURIDAD

Introducir el tema de seguridad en la visin. Definir los procesos de flujo de informacin y sus riesgos Capacitar a los gerentes y directivos. Designar y capacitar supervisores de rea. Definir y trabajar sobre todo las reas donde se pueden lograr mejoras relativamente rpidas. Mejorar las comunicaciones internas. Identificar claramente las reas de mayor riesgo. Capacitar a todos los trabajadores en los elementos bsicos de seguridad y riesgo. NIVELES DE SEGURIDAD INFORMTICA El estndar de niveles de seguridad mas utilizado internacionalmente es el TCSEC Orange Book(2), desarrollado en 1983 de acuerdo a las normas de seguridad en computadoras del Departamento de Defensa de los Estados Unidos. Los niveles describen diferentes tipos de seguridad del Sistema Operativo y se enumeran desde el mnimo grado de seguridad al mximo.

Nivel D: Este nivel contiene slo una divisin y est reservada para sistemas que han sido evaluados y no cumplen con ninguna especificacin de seguridad. Sin sistemas no confiables, no hay proteccin para el hardware, el sistema operativo es inestable y no hay autentificacin con respecto a los usuarios y sus derechos en el acceso a la informacin. Los sistemas operativos que responden a este nivel son MS-DOS y System 7.0 de Macintosh. Nivel C1: Proteccin Discrecional: Se requiere identificacin de usuarios que permite el acceso a distinta informacin. Cada usuario puede manejar su informacin privada y se hace la distincin entre los usuarios y el administrador del sistema, quien tiene control total de acceso. Muchas de las tareas cotidianas de administracin del sistema slo pueden ser realizadas por este "super usuario" quien tiene gran responsabilidad en la seguridad del mismo. Con la actual descentralizacin de los sistemas de cmputos, no es raro que en una organizacin encontremos dos o tres personas cumpliendo este rol. Esto es un problema, pues no hay forma de distinguir entre los cambios que hizo cada usuario.

A continuacin se enumeran los requerimientos mnimos que debe cumplir la clase C1: Acceso de control discrecional: distincin entre usuarios y recursos. Se podrn definir grupos de usuarios (con los mismos privilegios) y grupos de objetos (archivos, directorios, disco) sobre los cuales podrn actuar usuarios o grupos de ellos. Identificacin y Autentificacin: se requiere que un usuario se identifique antes de comenzar a ejecutar acciones sobre el sistema. El dato de un usuario no podr ser accedido por un usuario sin autorizacin o identificacin. Nivel C2: Proteccin de Acceso Controlado: Este subnivel fue diseado para solucionar las debilidades del C1. Cuenta con caractersticas adicionales que crean un ambiente de acceso controlado. Se debe llevar una auditoria de accesos e intentos fallidos de acceso a objetos. Tiene la capacidad de restringir an ms el que los usuarios ejecuten ciertos comandos o tengan acceso a ciertos archivos, permitir o denegar datos a usuarios en concreto, con base no slo en los permisos, sino tambin en los niveles de autorizacin. Requiere que se audite el sistema. Esta auditora es utilizada para llevar registros de todas las acciones relacionadas con la seguridad, como las actividades efectuadas por el administrador del sistema y sus usuarios. La auditora requiere de autenticacin adicional para estar seguros de que la persona que ejecuta el comando es quien dice ser. Su mayor desventaja reside en los recursos adicionales requeridos por el procesador y el subsistema de discos. Los usuarios de un sistema C2 tienen la autorizacin para realizar algunas tareas de administracin del sistema sin necesidad de ser administradores. Permite llevar mejor cuenta de las tareas relacionadas con la administracin del sistema, ya que es cada usuario quien ejecuta el trabajo y no el administrador del sistema. Nivel B1: Seguridad EtiquetadaEste subnivel, es el primero de los tres con que cuenta el nivel B. Soporta seguridad multinivel, como la secreta y ultrasecreta. Se establece que el dueo del archivo no puede modificar los permisos de un objeto que est bajo control de acceso obligatorio. Nivel B2: Proteccin Estructurada Requiere que se etiquete cada objeto de nivel superior por ser padre de un objeto inferior. La Proteccin Estructurada es la primera que empieza a referirse al problema de un objeto a un nivel mas elevado de seguridad en comunicacin con otro objeto a un nivel inferior. As, un disco rgido ser etiquetado por almacenar archivos que son accedidos por distintos usuarios. El sistema es capaz de alertar a los usuarios si sus condiciones de accesibilidad y seguridad son modificadas; y el administrador es el

encargado de fijar los canales de almacenamiento y ancho de banda a utilizar por los dems usuarios. Nivel B3: Dominios de Seguridad: Refuerza a los dominios con la instalacin de hardware: por ejemplo el hardware de administracin de memoria se usa para proteger el dominio de seguridad de acceso no autorizado a la modificacin de objetos de diferentes dominios de seguridad. Existe un monitor de referencia que recibe las peticiones de acc eso de cada usuario y las permite o las deniega segn las polticas de acceso que se hayan definido. Todas las estructuras de seguridad deben ser lo suficientemente pequeas como para permitir anlisis y testeos ante posibles violaciones. Este nivel requiere que la terminal del usuario se conecte al sistema por medio de una conexin segura. Nivel A: Proteccin Verificada: Es el nivel ms elevado, incluye un proceso de diseo, control y verificacin, mediante mtodos formales (matemticos) para asegurar todos los procesos que realiza un usuario sobre el sistema. Para llegar a este nivel de seguridad, todos los componentes de los niveles inferiores deben incluirse. El diseo requiere ser verificado de forma matemtica y tambin se deben realizar anlisis de canales encubiertos y de distribucin confiable. El software y el hardware son protegidos para evitar infiltraciones ante traslados o movimientos del equipamiento.

4.3 SEGURIDAD PERSONAL Se refiere a la seguridad y proteccin de los operadores, analistas, programadores y dems personal que est en contacto directo con los sistemas, as como a la seguridad de los beneficiarios de la informacin. El objetivo principal de la auditora de la seguridad del personal es evitar, hasta donde humanamente sea posible, los accidentes acaecidos en el trabajo que constituyen los riesgos de trabajo. Uno de los punto ms importantes a considerar para poder definir la seguridad de un sistema es el grado de actuacin que puede tener un usuario dentro de un sistema, ya que la informacin se encuentra en un archivo normal o en una base de datos, o bien que se posea una minicomputadora, o un sistema de red. Para esto podemos definir los siguientes tipos de usuarios: Propietario.- Es el dueo de la informacin y responsable de sta, y puede realizar cualquier funcin Administrador.- Solo puede actualizar o modificar el software con la debida autorizacin

 Usuario principal.- Esta autorizado por el propietario para hacer modificaciones, cambios, lecturas y utilizacin de los datos, pero no da autorizacin para que otros usuarios entren Usuario de consulta.- Solo puede leer la informacin

Usuario de explotacin.- Puede leer la informacin y usarla para explotacin de la misma Usuario de auditora.- Puede usar la informacin y rastrearla dentro del sistema para fines de auditora. Controles necesarios para la seguridad del personal Controles administrativos del personal de informtica. Seguros y fianzas para el personal de sistemas. Planes y programas de capacitacin. Planes de contingencia definidos para el personal que labora en el rea

Planes de contingencia Es el control de las contingencias y riesgos que se pueden presentar en el rea de sistemas. Estas contingencias se pueden evitar a travs de planes y programas preventivos especficos, en los que se detallan las actividades antes, durante y despus de alguna contingencia. En estos planes se incluyen los simulacros de contingencias, los reportes de actuaciones y las bitcoras de seguimiento de las actividades y eventos que se presenten en el rea de sistemas.

Tcnicas y herramientas de auditora relacionadas con la seguridad Proteccin a los procedimientos de procesamiento y los equipos contra las intervenciones exteriores: slo se debe permitir al personal autorizado que maneje los equipos de procesamiento. Slo se permitir la entrada al personal autorizado y competente Se deben verificar las fechas de vencimientos de las plizas de seguros, pues puede suceder que se tenga la pliza adecuada pero vencida. Tambin se debe asegurar la prdida de los programas (software). Seleccionar al personal mediante la aplicacin de exmenes integrales: mdico, psicolgico, aptitudes, etc. Contratar personal que viva en zonas cercanas a la empresa. Acondicionar los locales, de acuerdo con las normas de seguridad.

Capacitar y adiestrar al personal respecto a los riesgos a los que se exponen y la manera de evitarlos. Practicar con periodicidad exmenes mdicos al personal. Sostener plticas informales, directas e individuales con el personal. Instalar carteles y propaganda mural referentes a la seguridad. Elaborar estadsticas sobre riesgos ocurridos y derivar de ellas las medidas concretas adoptables para evitar su repeticin. Enterar al personal sobre dichas estadsticas y las medidas adoptadas. Proponer otras actividades que se consideren necesarias.

Seguros Los seguros de los equipos en algunas ocasiones se dejan en segundo trmino aunque son de gran importancia. Existe un gran problema en la obtencin de los seguros ya que a veces el agente de seguros es una persona que conoce mucho de seguros, riesgos comerciales, riesgos de vida, etc. Pero muy poco sobre computadoras, y el personal de informtica conoce mucho sobre computacin y muy poco sobre seguros. El seguro debe cubrir todo el equipo y su instalacin, por lo que es probable que una sola pliza no pueda cubrir todo el equipo con las diferentes caractersticas (existe equipo que pueda ser transportado como computadoras personales y otras que no se pueden mover como unidades de disco duro). Por lo que tal vez convenga tener dos o ms plizas por separado, cada una con las especificaciones necesarias El seguro debe cubrir tanto daos causados por factores externos (terremotos, inundaciones, etc.) como por factores internos (daos ocasionados por negligencia de los operadores, daos debidos al aire acondicionado). Entre las precauciones que se deben revisar estn: Se deben verificar las fechas de vencimientos de las plizas de seguros, pues puede suceder que se tenga la pliza adecuada pero vencida. Tambin se debe asegurar la prdida de los programas (software).

4.4 CLASIFICACIN DE LOS CONTROLES DE SEGURIDAD

Los controles son los mecanismos que se utilizan para poder controlar los accesos y privilegios a los recursos indicados. Es responsabilidad del dueo del activo sobre el que se le aplican los controles establecer los parmetros requeridos para disponibilidad, confidencialidad e integridad; el experto en seguridad informtica ser el responsable de disear, configurar y hacer cumplir los parmetros dictados. El profesional de la seguridad es quin realiza las sugerencias y decide qu tipo de controles (que pueden variar debido diversos factores como la naturaleza del negocio, el presupuesto asignado, el tipo de usuario, la criticidad del activo, etc.). La facultad de decidir cmo ser el rol de la seguridad en la organizacin pertenece a la administracin. Seguridad de Redes La seguridad de redes es un nivel de seguridad que garantiza que el funcionamiento de todas las mquinas de una red sea ptimo y que todos los usuarios de estas mquinas posean los derechos que les han sido concedidos: Esto puede incluir: Evitar que personas no autorizadas intervengan en el sistema con fines malignos. Evitar que los usuarios realicen operaciones involuntarias que puedan daar el sistema. Asegurar los datos mediante la previsin de fallas. Garantizar que no se interrumpan los servicios.

MEDIDAS DE PROTECCIN Mantnganse informado Conozca su sistema operativo Limite el acceso a la red (firewall) Limite el nmero de puntos de entrada (puertos) Defina una poltica de seguridad interna (contraseas, activacin de archivos ejecutables) haga uso de utilidades de seguridad (registro)

Controles Logicos: Los controles lgicos son aquellos basados en un software o parte de l, que nos permitirn:

Identificar los usuarios de ciertos datos y/o recursos: hacer una clasificacin de tipos de usuarios y sus objetivos de acceso a los sistemas. Restringir el acceso a datos y recursos de los sistemas: establecer los permisos por tipo de usuario. Por ejemplo, establecer que un usuario comn de un sistema no tendr acceso a los datos financieros de la organizacin. Producir pistas para posteriores auditorias: todos los movimientos hechos por los usuarios deben ser registrados y guardados a modo de historia de lo que ha ocurrido. Generalmente archivos llamados logs, son los que mantienen este tipo de informacin.

Controles necesarios para la seguridad fsica del rea Inventario del hardware, mobiliario y equipo. Resguardo del equipo de cmputo. Bitcoras de mantenimiento y correcciones. Controles de acceso del personal al rea de sistemas. Control del mantenimiento a instalaciones y construcciones. Seguros y fianzas para el personal, equipos y sistemas. Contratos de actualizacin, asesora y mantenimiento del hardware.

Seguridad de las bases de datos El objetivo es proteger la Base de Datos contra accesos no autorizados. Se llama tambin privacidad. INCLUYE ASPECTOS: Aspectos legales, sociales y ticos Polticas de la empresa, niveles de informacin publica y privada Controles de tipo fsico, acceso a las instalaciones Identificacin de usuarios: voz, retina del ojo, etc. Controles de sistema operativo

MEDIDAS DE SEGURIDAD Fsicas: Controlar el acceso al equipo. Tarjetas de acceso, etc. Personal: Acceso slo del personal autorizado. Evitar sobornos, etc. SO: Seguridad a nivel de SO SGBD: Uso herramientas de seguridad que proporcione el SGBD. Perfiles de usuario, vistas, restricciones de uso de vistas, etc.

4.5 SEGURIDAD EN LOS DATOS Y SOFTWARE DE APLICACIN SEGURIDAD El trmino seguridad proviene de la palabra securitas del latn. Cotidianamente. Se puede referir a la seguridad como la ausencia de riesgo o tambin a la confianza en algo o alguien. SEGURIDAD DE LOS DATOS Tipos de datos Proteccin de los datos respecto a caractersticas Confidencialidad Disponibilidad Integridad Ciclo de vida de los datos (controles) Desde el origen del dato Proceso de los datos Salida de resultados Retencin de informacin y proteccin en funcin de su clasificacin

TIPOS DE CONTROL DE DATOS Control de distribucin: La informacin de salida debe ser controlada en el sentido de que de be ser distribuidas a aquellas personas que necesiten los datos Validacin de datos: Es necesario tener confianza en los datos al ser procesados, por eso mismo son sometidos a una serie de pruebas para detectar los posibles errores que puedan traer Control de secuencia: En datos como las facturas que tienen un nmero de folio, la computadora puede ejercer un control de secuencia sobre el nmero de folio. Digito de control: La clave de identificacin de los artculos de un registro permite individualizar cada uno de los artculos, usuarios, equipos etc.

4.6 CONTROLES PARA EVALUAR SOFTWARE DE APLICACIN Objetivos de la auditora del software de aplicacin: Verificar la presencia de procedimientos y controles

Para satisfacer: La instalacin del software La operacin y seguridad del software. La administracin del software Detectar el grado de confiabilidad: Grado de confianza, satisfaccin y desempeo investigar si existen polticas con relacin al software. Detectar si existen controles de seguridad. Verificar que sea software legalizado. Actualizacin del software de aplicacin.

Evaluacin del software El auditor debe evaluar qu software se encuentra instalado en la organizacin. Este software puede ser: paquetes, lenguajes, sistemas operativos, bases de datos, etc. Tambin debe investigar las versiones de cada uno. Organizacin El auditor debe de verificar que existan polticas para: La evaluacin del software. Adquisicin o instalacin. Soporte a usuarios. Seguridad. Instalacin y legalizacin: Procedimientos para la instalacin del software.El auditor debe investigar si existen procedimientos que aseguren la oportuna instalacin del software. Actividades durante la instalacin. Por ejemplo: revisin de contenido del paquete, fecha de instalacin, nmero de mquina, responsable de instalacin, etc. Justificacin En algunas ocasiones se adquiere software pero su compra no estaba planeada, entonces se debe formular una justificacin del porqu de esta adquisicin. Software legal El auditor debe de investigar las polticas cuando se encuentra software instalado en mquinas sin licencias de uso. Controles del software de seguridad general aplican para todos los tipos de software y recursos relacionados y sirven para:

El control de acceso a programas y a la instalacin

Vigilar los cambios realizados Controles de acceso a programas y datos Cambios realizados Diseo y cdigo de modificaciones Coordinacin de otros cambios Asignacin de responsabilidades Revisin de estndares y aprobacin Requerimientos mnimos de prueba Procedimientos del respaldo en el evento de interrupcin

Controles de software especfico se presentan algunos de los controles usados por los diferentes tipos de software especfico: El acceso al sistema debe de ser restringido para individuos no autorizados Se debe controlar el acceso a los proceso y a las aplicaciones permitiendo a los usuarios autorizados ejecutar sus obligaciones asignadas y evitando que personas no autorizadas logren el acceso. Se limitara tanto a usuarios como a programadores de aplicaciones a un tipo especfico de acceso de datos. Para asegurar las rutas de acceso deber restringirse el acceso a secciones o tablas de seguridad, mismas que debern ser encriptados. Debern restringirse las modificaciones o cambios al software de control de acceso, y stos debern ser realizados de acuerdo y a procedimientos no autorizados:

Software de sistemas operativos. Controles que incluye: Los password e identificadores debern ser confidenciales El acceso al software de sistema operativo deber ser restringido Los administradores de seguridad debern ser los nicos con autoridad para modificar funciones del sistema.

Software manejador de base de datos. Controles que incluye: El acceso a los archivos de datos deber ser restringido en una vista de datos lgica. Deber controlar el acceso al diccionario de datos. La base de datos debe ser segura y se usaran las facilidades de control de acceso construidas dentro del software dbms. Software de consolas o terminales maestras. Controles que incluye: Los cambios realizados al software de consolas o terminales maestras debern ser protegidas y controlados

Software de libreras. Controles que incluye: Tiene la facilidad de comparar dos versiones de programas en cdigo fuente y reportar las diferencias. Deben limitarse el acceso a programas o datos almacenados por el software de libreras Las versiones correctas de los programas de produccin deben corresponder a los programas objetos.

Software de utileras. Controles que incluye: Debern restringirse el acceso a archivos de utileras software de sistemas operativos. Controles que incluye: Software manejador de base de datos. Controles que incluye: El acceso a los archivos de datos deber ser restringido en una vista de datos lgica. Deber controlar el acceso al diccionario de datos. La base de datos debe ser segura y se usaran las facilidades de control de acceso construidas dentro del software dbms.

Software de consolas o terminales maestras. Controles que incluye: Los cambios realizados al software de consolas o terminales maestras debern ser protegidas y controlados Software de libreras. Controles que incluye: Tiene la facilidad de comparar dos versiones de programas en cdigo fuente y reportar las diferencias. Deben limitarse el acceso a programas o datos almacenados por el software de libreras. Las versiones correctas de los programas de produccin deben corresponder a los programas objetos.

4.7 CONTROLES PARA PREVENIR CRMENES Y FRAUDES INFORMTICOS 4.8 PLAN DE CONTINGENCIA, SEGUROS, PROCEDIMIENTOS DE RECUPERACIN DE DESASTRES
Plan de contingencia El Plan est orientado a establecer, junto con otros trabajos de seguridad, un adecuado sistema de seguridad fsica y lgica en previsin de desastres.

Un Plan de Contingencia de Seguridad Informtica consiste en los pasos que se deben seguir, luego de un desastre, para recuperar, aunque sea en parte, la capacidad funcional del sistema aunque, y por lo general, constan de remplazos de dichos sistemas. Actividades Asociadas _ - Anlisis de Riesgos _ - Medidas Preventivas _ - Previsin de Desastres Naturales _ - Plan de Respaldo _ - Plan de Recuperacin Anlisis de Riesgos Para realizar un anlisis de los riegos, se procede a identificar los objetos que deben ser protegidos, los daos que pueden sufrir, sus posibles fuentes de dao y oportunidad, su impacto en la compaa, y su importancia dentro del mecanismo de funcionamiento. Bienes susceptibles de un dao Personal Hardware Software y utilitarios Datos e informacin Documentacin Suministro de energa elctrica Suministro de telecomunicaciones Daos Imposibilidad de acceso a los recursos debido a problemas fsicos en las instalaciones donde se encuentran los bienes, sea por causas naturales o humanas. Imposibilidad de acceso a los recursos informticos por razones lgicas en los sistemas en utilizacin, sean estos por cambios involuntarios o intencionales, llmese por ejemplo, cambios de claves de acceso, datos maestros claves, eliminacin o borrado fsico/lgico de informacin clave, proceso de informacin no deseado. Divulgacin de informacin a instancias fuera de la Compaa y que afecte su patrimonio estratgico Comercial y/o Institucional, sea mediante Robo o Infidencia. Medidas Preventivas Control de Accesos Acceso fsico de personas no autorizadas. b) Acceso a la Red de PC's y Servidor. Acceso restringido a las libreras, programas, y datos. Previsin de desastres Naturales

La previsin de desastres naturales slo se puede hacer bajo el punto de vista de minimizar los riesgos innecesarios en la sala de Computacin Central, en la medida de no dejar objetos en posicin tal que ante un movimiento telrico pueda generar mediante su cada y/o destruccin, la interrupcin del proceso de operacin normal. Plan de Respaldo El Plan de Respaldo trata de cmo se llevan a cabo las acciones crticas entre la prdida de un servicio o recurso, y su recuperacin o restablecimiento. Todos los nuevos diseos de Sistemas, Proyectos o ambientes, tendrn sus propios Planes de Respaldo. Plan de Recuperacin Objetivos del Plan de Recuperacin Los objetivos del plan de Recuperacin son: Determinacin de las polticas y procedimientos para respaldar las aplicaciones y datos. Planificar la reactivacin dentro de las 12 horas de producido un desastre, todo el sistema de procesamiento y sus funciones asociadas. Permanente mantenimiento y supervisin de los sistemas y aplicaciones. Establecimiento de una disciplina de acciones a realizar para garantizar una rpida y oportuna respuesta frente a un desastre. Procedimientos de recuperacin de desastres A que nos referimos con desastres? _ Completa destruccin del centro de cmputo _ Destruccin parcial del centro de cmputo _ Destruccin o mal funcionamiento de los equipos auxiliares del centro de cmputo (electricidad, aire acondicionado, etc.) _ Destruccin parcial o total de los equipos descentralizados _ Prdida total o parcial de informacin, manuales o documentacin _ Prdida del personal clave _ Huelga problemas laborales Un Plan de Recuperacin de Desastres se puede clasificar en tres etapas: _ 1. Actividades Previas al Desastre. _ 2. Actividades Durante el Desastre. _ 3. Actividades Despus del Desastre. Actividades Previas al Desastre Son todas las actividades de planeamiento, preparacin, entrenamiento y ejecucin de las actividades de resguardo de la informacin, que nos aseguren un proceso de Recuperacin con el menor costo posible a nuestra Institucin. Podemos detallar las siguientes Actividades Generales: _ 1.1 Establecimiento del Plan de Accin. _ 1.2 Formacin de Equipos Operativos.

_ 1.3 Formacin de Equipos de Evaluacin (auditora de cumplimiento de los procedimientos sobre Seguridad). 1.1 Establecimiento del Plan de Accin En esta fase se deben de establecer los procedimientos relativos a: a) Sistemas e Informacin. La Institucin deber tener una relacin de los Sistemas de Informacin con los que cuenta, tanto los realizados por el centro de cmputo como los hechos por las reas usuarias. Debiendo identificar toda informacin sistematizada o no, que sea necesaria para la buena marcha Institucional. b) Equipos de Cmputo. Inventario actualizado de los equipos de manejo de informacin (computadoras, lectoras de microfichas, impresoras, etc.), especificando su contenido (software que usa, principales archivos que contiene), su ubicacin y nivel de uso Institucional. c) Obtencin y almacenamiento de los Respaldos de Informacin (BACKUPS). Se deber establecer los procedimientos para la obtencin de copias de Seguridad de todos los elementos de software necesarios para asegurar la correcta ejecucin de los Sistemas o aplicativos de la Institucin. Para lo cual se debe contar con : d) Polticas (Normas y Procedimientos de Backups). Periodicidad, Almacenamiento de los Backups en condiciones ambientales ptimas, Almacenamiento de los Backups en locales diferentes donde reside la informacin primaria, Pruebas peridicas de los Backups 1.2 Formacin de Equipos Operativos En cada unidad operativa de la Institucin, que almacene informacin y sirva para la operatividad Institucional, se deber designar un responsable de la seguridad de la Informacin de su unidad. Sus labores sern: _Proporcionar soporte tcnico para las copias de respaldo de las aplicaciones _Supervisar procedimientos de respaldo y restauracin. Cargar y probar archivos del sistema operativo y otros sistemas almacenados en el local alternante _Participar en las pruebas y simulacros de desastres.

1.3 Formacin de Equipos de Evaluacin Esta funcin debe ser realizada de preferencia por personal capacitado en el rea de auditora, de no ser posible, la realizar el personal del rea de Informtica, debiendo establecerse claramente sus funciones, responsabilidades y objetivos : _ Revisar que las Normas y procedimientos con respecto a Backups y seguridad de equipos se cumpla. _ Supervisar la realizacin peridica de los backups, por parte de los equipos operativos, comprobando fsicamente su realizacin, adecuado registro y almacenamiento. _ Informar de los cumplimientos e incumplimientos de las Normas, para las acciones de correccin respectivas. 1.2. Actividades Durante el Desastre _ Una vez presentada la Contingencia o Siniestro, se deber ejecutar las siguientes actividades, planificadas previamente: _ 1.2.1 Plan de Emergencias. _ 1.2.2 Formacin de Equipos. _ 1.2.3 Entrenamiento. 1.2.1 Plan de Emergencias En este plan se establecen las acciones que se deben realizar cuando se presente un Siniestro, as como la difusin de las mismas. Es conveniente prever los posibles escenarios de ocurrencia del Siniestro: _ Durante el da. _ Durante la Noche o madrugada. Este plan deber incluir la participacin y actividades a realizar por todas y cada una de las personas que se pueden encontrar presentes en el rea donde ocurre el siniestro, debiendo detallar: - Vas de salida o escape. - Plan de puesta a buen recaudo de los activos (incluyendo los activos de Informacin) de la l Secuencia de llamadas en caso de siniestro, tener a la mano: elementos de iluminacin (linternas), lista de telfonos de Bomberos / Ambulancia, Jefatura de Seguridad y de su personal (equipos de seguridad) nombrados para estos casos. 1.2.2 Formacin de Equipos Establecer claramente cada equipo (nombres, puestos, ubicacin, etc.)con funciones claramente definidas a ejecutar durante el siniestro. Si bien la premisa bsica es la proteccin de la Integridad del personal, en caso de que el siniestro lo permita (por estar en un inicio o estar en una rea cercana, etc.), deber de existir dos equipos de personas que acten directamente durante el siniestro, un equipo para combatir el siniestro y otro para el salvamento de los recursos Informticos, de acuerdo a los lineamientos o clasificacin de prioridades.

1.2.3 Entrenamiento Establecer un programa de prcticas peridicas de todo el personal en la lucha contra los diferentes tipos de siniestros, de acuerdo a los roles que se le hayan asignado en los planes de evacuacin del personal o equipos, para minimizar costos se puede aprovechar fechas de recarga de extinguidores, charlas de los proveedores, etc. Un aspecto importante es que el personal tome conciencia de que los siniestros (incendios, inundaciones, terremotos, apagones, etc.) pueden realmente ocurrir, y tomen con seriedad y responsabilidad estos entrenamientos, para estos efectos es conveniente que participen los elementos directivos, dando el ejemplo de la importancia que la alta direccin otorga a la Seguridad Institucional. 1.3 Actividad Despus del Desastre Despus de ocurrido el Siniestro o Desastre es necesario realizar las actividades que fueron especificadas en el Plan de. _ 1.3.2 Priorizacin de Actividades del Plan de Accin. _ 1.3.3 Ejecucin de Actividades. _ 1.3.4 Evaluacin de Resultados. 1.3.1 Evaluacin de Daos Inmediatamente despus que el siniestro ha concluido, se deber evaluar la magnitud del dao que se ha producido, que sistemas se vieron afectados, que equipos han quedado no operativos, cuales se pueden recuperar, en cuanto tiempo, etc. Adicionalmente se deber lanzar un pre-aviso a la Institucin con la cual se tiene el convenio de respaldo, para ir avanzando en las labores de preparacin de entrega de los equipos por dicha Institucin. 1.3.2 Priorizacin de actividades del Plan de Accin Toda vez que el Plan de accin es general y contempla una prdida total, la evaluacin de daos reales y su comparacin contra el Plan, nos dar la lista de las actividades que debemos realizar, siempre priorizndola en vista a las actividades estratgicas y urgentes de nuestra Institucin. Es importante evaluar la dedicacin del personal a actividades que puedan no haberse afectado, para ver su asignacin temporal a las actividades afectadas, en apoyo al personal de los sistemas afectados y soporte tcnico. 1.3.3 Ejecucin de Actividades Implica la creacin de equipos de trabajo para realizar las actividades previamente planificadas en el Plan de accin .Cada uno de estos equipos deber contar con un coordinador que deber reportar diariamente el avance de los trabajos de recuperacin y, en caso de producirse algn problema, reportarlo de inmediato a la jefatura a cargo del Plan de Contingencias.

Los trabajos de recuperacin tendrn dos etapas, la primera la restauracin del servicio usando los recursos de la Institucin o local de respaldo, y la segunda etapa es volver a contar con los recursos en las cantidades y lugares propios del Sistema de Informacin. 1.3.4 Evaluacin de Resultados Una vez concluidas las labores de Recuperacin del (los) Sistema(s) que fueron afectados por el siniestro, debemos de evaluar objetivamente, todas las actividades realizadas, que tan bien se hicieron, que tiempo tomaron, que circunstancias modificaron (aceleraron o entorpecieron) las actividades del plan de accin, como se comportaron los equipos de trabajo, etc. De la Evaluacin de resultados y del siniestro en s, deberan de salir dos tipos de recomendaciones, una la retroalimentacin del plan de Contingencias y otra una lista de recomendaciones para minimizar los riesgos y prdida que ocasionaron el siniestro. Fue as como Jorge comprendi que la importancia de procedimientos de recuperacin ante desastres radica en que de esta manera no tendremos daos totales en la empresa y podremos continuar con la misma. SEGUROS El seguro debe cubrir todo el equipo y su instalacin, por lo que es probable que una sola pliza no pueda cubrir todo el equipo con las diferentes caractersticas. CONSIDERACIONES _ El costo de los equipos puede variar _ El seguro debe cubrir tanto daos causados por factores externos como internos. _ Se debe asegurar contra la perdida de programas (software) Un seguro de equipo considera lo siguiente: _ Bienes que se pueden amparar: cualquier tipo de equipo electrnico. _ Riesgos cubiertos: perdida sbita, accidental e imprevista, con excepcin de las exclusiones que se indican en las condiciones de la pliza. _ Riesgos excluidos, pero que pueden ser cubiertos bajo convenio expreso: terremotos, erupcin volcnica, huracn, cicln, tifn, huelgas, hurto. _ Exclusiones: las condiciones generales de cada seguro. _ Suma asegurada: asegurar el valor del precio del equipo nuevo sin descontar la depreciacin. _ Primas, cuotas y deducibles: dependen del tipo del equipo. _ Indemnizacin en caso de siniestro: CONDICIONES GENERALES DEL SEGURO DE EQUIPO En la pliza de seguro se certifica que, a reserva de que el asegurado haya pagado a los aseguradores la prima mencionada en la parte descriptiva, y con sujecin a los dems trminos,

exclusiones, disposiciones y condiciones contenidas o endosadas, los aseguradores indemnizaran en la forma y hasta los lmites estipulados en la pliza

4.9 TCNICAS Y HERRAMIENTAS RELACIONADAS CON LA SEGURIDAD FSICA Y DEL PERSONAL 4.10 TCNICAS Y HERRAMIENTAS RELACIONADAS CON LA SEGURIDAD DE LOS DATOS Y SOFTWARE DE APLICACIN

SEGURIDAD FISICA **Revisar Fsicamente el rea de informtica y computadoras del lugar para identificar situaciones de riesgo (entrada al cc,formas de acceso etc,) 1. Tienen planes de accin cuando se presentan desastres naturales? En general si, en cuanto al rea de informtica no. 2. Como los llevan a cabo? Mediante reglas y normas ya establecidas para cada tipo de situacin (temblor, incendio, etc), aclarando que es en cuanto a las instalaciones en general de la dependencia. 3. Quien es el encargado de llevarlos a cabo? Debido a que somos una organizacin gubernamental, se realizan al menos dos veces al ao simulacros apoyados por proteccin civil, es por ello que en caso de una contingencia, todos sabe qu hacer y cmo. 4. Con que tipo de seguridad fsica cuentan? Alarmas, extintores, etc.

SEGURIDAD LOGICA Como controlan el acceso a los equipos de computo Mediante usuarios y contraseas asignadas previamente. Identificar aquellas aplicaciones que tengan riesgo

Ms que nada tenemos constantes problemas con el Sistema Operativo, que es en su mayora Windows Seven Enterprise y algunos ms cuentan con Windows XP versin Profesional, stos son muy vulnerables a los virus, y es el problema ms comn que se presenta. Cuantificar el impacto en el caso de suspensin del servicio en aquellas aplicaciones con un alto riesgo. Es alto, sin embargo se puede seguir manipulando el equipo de cmputo, al presentarse situaciones como lo son los virus, se activan los firewalls que son administrados por la oficina central y de esta manera ya no se puede ocupar el servicio de internet. La justificacin del costo de implantar las medidas de seguridad para poder clasificar el riesgo e identificar las aplicaciones de alto riesgo, se debe preguntar lo siguiente: Que sucedera si no se puede usar el sistema? Obviamente recurren al rea de informtica para informar el problema, se evala la situacin y posteriormente se busca como dar la solucin. Qu implicaciones tiene el que no se obtenga el sistema y cuanto tiempo podramos estar sin utilizarlo? Implicara muchas cosas, primero sera el retraso en el trabajo, implica que la persona deje de realizar sus actividades por no contar con el sistema, por ejemplo repercute en la atencin a un determinado productor, Por ejemplo hace unos das se descompuso un equipo de oficiala de partes, se llev 3 das para solucionar dicha situacin, esto sin contar que, puesto en que en esta rea se cuenta tan solo con dos equipos, el personal no pudo laborar de la misma manera, ya que, con ayuda de otros departamentos realizo sus actividades pero evidentemente no se trabaja de la misma manera. Existe un procedimiento alterno y que problemas nos ocasionara? Pues de la manera en que se respondi a pregunta anterior, mediante el apoyo que se pide a otros departamentos, en este caso con el prstamo de equipo de cmputo. Como manejan el acceso a los usuarios al sistema? A travs de cuentas de usuario y contraseas, y tambin mediante jerarquas de usuarios. Qu controles lgico se manejan respecto a la seguridad lgica de la informacin? A travs de la jerarqua de usuarios

Cmo resguardan la informacin? Cada usuario es responsable de la seguridad de su informacin, independientemente de que la informacin generada en SAGARPA se concentran en bases de datos centralizadas resguardada por la Oficina Central, el rea de informtica se encarga de brindarle apoyo al personal, otorgando las herramientas necesarias, asesorndolos que hacer y cmo, pero cada usuario tiene la responsabilidad de resguardar su informacin.

Cmo controlan el acceso a la informacin? A travs de usuarios, jerarquas, firewalls, entre otros.

Qu tipo de controles de seguridad tienen en cuando al hardware? En realidad solo contamos con seguridad privada en la entrada, quienes se encargan de supervisar que personas salen y entran y con que pertenencias, y tambin todos los equipos informticos (impresoras, laptops, pcs) de SAGARPA tienen una nomenclatura, con lo cual se tiene plenamente identificado con que se cuenta y quien posee cada objeto.

Qu tipos de controles tienen en cuanto al software? Mediante la migracin, es decir, ingresarlo a un dominio, en este caso es sagarpa.net que est conectado a una red a nivel nacional y enlaza a todas las instituciones de SAGARPA del pas.

Qu controles tienen hacia el personal? Se identifican mediante un nmero asignado por la institucin, y a travs de cuentas de usuario asignados a cada uno, sabemos que acciones realizan en sus equipos.

Cuentan con planes de contingencia en el departamento de informtica? No, sabemos que es necesario, as como lo son los planes de contingencia para todo el edificio son importantes tambin para nuestra rea, sin embargo no contamos con un plan de contingencia.

SEGUROS Los equipo de cmputo, y en general el equipo del rea de informtica, estn asegurados? Si, apenas el ao pasado se compr un seguro con BANORTE, tenemos un seguro en caso de siniestro, es decir, en caso de un desastre climatolgico, contingencia, algn evento natural tenemos el seguro.