Plan de Seguridad Informatica
GUÍA BÁSICA NORMAS Y PROCEDIMIENTOS DE SEGURIDAD José Luis La seguridad en la información, el activo principal de cualq
Views 76 Downloads 0 File size 765KB
Recommend stories
- Author / Uploaded
- Claudia Marcela
Citation preview
GUÍA BÁSICA NORMAS Y PROCEDIMIENTOS DE SEGURIDAD
José Luis La seguridad en la información, el activo principal de cualquier empresa. Lo que dejas atrás, te termina alcanzando. José Luis
Contenido
Introducción ¿Para quién es este libro? Plan de seguridad nformát ca - (PSI) Elementos del Plan de Seguridad Informática Algunos parámetros para establecer el Plan de seguridad Niveles de riesgo de los recursos Gestión y Administración de cuentas de usuar o y contraseñas Activación del salva-panta las para la seguridad visual de la información Mantenimento y actualización de los productos ant malware, antispyware y antispam Instalación y actualización de los Sistemas Operativos
Gestión y configuracón de la seguridad en navegadores Web Clientes de correo electrón co Cortafuegos. Firewalls Elminación de servicios innecesarios en el sistema Eventos o incidentes de seguridad Firmas y cert ficados d gitales Protección de datos La protección de datos: Activo principal de la empresa Clasficación y Comunicación de información: Confidencial y Reservada Contratos con terceros Comunicacón de información no clasificada con terceros subcontratados Servcos públicos de información Respuesta ante incidencias detectadas por los usuarios del sistema Uso de dispositivos móviles Reports
Puede descargar los documentos referenciados de este libro en formato ".Doc" desde el enlace :
Download: http://docslibro.files.wordpress.com/2014/09/docspsi.doc (Recuerde pásele un antivirus a todo lo que descargue de Internet por su seguridad antes de abrirlo)
Introducción El robo de información es algo cada vez más frecuente. Los sistemas informáticos en el seno de la PYME están condicionados principalmente por la capacidad
económica de las mismas y por la cultura tecnológica que ex ista en quienes la gestionan o dirigen. No debemos olvidar que la gran mayoría de las PYMES son de carácter familiar, dónde los propios gestores dirigen o trabajan directamente en la producción principal de la misma. Por otro lado, las grandes corporaciones suelen tener implantados sistemas de calidad ISO o similar que determinan su funcionamiento interno. La implantación de sistemas informáticos en la empresa, la revolución tecnológica continua, la confianza electrónica, la falta de organización en los datos a tratar, la ley de Protección de Datos, etc.-, establecen la necesidad de elaborar un plan de normas, uso y reacciones ante cualquier incidencia que pueda poner en peligro la continuidad o viabilidad del negocio a corto o medio plazo. Por consiguiente, la información se debe considerar como un activo de primer orden en la empresa, en la que sus gestores, con independencia de la legislación vigente para tal efecto, deberán salvaguardarla ante posibles robos, pérdidas o deterioros de la misma. Los ataque informáticos están a la orden del día por lo que nadie, absolutamente nadie, puede decir que está ex ento de sufrir alguna incidencia.
¿Para quién es este libro? Este libro está pensando para empresas del sector de la informática, freelances de la seguridad de la información, técnicos de redes, empresarios, estudiantes, directivos o personas interesadas en el campo de la seguridad informática. Su finalidad no es más que presentar una guía de orientación para el desarrollo de un Plan de Seguridad Informática PSI como complemento técnico al manual LOPD que toda empresa debería poseer, que permita, generalmente a una PYME en su totalidad, o una gran corporación a nivel departamental, implementar unas normas o políticas de uso y comportamiento reguladas ante el manejo de los activos digitales ex istentes, y por consiguiente, mantener los mismos en unos niveles de seguridad o fiabilidad aceptables, así mismo, no pretende en ningún momento
sustituir al manual LOPD legalmente ex igido, sino complementarlo y dotarlo de la capacidad técnica y administrativa necesaria, gestionado todo ello principalmente a través de un administrador del sistema o responsable de seguridad (ASRS) destinado para tal fin. Este libro se presenta como una guía práctica, no es definitiva, y deberá amoldarse a las circunstancias propias de cada empresa en concordancia a su manual LOPD interno, así mismo, no ex ime a los responsables de la empresa de sus obligaciones en materia de seguridad hacia este último.
Plan de seguridad informática El PSI establece el canal formal de actuación del personal, en relación directa con los recursos y servicios informáticos importantes de la empresa. No se trata de una ex presión legal que involucre sanciones a conductas de los usuarios, es más bien una descripción de los que debemos proteger, como realizarlo y el por qué de todo ello. Por consiguiente, será un complemento técnico al manual LOPD que toda empresa debería poseer.
Elementos del Plan de Seguridad Informática El PSI orienta las decisiones que se toman en relación con la seguridad. Por tanto, requiere de una disposición por parte de cada uno de los miembros que conforman la empresa para lograr una visión conjunta de lo que realmente se considera importante y sensible. Ofrece por tanto, ex plicaciones comprensibles acerca de por qué deben tomarse ciertas decisiones de seguridad y transmitir por qué son importantes estas y otros recursos o servicios del sistema. De igual forma, establece las ex pectativas de la empresa en relación con la seguridad y lo que ella puede esperar de las acciones
que la materializan.
La seguridad no es un producto: es un proceso
Como documento dinámico, sigue un proceso de actualización periódica sujeto a los cambios organizacionales relevantes: crecimiento de la plantilla de personal, cambio en la infraestructura informática, rotación de personal, desarrollo de nuevos servicios, cambio o diversificación de negocios, entre otras. Por consiguiente se debe actualizar el Plan de Seguridad Informática como mínimo una vez al año. La empresa contratada para el seguimiento y control de la seguridad será la encargada de realizar dicho proceso, así mismo emitirá boletines informativos de actualizaciones que serán remitidos a la empresa, la cuál a través de su administrador del sistema o responsable de seguridad, que en lo sucesivo denominaremos ASRS, deberá incluirlas en las secciones correspondientes y aplicarlas.
Algunos parámetros para establecer el Plan de seguridad En el PSI se implementan algunos aspectos generales que se detallan a continuación. Análisis del riesgo informático, Pentesting a través del cuál se valora sus activos. Involucrar las áreas propietarias de los recursos o servicios. Determinación de autoridades para tomar decisiones para salvaguardar los
activos críticos de la empresa. Desarrollo de un proceso de monitoreo periódico de las normas que permita una actualización oportuna de las mismas.
Niveles de trabajo Confidencialidad Integridad Disponibilidad de los recursos y de la información Auditoria
Confidencialidad Consiste en proteger la información contra la lectura no autorizada ex plícitamente. Incluye no sólo la protección de la información en su totalidad, sino también las piezas individuales que pueden ser utilizadas para inferir otros elementos de información confidencial. El acceso a los recursos solo será para el personal debidamente autorizado para ello.
Integridad Es necesario proteger la información contra la modificación sin el permiso del usuario autorizado. La información a ser protegida incluye no sólo la que está almacenada directamente en los sistemas de datos, sino que también se deben considerar elementos menos obvios como respaldos, documentación, registros de contabilidad del sistema, tránsito en una red, etc. Esto comprende cualquier tipo
de modificaciones: Causadas por errores de hardware y/o software. Causadas de forma intencional. Causadas de forma accidental.
Disponibilidad de los recursos y de la información De nada sirve la información si se encuentra intacta en el sistema pero los usuarios autorizados no pueden acceder a ella. Por tanto, se protegen los servicios de manera que no se degraden o dejen de estar disponibles a los usuarios autorizados. Se prepara también el sistema para recuperarse rápidamente en caso de algún problema.
Auditoria Se debe contar con los mecanismos necesarios para poder determinar qué es lo que sucede en el sistema, “ monitorear, no espiar“ , qué es lo que hace cada uno de los usuarios y los tiempos y fechas de dichas acciones. Por lo tanto, es posible sentar de forma concreta y clara los derechos y límites de usuarios y administradores. Sin embargo, es necesario asegurarnos de que los usuarios conozcan sus derechos y obligaciones (es decir, las normas), de tal forma que no se sientan agredidos por los procedimientos implantados.
Niveles de riesgo de los recursos Se determinará qué recursos importantes de la red vale la pena proteger y cuales son más importantes que otros. Se identificarán las fuentes de amenaza hacia dichos recursos. Se diferencian claramente tres tipos de recursos:
Físicos Lógicos Servicios “ Los recursos físicos son, por ejemplo, las impresoras, los servidores de archivos, los routers, etc. Los recursos lógicos son, por ejemplo, las bases de datos de las cuales sacamos la información que permite trabajar en la empresa. Los servicios son, por ejemplo, el servicio de correo electrónico, de página WEB, etc.“ El análisis general de riesgos implica determinar lo siguiente: Qué se necesita proteger. De quién protegerlo. Cómo protegerlo. Los riesgos los clasificamos por el nivel de importancia del recurso a proteger y por la gravedad de la pérdida. No se debe llegar a una situación donde se gasta más para proteger aquello que es menos valioso“ Los recursos que consideramos al estimar las amenazas a la seguridad son: Hardware: Procesadores, tarjetas, teclados, terminales, estaciones de trabajo, computadoras personales, impresoras, unidades de disco, líneas de comunicación, cableado de la red, servidores de terminal, routers o bridges. Software: Programas fuente, programas de diagnóstico, sistemas operativos, programas de comunicaciones. Datos: Durante la ejecución, almacenados en línea, archivados fuera de línea, back-up, bases de datos.
Gente: Usuarios, personas para operar los sistemas. Documentación: Sobre programas, hardware, procedimientos administrativos. Accesorios: papel, formularios, información grabada.
Protección y configuración del sistema. Datos PSI.1.1 - Gestión y Administración de cuentas de usuario y contraseñas Altas y Modificaciones de usuario Cuando un usuario nuevo o ex istente de la empresa requiere una cuenta de acceso nueva o modificación de la ex istente para operar en el sistema, el ASRS cumplimentará el formulario PSI11-A: Nombre y Apellido. D.N.I. Puesto de trabajo. Jefe inmediato superior. Trabajos a realizar dentro del sistema. El consentimiento por parte del usuario de que sus actividades pueden ser auditadas en cualquier momento y de que conoce las normas de “ buen uso de los recursos” . Datos generales: Fecha de caducidad. Fecha de ex piración. Permisos de acceso. Restricciones horarias para el uso de algunos recursos y/o para el ingreso al sistema, otros...
Normas básicas para la creación, modificación y gestión del password de: Longitud: No debe ser menor de ocho caracteres, hay que tener en cuenta que cuanto más larga sea la contraseña mas tardaría un programa de fuerza bruta en encontrarla. Complejidad: La mayoría de los programas de rotura de contraseñas buscan regularidades en las contraseñas, es importante que esta sea lo menos “ regular” posible, ex presiones del tipo “ qazwsx ” , “ 1234” o “ qwerty” , son muy típicas y ex isten infinidad de programas capaces de detectarlo, reduciendo enormemente la dificultad de encontrar la contraseña correcta. Variedad: La inclusión de caracteres especiales como |, @, #, ¬-, números y alternar mayúsculas y minúsculas, aumenta la dificultad de un atacante antes de conseguirlo. No identificación personal: No utilizar palabras o fechas que nos identifiquen de ninguna manera, se deben ex cluidas fechas de nacimiento, boda, nombres de mascotas y nombre personal. No palabras de diccionario: Muchos de los ataques utilizan palabras del diccionario que debido a la alta velocidad que pueden realizar ataques de fuerza bruta (ir probando una por una) pueden acabar consiguiendo la contraseña en un tiempo relativamente corto. No repetir en diferentes sitios: Evitamos que la revelación de una contraseña permita entrar a más de un sitio. Cambiar periódicamente: Dependiendo de la importancia del servicio es
importante cambiarlas cada cierto tiempo asociado a la fuga de información, en ningún caso esta debe ser superior a un año. No enviar ni por email, ni SMS: Las contraseñas nunca enviarlas a través de medios inseguros. No usar contraseñas corporativas en ordenadores donde se desconozca el nivel de seguridad. Cambiar las contraseñas por defecto del hardware y software: Las contraseñas por defecto están publicadas y son fácilmente accesibles por lo que mantener esta contraseña hace que cualquier recurso del sistema sea altamente inseguro. No apuntar las contraseñas, si se tiene que memorizar un alto número de ellas, es mejor crear una base de datos cifrada para tal fin. “ Los usuarios del sistema mediante charlas periódicas de seguridad deben ser avisados de estas normas básicas “
Bajas de usuario Cuando un usuario cesa permanentemente o cuando deja de trabajar por un determinado tiempo (ex cedencia, vacaciones, bajas médicas, sanciones graves, etc.) se cumplimentará el formulario PSI11-B con los siguientes datos: Nombre y Apellido. D.N.I. Puesto de trabajo. Trabajos que realizaba dentro del sistema. Recursos a los que tenía acceso. Tipo de baja : Permanente o Temporal.
Fecha de Alta en el sistema. Fecha de Baja y periodo si es temporal, otros.. Si la baja efectuada es permanente, por parte del ASRS se guardarán los datos y eliminaran los archivos y directorios del usuario, mientras que si la misma es temporal, se conservara todo.
PSI.1.2 - Activación del salva-pantallas para la seguridad visual de la información Se debe activar la protección por contraseña para el salva-pantallas en los terminales de trabajo para periodos de inactividad, para garantizar el no acceso a la información sensible, siendo esta de diferente naturaleza tal como; Documentos ofimáticos de trabajo abiertos. Bases de datos abiertas. Carpetas compartidas con otros usuarios. Información confidencial y/o reservada en general. El tiempo máx imo para la activación del salva-pantallas no será nunca superior a 3 minutos de inactividad. El ASRS debe realizar inspecciones ordinarias periódicas para garantizar el correcto funcionamiento de este apartado.
PSI.1.3 - Mantenimiento y actualización de los productos antimalware, antispyware y antispam En la actualidad los sistemas informáticos están ex puestos a todo tipo de software malicioso o de captación de información para terceros. En esta política definimos las principales amenazas que se focalizan en la actualidad, tal como;
El software malintencionado como pueden ser los virus, gusanos, troyanos, spywares, backdoors, etc.-, los cuales suelen denominarse malware. Cualquier dispositivo físico tecnológico o software dedicado que puede usar un hacker para recopilar información, tanto de los equipos del sistema o de la red en general. Dicho dispositivo o software puede determinar hábitos de navegación, contraseñas, datos confidenciales bancarios o mensajes de correo. Los métodos de infección pueden ser muy variados: una infección asociado a la apertura de un archivo adjunto de correo, haciendo clic sobre una ventana de publicidad, insertado en otros programas que instalemos de dudosa procedencia ( la instalación de un programa ajeno o dependiente de la empresa será instalado única y solamente por el ASRS , en todos los casos que se presente esta situación ), metadatos, entre otros. Estos tipos de dispositivos o software suelen denominarse Spyware. Todo tipo de correo electrónico no deseado recibido procedente de un envió secuenciado, automatizado y masivo por parte de un emisor desconocido, realizado a través de servidores dedicados especializados para tal fin, definido como Spam. El ASRS es el encargado de la instalación, mantenimiento y actualización del software necesario en los terminales para minorizar al máx imo el riesgo del sistema independientemente del software o medios físicos implementados en la red o en el servidor o servidores principales ex istentes Así mismo cada Terminal de la empresa será asociado a una ficha única PSI13-A, en la cuál se reflejaran todas las instalaciones, mantenimientos y actualizaciones en el periodo de vida del mismo A continuación definiremos algunas de las principales herramientas que tiene el
ASRS a su disposición para el empleo en los terminales que tiene a su cargo
AES (Antiespía) Herramientas para la eliminación de programas espía encontrados. Permiten eliminar el contenido de la caché, cookies, historial, etc.-, de los navegadores. Suelen detener procesos de malware instalado, restaurar ciertas entradas del registro y reiniciar procesos. Herramienta básica para un sistema. Herramientas : eTrust PestPatrol, http://www.pestpatrol.com/ Spybot, http://www safer-networking.org/es/home/index .html
AURL (Análisis URL) Herramientas que analizan en tiempo real los resultados de la búsqueda realizada por los navegadores Google, Bing, etc , para determinar si las páginas que se muestran son o no seguras y pueden o no contener algún tipo de código malicioso. Herramientas : Geotrust, http://www.geotrust.com/?dmn=trustwatch.com Linkscanner, http://free.avg.com/ww-es/linkscanner URL Void, http://www.urlvoid.com/
ANM (Anonimizador) Redes distribuidas de repetidores para tunelizar conex iones TCP. Cada repetidor únicamente tiene información del repetidor que le proporciona los datos y al que tiene que enviar los datos, de esta forma no se puede deducir la ruta completa que toman los paquetes.
Se suelen cambiar periódicamente los circuitos tomados por los paquetes para así evitar correlacionar las conex iones anteriores, empleando pares de claves diferentes por cada tramo a lo largo de la red. Estas herramientas aseguran al máx imo nuestras comunicaciones TCP preservando dos principios básicos en la seguridad de la información, la confidencialidad y la integridad. Herramientas : Google Sharing, https://addons.mozilla.org/enUS/firefox /addon/googlesharing/ Tor, www torproject.org/
AF (Analisis Ficheros) Herramientas que limpian los archivos del software malicioso en general. Suelen analizar las páginas web antes de cargarlas para comprobar su seguridad así como protecciones para las redes sociales. Herramientas : Dr.Web, http://online.us.drweb.com/ QuickScan, http://www bitdefender.es/scanner/online/free html
APR (Análisis de Protocolos) Herramientas para monitorizar en tiempo real la interfaz de red y así obtener todo tipo de estadísticas de lo que tenemos conectado a nuestro Terminal. Estas estadísticas proporcionan información sobre tráfico TCP/UDP, número de paquetes recibidos/enviados, contador de bytes, errores P, por lo que se pueden realizar tareas de resolución de problemas como supervisar servicios caídos, detectar ataques y anomalías de red, etc.
Personal-Firewall/ ZoneAlarm, http://www zonealarm.com/security/es/zonealarm-pc-securityfree-firewall htm?lid=es
DNIe(Dni eléctrónico) Software necesario para la implantación del DNI en terminales. Herramientas : ZonaTic, https://zonatic usatudni.es/aplicaciones/asistente-dnie/descarga Ksi, http://www ksitdigital.com/productos/descargas
FIR (Firma digital) Herramientas que permiten firmar y validar todo tipo de documentos. Es posible realizar varios tipos de firmas, así mismo, es posible utilizar cualquier tipo de certificado electrónico específico incluido el DNI electrónico. Herramientas : eCoFirma,http://oficinavirtual mityc.es/javawebstart/soc_info/ecofirma/index h Gpg4win, http://www.gpg4win.org/ Sinadura, http://www.sinadura net/inicio Xolido,http://www x olido.com/lang/firmaelectronicayselladodetiempo/index sh idboletin=2298
LM (Limpiador Malware) Herramientas locales o en línea destinadas a la eliminación de malware en general. Escanean el sistema en busca de software malicioso controlando los auto-ejecutables del sistema, monitorizando los proveedores de servicios por
Todos los Sistemas Operativos requieren de actualizaciones periódicas asociado a que el hardware de las máquinas evoluciona continuamente siendo de primera necesidad el desarrollo de software capaz de gestionarlo, vulnerabilidades o fallos encontrados en los programas y nuevas funcionalidades en los mismos. El la actualidad ex iste una inmensa variedad de Sistemas Operativos disponibles para la infraestructura de una empresa , tanto a nivel individual por terminales o a nivel de servidores , ofreciendo todos ellos una gran cantidad de opciones o recursos disponibles. Básicamente nos encontramos con tres plataformas de primer uso y en algunos casos análogas entre ellas , los sistemas Windows (Xp , Vista , 7 , .. ) , los sistemas Unix (Mac OSX Leopard , Mac OSX Snow Leopard , FreeBSD , Solaris , .. ) , y los sistemas Linux (Ubuntu , Mint , Red Hat , Debian , Fedora , Mandriva , .. ) . Centraremos nuestra atención en la gestión y automatización de las actualizaciones de los Sistemas Operativos comerciales más usados en la actualidad, y principalmente en aquellos que forman parte de la empresa. 1.- Sistemas Operativos Windows en general 2.- Sistema Operativos Linux ( Suse , Debian , Ubuntu) 3.- Sistemas Operativos Unix ( Mac OS X )
Actualizaciones y soporte para S.O Windows, Linux y Mac Sistema Operativo: Windows Centro de descargas: http://www.microsoft.com/downloads/es-es/default aspx Soporte: http://support.microsoft.com/?ln=es-es Actualizaciones:
1.- http://windowsupdate.microsoft.com/ 2.- Para Windows XP : Vaya a 'Inicio->Panel de Control' Realizar una de las siguientes acciones dependiendo de si tiene activada la opción de Vista clásica' o la opción de 'Vista por categorías': Vista clásica: Pulsar en el icono de 'Actualizaciones automáticas' Vista por categorías: Ir a 'Centro de Seguridad' y pulsar en la opción de 'Actualizaciones automáticas' 3.- Para Windows Vista : Ir a 'Inicio -> Todos los programas' -> 'Windows Update' En el panel izquierdo seleccionar -Cambiar la configuración- e -Instalar actualizaciones automáticamente (recomendado)-, además se debe marcar la casilla de verificación -Permitir que todos los usuarios instalen actualizaciones en este equipo-. Por último Aceptar http://www.microsoft.com/downloads/es-es/details aspx ? familyid=a4dd31d5-f907-4406-9012-a5c3199ea2b3&displaylang=es 4.- * Para Windows 7 : Ir a 'Inicio -> Todos los programas' -> 'Windows Update' , en el panel de la izquierda seleccionar -Cambiar la configuración-.
En -Actualizaciones importantes-, seleccionar -Instalar actualizaciones automáticamente (recomendado)-, marcaremos la opción -Permitir que todos los usuarios instalen actualizaciones en este equipo-. Por último Aceptar .
Sistema Operativo: Linux SUSE Centro de descargas: http://es.opensuse.org/Released_Version Soporte: http://es.opensuse.org/Documentaci% C3% B3n Enlace de interés: http://en.opensuse.org/YaST Online Update Actualizaciones: 1.- A través de 'Actualizaciones Automáticas' que encontramos en 'YaST -> Software'. De esta forma sólo actualizaremos paquetes del Sistema Operativo, si tiene instalado otros paquetes, como por ejemplo drivers, no se actualizarán. 2.- Utilizando el software "zen-updater" para buscar de una forma automática actualizaciones, no sólo para el S.O., sino también para otros programas o paquetes que tengamos instalados en el Terminal.
Sistema Operativo: Linux Debian Centro de descargas: http://www.debian.org/releases/ Soporte: http://www.debian.org/support Actualizaciones : 1.- Accedemos al la ventana del Shell y tecleamos los siguientes comandos para instalar los paquetes más actuales del S.O:
apt-get update apt-get upgrade 2.- También podemos actualizar la distribución en la que actualmente estamos trabajando ejecutando los siguientes comandos en el Shell: apt-get upgrade apt-get dist-upgrade En todos los casos hay que tener en consideración las dependencias ex istentes en los paquetes y sobre todo tratándose de Linux
Sistema Operativo: Linux Ubuntu Centro de descargas: http://www.ubuntu-es.org/index php?q=ubuntu/conseguir Soporte: https://wiki ubuntu.com/SpanishDocumentation Actualizaciones : 1.- Para actualizar el S.O de forma manual vamos al Gestor de Actualizaciones denominado update-manager de la siguiente forma, ' Menú>Sistema->Administración' . 2.- Si queremos realizar autoalizaciones de una forma automática, realizamos lo siguiente: Menú->Sistema->Administración Pulsamos la opción Orígenes del Software (software-properties-gtk) También podemos hacer esto desde la consola de nuestro Shell ejecutando el siguiente comando :
gksudo "software-properties-gtk" Cuando estemos en Origenes del Software , vamos a la pestaña de Actualizaciones, y seleccionamos ‘ actualizaciones automáticas ‘ . Sistema Operativo: Mac OS X Centro de descargas: http://www.apple.com/es/downloads/ Soporte: http://www apple.com/es/support/ Enlace de interés: http://support.apple.com/kb/HT1338?viewlocale=en_US Actualizaciones: 1.- Para actualizar el S.O Mac OS X vamos al menú de Apple y pulsamos en Actualización del Software . Dentro, seleccionamos los elementos que queremos instalar en el Terminal y pulsamos el botón Instalar. Para poder instalar algo en Apple es necesario autentificarse por contraseña y usuario , por lo que procederemos a ello. Los S.O de Apple están programados para la búsqueda de actualizaciones automáticas en sus servidores. Para comprobar que tenemos activada esta opción vamos a , ‘Preferencias->Actualización de Software’ Todas las instalaciones o actualizaciones de software realizadas en los terminales correrán a cargo del ASRS .Se registrarán todos los cambios individualmente por Terminal rellenando el formulario PSI14-A, que se adjunta con formato electrónico .
PSI.1.5 - Gestión y configuración de la seguridad en navegadores Web
Navegadores de Internet Los navegadores de Internet son de las aplicaciones más importantes que ex isten en la actualidad, los cuales pueden formar parte del S.O en uso o pueden ser instalados independientemente, dándose el caso de poder tener instalados diferentes navegadores para una segmentación de la información a la que se quiere acceder. Estas aplicaciones nos conectan con Internet, así como a infinidad de servicios disponibles, lo cuál nos debe llevar a tomar las medidas o precauciones necesarias para un uso seguro. Este apartado pretende determinar las características más significativas en lo que a la seguridad de estas aplicaciones se refiere, para minorizar en lo máx imo de lo posible la ex posición de nuestros terminales a riesgos innecesarios como posibles infecciones al visitar una página maligna, fugas de datos confidenciales o engaños. Se deben configurar los navegadores con la máx ima seguridad posible, sin que en ello se vea afectada la operabilidad y eficacia del Terminal en la navegación por Internet, por lo que se debe mantener una relación equilibrada entre la seguridad y la ex periencia-formación del usuario. En terminales de alta importancia, como pueden ser aquellos en los que se necesite tener acceso a datos bancarios, transferencia de información reservada, documentos confidenciales-reservados, etc.-, es necesario tener la máx ima seguridad disponible.
1.1 - Elementos de seguridad Desde el punto de vista de la seguridad, es importante destacar los elementos disponibles ex istentes en los navegadores de Internet, distinguiendo principalmente los directamente implicados con la gestión de la información confidencial-reservada y aquellos que protegen al usuario de posibles ataques
ex istentes. Los elementos principales para salvaguardar la información reservada-confidencial o privada desde el punto de vista legal son los que se ex ponen a continuación:
Contraseñas Esta característica permite a nuestro navegador el almacenamiento centralizado de multitud de usuarios y sus contraseñas. La configuración de esta característica debe realizarse correctamente para evitar que un usuario no autorizado pueda acceder a esta información sensible y de vital importancia. Generalmente los navegadores disponen de una contraseña maestra para gestionar el acceso.
Sesiones Esta característica permite a nuestro navegador recuperar páginas ya visitadas con anterioridad. La buena configuración de esta característica también es de vital importancia para la integridad de la información.
Navegación privada Esta característica nos permite configurar el navegador para que no almacene la información generada por la navegación, es decir, ni Cookies ( altamente empleadas por los hackers ), usuarios y contraseñas, caché, historial, etc.. . El requerimiento de privacidad debe ser muy alto.
Cookies Los Cookies no son más que archivos que guardan cierta información del usuario en el Terminal cada vez que visitamos la mayoría de las páginas Web tal como,
accesos o personalizaciones, de tal manera que cada vez que volvamos a alguna de ellas estas tienen dicha información disponible. Por consiguiente se debe prestar principal atención, ya que estos pequeños archivos pueden proporcionar información de una forma no transparente a terceros de nuestros hábitos de navegación, nombres de usuarios e información sensible.
Historial Todo navegador actual almacena una información secuencial de todas las páginas que se visitan. Esta característica nos permite nos permite eliminar esta información. Desde el punto de vista de la seguridad no es de vital importancia.
Descargas Esta característica es muy similar a la del Historial (almacenamiento de los archivos descargados de Internet), con la ex cepción de que el riesgo con respecto a la seguridad es más alta. Es aconsejable el borrado de esta información por parte del usuario a la finalización de la sesión con el Terminal de trabajo.
Sesiones Esta característica permite a nuestro navegador recuperar páginas ya visitadas con anterioridad. La buena configuración de esta característica también es de vital importancia para la integridad de la información.
Caché Todo navegador almacena ficheros con páginas Web, imágenes, características comunes, etc.-que utiliza para volver a cargar con más rapidez las páginas
nuevamente solicitadas, permitiendo una navegación al usuario más rápida y menos cansina. El riesgo con respecto a la seguridad es muy alto, esta información es susceptible de ser ex traída.
1.1-Protección contra ataques Durante una sesión de navegación Web es posible que algunas de estas páginas que se visitan intenten infectar el Terminal de trabajo. Por consiguiente se debe concienciar a los usuarios para que eviten la visita a páginas Web de dudosa procedencia, no obstante, el ASRS tiene la posibilidad de filtrar las páginas que sean oportunas desde un punto de vista global, departamental o individual, así como el filtrado de formatos o características determinadas desde el servidor central de la empresa. Además todo navegador dispone de herramientas que minimizan el riesgo de estos ataques.
Elementos emergentes Esta característica permite a nuestro navegador evitar la aparición de ventanas de publicidad (pop-ups), que son susceptibles de infectar el Terminal de trabajo. En la actualidad ex isten navegadores que permiten clasificar diferentes niveles de funcionalidad, permitiendo esta funcionalidad a páginas de confianza.
Suplantación de identidad Esta característica nos protege y avisa de la suplantación de identidad, es decir, que la página Web que se está visualizando es realmente la que debería ser, y no una fraudulenta ex actamente igual, que lo único que pretende es el robo de información sensible como por ejemplo el usuario y contraseña de una acceso a la banca electrónica.
Lenguaje Java - JavaScript Java como lenguaje de programación de altas prestaciones y JavaScript como lenguaje interpretado de gran uso en Web , ambos lenguajes de programación utilizados como parte del desarrollo de las páginas Web actuales, son susceptibles de ser utilizados por terceros para realizar un ataque contra el Terminal de trabajo, sea para el robo de información sensible, infección, etc.-. Los navegadores disponen de herramientas que nos permiten controlar estos riegos, aunque en algunos casos asumiendo perdida de funcionalidad.
Gestión y configuración de navegadores principales Sistema Operativo: Windows Navegador: Internet ex plorer Configuración: Configuración general para Windows XP, Windows Vista , Windows 7: Ir al navegador: 'Internet Ex plorer->Herramientas ->Opciones de Internet' La configuración de este navegador pasa principalmente por la gestión del contenido encontrado en las pestañas o elementos : Seguridad y Privacidad. Mediante el control deslizante es posible configurar las principales opciones de seguridad y privacidad, además se tiene la posibilidad de aumentar la misma con las opciones más avanzadas. Configuraciones más habituales : Seguridad media y Seguridad alta
Nivel de seguridad media Con esta configuración se obtiene una seguridad bastante aceptable en la navegación Web más habitual , no siendo apta en ningún caso para transacciones, compras online o accesos a la banca electrónica. 1.-Ir a 'Herramientas ->Opciones de Internet->Seguridad', deslizar la barra deslizante hasta nivel de seguridad de la zona “ Medio-Alto “ , o pulsar en el botón “ Nivel predeterminado“ , para la configuración predeterminada por Windows. 2.-Ir a 'Herramientas ->Opciones de Internet->Privacidad', deslizar la barra deslizante hasta nivel de seguridad de la zona “ Medio-Alto “ , o pulsar en el botón “ Predeterminada“ , para la configuración predeterminada por Windows. 3.-Ir a 'Herramientas ->Bloqueador de elementos emergentes->Activar el bloqueador de elementos emergentes'. Es posible permitir elementos emergentes personalizados de sitios Web de confianza o específicos, ir a 'Herramientas ->Bloqueador de elementos emergentes->Configuración del bloqueador de elementos emergentes ', así como especificar el nivel de filtro deseado. 4.-Ir a 'Herramientas ->Opciones de Internet->Privacidad', deslizar la barra deslizante hasta nivel de seguridad de la zona “ Media “ , o pulsar en el botón “ Predeterminada“ , para la configuración predeterminada por Windows. 5.-Ir a 'Herramientas->Opciones de Internet->Contenido->Autocompletar
(Configuración)', seleccionar “ Nombres de usuario y contraseñas en formularios” . En esta misma pestaña se activa “ Preguntar si se guardan las contraseñas” . 6.- Ir a Herramientas->Opciones de Internet->General'. En esta pestaña se pueden realizar diferentes tareas de administración como, administrar el Historial, Cookies o archivos temporales” . Nivel de seguridad alta Con esta configuración se obtiene una característica de seguridad alta para una navegación en la que los requerimientos de la misma son necesarios proteger, como realizar transacciones, compras online o accesos a la banca electrónica. Se considera este nivel un complemento al nivel de seguridad medio, por lo que es necesario configurar con anterioridad este para alcanzar este último con total garantía. 1.- Ir a Herramientas ->Opciones de Internet->Seguridad', deslizar la barra deslizante hasta nivel de seguridad de la zona “ Alta “ . 2.- Ir a Herramientas ->Opciones de Internet->Privacidad', deslizar la barra deslizante hasta nivel de seguridad de la zona “ Alta “ . 3.- Ir a Herramientas->Opciones de Internet->Contenido->Autocompletar (Configuración)', En esta ventana se puede activar la protección de los datos introducidos en los formularios, así como el borrado de los mismos. 4.-Ir a 'Herramientas->Opciones de Internet->Seguridad->Nivel personalizado', En esta ventana se debe activar el apartado Automatización de los subprogramas Java (applets de Java), por lo
anteriormente citado.
Sistema Operativo: Windows-Linux -Mac Navegador: Firefox Configuración: La seguridad preventiva en este navegador de alta prestaciones se establece principalmente en dos modelos de configuración : Seguridad media Seguridad Alta El elemento común entre estos dos modelos de configuración es “ La información de seguridad de la página” , que nos determina la autenticidad de la página. Este navegador nos da la posibilidad de configuración múltiples niveles de notificaciones, importantes desde el punto de vista que nos permiten cuantificar de una forma más ex acta una posible situación de riesgo. 'Herramientas ->Información de página' 'Herramientas ->Opciones (Preferencias)->Seguridad->Configuración' Nivel de seguridad media Con esta configuración se obtiene una seguridad bastante aceptable en la navegación Web más habitual , no siendo apta en ningún caso para transacciones, compras online o accesos a la banca electrónica.
1.- Ir a ' Firefox ->Opciones (Preferencias)->Contenido', activar el botón o checkbox de “ Bloquear ventanas emergentes” . Es posible configurar en este elemento o pestaña que sitios Web queremos que sí puedan abrir ventana emergentes, además de otras opciones. La seguridad preventiva en este navegador de alta prestaciones se establece principalmente en dos modelos de configuración : Seguridad media Seguridad Alta El elemento común entre estos dos modelos de configuración es “ La información de seguridad de la página” , que nos determina la autenticidad de la página. Este navegador nos da la posibilidad de configuración múltiples niveles de notificaciones, importantes desde el punto de vista que nos permiten cuantificar de una forma más ex acta una posible situación de riesgo. 'Herramientas ->Información de página' 'Herramientas ->Opciones (Preferencias)->Seguridad->Configuración' Nivel de seguridad alta Con esta configuración se obtiene una seguridad bastante aceptable en la navegación Web más habitual , no siendo apta en ningún caso para transacciones, compras online o accesos a la banca electrónica. 1.- Ir a ' Firefox ->Opciones (Preferencias)->Contenido', activar el botón o
checkbox de “ Bloquear ventanas emergentes” . Es posible configurar en este elemento o pestaña que sitios Web queremos que sí puedan abrir ventana emergentes, además de otras opciones.
PSI.1.6 - Clientes de correo electrónico En este apartado definiremos los comportamientos y configuraciones a seguir para un correcto funcionamiento de los mismos, estableciendo una serie de normas básicas pero eficaces. Es de vital importancia establecer unas normas de activación y desactivación de las cuentas de correo electrónico, asociado a la gran variación de puestos de trabajo y asignación de tareas ex istente en la actualidad. 1.- Toda cuenta de nueva creación, baja o modificación será registrada en el documento PSI16-A o similar. Se establece el siguiente formato, en minúsculas y sin acentos para las cuentas de correo electrónico: usuario.departamento sección puesto@ISP Usuario: Nombre real del usuario que está utilizando esta cuenta electrónica. Departamento: Especificar el departamento al que pertenece el usuario; Contabilidad, Facturación, Recursos humanos, etc. Sección: Sección interna a la que pertenece dentro de su departamento, ejemplo; dentro del departamento de Contabilidad, la sección podría ser Compras. Puesto: Puesto dentro de la empresa que actualmente representa el propietario de la cuenta de correo en el departamento asociado.
ISP: Proveedor del servicio, este puede ser de naturaleza ex terna, cuentas Gmail, Yahoo, etc-, no deseable desde el punto de la seguridad y confidencialidad de la información, o de naturaleza interna, es decir, el servicio lo proporciona un servidor interno, con lo cuál el transito de la información de las cuentas en uso estará restringido al máx imo, con la ex cepción de la información derivada del mensaje. Ejemplos: [email protected] : ISP ex terno asociado a su nombre [email protected]: ISP ex terno asociado a la empresa [email protected] : ISP interno asociado a la empresa 2.- Se establecerá una o más cuentas Spam a criterio de la dirección o gerencia de la empresa, para el correo basura o informativo, dónde todos los usuarios remitirán a los proveedores de dudosa procedencia, información comercial, publicidad, o de otra naturaleza, para minimizar al máx imo el tráfico en las cuentas de vital importancia. La comunicación de dichas cuentas a terceros, sean estas la cuentas Spam establecidas, como la cuenta o cuentas de trabajo, el usuario tiene la obligación de notificar con anterioridad al administrador del sistema o responsable de seguridad las mismas a través del documento PSI16-B, para recibir la autorización por escrito pertinente a través del documento interno PSI16-C. El ASRS, como entidad máx ima autorizada en la seguridad de la empresa, autorizará o no al usuario la totalidad o parte de las solicitudes recibidas, asimismo informará a la gerencia o dirección de dicha solicitud antes de realizar la contestación
pertinente. Si se establece una buena relación de confidencialidad, se conseguirá afinar al máx imo el tráfico realmente importante tanto de los proveedores ex ternos subcontratados, clientes, proveedores de la actividad real, etc.-, de los que no lo son. Ejemplos : [email protected], [email protected], [email protected] 3.- La capacidad máx ima de almacenamiento del buzón de correo no ex cederá de: 10 MB 4.- Toda cuenta de correo será desactivada y registrada en la ficha general, PSI16-A en un plazo de 10 días a partir del cese del usuario, sea esto por cese del mismo en el departamento asociado, puesto, sección, baja en la empresa , o cualquiera que sea el motivo, la cuál será realizada por el ASRS, siendo este último el responsable de la misma durante este periodo, teniendo la obligación de comunicar por escrito según el modelo PSI16-D, a los clientes, proveedores, departamentos, colaboradores, etc.- que posean dicha cuenta, la situación de la misma, así mismo se les indicará la nueva cuenta de contacto a la que se pueden dirigir, sea esta temporal o permanente. 5.- La cuenta de correo electrónico es personal e intransferible en todo momento, por lo que el ASRS, es el responsable último de establecer y mantener en todo momento las claves asociadas a las mismas, estableciendo las medidas de seguridad necesarias para los ficheros, bases de datos o documentos escritos que contengan dicha información. Las claves deben modificarse como mínimo cada tres meses para garantizar al máx imo la protección y evitar un acceso no autorizado a las mismas. 6.- Aunque la empresa disponga de sistemas locales o generales de
detección de virus u otro malware, el usuario responsable de la cuenta de correo deberá verificar en todo momento que los mensajes que se envíen o reciban no incluyan ningún tipo de virus. En caso de cualquier incidencia o duda deben dirigirse al ASRS. 7.- El usuario de la cuenta tiene la responsabilidad de tener copias de seguridad (Backup’s) de los mensajes de sus carpetas de correo electrónico y agenda de direcciones. 8.- El correo electrónico en la actualidad no tiene ninguna garantía de privacidad, denominado coloquialmente en el mundo Hacker, como texto plano. En la red, los hackers pueden capturar dicha información usando una infinidad de herramientas disponibles o mediante programación específica de análisis, por lo que se deben ex tremar las medidas de seguridad en lo que a destino, origen y contenido de los mensajes se refiere (una buena práctica es encriptar los archivos adjuntos que se envían y no especificar en el cuerpo del mensaje ninguna información de relevancia). Es imposible garantizar al máx imo la seguridad de este medio, por lo que la prevención y responsabilidad es la mejor arma para luchar contra estos sistemas de análisis. 9.- Es aconsejable revisar al menos por parte del usuario el “ asunto (subject)” antes de proceder a responder a un mensaje, así como asegurarse que los mensajes recibidos son realmente para dicha cuenta y usuario. 10.- El usuario no suministrará en ningún concepto la cuenta a cualquier sistema de propaganda, sorteo, red social, lista de correo de generación de mensajes, etc.- cuya naturaleza no tenga que ver con la empresa. 11.- El usuario no se debe enviar en ningún caso por correo electrónico
“ Links internos a la empresa, ni externos provenientes de Internet o de cualquier otra fuente” , para evitar con ello el envío de información confidencial como puede ser ; direcciones IP, rutas a servidores, nombres de usuarios, departamentos, etc.- fácilmente obtenible por herramientas de análisis de metadatos o en su caso el reenvío de enlaces malignos a terceros con lo que ello conlleva. 12.- El tamaño máx imo de los mensajes no debe ser superior a 3 MB reales. Para un envío superior a este, se debe fraccionar el mismo en varios mensajes para evitar de esta forma la saturación o sobrecarga del sistema. 13.- En todo mensaje se debe especificar el siguiente tex to de confidencialidad, sea este de una forma puntual o a través del uso de una plantilla específica para tal fin: AVISO LEGAL : Esta información es privada y de uso confidencial. En el caso de que usted reciba este mensaje por error, o no sea una de las personas indicadas en el encabezamiento del mismo, le rogamos que lo elimine sin ser copiado ni comunicado a terceros, y nos lo haga saber a esta misma dirección de correo electrónico en la mayor brevedad posible. Además aprovechamos para informarle que la distribución o copia de este mensaje esta prohibida, así como el contenido del mismo, el cuál esta protegido por la Ley 15/1999 de Protección de Datos, entre otras.
14.- El ASRS, es el único autorizado para el alta, baja o modificación de las cuentas ex istentes, sean estás las cuentas de trabajo de los usuarios o las cuentas destinadas al desvío del Spam, las cuales serán reflejadas en el documento PSI16-A, destacando en el mismo el usuario, cuenta de correo,
alta, baja y clave. Ningún usuario del sistema tendrá autorización para crear cuentas personales o asociadas a la empresa en ninguno de los clientes de correo ex istentes. 15.- El ASRS, es el encargado de la migración de las cuentas de correo de trabajo ex istentes, sean estas de carácter interno o ex terno, dando de baja las mismas, generando las cuentas de nueva creación según se especifica en el apartado número (1) de esta sección, así como la obligación de comunicar por escrito a los clientes, proveedores, departamentos, colaboradores, etc.- que posean la cuenta anterior, la nueva cuenta de correo establecida.
PSI.1.7 – Cortafuegos. Firewalls Desde siempre los sistemas de comunicación en la red de redes (Internet) están basados en un protocolo muy conocido denominado TCP/ P. Este protocolo de comunicaciones de orígenes militares es totalmente inseguro, por lo que la utilización de un sistema de protección basado en cortafuegos, que no son más que dispositivos físicos o programas informáticos que ayudan a proteger nuestro sistema de protocolos inseguros como este y de múltiples vulnerabilidades, proporcionan a la red una forma de establecer una política de seguridad que permita controlar el acceso al sistema. El nivel de protección que un cortafuegos nos puede ofrecer esta en función de las necesidades que tengamos. Generalmente suelen configurarse para protegernos ante cualquier intento de acceso no permitido desde la red ex terna hacia nuestra red, o viceversa, estableciendo un punto único dónde el ASRS podrá centralizar las medidas de seguridad que estime oportunas. Aún así, un cortafuego no proporciona protección contra las posibles amenazas
que se detallan a continuación: Todo el tráfico de red que no pasa o se filtra a través de él, por lo que podemos deducir que la efectividad del mismo es sólo parcial , y debe ir acompañado en todo momento de una buena política de seguridad para elevar su consistencia.
Contra amenazas que se deriven desde la red interna de la empresa ,como pueden ser, usuarios con malas intenciones , virus, troyanos de resolución inversa, etc. Contra clientes , servicios o programas informáticos descargados e instalados que admitamos en nuestra red como válidos, pero que el fondo no dejan de ser vulnerables. Estas vulnerabilidades suelen ser aprovechadas por los hackers para obtener a distancia accesos no autorizados al sistema. Contra mecanismos de Tunneling HTTP, SMTP, etc.-, aunque en la actualidad se han realizando grandes avances al respecto en este campo, por las empresas de desarrollo de los mismos. En general podemos resumir y constatar que los cortafuegos coloquialmente conocidos como firewalls, no pueden ni debe sustituir a otros mecanismos de seguridad ex istentes en la actualidad, por lo que deben ser en todo momento un complemento a los mismos. Las políticas básicas a definir en un sistema cortafuegos se pueden resumir en dos, las cuáles cambian de una forma radical la filosofía de la seguridad de la empresa:
1.- Política permisiva Este tipo de política permite el tránsito de todo el tráfico, ex ceptuando aquel que esté ex plícitamente denegado. Es necesario el aislamiento de aquellos servicios del sistema potencialmente peligrosos, mientras que el resto del tráfico no será filtrado. Cabe señalar que los hackers informáticos utilizan determinadas herramientas y técnicas para la determinación de puertos filtrados o silenciosos, utilizados para comprometer el sistema a través de alguno de los servicios asociados.
2.- Política restrictiva En este tipo de política deniega todo el tráfico, ex ceptuando aquel que está ex plícitamente permitido. En él, se obstruye todo el tráfico de transito, habilitando únicamente aquellos servicios que realmente vayan a ser utilizados. En el ASRS, recae la total responsabilidad de implantación de los sistemas cortafuegos correctamente en el ámbito de la empresa, por lo que en esta política se definirán las dos principales configuraciones básicas recomendadas para lograr un objetivo óptimo .
1.- Cortafuegos por Hardware En la actualidad se dispone de una gran variedad de hardware disponible para trabajar como cortafuegos, para ser instalados como punto de entrada a un sistema, como pueden ser los dispositivos registrados CISCO ®, Linksys ®, 3com ®, entre otros. La principal ventaja de estos dispositivos es la independencia total del sistema, no afectando directamente al consumo de los recursos del mismo.
La configuración de estos dispositivos específicos suele estar perfectamente documentada por el fabricante , por lo que el ASRS debe documentarse, formarse o asesorarse adecuadamente por terceros para la perfecta configuración de los mismos , ya que de ello depende la integridad de toda la red.
2.- Cortafuegos por Software Este tipo de cortafuegos son programas que suelen estar integrados en los Sistemas Operativos o instalados ex teriormente, como los presentados en la política PSI.1 3:
agnitum , http://www.outpost-es.com/home/index .html Squid , http://www.squid-cache.org/Download/ ZoneAlarm,http://www.zonealarm.com/security/es/zonealarm-pc-securityfree-firewall htm?lid=es La principal desventaja son los recursos que suelen consumir, así como la necesaria reinstalación y configuración de las reglas de filtrado cada vez que sea instalado o reinstalado el Sistema Operativo en el que resida. En la actualidad los mecanismos de filtrado en red suelen ser híbridos, una combinación entre los sistemas basados en hardware y los sistemas basados en software, así como sistemas autónomos basados en computadoras aisladas con software específico de alto rendimiento, como puede ser, entre otras, la solución basada en servidores ®Zentyal (www.zentyal.com), que monitorizan las comunicaciones de red, y proporcionan además servicios integrados de altas prestaciones para la empresa. Al igual que en los dispositivos por hardware, el ASRS, debe documentarse, formarse o asesorarse adecuadamente por terceros para la perfecta configuración de los mismos.
PSI.1.8 - Eliminación de servicios innecesarios en el sistema Como norma general los Sistemas Operativos durante su instalación, así como nuevos programas instalados o los ex istentes nuevamente configurados, suelen activar servicios, que pueden o no abrir al ex terior nuevos puertos de comunicaciones, por consiguiente se deben establecer unas pautas bien definidas, dónde el ASRS, debe priorizar y considerar en cada momento cuál o cuáles de ellos son de vital importancia para cada puesto en concreto, desde el punto de vista local, y cuál o cuáles de ellos son importantes desde un punto de vista global, es decir, desde el servidor o servidores principales establecidos en la red de la empresa. Hay que tener en cuenta que un servicio innecesario en el sistema puede ser un canal de acceso no autorizado, ataque o fuga de información confidencial, con lo que es necesario determinar el grado de necesidad del mismo para el correcto funcionamiento y operabilidad de la red o del puesto del trabajo. Por consiguiente siendo el ASRS, el único autorizado dentro de la empresa para la instalación, reinstalación, modificación o configuración del software de los puestos de trabajo y servidores de red, este riesgo se minoriza al máx imo, evitando de esta forma la instalación masiva y descontrolada de software que puede poner en peligro la integridad de la información en el sistema. Se debe verificar en todo momento el origen del software, evitando las descargas a través de los navegadores como Google, Bing o Yahoo, las descargas a través de páginas de contenido de origen dudoso, software pirata de terceros, entre otros. Por consiguiente se recomienda la instalación siempre desde la páginas corporativas del fabricante o desarrollador, y evitar en todo momento, todo tipo de “ mirrows” que puedan comprometer el sistema.
Gestión de servicios en los principales Sistemas Operativos actuales Sistema Operativo: Windows Actualizaciones: 1.- Para Windows XP : Vaya a 'Inicio->Panel de Control->Rendimiento y mantenimiento>Herramientas administrativas->Servicios' La desactivación de servicios en Windows Xp es sencilla e intuitiva, además cuenta con una ex plicación resumida de la función del mismo. La ventana general de servicios nos muestra información como el nombre del servicio a gestionar, descripción, estado, tipo de inicio, entre otras. El inicio y detención de un servicio se puede realizar de las siguientes dos formas : Básica: Directamente desde la ventana de la aplicación. Avanzada: Situarse encima del servicio a gestionar, pulsar el botón derecho->propiedades , accedemos a una ventana en dónde se podrá gestionar el mismo, o simplemente accediendo pulsando doble-click sobre el servicio. 2.- * Para Windows 7 : Vaya a 'Inicio->Panel de Control->Sistema y seguridad->Herramientas administrativas->Servicios'
El inicio y detención de un servicio se puede realizar de las siguiente forma : Avanzada: Situarse encima del servicio a gestionar, pulsar el botón derecho->propiedades , accedemos a una ventana en dónde se podrá gestionar el mismo, o simplemente accediendo pulsando doble-click sobre el servicio. En Windows 7 es aconsejable por seguridad y eficiencia desactivar los siguientes servicios : 1.- Windows Search (WSearch): Index a archivos, correo electrónico y otro tipo de contenido que ayudan a agilizar las búsquedas en el sistema. Puede ser utilizado por los hackers para la ex ploración de contenidos. 2.- Servicio de uso compartido de Windows Media (WMPNetworkSvc): Comparte las bibliotecas del Reproductor de Windows Media con otros dispositivos multimedia y reproductores en red. Puede ser utilizado para transmisión de virus. 3.-Tarjetas inteligentes (SCPolicySvc): Permite configurar el sistema para bloquear el escritorio del usuario al quitar la tarjeta inteligente. 4.- Tarjeta inteligente (SCardSvr): Administra el acceso a tarjetas inteligentes leídas por el equipo. 5.- Registro remoto (RemoteRegistry): Permite modificar el registro a usuarios remotos. Muy peligroso, cualquier intruso o malware puede aprovecharse de esto.
6.- Ubicador de llamada a procedimiento remoto (RpcLocator): Utilizado para RPC en versiones anteriores de Windows. Actualmente sólo está presente por motivos de compatibilidad. 7.- Parental Controls (WPCSvc): Utilizado para el control parental en Windows Vista. Se mantiene sólo por motivos de compatibilidad. 8.- Propagación de certificados (CertPropSvc): Copia los certificados de usuario y certificados raíz de tarjetas inteligentes en el almacén de certificados del usuario actual, detecta la inserción de una tarjeta inteligente en un lector de tarjetas inteligentes y, si es necesario, instala el minicontrolador Plug and Play para tarjetas inteligentes. Es altamente recomendable tener desactivada este servicio. 9.- Servicio de compatibilidad con Bluetooth (bthserv): Permite la detección y asociación de dispositivos Bluetooth remotos. Es altamente recomendable desactivar esta opción. 10.- Administración remota de Windows (WinRM) : La desactivación de este servicio es altamente recomendable . 11.- Servicio Informe de errores de Windows (WerSvc): Servicio de envio de informes de error a Microsoft. 12.- Configuración de Escritorio remoto (SessionEnv) 13.- Servicios de Escritorio remoto (TermService) 14.- Redirector de puerto en modo usuario de Servicios de Escritorio
remoto (UmRdpService) 15.- Servicio de entrada de Tablet PC (TabletInputService) 16.- Servicio biométrico de Windows (WbioSrvc) Sistema Operativo: Linux Ubuntu Actualizaciones: La habilitación o des-habilitación de un servicio en *Linux -Ubuntu es recomendable realizarla desde una ventana de acceso Shell, ejecutando los comandos o acciones que se detallan a continuación : $ sudo cd /etc/init.d/ , En este archivo se pueden observar los servicios que esta distribución de Linux tiene activada por defecto en su arranque. La habilitación o deshabilitación de los mismos se basa simplemente en la modificación de su permiso de ejecución . chmod -x "nombre del servicio" Los servicios que se pueden prescindir en Linux -Ubuntu desde el punto de vista de la seguridad y rendimiento, considerando que Linux sigue siendo más robusto que cualquiera de los Windows desarrollados hasta la actualidad , con la ex cepción clara del Windows 7, que representa un salto significativo en lo que a la seguridad se refiere , limitando la memoria física del sistema y supuestamente estableciendo un control más preciso contra ataques de desbordamiento de pila, heap, entre otros, marcando una tendencia futura de especial seguimiento, son los que se detallan a continuación :
1.- Ancharon y Atd: Ejecución de tareas programadas. Evitar por todos los medios la automatización, puede llevar aconfusión y errores del comportamiento ( Heurísticos ) a los sistemas de detección 2.- Alsa-utils: Gestión de la tarjeta de sonido. Aunque suene importante, la verdad es que no lo necesitas 3.- Bluetooth: Activación para dispositivos Bluetooth 4.- Britty: Gestión de gráficos en braille. Siempre y cuando el usuario del puesto de trabajo no lo necesite 5.- HDParm: Permite optimizar las distintas particiones de tu disco duro Sistema Operativo: Mac Ox Actualizaciones: Para la gestión y administración de los procesos ; Vaya al Finder->Aplicaciones->Utilidades->Monitor de Actividad app' Esta aplicación permite la monitorización de los procesos ex istentes, los cuáles están divididos por categorías como procesos del sistema, de usuario, activos, inactivos o procesos en ventanas, además de proporcionarnos gran información desde un punto de vista general de lo que esta ocurriendo en el puesto de trabajo. La seguridad en los sistemas Apple son de una elevada consideración, pero no se debe olvidar que los mismos son vulnerables, y su ex posición al hacking esta directamente asociada a la cantidad de usuarios que lo utilizan.
( * ) Sistemas Operativos comerciales de uso más extendido en las empresas y organizaciones en las diferentes plataformas
A continuación se muestra una lista con los servicios y puertos asignados por defecto más interesantes desde el punto de vista de un Hacker, por lo que el ASRS debe realizar un continuo seguimiento o monitorización de los mismos, para salvaguardar los puntos de acceso al sistema y garantizar su integridad.
Principales puertos vulnerables y técnicas de ataque 21 TCP – FTP- Localización de directorios de lectura/escritura. Ex ploits en general 22 TCP – SSH - Ex ploits, fuerza bruta 23 TCP – TELNET - Software de captación de información. Ex ploits fuerza bruta 25 TCP – SMTP - Ex ploits de correo y fuerza bruta, entre otros 53 TCP/UDP – DNS - Software de captación de información. Ex ploits 67 TCP/UDP – DHCP - Ex ploits en general 69 UDP – TFTP - Acceso a contraseñas y gestión del sistema de archivos del sistema 79 TCP – F NGER - Software de captación de información. Ex ploits 80/81 TCP – http - Software de captación de información. Ex ploits fuerza bruta 88 TCP - HTTP / KERBEROS - Software de captación de información. Fuerza bruta 109 TCP - POP2 - Ex ploits en general 110 TCP - POP3 - Ex ploits en general 111 TCP/UDP - PORTMAPPER RPC - Identificación servicios NFS/RPC.
113 TCP – IDENTD - Software de captación de información. Ex ploits en general 135 TCP/UDP – RPC - Software de captación de información 137 UDP – NETBIOS - Software de captación de información 139 TCP - PRINT W NDOWS - Información de archivos compartidos, info y topologías 143 TCP – IMAP - Ataques por desbordamiento de buffer en general 161 TCP/UDP – SNNP - Captación de información y configuración en el sistema 177 - X WINDOWS - Ex ploits para monitorizar el monitores 259 TCP – RDP - Ex ploits o acceso mediante técnicas de fuerza bruta, entre otras 389 TCP/UDP – LDAP - Software de captación de información 443 TCP – HTTPS - Ex ploits en general. Accesos por fuerza bruta 445 TCP - PRINT W NDOWS - Información, conex iones, info, shares, etc 512 TCP - R-EXEC - Ataques remotos contra el sistema, a través de comandos 513 TCP - RLOGIN / RWHO - Ataques remotos contra el sistema, a través de comandos 514 TCP/UDP – SHELLS - Muy peligroso. Permite ejecución remota de comandos 1433/1434 TCP - MICROSOFT SQL - Accesos por fuerza bruta. Ex ploits en general 2049 TCP/UDP – NFS - Ataques a bases de datos y contraseñas en general 5500 TCP – VNC - Accesos por fuerza bruta. Ex ploits en general 8000/8005 TCP – HTTP - Ex ploits de difusión directa o intrusiones a servidores Web
PSI.1.9- Eventos o incidentes de seguridad
Se considera este apartado uno de los más importantes definidos en el manual de seguridad de la empresa , estableciendo las medidas preventivas necesarias para averiguar cualquier posible fallo de protección y configuración de nuestro sistema, y así definir las acciones a tomar necesarias para su solución. Es obligación del ASRS, realizar controles o inspecciones periódicas para asegurar la integridad del sistema. Estas inspecciones serán meramente administrativas y no de un carácter puramente técnico, las cuál deberá ser realizada por una empresa especializada ex terior a la empresa, para garantizar lo máx imo posible la objetividad de dichas pruebas. Si el sistema ha sido comprometido está en función del grado de ataque y de la naturaleza del mismo, sea este desde el interior o ex terior a ella. Los hackers informáticos emplean principalmente dos técnicas de ataque principales, caballos de Troya y Rootkits. La función principal de los caballos de Troya son la superación de los controles de acceso, activar un acceso remoto, reunir todo tipo de información, saturación del ancho de banda de comunicaciones, destrucción en algunos casos de los datos, o simplemente la instalación de software espía. Los Rootkits se definen como un grupo o colección de herramientas utilizadas por un atacante, sea cuál se la naturaleza del mismo, para instalar una “ puerta trasera” , ocultarla a los sistemas de detección, así como a posibles nuevos atacantes. Estas puertas son utilizadas a conveniencia por el atacante activándolas o no a su gusto. La detección de un problema ex istente puede ser pasiva, a través del software o hardware instalado o implementado para la protección del sistema, o activa, a través de análisis periódicos realizados por el ASRS, o una empresa técnica
especializada ex terna. Este tipo de análisis se denomina Pentesting (Penetración Testing).
1.- Pentesting Cualquier prueba de test utilizada deberá centrar sus esfuerzos principalmente en el análisis de la topología de la red, cuentas de usuarios y grupos, procesos y sistemas de archivos y registro logs, todo ello englobado en lo que denominamos proceso de análisis activo . Por lo tanto se definen dos tipos de Pentesting activos; Pentesting Preventivo Técnico . PPT Pentesting Preventivo Administrativo. PPA
1.1- Pentesting Preventivo Técnico. PPT La metodología principal del PPT se enfoca principalmente en el reconocimiento y análisis , determinación del mapa estructural de la red , enumeración de servicios activos , vulnerabilidades físicas y/o lógicas ex istentes , shells de acceso a la información y control del sistema y generación de los informes pertinentes a la empresa , para la corrección o minoración de los problemas de seguridad ex istentes. Los ataques a nuestro sistema pueden estar motivados por diferentes objetivos , fraude , ex torsión , información confidencial , venganza , acceso no autorizado a un sistema , desafío intelectual , espionaje industrial , etc .. Estos ataques pueden provenir de dos fuentes claramente diferenciadas :
Ataques ex ternos a las instalaciones de la empresa, por un acceso remoto, a través de Troyanos, Ip static, Routers, etc .. Ataques internos por empleados o trabajadores de la empresa o colaboradores ex ternos con acceso al sistema dentro de la red Utilizando una gran variedad de técnicas, un hacker puede conocer con facilidad contraseñas, detalles de la topología de la red y puntos de acceso e información confidencial sensible, saltándose todas las medidas de seguridad ex istentes. No se debe desestimar en ningún momento que nuestra empresa no es susceptible de ser atacada por un pirata informático, la dimensión de la misma, su localización y su ámbito no son un criterio válido para descartar un posible ataque“ Por lo general, el objetivo principal en este tipo de Test es la determinación de la siguiente información: Mapa de red (Rangos de direcciones IP’ s , Equipos activos en la red , Puertos y Servicios en los diferentes Hosts activos , Elementos activos y pasivos , etc ..) Ataque activo y pasivo del sistema Compromiso y Escalabilidad Informes técnicos y documentales ( Reports ) Correcciones y Formación (Especificadas e implementadas en un Plan de Seguridad Informática
Las fases establecidas en el PPT son secuenciales y por lo tanto escalables en el tiempo, implican a ambas partes (la empresa técnica especializada en colaboración con el administrador del sistema o responsable de seguridad), y sintetizan al máx imo el trabajo de Pentesting de la red . En el ASRS, recae la última decisión en comunicación estrecha con la dirección o gerencia de la empresa, de solicitar un servicio PPT a una empresa técnica especializada en Hacking Ético o en Seguridad Informática, ante la más mínima sospecha de cualquier posible vulnerabilidad o compromiso del sistema.
1.2- Pentesting Preventivo Administrativo. PPA La metodología principal del PPA se enfoca principalmente en el análisis del sistema a través de las herramientas de software instaladas para la detección de vulnerabilidades, correcto funcionamiento de los puestos de trabajo, correcto funcionamiento de los elementos hardware ex istentes en la red y confiabilidad de sus conex iones, buen uso del mismo por parte de los usuarios, adecuación al plan de seguridad informático, etc. La realización de dichas comprobaciones de seguridad recae única y solamente en el ASRS, en su equipo técnico o en el proveedor de servicios informáticos de seguridad. Los periodos de comprobación serán establecidos por el mismo, nunca ex cederán de dos meses entre ellos y serán documentados y establecidos cronológicamente en el tiempo.
2.- Procedimiento ante un evento o incidente de seguridad Un evento o incidente de seguridad puede ser local a un puesto de trabajo o global, afectando a varios puestos o a la totalidad del sistema. El grado de respuesta ante un compromiso o vulnerabilidad del sistema será establecido en
función del grado de intensidad y el ámbito del mismo, siendo el ASRS quién proceda a implementar un modelo u otro. Dichos modelos se ex ponen a continuación:
Compromiso de grado bajo . PPA Compromiso local asociado a cada puesto de trabajo. En este tipo de compromiso se incluyen virus de bajo nivel detectables a través de los sistemas de protección, tanto sean estos de tipo binario o macro, boots de captación de información no autorizada de publicidad o estadísticos, cookies malignas, o cualquier tipo de amenaza que pueda ser eliminada sin que represente una amenaza para el resto de los puestos y el sistema en general.
Compromiso de grado medio . PPA Compromiso local o global asociado a cada puesto de trabajo o servidores de la red. Se incluyen virus de alto nivel poco detectables, troyanos que establezcan puertas traseras, spyboots residentes, Keyloggers de detección de teclado, visores gráficos y todo tipo de malware que pueda comprometer el sistema y romper con los principios de seguridad. Se considera el compromiso más empleado en la actualidad.
Compromiso de grado alto . PPT Compromiso local o global a cada puesto de trabajo o al sistema en general. Se considera el compromiso más peligroso para la integridad del sistema, suelen ser ataques directos no detectables en tiempo real, de difícil solución y de un riesgo elevado, asociado a la instalación por parte del atacante de sistema lógicos de destrucción de información como ficheros o bases de datos en general. El origen del ataque puede provenir desde el interior de la
empresa, siendo estos generalmente de menor cuantía por lo que a capacidad técnica se refiere o desde el ex terior, muy peligrosos.
2.1.-Procedimientos . Compromiso de grado bajo. PPA 2.1.1.- La gestión de dicho procedimiento correrá a cargo del ASRS o equipo técnico. 2.1.2.- Ejecutar escaneo y limpieza total del puesto a través de los sistemas de protección general, antivirus, anti-boots y software de protección actualizados, así como la actualización o parches en el Sistema Operativo. No se deben usar para este proceso Antivirus on-line o de dudosa procedencia. Es un proceso meramente administrativo que puede ser evitado con mantenimiento y seguimientos regulares. 2.1.3.- Registro pertinente de la incidencia a través del documento PSI19-B. El registro debe ser único para cada puesto. 2.1.4.- Ante la posibilidad de infección por salto a otros puestos de trabajo, se presentan dos posibles acciones a tomar en consideración, la Activa o la Pasiva. 1.- Activa: Se debe realizar el mismo proceso en todos los puestos de trabajo que estén en el mismo segmento de red o que hayan tenido contacto con el puesto de trabajo desde el punto de vista administrativo o corporativo de la empresa en las últimas 24 horas a la detección de la incidencia. 2.- Pasiva: Mantener durante varios días en observación todos los puestos de trabajo que estén en el mismo segmento de red o que hayan tenido contacto con el puesto de trabajo desde el punto de vista administrativo o corporativo de la empresa en las últimas 24 horas a la detección de la incidencia.
2.1.5.- No se requiere reportar la incidencia a la dirección o gerencia de la empresa.
2.2.- Procedimientos. Compromiso de grado medio. PPA 2 2.1.- .- La gestión de dicho procedimiento correrá a cargo del ASRS, equipo técnico o en el proveedor de servicios informáticos de la empresa. 2 2.2.- Si el PPA de grado medio es realizado por el proveedor de servicios informáticos, este deberá reportar a la empresa un informe detallado sobre las incidencias encontradas, respaldos realizados y medidas adoptadas para la solución del problema. Todo ello debe ser supervisado y registrado en todo momento por el ASRS y será registrado y adjuntado al documento PSI19-D de carácter interno.
S upues to “ El proveedor de servicios informáticos necesita actualizar la base de datos del programa antivirus ® Comodo instalado en uno de los puestos de trabajo, por lo que el ASRS, deberá registrar dicha actualización en el documento PSI13-A destinado para tal fin “
2 2.3.- Si el PPA de grado medio es realizado por el ASRS o su equipo técnico, se deberán seguir los siguientes pasos y consejos de actuación: 1.- Desconex ión inmediata del equipo afectado de la red o accesos remotos. Evitaremos con esta opción la ejecución de bombas lógicas y así evitar la destrucción de información.
2.- Proceder a la realización de una copia de seguridad total del sistema local afectado. La copia debe ser local aun dispositivo físico ex terior, nunca se conecte en red. Efectuar PPA sobre el dispositivo ex terior de almacenamiento para garantizar que no pueda comprometer o falsear aún más las pruebas. El dispositivo debe estar formateado (formateado rápido no está autorizado) y limpio. 3.- Proceder al duplicado del almacenamiento físico (discos duros) del Terminal. De esta forma nos permitirá realizar un análisis e investigación posterior ex terna en caso de ser necesaria. Se debe realizar un copiado físico y lógico de los discos duros. Efectuar PPA sobre el dispositivo ex terior de almacenamiento para garantizar que no pueda comprometer o falsear las pruebas. El dispositivo debe estar formateado (formateado rápido no está autorizado) y limpio. 4.- Ejecutar escaneo y limpieza total del Terminal. Debe realizarse a través de los sistemas de protección general, antivirus, anti-boots y software de protección para la búsqueda de Troyanos ocultos que abran sockets de comunicaciones estableciendo puertas traseras así como, Rootkits instalados por el atacante. 5.- Conex ión del equipo afectado a la red o accesos remotos. Observaremos el Terminal conjuntamente con el usuario del puesto de trabajo, sin interactuar físicamente con él, durante aprox imadamente media hora, para determinar visualmente posibles reacciones ex trañas que puedan producirse. 6.- Ejecutar nuevamente escaneo y limpieza total del Terminal a través de los antivirus, anti-boots y software de protección, así como la actualización o
parches en el Sistema Operativo. 6.- Se requiere informar a la dirección o gerencia de la empresa. a través del documento PSI19-C , así como registrar la misma a través del documento PSI19-D.
2.3.-Procedimientos. Compromiso de grado alto. PPT 2 3.1.- La gestión de dicho procedimiento correrá a cargo de una empresa técnica especializada en Hacking Ético o Seguridad Informática. El ASRS y equipo técnico, colaborarán directamente con dicho proceso facilitando a la empresa de Pentesting todos los medios técnicos necesarios para desarrollar con integridad y celeridad dicho proceso. A continuación se detallan los pasos y consejos previos de actuación a seguir: 1.- Desconex ión inmediata del equipo afectado de la red o accesos remotos. Evitaremos con esta opción la ejecución de bombas lógicas y así evitar la destrucción de información. Un atacante a distancia puede activar dispositivos de software lógicos y producir destrucción de información tantos a sistemas de ficheros como a bases de datos al verse detectado. Si el compromiso es a nivel de sistema, se procederá a la paralización total del mismo. 2.- Se reportará a la dirección o gerencia de la empresa el grado de compromiso alcanzado, a través del escrito PSI19-E. 3.- El ASRS establecerá contacto una vez recibida autorización, con la empresa de Hacking Ético o Seguridad Informática especializada a través del escrito PSI19-F.
4.- El ASRS, como máx ima autoridad de seguridad en la información de la empresa y en estrecha relación con la dirección o gerencia de la misma, así mismo con la empresa de Hacking Ético o Seguridad Informática especializada, determinarán si procede notificar o presentar una denuncia antes las autoridades legales competentes, Policía Nacional (B.I.T) o el Departamento de delitos informáticos de la Guardia Civil. 5.- Es de vital importancia la discreción y celeridad en este proceso para determinar el origen del ataque y naturaleza del mismo. 6.- Se deberá registrar internamente dicha incidencia a través del documento PSI19-G, que complementará al informe final presentado por la empresa ex terior especializada. Se podría resumir la eficacia del procedimiento mediante tres palabras:
D ISCRECCIÓN . CELERIDAD . ACTUACIÓN PSI.1.10 - Firmas y certificados digitales 1.- Firmas Digitales La determinación de la autenticidad en los documentos electrónicos es subsanada en la actualidad a través de la denominada “ firma digital” , basada en procedimientos meramente criptográficos, la cuál viene a ser como la firma en puño y letra en los documentos impresos tradicionales, que como bien es sabido, permite atribuir a un usuario algo escrito o su conformidad en un documento. La firma digital básicamente está compuesta de dos partes principales: un método o técnica informática que asegure al máx imo la no alteración de la misma y otro
que permita a terceros verificar inequívocamente que dicha firma pertenece sin ninguna duda al firmante. Todo ello es posible a la utilización de un algoritmo en la que cualquier usuario obtiene una serie de números denominados “ claves” , una pública y otra privada, dónde la primera de ellas es conocida por todos, mientras que la otra es mantenida en secreto por el usuario. La relación entre dichas claves se basa en que todo lo que sea encriptado por alguna de ellas sólo podrá ser desencriptado única y solamente por la otra. Cabe destacar que las firmas digitales a diferencia de las tradicionales sobre papel escrito generadas por un usuario son diferentes entre sí, es decir, cambia con cada documento firmado. Además si dos usuarios firman digitalmente un mismo documento, también se producen dos diferentes documentos firmados, todo ello debido a que la clave privada utilizada es diferente. Par validad la autenticidad de un documento recibido se realiza un proceso de obtención de valores (hash) y desepcriptación de la firma digital usando la clave pública del firmante, tras ello es posible determinar la autenticidad del documento. Por consiguiente, cada usuario en el proceso de autentificación de un documento firmado deberá contar con un archivo que contenga la clave pública del supuesto firmante. Todo esto acarrea un problema, si por ejemplo, un documento firmado por 40 personas deberá contar con 40 archivos de clave pública en una base de datos, si el mismo documento es firmado por 500 usuarios diferentes el problema crece considerablemente así como la determinación con seguridad de la identidad del titular de cada clave pública. Todo ello nos lleva a lo que se denomina Certificado Digital, el cuál es emitido por una Autoridad Certificadora (CA) que atestigua que una clave pública pertenece a un determinado usuario o empresa . Así pues, si un usuario o empresa, firma un documento y en el mismo anex a su
certificado digital, cualquiera que conozca la clave pública del CA podrá autenticar dicho documento.
2.- Certificados Digitales Desde el punto de vista de la seguridad y autentificación de un usuario se pueden definir los certificados digitales básicamente como los equivalentes digitales al D N.I, ya que permiten que una empresa o un individuo demuestre finalmente que es quien dice ser, y por lo tanto, que está en posesión de la clave secreta asociada a su certificado. Para los usuarios proporcionan un mecanismo válido para verificar la autenticidad de los sitios visitados en Internet, redes privadas VPN o departamentos internos. Todo certificado digital obtenido a través de una Autoridad Certificadora (CA) garantiza que la clave pública pertenece a la empresa y que la misma posee la correspondiente clave privada. Para evitar todo tipo de falsificaciones, la entidad certificadora después de autentificar la identidad de la empresa, firma el certificado digitalmente. Cabe destacar que estos certificados proporcionan un mecanismo criptográfico para llevar a cabo la autentificación. Los certificados digitales ex ponen en general los siguientes campos de datos principales: Versión: Este campo contiene el número de versión del certificado codificado. Número de serie del certificado: Este campo contiene un entero asignado por la autoridad certificadora. Cada certificado emitido debe tener un número de serie único.
Identificador del algoritmo de firmado: Este campo identifica el algoritmo usado para firmar el certificado (RSA o DSA, por ejemplo). Nombre del emisor: Nos identifica la CA que ha firmado y emitido el certificado. Periodo de validez: Indica el periodo de tiempo de validez del certificado y la CA está obligada a mantener información sobre el estado del mismo. En este campo se distinguen, fecha inicial, fecha en la que el certificado empieza a ser válido y la fecha de caducidad del mismo. Nombre del sujeto: Este campo identifica la empresa o individuo cuya clave pública está certificada. Es posible emitir más de un certificado con el mismo nombre para una misma entidad o individuo. Información de clave pública del sujeto: Este campo contiene la clave pública, sus parámetros y el identificador del algoritmo con el que se emplea dicha clave. Política de certificación: Este campo contiene las condiciones en las que la CA emitió el certificado y el propósito final del mismo. Uso de la clave: Este campo establece condiciones o restricciones a la clave pública certificada. Los certificados tienen un periodo de validez desde unos meses a unos pocos años, sin embargo, es posible la anulación de los mismos por diferentes razones de seguridad como en el caso de que la clave privada ha sido comprometida o que un usuario abandone la empresa.
Las entidades certificadoras establecen listas de anulación de certificados (Certification Revocation Lists o CRL), las cuales son un mecanismo mediante el cual se distribuye información a cerca de los certificados anulados a las aplicaciones que los emplean. Una CRL es una estructura de datos que contiene su fecha y hora de publicación, el nombre de la entidad certificadora y los números de serie de los certificados anulados que aun no han ex pirado. Cuando una aplicación trabaja con certificados debe obtener la última CRL de la entidad que firma el certificado que está empleando y comprobar que su número de serie no está incluido en él. Para la obtención de un certificado por parte de una Autoridad Certificadora (CA) : 1.- Procederemos a rellenar un formulario y enviarlo a la CA solicitando un certificado. 2.- La Autoridad Certificadora (CA) verificará nuestra identidad tomando las medidas oportunas para la validación. 3.- Después de recibir nuestra solicitud y determinar la validez de los datos recibidos, la CA generará el certificado correspondiente y lo firmará con su clave privada, así mismo lo enviará al subscriptor y, opcionalmente, lo envía a un almacén de certificados para su distribución. La CA puede proporcionar un servicio de distribución de certificados para que las aplicaciones tengan acceso y puedan obtener los certificados de sus subscriptores a través del correo electrónico, LDAP, etc. En la actualidad ex isten bases de datos en calidad de “ almacén” , donde se guardan los certificados y la información de las anulaciones dando fiabilidad y confianza a los mismos.
Ejemplos de autoridades certificadoras ( CA)
ABA ECOM Root CA FNMT de España Baltimore EZ by DST Deutsche Telecom Root CA 1 , 2 Equifax Secure certificate Authority Microsoft Root Authority Secure Server Certification Authority Visa eCommerce Root Thawte Server CA GlobalSign Root CA
Gestión de certificados en los Sistemas Operativos principales Sistema Operativo: Windows Certificados: 1.- Para Windows XP : Vaya a 'Inicio->Panel de Control->Conex iones de red e Internet->Opciones de Internet->Contenido->Certificados/Compañias' 2.- Para Windows 7 : Vaya a 'Inicio->Panel de Control->Redes e Internet->Opciones de Internet>Contenidos->Certificados/Editores' Puede acceder también a los certificados a través de los navegadores Web más habituales en este Sistema Operativo : 1.- Internet Ex plorer : 'Herramientas->Opciones de Internet->Contenido-
>Certificados/Compañias' 2.- Google Chrome: 'Herramienta de llave->Opciones->Avanzada>HTTPS/SSL->Administrar certificados' Sistema Operativo: Linux Ubuntu Certificados: El navegador predeterminado para Linux más usado en la actualidad es Firefox , por lo que será el método más normal de acceder a la gestión de certificados y así evitar la gestión a través de la ventana Shell del sistema: 1.- Firefox : Menú Editar->Preferencias->Avanzado->Cifrado->Ver certificados' Es posible acceder también a través de otros navegadores como puede ser Google Chrome. Sistema Operativo: Mac Ox Certificados: Para la gestión y administración de los certificados ; Vaya al Finder->Aplicaciones->Utilidades->Acceso a llaveros app->Raíz del sistema' Puede acceder también a los certificados a través de los siguientes navegadores : 1.- Firefox : Firefox ->Preferencias->Avanzado->Cifrado->Ver certificados'
2.- Google Chrome: 'Herramienta de llave->Preferencias->Avanzada>HTTPS/SSL->Gestionar certificados' En estos accesos se gestionan los certificados instalados en el Terminal realizando copias del mismo, importaciones, ex portaciones, evaluaciones o simplemente obtener la información sobre los mismos. Se deberán registrar internamente a través del documento PSI110-A todos los Certificados Digitales instalados en cada Terminal o puesto servidor del sistema.
2.- Protección de datos Legislación, Reales Decretos y Normas. Marco normativo En esta sección se ex pone la legislación vigente que afecta al desarrollo de las actividades empresariales en las Pymes, que viene establecido por la siguiente legislación: Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, BOE de 14 de diciembre (en lo sucesivo denominado LOPD) Real Decreto 994/1999, de 11 de junio, sobre Medidas de Seguridad de los ficheros automatizados que contengan datos de carácter personal (en lo sucesivo denominado RM994) Directiva de la Unión Europea 95/46/CE, de 24 de octubre, sobre protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de éstos (DOCE 24-VII-1995)
Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico Como complemento adicional a la legislación vigente en protección de datos de carácter personal, se establece la norma internacional UNE ISO/IEC 17799 2005 “ Código de Buenas Prácticas para la gestión de la seguridad de la información” .
PSI.2.1 – La protección de datos: Activo principal de la empresa La protección de datos de carácter personal o empresarial en la empresa será catalogada de primer orden por su gran importancia, la cuál el ASRS, deberá adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos y eviten su alteración, perdida, tratamiento o acceso no autorizado, habida cuenta de la naturaleza de los datos almacenados y los riegos a que están ex puestos, ya provengan de la acción humana o del medio físico o natural. Es aconsejable digitalizar todos los documentos escritos y garantizar respaldos lo suficientemente estables, que contengan datos de carácter personal o empresarial que ex istan o sean incorporados a la empresa, destruyéndolos o archivándolos de una forma segura para garantizar la integridad y confidencialidad de los mismos. La dirección y gerencia de la empresa definirá bajo su responsabilidad la diferenciación de la información de los datos de carácter personal de los propiamente empresariales a través del listado de clasificación PSI21-NIPERSONAL para datos personales, y del PSI21-NI-EMPRESARIAL para los de carácter empresarial. Catalogaremos en este plan los datos en dos niveles de seguridad, como se presenta a continuación:
1.- Nivel personal Se incluyen en este nivel todos los ficheros o bases de datos de carácter personal que contengan datos de ideología, afiliación a un sindicato, creencias, salud, vida sex ual, orientación racial, nombre, D N.I, etc.-, entre otros. La LOPD distingue tres niveles, Bajo, Medio y Alto. En este Plan de seguridad se considerarán todos los datos de carácter personal de nivel alto, por lo que se establecerán las máx imas medidas de seguridad en el almacenamiento y tratamiento de los mismos.
2.- Nivel empresarial Se incluyen en este nivel todos los ficheros o bases de datos de carácter empresarial que contengan datos relativos a la información Tributaria derivada del o los ejercicios, de las entidades financieras, entidades de gestión, Seguridad Social, mutuas de accidentes de trabajo, enfermedades profesionales de la Seguridad Social, facturas, presupuestos, escritos, notificaciones, informes de tesorería, entre otros. Se incluyen todos los documentos necesarios para el funcionamiento normal de la empresa. Por consiguiente, en los siguientes apartados se definirán las medidas, normas, procedimientos, y estándares encaminados a garantizar por parte de la empresa los niveles de seguridad ex igidos.
1.- Identificación y autentificación Las medidas y normas relativas a la identificación del personal autorizado por parte del ASRS para el acceso a los datos de la empresa se especifican con claridad en el apartado PSI.1.1. Gestión y Administración de cuentas de usuario y contraseñas.
2.- Control de acceso Los usuarios del sistema sólo accederán a aquellos datos y recursos que sean necesarios para la realización de sus funciones dentro de la empresa, por lo que se deben establecer los mecanismos necesarios para evitar que algún usuario pueda acceder a recursos o servicios dentro del sistema en los que no tenga autorización. Por consiguiente, el control de acceso al igual que en el apartado anterior, es especificado con claridad en el apartado PSI.1.1,- Gestión y Administración de cuentas de usuario y contraseñas -. Es importante señalar que un usuario puede acceder a diferentes niveles de autorización con su correspondiente autentificación, en los cuáles tendrá acceso a diferentes recursos en los que le serán establecidos los permisos correspondientes, por lo que en la ficha PSI11-A se deberá especificar o crear una hoja nueva, aún siendo el mismo usuario, para cada nivel nuevo de acceso, recayendo esta tarea en el ASRS.
3.- Registros de acceso El acceso por parte de algún usuario a ficheros o datos de carácter personal deberá ser autorizado y registrado por el ASRS, o usuarios debidamente autorizados por él (- los usuarios autorizados por el administrador se establecen en el documento PSI21-ACCESS, el cuál será único para cada usuario -), a través del documento de registro único PSI21-A, autorizando al mismo al acceso a la información requerida. Se debe autorizar a cada usuario a través de este documento de forma independiente. El acceso por parte de algún usuario a los datos de carácter empresarial estará condicionado única y solamente por el nivel de acceso que se tenga al Terminal o a las aplicaciones que lo conforman. No es necesario el registro de los accesos a ese tipo de información.
Los datos deben ser almacenados en un elemento informático específico como discos duros (nunca discos duros ex traíbles o de fácil acceso), particiones específicas protegidas, carpetas protegidas, o servidores dedicados para tal fin, siendo esta última opción la establecida por defecto, siempre y cuando se establezcan las medidas de seguridad tanto físicas como lógicas adecuadas para garantizar la confidencialidad, integridad y disponibilidad de los datos y que la naturaleza del mismo sea de carácter independiente. No se autoriza el almacenamiento en soportes online basados en servidor, sea cuál sea su naturaleza, aunque este condicionante será revisable en el tiempo en función de la evolución de la tecnología. Cabe señalar, que el registro de acceso para datos de carácter personal será parte integrante del Plan de Seguridad Informática y que en ningún caso, será destruido en un periodo inferior a dos años. El ASRS principal tiene la obligación de revisar al menos una vez al mes la información de dicho registro y elaborará un informe a través del documento PSI21-B, el cuál será remitido a la dirección o gerencia de la empresa para su conocimiento. Los ficheros o bases de datos de carácter personal a los que un usuario tenga acceso, previa autorización y registro por parte del ASRS, o usuarios debidamente autorizados por él, nunca deberán ser copiados del soporte a su disco duro, discos duros locales o dispositivos de almacenamiento ex terno, sean estos de tipo local o remoto. Estos datos tienen carácter de consulta, es decir de “ solo-lectura“ , por consiguiente, es obligación del ASRS garantizar esta protección estableciendo los permisos correspondientes en el servidor de datos. No sucede lo mismo con los datos de carácter empresarial, que estarán condicionados por los permisos de acceso establecidos por el ASRS a cada cuenta de usuario, en función de la tarea de este último dentro de la empresa.
En caso producirse alguna incidencia por el uso indebido o no autorizado de la misma o por cualquier otra circunstancia en la que se pueda ver comprometido el soporte o los datos tanto de carácter personal o empresarial, el ASRS principal tiene la obligación de comunicar inmediatamente verbalmente y por escrito a través del documento de urgencia de datos PSI21- NC a la dirección o gerencia de la empresa dicha incidencia con carácter urgente.
4.- Gestión de soportes y documentos Los soportes informáticos que contengan los datos de carácter personal o empresarial, serán independientes uno del otro, sean estos físicos o virtuales, y podrán formar parte o no del servidor o servidores principales, aunque esta opción no es del todo aconsejable. Se especificarán en ambos casos la información que contienen, así mismo, serán establecidos según la premisa de “ Acceso restringido” , es decir, serán ubicados en lugar seguro dentro de la empresa. Los accesos a dichos soportes se limitarán al ASRS o usuarios debidamente autorizados. Si por alguna circunstancia es necesario el acceso a dicho lugar restringido por personal no autorizado, personal ajeno a la empresa o por razones de urgencia o fuerza mayor, estos serán acompañados en todo momento por el ASRS . Todos estos accesos al soporte serán registrados debidamente en el documento de registro PSI21-C. La ubicación y características de los mismos, así como los datos que contienen, será registrado en el documento de registro PSI21-D. Queda terminantemente prohibido la salida de soportes y documentos que contengan datos de carácter personal o empresarial fuera de la empresa, sea cuál sea el motivo o ámbito del mismo, sin la autorización por parte del ASRS, el cuál lo deberá registrar a través del documento de registro PSI21-E, y será único para cada salida. Los mismos deben ser cifrados siempre que sea posible, para
garantizar su integridad y confidencialidad durante su transporte al lugar de destino. Así mismo, se prohíbe la conex ión directa, inalámbrica o de cualquier otra índole o naturaleza al soporte de datos, con la única ex cepción del acceso previamente establecido basado en la red de la empresa. Ante reparaciones ex ternas del soporte de datos, sea esta realizada por el proveedor habitual de informática o por otro de iguales características, el ASRS tiene la obligación de transmitir al proveedor la naturaleza de los datos que contiene el soporte, advirtiéndole de la responsabilidad que adquiere a la recepción del mismo. Dicha responsabilidad deberá ser aceptada por el proveedor de informática y quedará reflejada en el documento de cesión PSI21-E-R, en el cuál se le informa al proveedor de las consecuencias que le reportaría el mal uso de la misma, pérdida o falta de medios de protección de dicha información. Cualquier acción realizada por el ASRS en el soporte, sea esta de carácter puramente técnica o administrativa, como instalación de nuevos discos duros, componentes de almacenamiento nuevos, respaldos, traspaso de datos, reparaciones o cualquier acción, será registrada en el documento de registro PSI21-F. En caso de proceder a dar de alta un soporte de datos dentro de la empresa, este deberá ser autorizado por la dirección o gerencia de la empresa, por lo que el ASRS deberá remitir un informe según el modelo PSI21-ALTA-SOPORTE lo más detallado posible indicando el motivo que origina dicha decisión, ubicación, naturaleza de los datos al que va a ser dedicado y las actuaciones en materia de seguridad que se adoptarán para la introducción de los mismos. Así mismo, la
dirección o gerencia de la empresa deberá autorizar el alta por escrito al ASRS, a través del documento PSI21-SOPORTE-ALTA. El ASRS registrará el alta de los soportes nuevos en el registro de altas materiales PSI21-MATERIALES-ALTA. En caso de proceder a la baja del soporte de datos sea esta por renovación, ampliación, capacidad, seguridad, etc.-, deberá ser autorizado en última instancia por la dirección o gerencia de la empresa, por lo que el ASRS deberá remitir un informe según el modelo PSI21-BAJA-SOPORTE lo más detallado posible indicando las causas que originan a su parecer dicha decisión, así como, las medidas que se adoptarán para salvaguardar los datos que contienen durante el tiempo que dure el proceso. Así mismo, la dirección o gerencia de la empresa deberá autorizar por escrito al ASRS, a través del documento PSI21-SOPORTEBAJA, la baja del mismo. El ASRS registrará la baja de los soportes en el registro de bajas materiales PSI21-MATERIALES-BAJA.
5.- Criterios de archivo Es importante garantizar en todo momento la correcta conservación de los archivos, (- sean estos independientes o aquellos agrupados en una base de datos -), incluidos en el soporte de almacenamiento, así como garantizar si procede, el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación de los mismos. En este último caso, cualquier acción de las anteriormente citadas será registrada en el documento PSI21-G correspondiente.
6.- Copias de respaldo El ASRS, tiene la obligación de realizar copias de respaldo como mínimo una vez a la semana. Estos respaldos serán realizados manualmente o automatizados, y serán ex ternos al soporte. Generalmente estos respaldos serán redirigidos a un servidor paralelo de iguales características a través de una red interna física,
independiente y segura de no acceso. Este servidor podrá estar ubicado o no en el mismo lugar del soporte origen, (- aunque es del todo recomendable su ubicación en una estancia diferente y alejada una de la otra -), para garantizar al máx imo la información por posibles desastres como por ejemplo, incendios o inundaciones. Se autoriza también el respaldo de los datos en un servidor ex terno propiedad de la empresa que cumpla con las características citadas anteriormente y que esté ubicado en un domicilio social diferente, todo ello debe ser realizado por el ASRS, de una forma manual y a través de una red privada VPN o similar habilitada para tal fin. No se autoriza el respaldo en soportes online ex ternos basados en servidor, sea cuál sea su naturaleza. Las copias de respaldo serán registradas a través del documento de registro único e independiente por respaldo PSI21-BACKUP, sean estas de carácter manual o automático programado. En caso de respaldo automático, el ASRS deberá registrar y comprobar el mismo para asegurarse de que la operación se ha realizado con éx ito. La opción de respaldo más segura es la manual, dónde el ASRS podrá comprobar en todo momento la cantidad de datos respaldados por el total de Bytes en comparación realizados.
7.- Formación de los usuarios , directivos, gerencia y ASRS en materia de seguridad La formación de los usuarios, directivos, gerencia o cualquier personal implicado directamente en funciones administrativas de la empresa, es de vital importancia para garantizar que todo funcione correctamente. De nada vale tener un sistema informático a nivel de hardware o software de primera calidad, sistemas de vigilancia perimetral o interna, procedimientos o reglas definidas a través de un manual de seguridad, si la falta de formación en el uso de los servicios o recursos de los usuarios del sistema puede ocasionar perdida de información, desastres en los respaldos o peor aún, un compromiso total o parcial del sistema por parte de agente maligno ex terno o interno.
Por consiguiente es necesario que los usuarios, directivos, gerencia o cualquier personal que interactúe con el sistema, realicen un curso evaluable y certificado de formación básica de seguridad y uso de servicios o recursos empleados en su puesto de trabajo a través del curso básico de seguridad de los ex istentesen el mercado de formación . Así mismo, el ASRS o usuarios debidamente autorizados por él, deberán formarse y certificarse en un curso avanzado de seguridad de la información o Hacking Ético, de índole técnico y evaluable, para garantizar al máx imo su preparación y así conocer perfectamente el sistema que tienen en sus manos y sus responsabilidades frente a él. La designación del administrador del sistema o responsable de seguridad ASRS, estará condicionado en todo momento por la dimensión de la empresa, la información o datos que esta requiera protege o tratar y el efecto económico indirecto o directo que representa en la misma dicho puesto. Es importante señalar que nuestras empresas y organizaciones suelen ser reacias a la implantación de sistemas de seguridad de la información porque asumen que no es necesario ni de vital importancia para la continuidad de su negocio o actividad, nada más lejos de la realidad, dónde las tendencias empresariales y organizativas son cada vez más dependientes de las tecnologías, si además, se les presenta la necesidad de establecer un responsable de seguridad, la reacción adversa aún es mayor, ya que las mismas entienden que esto supondría gastos no propios de la actividad a la que se dedican. Por consiguiente, en este modelo de Plan de Seguridad Informática (PSI) se proponen las siguientes opciones para la implantación de un responsable ASRS, tal y como se detallan a continuación:
1.- ASRS Residente: Entendemos como ASRS residente aquel personal dentro de la empresa con conocimientos básicos o medios de informática, con independencia del puesto que este desempeña, que voluntariamente quiera o desee optar a dicho puesto, con o sin perjuicio del actualmente desempeñado. Este PSI no establece reglas, normas, ni actuaciones a la relación nueva que pueda surgir entre ambas partes, pero si ex ige que entre las mismas se establezca un contrato de confidencialidad interno en lo que a datos, equipamientos, servicios o recursos confidenciales o reservados se refiere. El contrato de confidencialidad se regirá según el contrato PSIASRS. El ASRS deberá formarse y certificarse en seguridad informática a través del curso evaluable de capacitación de índole técnico, en horarios no laborables o parcialmente laborables. 2.- ASRS Incorporado: Entendemos como ASRS Incorporado aquel nuevo personal contratado específicamente por la empresa con conocimientos medios o altos de informática, (- no necesariamente se requiere un ingeniero técnico en informática -), con titulación mínima en formación profesional o similar, con una ex periencia mínima demostrable de un año. Igualmente, el PSI no establece reglas, normas, ni actuaciones a la relación laboral que pueda surgir entre ambas partes, pero si ex ige que entre las mismas se establezca un contrato de confidencialidad interno en lo que a datos, equipamientos, servicios o recursos confidenciales o reservados se refiere. El contrato de confidencialidad se regirá según el contrato PSIASRS. El ASRS deberá formarse y certificarse en seguridad informática a través del curso evaluable de capacitación de índole técnico, en horarios no laborables o parcialmente laborables. 3.- ASRS Compartido: Entendemos como ASRS compartido a la relación contractual de servicios y colaboración técnica entre un proveedor de
servicios en seguridad informática o Hacking ético y la empresa, a través del ASRS Residente o Incorporado designado para tal efecto. Este PSI ex ige que entre ambas partes se establezca un contrato de confidencialidad interno en lo que a datos, equipamientos, servicios o recursos confidenciales o reservados se refiere. El contrato de confidencialidad se regirá según el contrato PSISHARE.
8.- Información sobre normas, obligaciones, prohibiciones y consecuencias al personal La empresa remitirá por escrito a todo el personal, las normas, obligaciones, prohibiciones y consecuencias del uso de su puesto de trabajo, el cuál deberá ser firmado y aceptado por cada usuario, a través del documento informativo PSI21 NFO. Estas normas establecen los principios básicos de uso de los dispositivos, servicios o recursos que serán puestos a su disposición en su puesto de trabajo y la interacción de este con el sistema en general, además se establecerán las consecuencias que se originan del incumplimiento de las mismos.
9.- Digitalización y clasificación de la información existente La digitalización de la información ex istente se deberá realizar en las dependencias o instalaciones de la empresa, en un espacio reservado destinado para dicha tarea y a través de un Terminal y dispositivo scanner técnico. La tarea encomendada será realizada única y solamente por los operarios de seguridad informática especializada en colaboración estrecha con el personal de la empresa, que irá facilitando la documentación que estime oportuna para ser digitalizada. El criterio de clasificación de la información será responsabilidad única y solamente de la empresa, a través de las indicaciones de los usuarios designados
para la colaboración o en contacto directo con la dirección o gerencia de la misma. Es habitual clasificar la información trasladándola al soporte digital tal cuál está registrada en formato tradicional, ya que esto garantizará al máx imo el manejo inmediato por el personal autorizado. La empresa técnica designada aconsejará sobre el ordenamiento de la misma, que debe ser jerárquica, ordenada alfabéticamente o numerada, entre otras opciones de almacenamiento, las cuales quedarán reflejadas en el documento gráfico PSI21-CLS-PERSONAL, en el caso de información de carácter personal, o en el documento gráfico PSI21-CLSEMPRESARIAL, en el caso de información personal. Ambos documentos relejarán las carpetas principales de almacenamiento. Las secciones o subcarpetas serán definidas por el personal de acceso autorizado al recurso o carpeta principal, será fijo o variable y se adaptará en todo momento a las variaciones de la empresa. La digitalización de los documentos será simple o agrupada, dependiendo de si se quiere digitalizar documentos independientes o agrupaciones de ellos, como por ejemplo, los documentos de finiquito de una persona dentro de la empresa. Por consiguiente, se presentan a continuación los formatos y normas que se emplearán para la digitalización de los documentos: Formato: El formato empleado en la digitalización será < PDF >, con lo que se garantizará la portabilidad de los mismos a diferentes sistemas. Es imprescindible tener actualizados las aplicaciones de gestión de documentos PDF en los terminales de trabajo, para garantizar compatibilidades. Directorios: El nombre de los directorios/carpetas o subdirectorioshijos/subcarpetas se establecerán en mayúsculas. Nombre fichero: El nombre del fichero estará condicionado por la naturaleza
del mismo y se especificará con el siguiente formato: Datos de carácter personal: . Datos de carácter empresarial: . En caso de nombres largos estos estarán separados únicamente por puntos:
Ejemplo ;
per.18102011.finiquito.Ramon.doc
10.- Borrado de datos El borrado manual de datos con independencia de la naturaleza que sea, será realizado de forma conjunta a través de una “ papelera” o carpeta específica creada para dicha tarea, los mismos serán borrados única y solamente por el ASRS. Es posible que el borrado de datos sea gestionado por una aplicación específica, en dónde en este caso, el borrado será realizado por los usuarios del sistema. Todo el proceso deberá ser autorizado por parte de la dirección o gerencia de la empresa a través del documento PSI21-CLS-DATOS que le será remitido al ASRS, el cuál deberá pedir autorización a la dirección o gerencia de la empresa para el borrado de dicha carpeta o registros de la aplicación específica, a través del documento de autorización PSI21-CLS-DATOS-AUT. Los usuarios autorizados eliminarán los archivos no necesarios enviándolos hacia la “ papelera” o carpeta específica destinada para tal fin, en caso de tratamiento manual de la información. En el caso de borrado específico a través de una aplicación de interface local o de acceso Web, los usuarios deberán antes de proceder al borrado de la misma, registrar los archivos que desean borrar a través del documento de registro PSI21-CLS-AUTOMA, el cuál será remitido al ASRS
para que este proceda a la solicitud de autorización de borrado a la dirección o gerencia de la empresa a través del documento citado con anterioridad PSI21-CLSDATOS-AUT, adjuntando el registro PSI21-CLS-AUTOMA, y en caso afirmativo proceder al borrado total o parcial de los mismos.
Documentos PSI21-ACCESS, PSI21-A, PSI21-B, PSI21- NC, PSI21-C, PSI21-D, PSI21E,PSI21-E-R,PSI21-F,PSI21-ALTA-SOPORTE,PSI21-SOPORTE-ALTA,PSI21MATERIALES-ALTA,PSI21-BAJA-SOPORTE,PSI21-SOPORTE-BAJA,PSI21MATERIALES-BAJA, PSI21-G, PSI21-BACKUP, PSI21-CLS-PERSONAL Y PSI21-CLS-EMPRESARIAL, PSI21-CLS-DATOS, PSI21-CLS-DATOS-AUT, PSI21-CLS-AUTOMA
PSI.2.2 – Clasificación y Comunicación de información: Confidencial y Reservada La dirección o gerencia de la empresa establecerá los criterios de clasificación de la información, los cuáles se regirán en función del valor negativo que supondría la perdida, robo o filtración de la misma para la empresa. El acceso a dichos recursos en el sistema es ex clusivo de la dirección, gerencia o personal ex plícitamente autorizado, todos ellos debidamente autorizados por el Gerente o Director general de la empresa a través del documento PSI22-AUTOR DAD, será de carácter individual y se establecerán los permisos correspondientes. A continuación se establecen las dos clasificaciones de la información que se regirán en este PSI: Confidencial: Datos o ficheros de carácter individual tanto empresariales como personales. La cesión interna de los mismos no podrá ex ceder de 24
horas, será de carácter físico por impresión y trasmitida personalmente. Dichos documentos pueden ser autorizados por cualquier usuario de la dirección, gerencia o personal de la misma ex plícitamente autorizado. Son ficheros o documentos generalmente de carácter empresarial dónde el riesgo no es muy elevado pero si interesa limitar su divulgación como mero hecho preventivo. La cesión interna de los mismos será establecida a través del documento de autorización PSI22-COREGESTOR-CONF- NT. La cesión de los mismos a terceros fuera del ámbito de la empresa está ex presamente prohibida, con la ex cepción final o autorización del Gerente o Director general de la empresa, será de carácter físico por impresión y trasmitida personalmente. La cesión será siempre establecida a través del documento de autorización PSI22CORE-GESTOR-CONF. Reservado: Datos o ficheros de carácter individual tanto empresariales como personales. La cesión interna de los mismos no podrá ex ceder de 2 horas, será de carácter físico por impresión, trasmitida personalmente y de carácter únicamente empresarial nunca personal. Dichos documentos pueden ser únicamente autorizados por el gerente de la empresa, además, la cesión de los mismos a terceros fuera del ámbito de la empresa está totalmente prohibida. Así mismo, la cesión de documentos físicos reservados internos será consensuada entre ambas partes a través del documento de cesión PSI22-CORE-GESTOR-RESV, en dónde se indicará al destinatario la responsabilidad única que adquiere en el uso y custodia del mismo. El ASRS, establecerá los accesos a la información clasificada así como los permisos correspondientes para cada usuario de la dirección, gerencia o personal ex plícitamente autorizado, los cuáles tendrán acceso total o parcial a todos los recursos del soporte de datos clasificados. El ASRS, establecerá todos los
recursos necesarios en el soporte de datos correspondiente para garantizar la integridad y confidencialidad de la información, serán únicos e independientes ni vinculantes unos con otros. Así mismo, autorizará los accesos y permisos a los recursos de clasificación de la información por parte de los usuarios de la dirección, gerencia o personal ex plícitamente autorizado, a través del documento de registro PSI22-CORE. La impresión mecánica o digitalización de la información de carácter confidencial o reservada, deberá ser etiquetada con su sello correspondiente, así mismo se establecerán unos registros de seguimiento de retorno a través de los documentos de cesión PSI22-RETORNO-CORE-CONF, para los datos Confidenciales y PSI22RETORNO-CORE-RESV para los Reservados, los cuáles permanecerán abiertos hasta la devolución de los mismos, siendo responsabilidad única de la dirección, gerencia o personal ex plícitamente autorizado para los datos de carácter Confidencial y del Gerente de la empresa para los Reservados , el registro y seguimiento de los documentos que se ceden.
Documentos PSI22-AUTORIDAD, PSI22-CORE-GESTOR-CONF, PSI22CORE, PSI22-RETORNO-CORE-CONF, PSI22-RETORNOCORE-RESV, PSI22-CORE-CESTOR-RESV, PSI22-COREGESTOR-CONF-INT
PSI.2.3 – Contratos con terceros La contratación de servicios ex ternos en la empresa y sobre todo en la Pyme actual es algo cotidiano, desde subcontratación de servicios de asesorías fiscales o laborales, hosting Web, despachos de abogados o simplemente subcontratación de trabajos asociados a la actividad de la empresa.
El ámbito de actuación es muy variado y específico, no es lo mismo una empresa subcontratada de carácter administrativo que tendrá acceso a información limitada o no, que una empresa que realice trabajos de albañilería subcontratados asociado a la actividad real de la empresa, en la que el acceso a datos es nula o muy limitada, además que la subcontratación se regirá por las leyes actuales en vigor, sí procede. En este Plan nos ceñiremos única y solamente a aquellos tipos de subcontratación en la que los datos de la empresa puedan verse comprometidos o simplemente se puedan acceder a los mismos por terceras personas. Por consiguiente, es necesario regular formalmente los servicios entre la empresa y terceros, desde el punto de vista del personal y recursos. La redacción de contratos con terceros para la prestación de servicios están regidos por la Ley de protección de Datos, así como definidos también en normas ISO, en la que nos indica que : El tratamiento de datos por terceros debemos regularla con un contrato entre ambas partes. Dicho contrato lo estableceremos a través del documento contractual interno PSI23-TERCEROS. El personal que se dedica al tratamiento de la información tendrá que adoptar las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos, principalmente los de carácter personal, para de esta forma evitar la posible pérdida, alteración o acceso no autorizado a la misma. Debemos garantizar en todo momento que las medidas de seguridad, servicios implicados y niveles de entrega estipulados en el contrato de servicio con terceros, se ponen en práctica y se mantienen.
Debemos requerir en todo momento a la empresa subcontratada y a sus empleados implicados directamente en el manejo de la información, la aplicación de las medidas de seguridad. La relación contractual entre la empresa y terceros es posible que pueda sufrir variaciones en el tiempo asociado al cambio en las condiciones, finalización de servicios subcontratados, revisión en la prestación de los servicios subcontratados que puedan afectar a la confidencialidad o medidas de seguridad, revisión de las cláusulas de protección de datos de carácter personal, entre otros posibles factores. Por consiguiente, cualquier modificación de las condiciones, servicios, etc.-, establecidos en el contrato que regulan el tratamiento de la información por terceros y la empresa, se anex ará al final del mismo y será, ordenado numéricamente y hará referencia a la cláusula, apartado o sección a la que se refiere sin modificación de la misma. Una vez finalizada la subcontratación del servicio estipulado en el contrato, los datos sean estos de carácter empresarial o personal, deberán ser devueltos a la empresa en un plazo no superior a siete días después de la firma del documento de finiquito consensuado entre ambas partes, que será establecido a través del documento de finalización de servicios PSI23-FINIQUITO-TERCEROS.
PSI.2.4– Comunicación de información no clasificada con terceros subcontratados Los medios para la comunicación o intercambio de información no clasificada con terceros sean estos físicos o digitales como, cdroms, llaves usb, discos duros ex ternos, correos electrónicos, documentos, etc.- generan amenazas para la
confidencialidad e integración de la información. Por consiguiente, la entrega de información no clasificada por parte de los usuarios, dirección o gerencia de la empresa a terceros, a través de soportes digitales como cdroms, llaves usb, discos duros, memorias flash o cualquier dispositivo de almacenamiento, queda ex presamente prohibida, por lo que el ASRS establecerá las medidas físicas necesarias en los terminales o puestos de trabajo que se regulan en cinco (5) normas en el documento PSI24-TERM NALESSEG. Se establecerán tres niveles de seguridad, ALTO, MEDIO y NORMAL. Es competencia de la dirección o gerencia de la empresa el empleo del nivel adecuado para cada circunstancia o necesidad, tal como se ex ponen a continuación: 1.- ALTO: A través de un recurso compartido designado para tal fin por el ASRS en el soporte de datos, dónde se establecerán carpetas de envío clasificadas por proveedor subcontratado, designadas en el documento PSI241-RECO en dónde se asociará cada carpeta a unas cuentas de correo predeterminadas por usuarios. Los usuarios, dirección o gerencia de la empresa que deseen enviar datos no clasificados a los proveedores subcontratados depositarán una copia comprimida de los mismos en las subcarpetas de los proveedores a los que deseen enviar la información, la misma será comprimida a través del compresor habitual del Terminal o puesto de trabajo, (-se recomienda usar el compresor/descompresor de archivos Winrar, con formato rar-), en la que adjuntarán los archivos deseados, así como se establecerá en la pantalla de configuración en la pestaña comentario el cuerpo del mensaje a su destinatario
El método de envío de la información podrá ser manual realizada por el ASRS o automática realizada por un proceso o aplicación destinada para tal fin. 1.1.- En caso de envío manual, el ASRS o usuario autorizado por él para la realización de dicha tarea administrativa, enviará los ficheros por correo electrónico a sus destinatarios. Es importante recordar que las comunicaciones a través del correo electrónico con terceros subcontratados deben llevar una certificación digital para garantizar la identidad de la misma en ambos sentidos, siendo la responsabilidad del ASRS garantizar dicha premisa en los correos de la empresa, así mismo, deberá suministrar al proveedor el certificado digital pertinente para que pueda recibir y autentificar la información que este último reciba la empresa. El ASRS, creará una cuenta de correo específica para el envío de la información a los proveedores, denominada:
asrs.NOMBREEMPRESA@ISP Así mismo, notificará a los destinatarios que no respondan al correo enviado y les recordará que en caso de querer enviar o reenviar correos lo hagan a las cuentas habituales de trabajo con la empresa. En caso de recibir algún correo en esta cuenta de alguno de los proveedores habilitados, el ASRS les enviará un correo electrónico indicándoles tal circunstancia, reenviará el mismo al usuario destinatario de la empresa y borrará el correo entrante de la bandeja de entrada de su cliente de correo.
1.2.- En caso de envío automático, este será realizado por un proceso script o aplicación interna y local al soporte de datos. Esta opción liberaría por completo del trabajo al ASRS, aunque no le ex imiría de su responsabilidad de control. Es importante recordar que esta opción generaría un costo considerable para la empresa asociado al desarrollo de un producto informático específico. 2.- MEDIO: Este nivel incluye la entrega de la documentación a través del correo electrónico del cliente al proveedor a través del personal de la misma que este autorizado para ello. Las comunicaciones a través del correo electrónico con terceros subcontratados deben realizarse certificadas para garantizar la identidad de la misma en ambos sentidos del proceso, siendo la responsabilidad del ASRS garantizar dicha premisa en los correos de la empresa, así mismo, suministrará al proveedor el certificado digital pertinente para que pueda recibir y autentificar la información que este último reciba de la empresa. Esta suele ser la opción habitual más ex tendida en las empresas en la actualidad. No se necesita realizar registro alguno. 3.- NORMAL: Este nivel incluye la entrega de la documentación físicamente al proveedor a través del personal de la misma que este autorizado para ello. Esta será entregada única y solamente agrupada, ordenada y clasificada en una carpeta A/Z o similar, con independencia del tamaño de la misma, y será registrada su salida y entrada a través del documento de cesión de documentación PSI243-CESION. Los plazos de devolución de la misma serán consensuados entre ambas partes, así mismo, el personal que reciba dicha documentación deberá firmar el documento de cesión PSI243PROVEEDOR, en el cuál se le informa de las consecuencias que le reportaría el mal uso de la misma, pérdida o falta de medios de protección de dicha información.
En todos los casos o niveles, solo esta permitido la cesión de datos de carácter empresarial. En caso de la necesidad del envío por parte de la empresa de datos de carácter personal, la dirección, gerencia o personal de la misma ex clusivamente autorizado, deberá clasificar y enviar la documentación como Confidencial, tal como se especifica en la norma o política PSI 2 2, desclasificándola y archivándola si procede, una vez recibida la misma del proveedor. Todo usuario deberá ser autorizado a través del documento PSI24-AUT por parte de la dirección o gerencia de la empresa, para la cesión de documentación empresarial a terceros, independientemente del nivel designado.
Documentos PSI241-RECO, PSI243-CESION, PSI243-PROVEEDOR, PSI24-AUT
PSI.2.5– Servicios públicos de información El uso de los servicios públicos de información como puede ser Internet o conex iones seguras con terceros dentro de la empresa como canales VPN, puede ocasionar problemas de seguridad. Por consiguiente, aunque no ex iste en la actualidad ninguna normativa que regule ex presamente este punto, se debe limitar el uso de estos canales al personal debidamente autorizado para ello. Los usuarios debidamente autorizados por el ASRS, serán registrados en el documento de acceso público PSI25-PUBLICO, que será de carácter único y personal, así mismo, el ASRS deberá tomar las medidas de índole técnico o administrativas necesarias para garantizar la limitación de estos canales a los usuarios de la empresa que no estén autorizados para su uso.
PSI.2.6– Respuesta ante incidencias detectadas por los usuarios del sistema La formación o instrucción de los usuarios por parte del ASRS en la respuesta ante cualquier incidencia en su Terminal o puesto de trabajo, es de vital importancia para mantener y gestionar eficientemente el sistema de información de la empresa. Una inadecuada repuesta ante una incidencia, hace que los tiempos de reacción para poder solucionar el problema aumenten, originando posibles problemas de seguridad. Definiremos los dos posibles niveles o escenarios que pueden producirse en un puesto de trabajo ante una incidencia: Incidencia Parcial e Incidencia Total.
1.- Incidencia Parcial Una incidencia parcial de seguridad es aquella incidencia que compromete o puede poner en peligro nuestro Terminal y que no impide el uso del mismo por parte del usuario. Cualquier usuario que detecte o tenga sospechas de alguna posible incidencia sobre su Terminal deberá seguir los pasos de actuación que se definen a continuación: 1.1- Comunicar en la mayor brevedad posible al ASRS o personal debidamente autorizado por él, la incidencia observada o sufrida, a través del documento de incidencias PSI26- NC-PARCIAL. El proceso de comunicación al ASRS será por orden de preferencia tal y como se indica a continuación: 1.1.1- A través del REGASRS (Registro compartido de comunicaciones con el administrador del sistema)
1.1 2- A través del Correo electrónico habitual 1.1 3- Entregado personalmente a mano al ASRS 1.2.- Paralizar inmediatamente la actividad en el Terminal, poniéndolo en reposo hasta la llegada o monitorización del ASRS. 1.3.- Mantener en todo momento la discreción y silencio con otros usuarios del mismo o distinto departamento. No debemos olvidar que la aparición de una incidencia puede tener como origen una actividad malintencionada interna como ex terna.
2.- Incidencia Total Una incidencia total de seguridad es aquella incidencia que compromete o puede poner en peligro nuestro Terminal y que impide el uso del mismo por parte del usuario. Cualquier usuario ante esta situación límite ocasionada o no por una incidencia, seguirá los pasos de actuación que se definen a continuación: 2.1- Comunicar en la mayor brevedad posible al ASRS o personal debidamente autorizado por él, la incidencia observada o sufrida, a través del documento de incidencias PSI26- NC-TOTAL. El proceso de comunicación al ASRS será entregado personalmente a mano. 2.2.- Mantener en todo momento la discreción y silencio con otros usuarios del mismo o distinto departamento. Así mismo, el ASRS activará los procedimientos establecidos en la norma o política PSI.1.9, activando la sección que corresponda o estime oportuna y
generando los registros e informes pertinentes, así mismo, deberá adjuntar los documentos de incidencias enviados por los usuarios a los registros de dicho apartado que procedan.
PSI.2.7– Uso de dispositivos móviles Los dispositivos móviles como portátiles, agendas digitales, teléfonos de última generación, Ipads, etc.-, pueden generar todo tipo de vulnerabilidades en la seguridad de la empresa, por su facilidad de uso, gran movilidad y capacidad de almacenamiento, que permiten el flujo de información sin control alguno. Por consiguiente, necesitamos realizar una clasificación de la información, que incluya básicamente la identificación de los dispositivos móviles y la información que almacenan. Es importante reseñar que sólo esta permitido el almacenamiento de información no clasificada de carácter empresarial, así mismo, la conex ión de los mismos a la red de la empresa será limitada por recursos específicos y dispositivo. A continuación, se establecen las siguientes normas o procedimientos de actuación: 1.- El ASRS procederá a realizar un inventario de todos los dispositivos móviles ex istentes en la empresa, indicando el responsable del mismo, datos que contiene, accesos a los recursos compartidos disponibles, aplicaciones instaladas, permisos asignados, etc. Dichos dispositivos móviles serán registrados a través del documento único por dispositivo PSI27-DISPOSITIVOS-REG. 2.- Queda prohibido la utilización de dispositivos personales o de otra índole, ajenos a la empresa para tareas administrativas, comerciales o de dirección. Así mismo, todos los dispositivos móviles autorizados y registrados no podrán ser utilizados para otros fines para los cuáles han sido destinados.
Por consiguiente, no se podrán introducir datos personales, no se podrán instalar aplicaciones no registradas, conectarse a puntos de acceso no autorizados, etc.-. El ASRS entregará a todos los usuarios de dispositivos móviles autorizados unas normas de comportamiento y uso para el manejo y custodia de los mismos, especificado en el documento informativo PSI27NORMAS-MOV LES. Así mismo, la autorización, tiempo de cesión y entrega de los dispositivos móviles a los usuarios será reflejada en el documento de cesión temporal PSI27-DISP-AUT. 3.- La conex ión a los recursos compartidos del sistema a través de ordenadores portátiles, mini ordenadores, etc.-, se realizará al punto de acceso establecido, sea este inalámbrico o directamente por cable, en modo directorio y autentificado. 4.-Los dispositivos inalámbricos como IPADS, IPHONES o teléfonos en general (1), sufren cambios prácticamente a diario en sus avances tecnológicos asociado principalmente a la gran competencia de las firmas que los desarrollan, por consiguiente, cada firma desarrolla sus productos teniendo en cuenta sus políticas de seguridad, tendencias del mercado, nuevos desarrollos o implementaciones, ideales, cuotas de mercado, etc.-, no es lo mismo la operatividad de un PAD de Apple que un Tablet con el Sistema Operativo Android, basado en Linux . Desde el punto de vista de la seguridad y no de la operatividad, este Plan de Seguridad y Protección de Datos, prohíbe el acceso de estos dispositivos inalámbricos (1) de una forma directa o a través de cualquier tipo de aplicación o protocolo ex istente, con la ex cepción de una conex ión inalámbrica normal de acceso a Internet o a un servidor de aplicaciones a través de un navegador Web, el cuál deberá ser autentificada en todo momento.
El ASRS o usuarios autorizados por él, por seguridad, serán los únicos encargados de introducir la información no clasificada en dichos dispositivos en requerimiento de los departamentos correspondientes, los cuales deberán indicar a través del informe de actuación PSI27-DATOS-MOB LE, los mismos de una forma detallada y clara, así mismo, suministrarán al ASRS dicho informe e información digitalizada en PDF, para los documentos y JPG, para las imágenes, a través del recurso compartido para cada departamento MOB LEDPT. 5.- Queda prohibido la cesión, préstamo, reparación por cuenta propia, así como cualquier actuación que pueda poner en peligro la Confidencialidad e Integración de la información que contienen. Los mismos tendrán a efectos de este Manual de Seguridad, carácter de “ Soporte móvil de datos” , por lo que se les aplicarán las normas o procedimientos correspondientes en cesión a terceros.