Diseo del Esquema de Seguridad Informtica para Coomeva E.P.
S
Juan Carlos Giraldo V. Departamento de Seguridad Informtica, Coomeva E.P.S
e-mail: juanc_giraldo@coomeva.com.co
Febrero 2002
Resumen
En este documento se presentan las
actividades realizadas con el fin de
definir el esquema de seguridad
sobre el aplicativo que soporta la
operacin de Coomeva E.P.S a nivel
nacional, adicionalmente se
presentan dos herramientas
desarrolladas o adaptadas durante el
proyecto que facilitan la
administracin de seguridad de todo
tipo de aplicaciones desarrolladas en
PowerBuilder y la activacin optima
de rastros de auditoria sobre bases
de datos Oracle.
Palabras Clave
Seguridad, Oracle, PowerBuilder, PFC
Auditoria, Rastros de Auditoria,
Zentinella, Pentagono.
1. Introduccin
Con el fin de definir un nivel de seguridad
adecuado a las necesidades de Coomeva
E.P.S y tratndose de un desarrollo propio
se definieron tres labores primordiales a
ser desarrolladas :
- Definir un proceso de recoleccin de
informacin que garantice una
adecuada definicin de perfiles de
acceso a la aplicacin a la medida de la
organizacin.
- Buscar o desarrollar una herramienta
que facilitara la administracin y
asignacin de los perfiles dideados
- Buscar o desarrollar una herramienta
que facilitara el control y seguimiento
de las modificaciones realizadas sobre
los datos.
2. Contenido
2.1 Definicin de Perfiles.
Por ser Coomeva E.P.S una organizacin
de carcter nacional cuenta con una
estructura con sucursales y oficinas
adems las oficinas se clasifican en dos
tipos de oficinas de acuerdo al tamao de
la poblacin asignada. Por la anterior
iguales cargos en distintas oficinas
requeran de unos privilegios diferentes, se
necesitaba entonces definir labores
especificas de acuerdo al cargo y la oficina
del funcionario.
2.1.1 Estandarizacin de los perfiles
Mediante la definicin de los estndares
del Sistema y en un trabajo
multidisciplinario en el que intervinieron
las reas de Eficiencia y productividad, los
lideres usuarios, auditoria interna y
seguridad informtica, se definieron todas
las tareas soportadas por el sistema de
informacin asignndole a cada una de
ellas el cargo o cargos responsables de su
ejecucin de acuerdo al tipo de la oficina
del funcionario. (en la figura 1 se presenta
una muestra de la matriz que se definio
para esta labor).
Una vez definidas todas las actividades a
realizarse en el sistema y asignados los
responsables en cada sucursal u oficina se
realizo la definicin y unificacin de los
perfiles estndar de la organizacin.
Considerando los siguientes puntos como
fundamentales para el desarrollo del
trabajo:
- Existencia adecuada de seguridades
fsicas en cada uno de los puestos de
trabajo
- Verificacin de controles Efectivos en
los puntos vulnerables del sistema
- Existencia de una adecuada
segregacin funcional [1]
 Despus de identificadas las labores a
realizar por cada perfil, se defini una
matriz donde se relacionaba cada actividad
a realizar con la opcin u opciones
especificas necesarias para la misma en la
Actividad-Cargo Auditor Comit Auxiliar aplicacin incluyendo los tipos de acceso
M m M necesarios para su ejecucin (modificacin
d ed e
ico ico di o consulta).
Su Ofi c La propuesta de perfiles se presento a las
cu cin o
rs al O reas lideres para su revisin y
al fi aprobacin, despus de su aprobacin se
ci
n procedi a implementar los mismos
a utilizando la herramienta de asignacin de
II
perfiles definida para el caso (ver Numeral
X
Marcar en el
Sistem 2.2). en la figura 2 se presenta una muestra
a la
IPS de uno de los perfiles definidos durante el
por proceso.
Auditor

X X X
Consulta de
Auditor 1. Modulo de Afiliaciones
fechas
e IPS
asigna Coordinador Mesa Control Afiliaciones -
das Sucursal
para
acredit
- Recepcin documentos Agrupadora
acin
- Verificacin documentos Agrupadora
X X
Consultar en
Sistem - Marcacin de empresas especiales
a - Asignacin de lotes a cada digitador
datos - Verificacin de afiliacin Vs. Rezago
para
- Recepcin solicitudes antigedad otras
acredit
acin EPS
- Generacin de bonos a pedido
X X
Registrar informe
de Figura 2 Muestra de la propuesta de perfiles definidos
acredit
acin
en
Sistem
a 2.1.3 Definicin de Roles Base de
Datos
X X X
Elaboracin
respue
sta
Finalmente se realizo un exploracin del
acredit cdigo de cada una de las opciones del
acin
prestat
sistema definiendo los tipos de acceso
ario requeridos a la base de datos de acuerdo a

X X
Generar listado la labor a realizar (UPDATE, DELETE,
de IPS
a INSERT, SELECT ), determinando as los
reacre roles para la base de datos Oracle,
ditar
estableciendo una relacin uno a uno entre
Figura 1. Matriz para definicin de perfiles
los roles y los perfiles requeridos.

2.2 Herramientas de Asignacin de

2.1.2 Asignacin de Opciones por Perfiles.
Perfil
Con el fin de realizar una optima
administracin de perfiles se decidio
adaptar adaptar las libreras predefinidas
en el PFC PowerBuilder para la
administracion de seguridad la cuales
permiten la administracin de usuarios y
perfiles e interactuan adecuadamente con
la base de datos Oracle. Solo se requera
del ingresode algunas lneas de cdigo
adicionales al inicio de cada una de las
ventanas que se deseaba administrar, se
tomo como base este producto y se
implementaron adems otras
caractersticas adicionales buscando
desarrollar un Sistema de Informacin,
que permita la administracin de la
seguridad del Sistema de manera
centralizada.
Las Caractersticas del sistema de
administracin de usuarios Pentgono son
las siguientes
- Herramienta de usuario final de fcil
administracin.
- Centraliza y controla la creacin y
administracin de los usuarios a nivel
nacional.
- Permite llevar un registro de las
transacciones realizadas por cada uno
de los usuarios .
- Chequeo y registro de los mas
recientes ingresos por usuario, permite
dar de baja cuentas no usadas durante
un determinado perodo de tiempo.
- Restriccin de acceso en tres niveles
Opciones men, Carpetas, Campos.
- Generacin de procesos de cambio
regular de contraseas y anexo de
rutinas de verificacin de la
complejidad de la contrasea.
- Registro accesos y eventos sobre
opciones y procesos crticos.
- Permite detectar cambios en los
niveles de seguridad inicialmente
configurados reportando cualquier
evento a los responsables de la
administracin de seguridad, a los
jefes inmediatos y a auditora
- Aplicacin y verificacin de las
polticas y estndares establecidas para
el diseo de password (edad de la
cuenta, chequeo en diccionarios,
chequeo de reutilizacin, chequeo de
longitud)
- Escaneo de intentos de conexin
fallidos y cancelacin de la cuenta,
reporte de este evento
- Comparacin con la historia de
password del Usuario
- Registro no solo de las ventanas
alteradas sino de las campos
especficos al igual que el anterior
valor.
- Alerta a personal clave sobre la
alteracin de campos altamente
sensitivos por fuera de rangos
preestablecidos.
El sistema de administracion de seguridad
inicialmente se realiza el registro de los
objetos seleccionados para la
administracion de seguridad, debido a que
no necesariamnete todas las ventanas u
opciones del sistema requieren de
controles de seguridad. En la figura 3 se
muestra la pantalla inicial donde a traves
del sistema pentagono se exploran las
librerias del aplicativo a ser registrado
 Despues de que los objetos se encuentran
registarados en el sistema se procede a la
asignacion de permisos a cada uno de los
perfiles diseados (Ver Figura 5)

Figura 3 Ventana donde se selecciona la aplicacin a

registrar

Despues de elegida la librera a ser

registrada el sistema muestra todos los
objetos presentes en ella para elegir el
Figura 5 Ventana de activacin y desactivacin de
objeto especifico a ser escaneado.(Ver Permisos
Figura 4). Con este proceso se registra en
una tabla de la base de datos la
informacion de todos los objetos
contenidos en la ventana a ser Finalmente en la Figura 6 se muestra la
administrada y permite a traves de la pantalla donde se realiza la creacion de los
asignacion de algunos valores especificos usuarios y los perfiles asi como la
en el campo de estado del elemento la asignacion de cada usuario a su perfil
opcion de habilitarlo, deshabilitarlo, o no indicado.
mostrarlo.

Figura 6 Ventana de creacin de usuarios y

asignacin de perfiles
Figura 4. Ventana donde se selecciona el objeto a
registrar 2.3 Herramienta de seguimiento y
Auditoria.
Una vez definidos los perfiles y la
seguridad a nivel del aplicativo, se
necesito disear una herramienta que
permitiera activar rastros de auditoria
sobre la base de datos Oracle,
considerando que la auditora del sistema
se debe disear para rastrear las
actividades de los usuario, los usuarios
que accedan al sistema debe dejar un
rastro que debe poder seguido por el
administrador de seguridad con el fin de
determinar las responsabilidades del
usuario en cualquier evento de seguridad.
[2]
Los rastros de auditoria deben mantener
un registro de las actividades realizadas
por cada usuario en cualquier sistema
aplicacin o proceso y deben garantizar la
identificacin del responsable del evento,
la reconstruccin del evento, y deteccin
de accesos no autorizados.[3]
Por lo cual se definieron las siguientes
Caractersticas como necesarias para la
aplicacin de administracion de rastros de
Auditoria:
Figura 1 Ventana de Seleccin del Objeto a auditar
- Configuracion intuitiva de las Tablas a
Auditar con sus respectivos Campos a
guardar, por evento de Actualizacin,
Insercin o Borrado e indicando para
cada caso los usuarios especificaos a
ser auditados.
- En el evento de Modificacin (Update)
debe validar los campos de la tabla que
disparan el rastro. (para no llenar la
pista con actualizaciones poco
relevantes que no permitan hacer una
gestin oportuna).
- La Generacin de los triggers sobre el
esquema Auditado se debe realizar
automticamente desde la aplicacin
de auditoria, permitiendo alterar la
configuracin deseada por el
administrador de seguridad sin
depender del personal de sistremas.
- Las pistas deben incluir los siguiente
datos: Fecha con Horas, Minutos y
Segundos; la tabla; la aplicacin
utilizada; Usuarios de Oracle y de
Sistema Operativo; el evento y el
contenido actual y anterior de los
campos seleccionados en la
configuracin [3].
- Las pistas deben poderse generar
facilmente hacia archivos Planos,
validacin de Copias, Importacin y
depuracin de sus datos, optimizando
espacio en disco.
- Np deben presentarse restricciones con
tablas que tengan triggers de insercin,
borrado o modificacion.
Una vez definida la herramienta a utilizar
se levanto la informacion con los usuarios
con el fin de definir de mejor manera las
pistas a ser elaboradas para su seguimiento
considerando que la responsabilidad para
definir la clasificacin de la informacin
deberia ser tanto del dueo de la
informacin como del rea encargada de la
seguridad informtica en la organizacin
[4]
Dentro de las carectiristicas de opercion
del sitema de rastros de Auditoria se
encuentra los siguiente:
Permite la navegacion por los diferentes
esquemas y usuarios de la base de datos
con el fin de definir las tablas sobre las
que se desea hacer el seguimiento (Ver
Figura 7).
 seguimiento y auditoria de las labores
realizadas por los usuarios en el
sistema, todo esto con herramientas y
metodolgicas desarrolladas dentro de
la organizacin. Este modelo se
encuentra en estos momentos en
operacin en la organizacin
garantizando unos niveles ptimos de
seguridad y control.

4. Conclusiones.
Se presenta un trabajo donde se realizo
Figura 7 Navegacion en esquemas y Usuarios un diseo de seguridad a muy bajo
costo y que garantiza un adecuado
Una vez seleccionada el usuario y la tabla nivel de seguridad para una aplicacin
a ser auditada el sistema muestra la tabla y de misin critica .
sus campos con el fin de poder especificar Se pueden implementar buenos
cuales seran los campos de interes tanto esquemas de seguridad sin requerir de
para su seguimiento como para su grandes inversiones por parte de las
inclusion en el rastro (figura 8). organizaciones
5. Autores
Juan Carlos Giraldo Vidal, Ingeniero
Industrial Egresado de la Universidad
del Valle, en la actualidad ejerce el
cargo de administrador de seguridad de
Coomeva E.P.S.
Carlos Alberto Agudelo , Ingeniero de
Desarrollo Coomeva E.P.S.

6. Referencias
[1] Jose Dagoberto Pinilla . Auditoria
Informtica Aplicaciones en
Produccin Pag 97
[2] Tom Sheldon, Manual de
Seguridad para Windows NT [pag 51]
Figura 8 Deninicion del Rastro de Auditoria
[3] Polticas de seguridad informtica
del sector financiero colombiano,
Asobancaria Noviembre de 2001
numeral 1.4 Datos
3. Resultado. La ejecucin de las labores
[4] Marianne Swanson-Barbara
aqu presentadas permiti la definicin
Guttman,Generally Accepted
adecuada de los perfiles requeridas a
Principles and Practices for Securing
nivel nacional, la herramienta de
Information Technology Systems
asignacin de estos perfiles en el
aplicativo, y un herramienta final de