INTRODUCCION

Debido a que el uso de Internet se encuentra en aumento, cada vez más compañías permiten a sus socios y proveedores acceder a sus sistemas de información. Por lo tanto, es fundamental saber qué recursos de la compañía necesitan protección para así controlar el acceso al sistema y los derechos de los usuarios del sistema de información. Los mismos procedimientos se aplican cuando se permite el acceso a la compañía a través de Internet.

Además, debido a la tendencia creciente hacia un estilo de vida nómada de hoy en día, el cual permite a los empleados conectarse a los sistemas de información casi desde cualquier lugar, se pide a los empleados que lleven consigo parte del sistema de información fuera de la infraestructura segura de la compañía.

1

INDICE

INTRODUCCION 1INDICE 2MODELOS DE SEGURIDAD 3

1. ASPECTOS BASICOS DE SEGURIDAD 32. MODELO BELL-LAPADULA 43. MODELO DE SEGURIDAD BIBA64. MODELO DE SEGURIDAD TAKE-GRANT 75. MODELO MATRIZ DE CONTROL DE ACCESO 96. MODELO DE SEGURIDAD HARRISON, RUZZO Y ULLMAN (HRU) 10

6.1 DESCRIPCION DEL MODELO HRU 106.2 SISTEMA DE PROTECCIÓN

126.3 ASPECTOS DE SEGURIDAD

13

ENTORNOS DE LA NORMA DE SEGURIDAD ISO 17799141. POLÍTICAS DE SEGURIDAD 142. ORGANIZACIÓN DE LA SEGURIDAD 153. CLASIFICACIÓN Y CONTROL DE ACTIVOS 154. SEGURIDAD DEL PERSONAL 165. SEGURIDAD FÍSICA Y DEL ENTORNO 166. GESTIÓN DE COMUNICACIONES Y OPERACIONES 177. CONTROL DE ACCESOS 188. DESARROLLO Y MANTENIMIENTO DE SISTEMAS 209. GESTIÓN DE LA CONTINUIDAD 2110. CONFORMIDAD 21

2

MODELOS DE SEGURIDAD

La seguridad en las organizaciones es considerada desde hace tiempo un factor primordial, pero el enfoque sobre la forma y los elementos a proteger ha cambiado radicalmente debido a los medios que se utilizan para romper las medidas de seguridad que buscan proteger los activos más importantes de una organización.

Desde los años 60 las organizaciones prestaban más atención a la seguridad física, pero a raíz de desarrollos en el campo de las redes de comunicaciones e internet, permiten nuevas formas y medios de ataque, que ya no son físicos sino remotos desde cualquier lugar del mundo con igual o mayor facilidad e impacto que los ataques físicos.

Proteger la información se ha convertido en uno de los principales activos de una organización. Esta importancia se debe entre otras razones al avance tecnológico y a la utilización de herramientas informáticas que permiten agilizar los procesos de tratamiento de datos, con el fin obtener resultados importantes para la organización. A pesar de su importancia, muchas empresas no le prestan el debido cuidado ya que descuidan el proceso de diseño de sus sistemas de manera que estos no cumplen con las mínimas normas de protección.

Un sistema de información debe estar protegido adecuadamente en contra de cualquier intento de lecturas o modificaciones a la información respondiendo a unas políticas para la organización. Además la información debe estar reglamentada de acuerdo a unos perfiles de usuario en donde se define claramente la información a la que puede tener acceso, el tipo de operaciones que puede realizar (actualizaciones, lecturas, etc.) de acuerdo a las labores propias de su trabajo y el carácter de importancia.

1. ASPECTOS BÁSICOS DE SEGURIDAD.

Cuando se habla de seguridad de la información, se busca el cumplimiento básicamente de tres aspectos básicos que se deben preservar o garantizar, y son: Confidencialidad, Integridad y Disponibilidad.

Se entiende la Confidencialidad como que la información pueda ser “vista” por quien tiene ese derecho y de acuerdo al nivel de acceso permitido.

En cuanto a la Integridad, se refiere a la forma en que protegemos la información de cambios intencionales o accidentales no autorizados (prevenir que la información se contamine). A través de este control garantizamos que la información es precisa y se mantiene en el estado que los usuarios esperan. Sobre esto lo principal es brindar mecanismos de protección de tal forma que la información se mantenga integra y se puedan prevenir fraudes y errores.Por último, a nivel de la Disponibilidad lo que se quiere es garantizar que la información se encuentre lista a ser accedida cuando se necesita.

3

Una vez se identificaron los diferentes aspectos que se deben “garantizar” para un adecuado nivel de seguridad de la información, aparece el concepto de los modelos de seguridad. Estos nos permiten tener una certeza formal de la validez de un esquema de seguridad donde a través de una sustentación matemática (formal) se puede comprobar si un sistema es realmente seguro.

2. MODELO BELL-LAPADULA

El modelo Bell-LaPadula se desarrolló en 1976 por la organización Mitre fundada por el gobierno de los Estados Unidos para elaborar los estudios referentes a modelos de seguridad militar, este modelo consiste en dividir el permiso de acceso de los usuarios a la información en función de etiquetas de seguridad.

Se distinguen 2 tipos de entidades, sujetos y objetos. Se define estados seguros y se prueba que cualquier transición se hace de un estado seguro a otro. Un estado se define como estado seguro si el único modo de acceso permitido de un sujeto a un objeto está en concordancia con la política de seguridad. Para determinar si un modo de acceso específico esta permitido, se compara la acreditación de un sujeto con la clasificación del objeto (más precisamente, la combinación de la clasificación y el conjunto de compartimientos) para determinar si el sujeto esta autorizado para el modo de acceso especificado. El esquema de clasificación/acreditación se expresa en términos de un retículo.

Propiedades.

Las propiedades indican las reglas para definir un estado seguro. Por lo tanto la realización de la operación depende de sí se cumplen o no estas propiedades. Este modelo busca preservar la confidencialidad de la información y no tiene en cuenta otros principios como integridad o disponibilidad.

A continuación se mencionan las siguientes propiedades:

Propiedad básica: Ningún sujeto puede tener acceso de este tipo a cualquier objeto que tenga una clasificación superior que los permisos del sujeto, es decir un sujeto solo puede leer los objetos cuyo nivel de seguridad sea menor o igual que el nivel de seguridad del sujeto.

fm(S) >= fo(O)

4

Propiedad estrella: Ningún sujeto tendrá acceso a un objeto cuyo nivel de seguridad no sea por lo menos el actual nivel de seguridad del sujeto, es decir indica que solo se permiten escrituras cuando el nivel de seguridad del sujeto es menor o igual que el nivel de seguridad del objeto.

fc(S) <= fo(O)

Propiedad de acceso discrecional: La operación que se desee hacer el sujeto sobre un recurso (archivo) debe ser subconjunto de las propiedades definidas en la matriz para este archivo a este sujeto, es decir se establecen los permisos que un sujeto tiene sobre un objeto.

5

{o1} {o1, o2}

3. MODELO DE SEGURIDAD BIBA

Creado por K. J. Biba en 1977, y publicado en Mitre un año después del modelo Bell-LaPadula. Biba se centra sobre la protección contra usuarios de un nivel inferior que puede escribir en cualquiera de los niveles superiores en los cuales está ubicado. Lo cual permite a un usuario de un bajo nivel de seguridad sobrescribir documentos altamente secretos, a menos que se adoptara un conjunto de políticas de integridad.Biba es un modelo de integridad que supone una separación en niveles de integridad (análogo a los niveles de seguridad) con una relación ordenada. Los objetos son asignados a clases de integridad de acuerdo al daño que sufrirían si fueran modificados de manera inapropiada, y los usuarios asignados a clases de integridad basados en su veracidad.

Los niveles de integridad son interpretados como niveles de confidencialidad del modelo BLP, y el nivel de integridad de un sujeto está basado en el nivel de integridad del usuario que representa y en sus necesidades.

Biba presenta varias opciones de integridad, todos basados en las mismas entidades pero representando diferentes políticas de integridad. Una opción es el modelo que representa la política de integridad estricta la cual intenta ser un doble de la política de confidencialidad de Bell-LaPadula.

Los elementos del modelo son:

S, O, I: Conjunto de sujetos, objetos y niveles de integridad. il: Función que define el nivel de integridad de cada sujeto y objeto. leq: Relación parcial ordenada sobre los niveles de integridad, menor que

o igual. min: Función que regrese el límite inferior del conjunto de I especificado. o, m: Relaciones que definen la habilidad de un sujeto “s” para observar

(o) o modificar (m) un objeto. i: Relación que define la habilidad de un sujeto s1 para invocar a otro

sujeto s2.

Propiedades.

La política de integridad estricta se caracteriza por tres propiedades:

Propiedad de lectura hacia arriba: Para que un sujeto observe a un objeto, el sujeto debe tener un nivel de integridad menor o igual que el nivel de integridad del objeto.

6

Propiedad de escritura hacia abajo: Para que un sujeto modifique un objeto, el objeto debe tener un nivel de integridad menor o igual que el nivel de integridad del sujeto.

Para que un sujeto 1 invoque a un sujeto 2, el sujeto 2 debe tener un nivel de integridad menor o igual que el nivel de integridad del sujeto 1.

En resumen las dos primeras propiedades indican que un sujeto no puede observar a un objeto de menor integridad y no puede modificar a un objeto de más alta integridad, y la tercera propiedad establece que un sujeto no puede invocar a otro sujeto de más alta integridad, tratando de prevenir que el sujeto invoque cualquier modificación indirecta de objetos de más alta integridad.

4. MODELO DE SEGURIDAD TAKE-GRANT

Este modelo se basa en grafos dirigidos, cuyos arcos son etiquetados con letras que representan operaciones.

Dentro de este modelo se manipulan los grafos como objetos formales, donde un vértice representa un usuario, y la etiqueta r representa el privilegio de lectura, w escritura y c al llamado de procesos o funciones. Basados en estas convenciones tenemos que si existe un arco de x a z, con la etiqueta r, se puede interpretar como “x puede leer z”.

De manera formal, un grafo de protección es un grafo dirigido y finito, donde cada arco se encuentra etiquetado por un subconjunto no vacío de {r, w, c}. Un arco que esté etiquetado por más de una letra quiere decir que posee todos estos permisos.

7

El modelo formal de protección está conformado por cinco reglas de escritura, que se presentan a continuación:

Take: Sean x, y, z tres vértices diferentes dentro de un grafo de protección G, y existe un arco desde x hacia y con la etiqueta γ tal que r γ y un arco desde y hacia z con alguna etiqueta {r, w, c}. Esta regla permite agregar un arco desde x hacia z con la etiqueta , generando un nuevo grafo G’. De manera no formal x toma (takes) la habilidad de hacer a z de y.

Grant: Sean x, y, z tres vértices diferentes dentro de un grafo de protección G, y existe un arco desde x hacia y con la etiqueta γ tal que w γ y un arco desde x hacia y con alguna etiqueta {r, w, c}. Esta regla permite agregar un arco desde y hacia z con la etiqueta , generando un nuevo grafo G’. De manera no formal x concede (grants) a y la habilidad de hacer a z.

Create: Sea x cualquier vértice en un grafo de protección G. Esta regla permite agregar un nuevo vértice n y un arco desde x hacia n con una etiqueta γ {r, w, c}, generando un nuevo grafo G’. De manera no formal x puede crear un nuevo usuario n sobre el cual puede tener todos los privilegios.

Call: Sean x, y, z tres vértices diferentes dentro de un grafo de protección G, y sea {r, w, c} la etiqueta de un arco desde x hacia y y γ la etiqueta de un arco desde x hacia z tal que c γ. Esta regla nos permite adicionar un nuevo vértice n, un nuevo arco desde n hacia y con etiqueta , y un arco desde n hacia z con etiqueta r, creando un nuevo grafo G’. De manera no formal x está llamando un programa z, pasándole cómo parámetros y. Un “proceso” es creado como efecto del llamado

8

(call), n puede leer el programa z y puede aplicar cualquiera de las operaciones presentes dentro del conjunto sobre los parámetros.

Remove: Sean x, y distintos vértices de un grafo de protección G, con un arco desde x hacia y con etiqueta. Esta regla nos permite remover (remove) el arco desde x hacia y, generando un nuevo grafo G’. De manera no formal x le quita sus privilegios a y.

;

5. MODELO MATRIZ DE CONTROL DE ACCESO

Con la creación de los sistemas multiusuarios en los cuales, los usuarios tienen la facilidad de compartir recursos comunes tales como memoria, procesos, bases de datos, etc.; salieron a flote problemas en los cuales se vislumbraban daños que podrían ser causados, a los recursos, por usuarios no-autorizados. Partiendo de estos antecedentes en los años 70’s, se desarrollo un modelo de seguridad basado en la matriz de control de acceso, cuya primera versión fue realizada por Lampson B.W.; posteriormente fue ampliado por Denning and Graham, esto más que todo debido a su simplicidad y generalidad que a la vez permite una gran variedad de técnicas de implementación.

Este modelo está basado en la existencia de tres principales componentes: un conjunto de pasivos objetos, un conjunto de activos sujetos, los cuales pueden manipular los objetos, y un conjunto de reglas que gobiernan la manipulación de los objetos por los sujetos. De esta forma los objetos representan los recursos que serán controlados como archivos o áreas de memoria y los sujetos son los usuarios o los procesos ejecutados por ellos; es significativo anotar que cada sujeto es un objeto, así un sujeto puede ser manipulado por otro sujeto. La matriz de control de acceso consta de una fila para cada sujeto “s” y una columna para cada objeto “o”, la celda (intersección creada entre una fila y columna determinada), especifica los derechos que el sujeto “s” tiene sobre el objeto “o”. Visto de otro modo, cada fila representa una lista de derechos (poseídos por cada uno de los sujetos), y cada columna lista los controles de acceso de los objetos (lista de todos los derechos de los sujetos sobre un determinado objeto).

9

Los modos de acceso permitidos dependen del tipo de objeto y de la funcionalidad del sistema; típicamente los modos son: read, write, append y execute. Además las banderas pueden ser utilizadas para indicar propiedad sobre un objeto en particular. La matriz de acceso puede verse como el almacenaje de los estados de protección del sistema; así ciertas operaciones invocadas por los sujetos pueden alterar estos estados. Ejemplos:

Un sujeto “s” crea un nuevo objeto “o”, en la matriz de acceso se debe por consiguiente crear una nueva columna referente a este nuevo objeto, de igual forma cuando el sujeto “s” decida eliminar este objeto “o”, del cual es propietario, la matriz se vera de nuevo alterada, pues la columna de este objeto en particular, será eliminada.

Otro ejemplo que refleja cambios en la matriz de acceso es cuando un sujeto “s” propietario de una objeto “o” concede a otro sujeto s’ un derecho sobre el objeto o, en este caso el permiso deberá almacenarse en la matriz, en la respectiva celda.

Graham y Denning desarrollaron un conjunto de reglas que estipulan la creación y eliminación de objetos, de igual forma la asignación o transferencias de permisos de accesos, lo cual es lo que produce alteraciones en la matriz de acceso.

Harrison, Ruzzo and Ullman investigaron el modelo de matriz de acceso con reglas similares a las expuestas por Graham y Denning, y encontraron que no es posible determinar si dada una configuración de matriz de acceso inicial, más tarde pueda aparecer en una celda arbitraria un derecho de acceso arbitrario.

6. MODELO DE SEGURIDAD HARRISON, RUZZO Y ULLMAN (HRU)

6.1 DESCRIPCION DEL MODELO HRU

Harrison, Ruzzo y Ullman propusieron un modelo en 1976 que es popularmente referenciado como el modelo HRU. Este modelo define sistemas de autorización que establecen reglas para la modificación de permisos de acceso a los recursos de un de un sistema. Nota: Este modelo sólo se preocupa por la protección, esto es, “quien tiene que acceso a que objetos”. Definición: Un sistema de protección consiste de las siguientes partes:

1. un grupo finito de derechos genéricos R. 2. un grupo finito de comandos C, de la forma:

command α(X1, X2, . . . ., Xk) if r1 in (XS1, XO1) and r2 in (XS2, XO2) and . . . rm in (XSm, XOm) then op1 op2 . . .

10

opn end o si m es cero, simplementecommand α(X1, X2, . . . . , Xk)op1 . . . opn endDonde, α es el nombre del comando, y X1,. . ., Xk son parámetros formales. Cada “OPi” es una de las operaciones primitivas siguientes:

- enter into (XS, XO) - delete r from (XS, XO) - create subject Xs - create object Xo - destroy subject Xs - destroy object Xo

También, r, r1,.. . , rm son derechos genéricos y s, s1,. . ., sm y o, o1,. . ., om son enteros entre 1 y k. Nosotros podemos llamar el predicado siguiente a la sentencia “if” como la condición de α y a la secuencia de operaciones op1,. . ., opn, cuerpo de α.

Definición: una configuración de un sistema de protección es una tripleta (S, O, P) donde:

S es el conjunto de sujetos actuales. es el conjunto de objetos actuales, S ⊆ O. P es una matriz de acceso, con una fila para cada sujeto

en S y una columna para cada objeto en O.

Un ejemplo de matriz de acceso es la que se muestra en a figura:

Figura Matriz de Acceso

Se nota en la figura que la fila s de la matriz es como una “lista de capacidad” para el sujeto s, mientras la columna o es similar a una “lista de acceso” para el objeto o.

11

Cada comando debería verificar la presencia de ciertos derechos en ciertas posiciones de la matriz de acceso actual. Esas condiciones pueden ser usadas para verificar que la acción a ejecutarse por el comando está autorizada.

El modelo está basado en comandos, donde cada comando contiene condiciones y operaciones primitivas. Las operaciones primitivas se definen como sigue:

Create subject s: Este comando permite al sujeto introducir un nuevo sujeto s dentro del sistema.

Create object o: Este comando permite al sujeto introducir un nuevo sujeto o dentro del sistema.

Destroy subject s: Le permite al controlador de un sujeto s, eliminarlo del sistema.

Destroy object o: Le permite al propietario de un objeto o, eliminarlo del sistema.

Grant right r into A[s,o]: Este le permite al propietario de un objeto o, conceder cualquier derecho r al sujeto s.

Delete right r from A[s,o]: Este le permite al propietario o controlador de un objeto o, remover cualquier derecho r sobre este objeto al sujeto s.

6.2 SISTEMA DE PROTECCIÓN.

A continuación se muestran las operaciones primitivas propuestas por el modelo HRU, describiendo su precondición y el estado final después de haber sido ejecutado el comando [Blyth00]:

12

6.3 ASPECTOS DE SEGURIDAD.

Debemos abordar ciertos conceptos previos necesarios antes de entrar a la definición de los teoremas que exponen los problemas de seguridad en el modelo HRU.

Definición.- Dado un sistema de protección se dice que un comando ∝(X1,. . . , Xk ) filtra un derecho genérico r desde la configuración Q = ( S, O , P), si ∝ cuando se ejecuta sobre Q puede ejecutar una operación primitiva la cual entre (Filtre) un derecho r dentro de una celda de la matriz de acceso, la cual no lo contenía previamente. Donde S es el conjunto de sujetos, O es el conjunto de objetos y P es la matriz de acceso.

Definición.- Un sistema es mono-operacional si cada interpretación de comando es una operación primitiva simple. El siguiente comando es un comando mono-operacional:

Command Conferir r (A, B, Archivo) If own in (A, Archivo) Then enter r into (B, Archivo) end

Se puede observar que el comando Conferir antes mostrado maneja dentro de su cuerpo una sola operación primitiva simple.

13

ENTORNOS DE LA NORMA DE SEGURIDAD ISO 17799

En la actualidad cualquier organización debe reconocer que el buen funcionamiento de los sistemas de información es crítico en el desarrollo de sus actividades y, al mismo tiempo, que dichos sistemas se encuentran en situación de riesgo tanto por la propia vulnerabilidad de los sistemas como por una insuficiente implantación de políticas y normas de seguridad. Estas vulnerabilidades pueden producir perdidas de activos de la organización o perdida de la continuidad del negocio cuyo alcance hay que conocer para poder decidir el nivel de riesgo que se está dispuesto a asumir.

En esta situación se aborda la elaboración de un Plan Director de Seguridad para la organización con el objetivo de conocer el nivel de seguridad que presentan los sistemas informáticos, definir y diseñar el modelo de seguridad que se desea conseguir y planificar las acciones necesarias para ajustarse a ese modelo.

Para responder a estas necesidades se plantea como hilo conductor la norma ISO/UNE/IEC 17799 de buenas practicas en la gestión de la seguridad.

La ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información dirigidas a los responsables de iniciar, implantar o mantener la seguridad de una organización; esta norma define la información como un activo que posee valor para la organización y requiere por tanto de una protección adecuada.

El objetivo de la seguridad de la información es proteger adecuadamente este activo para asegurar la continuidad del negocio, minimizar los daños a la organización y maximizar el retorno de las inversiones y las oportunidades de negocio.

La norma define la seguridad como la preservación de la confidencialidad, integridad y disponibilidad de la información, siendo necesario para ello no solo medidas técnicas sino también políticas organizativas.

Para alcanzarla define diez áreas de control que cubren todo el ámbito de gestión de la seguridad planteando sobre ellas 36 objetivos de control y un total de 127 controles que nos pueden servir para validar el grado de adecuación a la norma. En cualquier caso es importante darse cuenta que será una labor prioritaria adaptar la ISO17799, y más concretamente el peso que se da a cada una de las áreas de la norma, a las características concretas del ámbito de aplicación del Plan Director que se quiere elaborar.

1. POLÍTICAS DE SEGURIDAD.

El objetivo principal es la elaboración de un documento de políticas de seguridad publicado por el máximo nivel directivo de la organización con una declaración apoyando sus objetivos y principios. En este documento se describirán brevemente las políticas, principios y normas que en

14

materia de seguridad se consideren esenciales y se establecerá la jerarquía de responsabilidades en la gestión de la seguridad indicando claramente quien se hace responsable de los activos.

Incluirá referencias a la legislación aplicable y a los documentos de detalle donde se encuentran desarrolladas las normas. Se debe asegurar que se comunica esta política a todos los usuarios del sistema y que es fácilmente comprensible por todos ellos ya que es el medio de dar a conocer la implicación de la Dirección en las políticas de seguridad además de su contenido.

2. ORGANIZACIÓN DE LA SEGURIDAD.

Se trata de desarrollar el documento gerencial de políticas de seguridad desde tres puntos de vista distintos, cuando los sistemas son gestionados por la propia organización, cuando existen accesos de terceras partes (asistencia técnica, por ejemplo) y cuando todos los sistemas de información están externalizados.

En el primer caso debe haber un comité de dirección encargado de impulsar, hacer el seguimiento y revisar las políticas de seguridad, independientemente de que exista un responsable de seguridad encargado de la misma. Para la implementación de los controles puede ser conveniente la existencia de otro foro con representantes de áreas ajenas a las tecnologías de la información y que acuerde funciones, metodologías, revisiones o como realizar la difusión en materias relacionadas con la seguridad de la información.

Deben definirse los responsables, en general los dueños, de cada recurso de la organización y de su protección, siendo conveniente delimitar claramente el área de responsabilidad de cada persona para que no existan huecos ni solapamientos; habitualmente habrá un responsable de seguridad que delegará la responsabilidad de seguridad en otras personas, pero en último término será él el responsable tanto del recurso como de validar la correcta implementación de las medidas de seguridad.

Es de resaltar la importancia de tener correctamente establecido el protocolo de actuación ante la instalación de nuevos sistemas de información, ya que esta no se debe llevar a cabo sin el pertinente estudio del impacto que producirá en la seguridad y, en su caso, de las medidas suplementarias al plan de seguridad establecido.

En el caso de la contratación de terceros que desarrollarán su labor en nuestro sistema o de externalización total es esencial tener un modelo de contrato, validado por el departamento jurídico si hiciera falta, que contenga todos los requerimientos de seguridad para asegurar el cumplimiento de las políticas y normas de la organización, con especial hincapié en la Ley Orgánica de Protección de Datos. Además será lo suficientemente claro para que no puedan surgir malentendidos entre la organización y el proveedor.

3. CLASIFICACIÓN Y CONTROL DE ACTIVOS.

15

Para mantener una adecuada protección de los activos hay que identificar claramente cuales son y asignarles un grado de protección según su sensibilidad y criticidad, indicando en cada caso como ha de ser tratado y protegido.

Lo primero será contar con un exhaustivo inventario de activos que incluirá los recursos de información de todo tipo, recursos software y hardware, servicios informáticos y de comunicaciones y aquellos otros recursos que nos afecten como climatización, suministro eléctrico, etc. Una vez realizado se le asignará a cada recurso un grado de protección que marcara las medidas de seguridad que le serán aplicables y el tiempo durante el cual estarán vigentes siendo responsable de esta asignación el dueño o responsable del activo. Por último es conveniente manejar esta información de una manera organizada incluyendo algún tipo de clasificación sistemática que ayude a su mantenimiento y control.

4. SEGURIDAD DEL PERSONAL.

En cuanto al personal la seguridad se basará en tres pilares básicos, la seguridad inherente al puesto desempeñado, la formación en materia de seguridad y la respuesta ante incidentes.

La seguridad del puesto deberá enfocarse a evitar que personal malintencionado utilice los medios de la organización para provocar fallos de seguridad y se evitan con una adecuada política de selección de personal, tanto propio como contratado temporalmente, e incluyendo condiciones y términos en los contratos que indiquen claramente las responsabilidades y las obligaciones. El trabajo de todo el personal debe ser periódicamente revisado y nuevamente aprobado por un superior jerárquico.

La formación en materia de seguridad implica que ningún usuario desconozca la política general de seguridad ni las normas específicas que le afectan en el desarrollo de sus funciones. Para ello se promoverán cursos de formación y actualizaciones periódicas de los conocimientos, así como todas aquellas medidas de difusión que se consideren oportunas.

Es esencial para minimizar el numero de incidentes de seguridad y su alcance establecer un sistema de comunicación de incidencias hardware, software o de cualquier tipo, que todos los usuarios puedan utilizar y que sirva para reaccionar con rapidez ante cualquier amenaza o para evitarla antes de que se produzca.

También habrá que disponer de un procedimiento establecido de respuesta a incidentes que establezca las acciones a realizar ante un aviso de incidente. Este sistema servirá también para actualizar las políticas de seguridad de la organización teniendo en cuenta los incidentes más habituales o graves. Por último se habrá de establecer y difundir las sanciones disciplinarias cuando sean los propios empleados los que provoquen los incidentes.

5. SEGURIDAD FÍSICA Y DEL ENTORNO.

16

Un primer objetivo será impedir el acceso a las áreas seguras de personal no autorizado. Estas zonas habrán de estar claramente delimitadas pero no de forma claramente visible sino de una manera formal, con un perímetro permanentemente controlado. Se pueden definir varios tipos de zonas seguras dependiendo del tipo de sistema informático que contengan y de su grado de criticidad y, por lo tanto, las medidas de seguridad en cada tipo serán acordes a dicho grado. Las medidas para evitar accesos no autorizados y daños en los sistemas suelen ser barreras físicas y de control de cualquier tipo, pero también la ausencia de información sobre lo que contiene un área segura y la falta de signos externos que puedan hacer adivinar su contenido.Deberá tenerse en cuenta cuando se diseñe el sistema de información que la ubicación e infraestructuras del mismo sean las adecuadas para reducir el riesgo de amenazas naturales como incendios, vibraciones, inundaciones, etc.

También se pondrán medios para atajar aquellas no directamente relacionadas con el sistema de información pero que pueden afectar a su funcionamiento como pueden ser el suministro de energía incorporando un sistema de alimentación ininterrumpida de capacidad suficiente, proteger contra cortes o intrusiones el cableado de suministro de datos y energía, facilitar un adecuado mantenimiento de los equipos y establecer unas normas de seguridad para el equipamiento que contenga datos sensibles y que salga fuera de la organización y nunca permitir su salida sin autorización. Se debe asegurar que los soportes susceptibles de contener información sensible son físicamente destruidos o sobrescritos antes de desecharlos.

Es conveniente establecer políticas de escritorios sin papeles para evitar el robo o destrucción de datos y de pantallas limpias, no dejando en la misma ningún dato sensible al dejar el puesto sin atención.

6. GESTIÓN DE COMUNICACIONES Y OPERACIONES.

Los procedimientos operativos, cualquiera que sea su tipo, deben estar perfectamente documentados por su política de seguridad, detallándose para cada tarea sus requerimientos de programación, interdependencias con otros sistemas, tareas de mantenimiento previstas y procedimientos de recuperación ante incidentes. Asimismo se ha de dar especial importancia a los cambios en los sistemas o instalaciones ya que son fuente frecuente de fallos del sistema y de seguridad.

Se debe establecer una serie de procedimientos de manejo de los incidentes para responder lo más rápida y eficazmente posible, estableciéndose como mínimo procedimientos para todos los tipos de incidentes probables, tratando de identificar las causas, indicando el modo de auditado del sistema afectado e incluyendo protocolos detallados de las acciones de recuperación.

Para reducir el riesgo de mal uso del sistema se deben separar las tareas de gestión de las de ejecución impidiendo que haga una misma persona todo el proceso. También se separaran las áreas de desarrollo de la de producción para evitar errores por incorrecciones en los sistemas o fallos forzados.

17

Cuando el sistema de información se encuentra en una instalación externa los controles deben ser los mismos pero deben encontrarse claramente especificados en el contrato.

Una adecuada monitorización del uso de los recursos del sistema nos permitirá detectar posibles cuellos de botella que derivarían en fallos del sistema y de seguridad, dando tiempo a planificar las ampliaciones o actualizaciones del sistema con la suficiente antelación. Estas ampliaciones se realizarán cuando esté perfectamente asegurado el correcto funcionamiento en el sistema existente y su adecuación a las normas de seguridad.

En cuanto a elementos software es esencial controlar la introducción de software malicioso que pudiera degradar los sistemas o introducir vulnerabilidades, para lo cual se implementarán los controles necesarios para evitar su instalación y se promoverán medidas para concienciar a los usuarios del riesgo que suponen y para formarles en un uso seguro del sistema.

Existirá un programa de copias de respaldo para todos los datos no recuperables de la organización, que se guardarán en una ubicación independiente con los mismos niveles de seguridad que en su emplazamiento original y por un periodo de tiempo que dependerá de la naturaleza y sensibilidad de los datos. Se realizarán ensayos de recuperación para comprobar la viabilidad del protocolo y validez del programa.

Se mantendrá un registro de actividades del personal de operación así como de los errores del sistema detectados, revisándolos para verificar la resolución de los fallos y que las medidas que se tomaron para ello estaban dentro de las normas.

La administración de las redes de datos deben incluir los controles necesarios para garantizar la seguridad de los datos y la protección de los servicios contra el acceso no autorizado. Se tomarán medidas adicionales, principalmente cifrado, cuando los datos sean especialmente sensibles.

Cualquier medio susceptible de almacenar datos ha de ser tenido en cuenta dentro de las políticas de seguridad y especialmente los soportes removibles como discos o papel, estableciéndose procedimientos operativos para protegerlos contra robo, daño o acceso no autorizado y procedimientos para su destrucción o borrado total cuando no vayan a ser utilizados de nuevo. La documentación del sistema debe ser también protegida ya que suele contener información valiosa y que puede ser utilizada para vulnerar el sistema.

Un apartado especial tienen los intercambios que se realizan entre distintas organizaciones que debido a la variedad de formatos implicados (correo electrónico, comercio electrónico, mensajero, fax, teléfono, etc.) exigen un control cuidadoso. Se establecerán acuerdos (preferiblemente escritos) con las otras organizaciones que respeten por una parte la política de seguridad de la organización y por otra la legislación aplicable,

18

solo se utilizarán medios de transmisión que sean seguros y se establecerán normas para que el propio envío (datos, paquetes, etc.) incluya todas las medidas de seguridad consideradas adecuadas a su naturaleza. Respecto al correo electrónico se elaborará una política clara para todos los usuarios respecto al uso de anexos y almacenamiento de los mismos, el uso responsable de tal manera que no se comprometa a la organización y técnicas de cifrado para proteger la confidencialidad y la integridad. En definitiva se promoverá entre el personal de la organización una actitud activa por la seguridad formando sobre actos cotidianos que la comprometen y que son fáciles de evitar como intentar no ser escuchado al hablar por teléfono, no usar contestadores o el envío de fax con información sensible a números equivocados.

7. CONTROL DE ACCESOS.

Se deben definir y documentar las reglas y derechos de acceso a los recursos del sistema de información para cada usuario o grupo de usuarios en una declaración de política de accesos. Está política debe ser coherente con la clasificación de los activos y recorrer exhaustivamente el inventario de recursos. Por otra parte las reglas que se definan deberán ser preferiblemente restrictivas (no permitir el acceso nunca excepto cuando se necesite mejor que permitirlo siempre excepto cuando exista riesgo) y modificables solo por el administrador.

Se implementará un procedimiento formal que cubra todo el ciclo de vida del registro de un usuario, desde su alta donde se verificará que los accesos otorgados sean los adecuados a las necesidades y que exista un permiso de uso de los recursos accedidos, la cancelación inmediata de permisos ante cambios en las tareas del usuario, verificaciones periódicas de consistencia de los permisos y usuarios del sistema o utilización de identificadores únicos.

Es importante limitar todo lo posible la asignación de privilegios que permitan evitar los controles de acceso estándar ya que son la principal vulnerabilidad de un sistema, por lo que deberán estar perfectamente identificados, asignarse sobre la base de la necesidad de uso y evento por evento y a un identificador de usuario distinto al de uso habitual. Los derechos de acceso serán revisados a intervalos regulares y tras cada cambio en un usuario y los privilegios con una mayor frecuencia. La asignación de contraseñas se controlará a través de un procedimiento formal que impida su almacenamiento o envió sin la debida protección y que incluya reglas para impedir su captura o adivinación.

En entornos especialmente sensibles se proveerán sistemas de identificación más fuertes como huellas, candados hardware u otros. Por otra parte se informará a los usuarios de buenas prácticas en el uso de contraseñas como no compartirlas ni tenerlas escritas o cambiarlas regularmente y usar contraseñas de calidad. Es conveniente bloquear por contraseña las sesiones de terminal o PC cuando el usuario se ausente del puesto.

Es esencial para la organización la protección de los servicios de red para impedir que sean interrumpidos o accedidos ilegalmente. Las normas para su protección, que han de ser coherentes con la política de control

19

de accesos, se plasmarán en un documento de política de uso de los servicios de red. Todo usuario externo o nodo automático que intente acceder al sistema ha de ser autentificado preferiblemente con técnicas fuertes como el cifrado o candados hardware. Es recomendable la definición de caminos forzados entre terminales de usuario y los servicios del sistema así como la división de la red en subredes lógicas y aisladas. Todos los accesos a la red deben ser validados contra las reglas de control de accesos e incluir un control de origen y destino de la conexión, independientemente de las validaciones de seguridad que cada servicio del sistema incluya.

Es importante vigilar el acceso al sistema operativo ya que su control supone el dominio de una parte importante del sistema, por lo que se usarán todas las medidas de seguridad que incluya destacando la identificación y verificación segura de los usuarios, aplicaciones y terminales y el registro de los intentos de conexión al sistema. Se dispondrá de un sólido sistema de administración de contraseñas y se establecerán reglas sobre limitación del horario de uso y desconexión automática por inactividad.

El acceso a las aplicaciones estará limitado a los usuarios autorizados basándose en las normas de control de accesos y estará claramente documentado para cada aplicación su nivel de sensibilidad, aplicando las medidas de seguridad indicadas a dicho nivel.

Es esencial para preservar la seguridad del sistema la monitorización y seguimiento de todas las incidencias que se produzcan lo que permitirá la detección temprana de incidentes y la validación de la bondad de los controles de seguridad adoptados. Se guardará un registro de los eventos de seguridad como accesos con o sin éxito a aplicaciones o a datos, usuarios que han accedido y por cuanto tiempo, alarmas del sistema y otros que se consideren necesarios para la recolección de evidencias de incidentes. Regularmente este registro debe ser revisado en busca de evidencias que indiquen algún compromiso de la seguridad.

Cuando en el sistema exista la posibilidad de teletrabajo o de computación móvil será necesario estudiar la sensibilidad de los sistemas desplazados e implementar las medidas de seguridad acordes con la misma y, al mismo tiempo, se dictarán normas especificas para este tipo de sistemas como por ejemplo sobre la seguridad física de los equipos contra robo o rotura o sobre el uso en público de los mismos.

8. DESARROLLO Y MANTENIMIENTO DE SISTEMAS.

Se trata de asegurar que todos los requerimientos de seguridad que se han definido son incluidos en el sistema de información ya que es en el momento del desarrollo de los sistemas cuando más económico es implementarlos.

Las aplicaciones se deben diseñar para que incluyan los controles de acceso necesarios así como para que dejen registro de actividad. Se validarán los datos de entrada y de salida y se verificara la integridad y autenticidad de los mismos según se considere necesario.

20

Se utilizarán técnicas de cifrado para preservar la confidencialidad, autenticidad e integridad de la información que, tras una evaluación de los riesgos, sea considerada como especialmente sensible. Esta política en materia de cifrado tendrá en cuenta la legislación aplicable así como los estándares técnicos y las necesidades de la organización. También incorporará los casos y condiciones de uso de la firma digital o de servicio de no repudio. Es esencial la gestión de las claves de cifrado por lo que se establecerán normas y procedimientos para su administración, tanto en el caso de técnicas de clave secreta como de clave pública.

En el entorno de producción se controlará el acceso al software de sistema así como a los datos de prueba que se haya podido utilizar y a las bibliotecas de código fuente ya que contienen información interna sensible sobre el funcionamiento del sistema. En el entorno de mantenimiento se verificará que todos los cambios que se realicen en las aplicaciones están autorizados y existirá un procedimiento para llevarlos a cabo, al igual que las revisiones técnicas del sistema operativo o los cambios en los paquetes comerciales de software; todos los cambios han de quedar perfectamente documentados y tener una verificación previa de conformidad con las normas de seguridad.

9. GESTIÓN DE LA CONTINUIDAD.

Toda organización ha de contar con un plan de actuación ante contingencias que permita identificar y reducir los riesgos de que se produzcan interrupciones en el servicio, atenuar en lo posible las consecuencias de los incidentes y asegurar que se reanuda la actividad lo antes posible.

La implementación de un proceso controlado para el mantenimiento de la actividad debe incluir una identificación clara de los eventos que pueden provocar su interrupción, evaluando el riesgo de ocurrencia y calculando el impacto que tendría sobre la organización, y esto para cada proceso de la organización. En base a esto se documentaran los procedimientos de actuación ante incidencias y se formará al personal que deba llevarlos a cabo, realizando las pruebas necesarias y actualizando los procedimientos cuando se produzcan cambios en el sistema o cuando las pruebas de reevaluación indiquen fallos. Estos planes contendrán como mínimo las causas de activación, el personal implicado y los procedimientos de actuación y de recuperación con sus diagramas de tiempos correspondientes, y debe tener un propietario o responsable del mismo. Asimismo se realizará el mantenimiento periódico del plan de continuidad para garantizar que es eficaz y que se encuentra vigente.

10. CONFORMIDAD.

Se exigirá al sistema de información el total respeto a la legislación vigente, y en especial a la Ley Orgánica de Protección de Datos, la Ley de Servicios de la Sociedad de la Información y la Ley de Firma Electrónica, incluyendo también los derechos de propiedad intelectual. Dentro de los controles de la conformidad se incluirán la conservación de aquellos

21

ficheros o registros que determine el marco legal, el uso adecuado por parte del personal de los recursos de la organización y el uso que se hace de las técnicas de cifrado. Es conveniente mantener un registro de evidencias que, desde un punto de vista legal, pudiera ser utilizado en un tribunal, por lo que deberán cumplir todos los requisitos para su admisión como son la validez general a través del cumplimiento de estándares, la calidad con copias fieles y la totalidad de la prueba, conservando todo el registro de la acción.

La política de seguridad de la información debe estar en permanente revisión para, por una parte, vigilar que se esté produciendo un adecuado cumplimiento de la misma por todas las áreas de la organización y por otra mediante el uso de una batería de verificaciones técnicas para comprobar que el sistema es seguro ante las incidencias que se puedan prever. Se proveerán herramientas de auditoria que deben estar separadas del resto de sistemas de información y cuyo uso estará limitado y controlado por un acuerdo donde se indique el alcance de las verificaciones y los procedimientos a llevar a cabo.

22