Documente Academic
Documente Profesional
Documente Cultură
MODELOS DE ENCRIPTACIN DE
DATOS EN IT Y SU APLICACIN EN
EL DISEO DE SEGURIDAD DE
INFRAESTRUCTURAS
INFORMTICAS
RESUMEN
Los sistemas de informacin se basan en sistemas lgicos que estn diseados para ser
universales. Esa universalidad hace que cualquier persona est en condiciones de
entender dichos sistemas. Cuando una organizacin adquiere un sistema de informacin
y lo integra en su sistema de negocio se est exponiendo a todo tipo de amenazas. Esto
sugiere un reto para la ciencia de la informacin, y es la de garantizar un sistema de
informacin seguro a travs de medidas de proteccin.
I
Javier Ruiz-Canela Lpez
ABSTRACT
Information systems are based in a logical system that is designed to be universal. That
universality means that any person is able to understand such systems. When an
organization acquires an information system and integrates into its business system is
exposed to all kinds of threats. This suggests a challenge to information science. And it
is ensuring a secure information system through protection measures.
The protection information systems through the use of encryption systems that can
make the information unreadable to any crackers (criminal hackers). Basic encryption
systems are based on the computational complexity of the factorization of prime
numbers. However these systems have become obsolete because new attacks targeting.
The new attacks targeting use the power of several computers to break the traditional
encryption systems. This produces the need for innovation in encryption systems. The
encryption systems based on elliptic curve (ECC) are the answer to the new challenges
of the targeting. These systems are safer and less computational burden for information
systems, which also translates into lower costs in the information system security.
However information science must integrate these systems to business needs. This
requires the design of information security architecture. The security architecture
proposed in this project and based on ECC, comprises a security information
management system and a security perimeter.
The management system for information security organization serves the needs of any
enterprise: corporate data system, programs and systems plan, inter-corporate and extra-
corporate communications, administrative structure and risk control. This series of plans
are designed with the recommendations of major organizations in the field of
information security (ISO, ISSA, SANS, ISSA, etc. ...).
II
Javier Ruiz-Canela Lpez
NDICE
1. Introduccin ............................................................................................................................. 1
1.1. Estado del Arte................................................................................................................ 1
1.2. Justificacin del Proyecto ............................................................................................... 1
2. Algoritmos Criptogrficos ................................................................................................... 2
2.1. Algoritmos criptogrficos de factorizacin discreta ....................................................... 3
2.2. Algoritmos criptogrficos de Curva Elptica (ECC) ....................................................... 5
2.3. Ventajas de los algoritmos de curva elptica sobre los algoritmos clsicos .................. 9
2.4. Aplicaciones de los algoritmos de curva elptica ......................................................... 10
3. Poltica de Seguridad ......................................................................................................... 11
3.1. Poltica basada en planes de seguridad ......................................................................... 11
3.2. Documento de poltica de seguridad de la informacin ................................................ 12
3.3. Revisin de la poltica de seguridad de la informacin ............................................... 14
4. Plan de Seguridad en Datos ............................................................................................... 16
4.1. Propsito, Objetivos y Alcance..................................................................................... 16
4.2. Cumplimiento de los requisitos legales ........................................................................ 17
5. Plan de Seguridad en Sistemas .......................................................................................... 29
5.1. Propsito, Objetivos y Alcance..................................................................................... 29
5.2. Requisitos de seguridad en los sistemas de informacin .............................................. 31
5.3. Tratamiento correcto de las aplicaciones ...................................................................... 32
5.4. Controles criptogrficos ................................................................................................ 38
5.5. Seguridad de los archivos de sistemas .......................................................................... 39
5.6. Seguridad en los procesos de desarrollo y soporte ....................................................... 40
5.7. Gestin de la vulnerabilidad tcnica ............................................................................. 44
6. Plan de Seguridad en Comunicaciones ............................................................................. 45
6.1. Propsito, Objetivos y Alcance..................................................................................... 45
6.2. Responsabilidades y procedimientos de operacin....................................................... 46
6.3. Gestin de la provisin de servicios a terceros ............................................................. 51
6.4. Planificacin y aceptacin del sistema ......................................................................... 54
6.5. Proteccin contra cdigo malicioso y descargable ....................................................... 56
6.6. Copias de seguridad ...................................................................................................... 60
6.7. Gestin de seguridad en redes....................................................................................... 61
6.8. Manipulacin de soportes ............................................................................................. 64
6.9. Intercambio de informacin .......................................................................................... 66
7. Plan de Seguridad en Control de Acceso .......................................................................... 68
7.1. Propsito, Objetivos y Alcance..................................................................................... 68
7.2. Requisitos del negocio para el control de acceso .......................................................... 70
7.3. Gestin de acceso de usuario ........................................................................................ 71
7.4. Responsabilidades del usuario ...................................................................................... 74
7.5. Control de acceso a red ................................................................................................. 75
7.6. Control de acceso al sistema operativo ......................................................................... 82
7.7. Control de acceso a las aplicaciones y a la informacin ............................................... 87
7.8. Ordenadores porttiles y teletrabajo ............................................................................. 89
III
Javier Ruiz-Canela Lpez
IV
Introduccin Javier Ruiz-Canela Lpez
1 INTRODUCCIN
Para ello se estudiarn los algoritmos de encriptacin basados en curva elptica dado las
ventajas que traen sobre los algoritmos de encriptacin tradicionales. Y tomando como
base los mismos, se plantear una arquitectura de seguridad para sistemas de
informacin tomando como referencia la ISO 27002, la legislacin espaola y los
procedimientos informticos corporativos.
1
Algoritmos criptogrficos Javier Ruiz-Canela Lpez
2 ALGORITMOS CRIPTOGRFICOS
2
Algoritmos criptogrficos Javier Ruiz-Canela Lpez
2. n = 3 * 11 = 33.
3
Algoritmos criptogrficos Javier Ruiz-Canela Lpez
Sujeto A Sujeto B
.a,p son
Intercambio de Pretratamiento
enteros y
largos
HD
Pub A
PubA=aPrivA(modp) PubB=aPrivB(modp)
Pub B
Creacin
Claves
Z=PubBPrivA(modp) Z=PubAPrivB(modp)
Z=Z
4
Algoritmos criptogrficos Javier Ruiz-Canela Lpez
Las curvas elpticas vienen dadas por una curva plana definida por la siguiente
ecuacin:
2 3
1. y =x + xa + b donde y, x y a, b G
ECDSA
o Generacin de claves
o Firma Digital
o Certificacin
5
Algoritmos criptogrficos Javier Ruiz-Canela Lpez
Para la fase de generacin de claves bajo parmetros GF (p) se tiene que realizar los
siguientes pasos:
Para la fase certificacin con campo finito GF (p) se tiene que seguir los siguientes
pasos:
1. Generacin valor hash: Calcular un valor hash e=H (M) usando la funcin
hash SHA-1* .Representar el valor mediante un entero de 160 bits.
2. Clculos de la curva elptica: Seleccione un nico calor entero k en el
intervalo [1, n-1]. Calcular los puntos de la curva elptica (x,y)=kG.
3. Moldeado de los clculos: Convertir el valor x a entero, calcular r = x mod n.
Si r=0 entonces volver a paso 1, sino calcular s = k-1 (e + dr) mod n. Si s=0
entonces volver a paso 2.
4. La firma de M ser los dos enteros s y r.
Para la fase certificacin con campo finito GF (2m) se tiene que seguir los siguientes
pasos:
1. Generacin valor hash: Calcular un valor hash e=H (M) usando la funcin
hash SHA-1* .Representar el valor mediante un entero de 160 bits.
2. Moldeado de los clculos: Sea r y s enteros que no estn en el intervalo
[1, n-1]. Calcular c = (s') -1 mod n y u1 = e'c y u2 mod n = r'c mod n.
Firma digital* como la firma olgrafa (autgrafa, manuscrita), puede vincularse a un documento para identificar al autor y asegurar
que el contenido del mismo no ha sido modificado.
SHA-1* es un algoritmos de funciones hash dado por el ANSI X9.30.
Exponenciacin binaria* potenciacin por cuadrados o elevar al cuadrado y multiplicar. Xa+b =XaXb
grupo abeliano* es un grupo (que se denota con (G, *) ), tal que: a*b=b*a para todos los elementos a, b G.
6
Algoritmos criptogrficos Javier Ruiz-Canela Lpez
MQV
HMQV
HMQV [Kraw05] esta variante del protocolo MQV utiliza una funcin hash para dar un
mayor rendimiento que su homlogo. Las ventajas que presenta con respecto a su
predecesor son las siguientes:
Para poder entender mejor las mejoras los protocolos MQV y HMQV se analizar como
se realiza una negociacin de claves con MQV\HMQV. Para ayudar a la explicacin se
apoyara en el siguiente esquema:
Entidad Agente
.a,g,p b
Pretratamiento
Y=yP X =xP
B
e=2 l + Y mod 2 l
HMVQ MVQ
d =2 l + X mod 2 l
e=H(Y , A ) y=H(X , B )
x + db
Creacin
p a =(Y. B e )
y + ea p b =(X. A d )
Claves
K =H(p b )=H(p a )
7
Algoritmos criptogrficos Javier Ruiz-Canela Lpez
S se utiliza HMQV:
Sin embargo, el protocolo MQV es sensible a ataques activos del tipo "hombre en el
medio" (mitm, man-in-the-middle). Si la comunicacin es interceptada por un tercero,
ste se puede hacer pasar por el emisor cara al destinatario y viceversa, ya que no se
dispone de ningn mecanismo para validar la identidad de los participantes en la
comunicacin. Este problema se solventa con el uso de la entidad de certificacin pues
da seguridad en la comunicacin entre agentes. En el protocolo HMQV este problema
no se da ya que la identidad de cada individuo est asegurada mediante el clculo de
funcin hash.
8
Algoritmos criptogrficos Javier Ruiz-Canela Lpez
-Los sistemas de encriptacin ECC necesitan menos memoria que los algoritmos
tradicionales. El tamao de una clave para un algoritmo hash SHA-1 con RSA es de
1024 bits mientras que para un ECC es de 192 bits.
-El ancho de banda consumido por los sistemas ECC es menor que los sistemas
tradicionales. Los bits payload reservados en las cabeceras IP son de 326 para RSA y
para MQV son de 41.
- Los servidores webs son 3.5 veces ms seguros utilizando algoritmos ECC que
algoritmos de factorizacin discreta. El tiempo de respuesta entre cliente y servidor es
mucho menor tal y como se muestra en el grfico siguiente:
9
Algoritmos criptogrficos Javier Ruiz-Canela Lpez
American National Standard* organismo estatal norteamericano para la homogeneizacin de estndares tecnolgicos
10
Poltica de Seguridad Javier Ruiz-Canela
3 POLTICA DE SEGURIDAD
3.1 Poltica basada en planes de seguridad
La Organizacin Internacional para la Estandarizacin o ISO es una organizacin que se
dedica a la implantacin de estndares o de normas de productos y seguridad. Estn
destinadas a las empresas u organizaciones a nivel internacional. Para la ISO, la
informacin es un activo vital para el xito y la continuidad en el mercado de cualquier
organizacin. La seguridad de dicha informacin y de los sistemas que la procesan es
por tanto un objetivo de primer nivel para la organizacin. Para llevar a cabo ese
objetivo plantean para la seguridad de la informacin la ISO 27002 [ISO07]. La ISO
27002 es una gua de buenas prcticas para la elaboracin de una poltica de seguridad.
La norma propone un sistema de gestin de seguridad de la informacin que cubre
todos los aspectos jurdicos y tcnicos en la creacin, manejo y eliminacin de la
informacin.
Para poder definir los planes de seguridad la norma se compone en 10 reas ,36
objetivos y 127 controladores de seguridad. En estas 10 secciones cubre todos los
aspectos jurdicos y tcnicos en la empresa. La apuesta de este proyecto es la de cubrir
todas esas secciones de forma que se plantea una poltica de seguridad (no se contempla
el comercio electrnico) para la empresa que cubre todas las necesidades de la empresa
para la seguridad de sus sistemas de informacin. Para ello la poltica se subdivide para
cada uno de estas secciones en planes de seguridad en cada uno de ellos se analizarn de
forma detallada los controles propuestos por la ISO. Para conseguir este objetivo se
tendr como referencia los conocimientos adquiridos durante la licenciatura de
ingeniera en informtica, la situacin legal vigente en Espaa y las recomendaciones de
buenas prcticas dadas por los principales organismos internacionales: ISSA, ISO,
SIA...etc. En el cuadro de abajo se presenta la relacin planes y reas:
reas Planes
Organizacin de la Seguridad Plan de Seguridad Interna
Clasificacin y control de activos Plan de Seguridad Interna
Seguridad ligada al personal Plan de Seguridad para Personal
Plan de Seguridad Medioambiental y Seguridad
Seguridad fsica Fsica
Seguridad lgica Plan de Seguridad en Comunicaciones
Control de acceso Plan de Seguridad en Control de Acceso
Mantenimiento y desarrollo de los
sistemas Plan de Seguridad en Sistemas
Plan de Seguridad para Auditorias
Plan de Seguridad para Incidentes y
Continuidad de negocio Continuidad
Cumplimiento con la legislacin
vigente Plan de Seguridad en Datos
11
Poltica de Seguridad Javier Ruiz-Canela
En toda corporacin hay mecanismos de organizacin para poder realizar las tareas
productivas de forma eficiente. En el plan de seguridad interno se describe como tiene
que organizar la corporacin para poder llevar sus tareas comunes con seguridad. Como
afecta la seguridad a la organizacin interna de la empresa, cual es la relacin a tener
con las autoridades y cuales deben de ser los mecanismos para garantizar la seguridad a
los clientes. Tambin quiere dejar constancia de los activos en la empresa, segn una
escala de importancia en cuanto a seguridad y cuales serian las directrices a seguir en la
clasificacin de la informacin.
12
Poltica de Seguridad Javier Ruiz-Canela
13
Poltica de Seguridad Javier Ruiz-Canela
PLAN
MONITORIZAR
Revisar el SGSI
Medir eficacia de los controles
Realizar auditorias internas de la SGSI
Registrar acciones y eventos
La ISO propone una serie cclica de cuatro estados para la revisin continua de una
poltica de seguridad. Dicho plan se compone de cuatro estados: Plan, Hacer,
Monitorizar y Revisar.
Plan
El estado Plan se corresponde con la fase de control de redaccin del documento de la
poltica de seguridad. Antes de la realizacin del mismo hay que tener el visto bueno de
la direccin de la empresa. Tambin se tiene que realizar un inventario de activos y una
evaluacin de riesgos que viene determinada por un estudio de la informacin sensible y
el manejo de la misma. Por informacin sensible se entiende aquella de afecte
considerablemente al ciclo productivo de la empresa. Despus de ello se proceder a
elegir los controles de seguridad necesarios para la seguridad del sistema de
informacin de dicha organizacin.
14
Poltica de Seguridad Javier Ruiz-Canela
Hacer
El estado Hacer se corresponde con la implantacin de la poltica de seguridad. Para
ello se tiene que tener en cuenta el impacto que puede provocar en la organizacin y
plantear mecanismos de seguridad en caso de fallo con la redaccin de un plan de
impacto.
Monitorizar
Este fase se corresponde con la fase de monitorizacin en ella se quiere controlar el
correcto funcionamiento del sistema de gestin de la seguridad (SGSI). Para ello se
tendr que medir la eficacia de los controles implantados, realizar auditoras internas y
registrar toda accin u evento acontecida en el sistema.
Revisar
En esta ltima fase se pretende realizar una re-edicin de la poltica de seguridad con el
fin de poder mejorar los defectos o carencias de anteriores ediciones. Para ello se deben
de tomar acciones correctivas con la incorporacin o eliminacin de controles de
seguridad. Y acciones preventivas con cambios en aquellos controles con poca eficacia.
La nueva edicin de la poltica de seguridad debe de contar con el respaldo de la
direccin de la empresa.
15
Plan de Seguridad en Datos Javier Ruiz-Canela Lpez
Propsito
Alcance
Objetivos
15. Cumplimiento
15.1. Cumplimiento de los requisitos legales
15.1.1. Identificacin de la legislacin aplicable
15.1.2. Derechos de Propiedad intelectual (DPI)
15.1.3. Proteccin de documentos en la organizacin
15.1.4. Proteccin de datos y privacidad de la informacin personal
15.1.5. Prevencin de uso indebido de los recursos de tratamiento de la
informacin
16
Plan de Seguridad en Datos Javier Ruiz-Canela Lpez
Segn el tipo de informacin que contengan los ficheros, se clasifican en tres niveles:
Esta organizacin de fichero se aplica a todos los documentos digitales en una empresa
espaola. Los ficheros tienen que dejar constancia de su existencia en la Agencia de
Proteccin de Datos. La Agencia de Proteccin de Datos es un organismo
administrativo que regula el cumplimiento de la LOPD en todo el territorio espaol.
Cada uno de los ficheros tiene un tratamiento especfico que obliga a tomar una serie de
medidas a toda organizacin. [https://www.agpd.es/portalweb/canalresponsable/
inscripcion_ficheros/index-ides-idphp.php] Dichas medidas se detallan en el apartado
de proteccin de documentos en la organizacin.
17
Plan de Seguridad en Datos Javier Ruiz-Canela Lpez
Las consecuencias del mal uso de las redes sociales son la vulnerabilidad de la
intimidad de las personas. En Espaa, la ley Orgnica 1/1982 Proteccin Civil del
Derecho al Honor y la Intimidad Personal garantiza la dignidad de las personas y su
imagen. Del mismo modo, la Ley Orgnica de proteccin de Datos de Carcter Personal
[LOPD99) garantiza que el usuario tiene derecho al acceso, cancelacin y modificacin
de sus datos personales. La Ley de Propiedad Intelectual [LPI96] da derechos al autor
por su creacin, por lo que las empresas tienen derecho con sus productos. Por lo tanto
las redes sociales que ofrezcan sus servicios en Espaa deben de asegurarse de lo
siguiente:
18
Plan de Seguridad en Datos Javier Ruiz-Canela Lpez
o LOPD y salud
El mbito sanitario y los datos de carcter personal generan una seria de dudas que
afectan de forma considerable a los derechos de los trabajadores. Por ejemplo, se
considera datos de salud la estatura de una persona, o el reconocimiento mdico anual o
una recete mdica. Es lcito, despedir a una persona por motivos de salud. La respuesta
a estas preguntas no tiene fcil solucin sin embargo la Ley Orgnica de Proteccin de
Datos de Carcter Personal [LOPD99] marca una serie de pautas de actuacin en el
mbito de los datos de salud.
Sin embargo la ley no especifica que son datos relativos a salud y remite la definicin a
los acuerdos entre legislacin estatal o autonmica sobre sanidad. Eso se traduce en que
en cada comunidad autnoma habr unos datos que se considere de salud y otro que no
se consideren de salud.
Los datos de salud estarn en conocimiento del profesional a los cuales vaya destinado.
Sin embargo estos datos podrn ser cedidos en los casos que disponga la ley. Pero estos
datos solo podrn ser cedidos a las autoridades de las consejeras de sanidad o
Ministerio de Sanidad. Por ejemplo, en los casos de gripe A las autoridades sanitarias
tienen derecho a conocer los datos sanitarios de la poblacin de riesgos, incluso de
obligar a una vacunacin masiva si supone un riesgo de salud pblica.
19
Plan de Seguridad en Datos Javier Ruiz-Canela Lpez
La LPI afecta de forma directa en el proceso productivo de una organizacin. Pues las
fuentes de informacin pueden estar ligadas a los derechos recogidos por esta ley. En
este caso se plantea dos escenarios posibles: uso de una fuente de informacin recogida
con los derechos de autor, proteccin de un producto propio mediante esta ley.
Para el uso de una fuente informacin recogida con los derechos de autor, hay que tener
claro el uso que se da al mismo. Puede utilizarse como medio para conseguir apoyo a un
producto o como parte de dicho producto. En cualquiera de los casos si se trata de una
herramienta informtica hay que ver el tipo de licencia para determinar la accin a
realizar. El tipo de licencia de un producto informtico es de tres naturalezas: software
libre, software privativo y software de dominio pblico. Las licencias de software libre
son un tipo de licencias en el que el uso del software no requiere compensacin
econmica pero la modificacin puede presentar una serie de restricciones. El software
privativo es aquel que est protegida por los derechos de autor el cual permite su uso
bajo compensacin econmica y restringe el nmero de copias del mismo, adems son
de cdigo no abierto por lo que no permiten su modificacin. Y por ltimo el software
de dominio pblico aquel cuyo uso, copia o modificacin es libre ya sea con nimo
lucrativo o no. Para los casos mencionados anteriormente se recomienda el uso de
software de software libre si es parte del producto y de dominio pblico si se utiliza
como medio para conseguir ese producto. Pero en caso de no tener ms remedio que
utilizar software privativo se tiene que tener en cuenta la limitacin de copias, el precio
y la duracin de la licencia.
20
Plan de Seguridad en Datos Javier Ruiz-Canela Lpez
En el caso de crear un producto propio que se desee que sea protegido mediante la LPI.
Se tiene que registrar en una oficina del Registro de Propiedad Intelectual, organismo
dependiente del ministerio de cultura, [http://www.mcu.es/propiedadInt/CE/
RegistroPropiedad/InscripcionDerechos.html] el registro es voluntario. Tambin es
interesante remarcar que en Espaa la licencia sobre un producto dura diez aos segn
esta recogido en la Ley de Marcas [LDM01]. En caso de un documento digital la mejor
manera de poder garantizar la propiedad de los datos es mediante la firma digital. La
firma digital es un mtodo informtico por el cual se garantiza la integridad de un
documento mediante el uso de un algoritmo criptogrfico (vase plan de seguridad en
sistemas).
Nivel de
Requisitos
Seguridad
Ficheros que contengan datos de carcter personal (nombre
BASICO
y apellidos, DNI, telfono, domicilio, etc.)
Ficheros que contengan datos de carcter empresarial (NIF
MEDIO-BAJO
de la empresa, direccin, organizacin)
Ficheros que contengan datos de infracciones
MEDIO
administrativas y penales.
Ficheros con datos tributarios Ficheros con datos
MEDIO-ALTO
financieros , de solvencia y crdito
Ficheros que contengan datos socialmente sensibles no
ALTO
comerciales
EXTREMO Ficheros que contengan datos de estrategia de empresa
(12) Niveles de Seguridad
21
Plan de Seguridad en Datos Javier Ruiz-Canela Lpez
El nivel medio-bajo contiene informacin sobre la empresa, esta informacin podra ser
utilizada por competidores para hacer dao a la empresa. Esto lleva a pensar que se
merece un tratamiento ms delicado que la simple proteccin de un fichero bsico. El
nivel medio conserva lo dicho en la ley en cuanto a los datos administrativos y penales.
No obstante de este nivel se crea otro nuevo el medio-alto, este contiene datos bancarios
sensibles de ser atacados por ello se merece un nivel mayor de seguridad. El nivel alto
referente a datos socialmente sensibles por la ley carece de valor empresarial en un
principio. Pero no obstante se tiene que considerar al estar reflejado en la ley. Sin
embargo se recomienda evitar la creacin de este tipo de ficheros.
Medio-alto
los ms abundantes y los que
formaran la base de esta pirmide. Medio
Segn la LOPD las personas tienen que ser identificadas con uso de un nivel de acceso,
de ah la necesidad de crear una jerarqua de privilegios. Tambin resalta la importancia
de la integridad de los datos. La manipulacin de los datos es un privilegio que debe de
ser contemplado; pues no se puede garantizar la integridad de los datos si en la jerarqua
de privilegios todos tienen la capacidad de modificar todos los ficheros. La cancelacin
se considera la accin ms importante debido a que en caso de buscar evidencias en
caso de delito dicha accin podra dificultar mucho la labor investigadora. Recopilando
estos tres consejos se propone la siguiente jerarqua de privilegios:
23
Plan de Seguridad en Datos Javier Ruiz-Canela Lpez
24
Plan de Seguridad en Datos Javier Ruiz-Canela Lpez
MEDIO- MEDIO-
TIPO DE FICHERO BASICO BAJO MEDIO ALTO ALTO EXTREMO
Fijar el Documento de Seguridad V V V V V V
Definir funciones y obligaciones del
personal V V V V V V
Crear un Registro de incidencias V V V V V V
Mecanismo de Identificacin y
autenticacin V V V V V V
Sistema de control de acceso lgico V V V V V V
Crear una gestin de soportes V V V V V V
Crear copias de respaldo y
recuperacin V V V V V V
Designar un Responsable de Seguridad V V V V V
Crear un sistema de control de acceso
fsico V V V V
Realizar auditora bienal V V V V
No realizar pruebas con datos reales V V V V
Distribucin de soportes V V V
Poseer un registro de accesos V V V
Cifrado de las telecomunicaciones V V
Doble cifrado de datos V
Identificacin biomtrica V
Como se puede apreciar las medidas a tomar son positivamente escalables para todos
los documentos. Con todo, en los ficheros extremos se sustituye el acceso lgico por
una identificacin biomtrica al considerar que da una mayor proteccin. Las medidas
de seguridad deben de ser iguales para todos los tipos de ficheros lo nico que debe
variar es la cantidad de medidas a tomar. Para saber cmo implantar estas medidas se
analiza a continuacin una a una de forma ms exhaustiva.
25
Plan de Seguridad en Datos Javier Ruiz-Canela Lpez
Dicho punto hace referencia a la necesidad de crear una poltica de seguridad para el
manejo de datos. Sin duda alguna este documento se ajusta a las demandas requeridas.
Cada puesto de trabajo debe de tener un acceso lgico, dicho acceso se realizar
mediante un proceso electrnico. En el cual, el usuario deber introducir su tarjeta en un
mecanismo de tarjeta inteligente. La informacin contenida en el chip de la tarjeta ser
contratada contra un servidor central de acceso.
26
Plan de Seguridad en Datos Javier Ruiz-Canela Lpez
Est previsto que se cree un backup de todos los datos los cuales tiene que ser bienales.
El backup se debe de realizar en medios seguros tanto fsica como lgicamente. Al final
de cada backup el servidor de base de datos enviar un informe al servidor de
monitorizacin.
Se contemplan dos entornos de desarrollo para datos, uno real y otro de pruebas. El
entorno de pruebas ser una copia lgica del real, pero con la diferencia que los datos
que se manejen all no son reales. Dichos entornos deben de estar fsica y lgicamente
separados de las operaciones de pruebas, que no se realizarn en las mismas mquinas
que las operaciones reales.
Distribucin de soportes
El sistema de ficheros debe de componerse de dos bases de datos, una para los ficheros
de nivel bajo hasta medio-alto y el otro para los ficheros de nivel alto a extremo dicha
separacin es lgico y fsico. Los datos estn almacenados en mquinas diferentes y
transmitidos por cableado diferente (vase plan de seguridad en control de acceso).
Dicha medida es necesaria debido a que los ficheros altos y extremos deben ir en
transporte codificado.
27
Plan de Seguridad en Datos Javier Ruiz-Canela Lpez
Los datos sern enviados a travs de un medio seguro, es decir a travs de una red
virtual privada (VPN). Cada usuario que se conecte a la VPN, tendr que introducir una
clave especial para la misma dada por la autoridad certificadora de la empresa (vase
Anexo B). Dicho clave solo ser conocida por la autoridad certificadora (AC) y por su
usuario. Las claves se crearn, renovarn y cancelarn de acuerdo con lo estipulado en
el plan de seguridad interna.
El doble cifrado es simplemente cifrar un texto dos veces, esto dificultar en gran
medida que el texto pueda ser descifrado por fuerza bruta. El cifrado doble ofrece el
doble de garantas que el cifrado simple ya que el tiempo de descifrado por fuerza bruta
tardara el doble. Es necesario que las dos claves utiliza para cifrar sean distintas. Las
claves las proporcionara la autoridad certificadora (AC) de la empresa. El algoritmo a
utilizar es el MQV (vase algoritmos criptogrficos) que se utilizar para cifrar dos
veces.
Identificacin biomtrica
La informacin protegida con esta medida solo podr ser accedida mediante un
mecanismo con identificacin biomtrica. La mquina con identificacin biomtrica
pueden ser ordenadores porttiles con identificacin por huella tctil o reconocimiento
facial. La comunicacin entre estas mquinas con el servidor de base de datos ser
segura mediante el uso de una red privada virtual (VPN).
28
Plan de Seguridad en Sistemas Javier Ruiz-Canela Lpez
El propsito de este plan es crear unas normas de uso para las herramientas de
manipulacin de la informacin en un entorno empresarial. Est previsto seguir como
referencia para ello el captulo 12 de la ISO 27002, gua de buena prctica de
controladores recomendados para la seguridad. Para ello se tiene que definir el tipo de
herramientas usadas para la manipulacin de la informacin, las medidas a adoptar
segn el tipo de aplicacin, los controles criptogrficos, la seguridad en archivos, la
gestin de vulnerabilidades y los procesos de desarrollo y soporte.
Alcance
Objetivos
29
Plan de Seguridad en Sistemas Javier Ruiz-Canela Lpez
30
Plan de Seguridad en Sistemas Javier Ruiz-Canela Lpez
INPUT OUTPUT
SISTEMAS
DE ARCHIVOS
31
Plan de Seguridad en Sistemas Javier Ruiz-Canela Lpez
forma directa en la proceso de produccin. Los procesos indirectos son aquellos que
intervienen de forma indirecta en el proceso de produccin. Es decir, dicha informacin
no es necesaria para la fabricacin pero si para la gestin. El factor computacional sin
duda alguna da mucho peso en este ciclo de vida la seguridad, que se tiene que aplicar
tanto en aplicaciones de bajo nivel: sistema operativo, como de alto nivel: software de
gestin, software de desarrollo etc. Hay que comprobar que seguridad tienen,
mecanismos de acceso y monitorizacin, mecanismos de gestin de cambios y
actualizaciones, mecanismos contra cdigo malicioso y espionaje y mecanismos de
correccin de errores.
El almacenamiento de la informacin es otra actividad ms en el proceso productivo. Su
funcin es la de dar apoyo al procesamiento de la informacin proporcionndole
informacin. Dicha informacin est situada en lo que se llama un sistema de archivos,
que es una agrupacin lgica de la informacin. El sistema de archivos est controlada
por lo que se llama un gestor de sistema de archivos. El tipo de operaciones que se
realiza contra el sistema de archivos son la de insercin o la de extraccin de la
informacin dichas operaciones la controla el gestor de archivos. En trminos de
seguridad es importante controlar el tipo de operaciones que se realizan contra el
sistema de archivos, identificar el origen y el destino, la finalidad y quien realiza dicha
operacin. Tambin es importante controlar el acceso al gestor de archivos y tener
mecanismos de correccin de errores, cambios y actualizaciones.
El ltimo paso en el ciclo de vida de los sistemas de informacin es la salida de la
informacin, que se corresponde a la gestin de entrega del producto y otro tipo de
gestiones administrativas. En este proceso hay que tener en cuenta que tipo de
mecanismos de salida tenemos y cul es su nivel de seguridad, adems hay que
asegurarse que la informacin que salga del sistema llegue en perfectas condiciones a su
destino.
32
Plan de Seguridad en Sistemas Javier Ruiz-Canela Lpez
Para poder hacer una valoracin de los datos de entrada hay que clasificar por tipos
segn su destino. A partir de dicha clasificacin se podrn determinar medidas de
seguridad segn su implicacin en el modelo productivo. Para poder clasificar los datos
de entrada por grupos cogemos como referencia ms que el tipo de formato: texto, foto,
web, su impacto en la cadena de valor de los procesos comerciales. La cadena de valor
[Puer03] es un modelo terico que permite desarrollar las actividades de una
organizacin empresarial. En la siguiente figura podemos ver una cadena valor general
para una empresa.
A partir de la cadena de valor podemos clasificar los archivos de entrada en tres grandes
niveles: De soporte, operativos y corporativos. Dichos niveles configuran el nivel de
seguridad comercial de la empresa, desde los archivos menos importantes de soporte
aquellos que no estn relacionados de forma directa con la empresa, hasta los
corporativos aquellos que afectan al desarrollo de la produccin.
Los archivos de soporte tendrn que ser recibos por la organizacin a travs de un
medio seguro. Si la fuente viene va correo electrnico el proveedor deber indicar con
claridad la persona de la organizacin. Si el proveedor es un agente externo a la empresa
este deber identificarse as como a la empresa a la que pertenece. Dicha informacin
ser contrastada mediante una consulta a una base de datos de proveedores y socios
comerciales. Si el proveedor es un agente interno deber indicar su identificacin
personal de la empresa. El receptor de la informacin deber contrastar dicha
informacin contra la base de datos de personal en caso de no tener conocimiento de la
identidad de la persona.
33
Plan de Seguridad en Sistemas Javier Ruiz-Canela Lpez
Procesamientos Transaccionales
Hay dos formas de proteccin una pasiva y otra activa. La activa debe identificar el
destino a travs de una lista de destinarios antes de realizar la transaccin. Y la pasiva
enva un historial con todas las transacciones realizas a un gestor de transacciones, el
cual identificar mediante un proceso batch la correccin de las transacciones. Se
recomienda por efectividad utilizar el mtodo pasivo de control de transacciones y solo
el proceso activo en caso especiales.
o Procesos Batch.
o Consultas a Base de Datos.
o Control de Usuario.
o Carga/Descarga de Ficheros.
o Procesamientos Operativos.
34
Plan de Seguridad en Sistemas Javier Ruiz-Canela Lpez
Son aquellos que afectan de forma directa al desarrollo del producto. Todas las
aplicaciones debern de ser protegidas con un control de acceso solo para personal que
intervenga en el desarrollo operacional. Los datos relacionados con los procesamientos
operativos debern de ser almacenados de forma remota en una base de datos protegida
mediante un servidor de acceso o almacenada en el puesto de trabajo con control de
acceso; y siempre que est bajo una particin de disco distinta a la del sistema
operativo.
Procesamientos Ofimticos
o Gestin de nominas
o Procesos de Contabilidad
o Envos a Clientes
o Pedidos a Proveedores
35
Plan de Seguridad en Sistemas Javier Ruiz-Canela Lpez
Procesamientos Estratgicos
o Procesos de produccin
o Procesos de toma de decisiones (DDS)
Lo que todo tipo de procesamientos tiene en comn es que las aplicaciones que utilicen
debern de estar apoyadas en un sistema operativo. Los sistemas operativos se
convierten en un riesgo si no poseen procesos automticos de correccin de errores y
mecanismos de seguridad internos. Por eso es necesario que se configuren el sistema
operativo para que se actualice de forma automtica. Ser necesario tener un informe
con el tipo de sistemas operativos utilizados en la organizacin, su nivel de fiabilidad
dada por algn organismo internacional (ejemplo Common Criteria) y una planificacin
de actualizaciones y revisiones de seguridad. El personal administrativo deber tener el
sistema operativo con actuacin restringida y no podrn instalar aplicaciones ni acceder
a la configuracin del sistema operativo.
36
Plan de Seguridad en Sistemas Javier Ruiz-Canela Lpez
RESUMEN RESUMEN
FUNCIN
MENSAJE A CIFRADO A
HASH
agente
B
37
Plan de Seguridad en Sistemas Javier Ruiz-Canela Lpez
Los controladores criptogrficos son una parte muy importante en toda organizacin.
Dichos controladores marcan la proteccin necesaria para la informacin. Segn el
apartado de algoritmos criptogrficos se contemplan varios algoritmos de encriptacin
diferentes segn la finalidad para la que se usen. Dichos algoritmos y su uso para la
proteccin de datos esta resumida en el siguiente cuadro:
Verificacin de
Identidad e
Transporte Confidencialidad Autentificacin Integridad de datos
Certificacin digital
SSL MQV :ECDSA HMQV
(21) Controladores Criptogrficos
Gestin de claves
38
Plan de Seguridad en Sistemas Javier Ruiz-Canela Lpez
creacin de CRL para los certificados revocados y la creacin de una lista con todas las
claves pblicas del personal de la empresa. Los certificados privados sern enviados a
travs de conexin segura al equipo de trabajo de la persona, a la cual va destinada el
mensaje contiene la clave privada de la persona, la cual ser actualizada en su tarjeta
inteligente. Los certificados empresariales tienen las claves pblicas de todo el personal
de la empresa y sern enviados a todo el personal. Dichas claves se guardarn en forma
de lista por la Autoridad Reguladora.
Los datos de prueba no podrn utilizar datos reales debern de estar en una base de
datos diferente a la de los datos reales y estar ubicada en una base de datos distinta. Las
pruebas se realizarn en estaciones de trabajo especficas para dicha tarea. Deber
quedar constancia de dichas pruebas en un fichero de pruebas especificando: autor de
las pruebas, fecha de las pruebas, datos de las pruebas y entorno en el que se prueban.
39
Plan de Seguridad en Sistemas Javier Ruiz-Canela Lpez
Creacin de SI
Plan de Procede?
Cambios
NO
Ejecucin del
Plan de
Cambios
Registro de
FIN
Cambios
Anlisis de requerimientos
Para plantear un cambio tecnolgico hay que ver qu impacto va a tener en nuestro
sistema actual y el alcance de dicho cambio en nuestra organizacin. Para poder medir
dicho impacto se plantean las siguientes preguntas:
Cuntos equipos de mi corporacin quedan afectados por este cambio?
Necesitamos implantar alguna tecnologa hardware adicional para realizar el cambio?
Necesitamos implantar alguna tecnologa software adicional para realizar el cambio?
Necesitamos crear un plan de formacin para nuestro personal por el nuevo cambio?
Crear incompatibilidad de tecnologas?
Cmo afectar la instalacin del cambio a mis proyectos actuales?
40
Plan de Seguridad en Sistemas Javier Ruiz-Canela Lpez
Determinar el impacto
Para determinar el impacto de nuestro cambio hay que determinar el coste econmico
de realizar dicho cambio a partir de las respuestas del anlisis de requerimientos. Y
tambin debemos calcular el ROI de nuestra inversin.
Procede?
La decisin para realizar el cambio es sin duda una decisin bastante crtica pues un mal
cambio puede afectar negativamente a nuestro sistema de produccin. Para poder ver si
procede o no realizar el cambio debemos comparar cual ser el beneficio econmico de
quedarse en una situacin sin cambio; y cul ser el beneficio econmico de realizar el
cambio. En caso de que el beneficio del cambio sea mayor se proceder a realizar el
cambio.
Si se toma una decisin positiva en la gestin de cambios hay que realizar un plan de
cambios. En dicho plan de cambios se especificar el equipo de trabajo encargado de
realizar dichos cambios, identificar todos los componentes nuevos y componentes
afectados por estos nuevos, un anlisis de posibles riesgos de cambio, una planificacin
de actividades, los cambios a realizar para el personal afectado por dicho cambio y un
seguro econmico si el cambio es significativo.
El registro de los cambios tiene un gran valor estadstico con el fin de poder mejorar
cambios que se realicen en el futuro y evitar posibles riesgos superados en cambios
anteriores. Adems sirve como evaluacin para poder determinar si el cambio se ha
realizado con xito.
41
Plan de Seguridad en Sistemas Javier Ruiz-Canela Lpez
Fugas de informacin
Las fugas de informacin son un riego tangible en toda organizacin que puede afectar
negativamente a su competitividad en el mercado comercial. Sin duda alguna es
deseable evitarlos a toda costa para ello se contempla la creacin de una poltica de
seguridad de la empresa (5.1 de la ISO 27002). Pero una vez detectada la fuga de
informacin es esencial un plan de actuacin rpido para poder minimizar cambios
negativos. Para empezar hay que detectar cual ha sido la fuente desde donde se ha
producido la brecha de seguridad. Dicha fuente debe de ser aislada y sometida a una
autopsia informtica (vase plan de seguridad en gestin de riesgos). En dicha autopsia
deben de quedar claro las causas por las cuales se ha producido dicha fuga as como las
medidas correctivas para evitar dicha fuga en el futuro. Tambin tiene que determinar el
responsable de dicha fuga para poder determinar responsabilidades legales. En el caso
de que se vea afectada la estrategia empresarial la direccin de la empresa deber de
tomar medidas de urgencia para su cambio inmediato.
42
Plan de Seguridad en Sistemas Javier Ruiz-Canela Lpez
Correccin
El software debe de cumplir con los requisitos implcitos y explcitos aprobados por el
cliente en la fase de anlisis de requisitos.
Fiabilidad
El software debe de ser fiable. El resultado de las operaciones debe de ser el mismo para
unos parmetros de entrada iguales.
Robustez
El software debe de ser robusto es decir debe tener poca probabilidad de fallos y
capacidad para la correccin de errores.
Rendimiento
El software debe orientar sus operaciones en una situacin ptima en recursos y
tiempos. El cdigo fuente debe de estar optimizado.
Usabilidad
El usuario debe de poder desenvolverse con el software de forma rpida y fcil. Para
ello prima de manera considerable realizar un buen diseo del interfaz grfico de la
aplicacin
Mantenibilidad
El software debe de soportar tolerante a cambios. El cdigo fuente debe de ser claro y
accesible para las personas que tengan que mantener el software. El software siempre
ir acompaado de un manual tcnico donde se especificar todos los diagramas,
variables, clases y cualquier elemento que haya intervenido en la programacin.
Reusabilidad
El cdigo fuente del software debe de poder ser reutilizable. Se debe de preservar la
generalidad de las operaciones con el fin de poder ser tiles para el desarrollo de otras
aplicaciones.
Portabilidad
El software debe de ser soportable en el mayor nmero de infraestructuras software
posible. Su diseo deber de estar orientado hacia ese fin.
43
Plan de Seguridad en Sistemas Javier Ruiz-Canela Lpez
Entendible
Todas las tareas que realice el software deben de cumplir con los requisitos del cliente.
Ninguna de las tareas que realice el software puede estar en desconocimiento del
cliente.
(23) Vulnerabilidades
44
Plan de Seguridad en Comunicaciones Javier Ruiz-Canela Lpez
Alcance
Objetivos
45
Plan de Seguridad en Comunicaciones Javier Ruiz-Canela Lpez
46
Plan de Seguridad en Comunicaciones Javier Ruiz-Canela Lpez
47
Plan de Seguridad en Comunicaciones Javier Ruiz-Canela Lpez
A estas reglas hay que aadir la regla de bloquear todos los dems puertos TCP y UDP
que no estn asignados. Dichas reglas se implantaran en un firewall central para el
control del trfico en el permetro de seguridad de la organizacin.
48
Plan de Seguridad en Comunicaciones Javier Ruiz-Canela Lpez
Gestin de Cambios
Cambio
infactible
NO
Informe de
Factible? denegacin
Cambio
inviable
49
Plan de Seguridad en Comunicaciones Javier Ruiz-Canela Lpez
Seguridad de Tareas
Estaciones de trabajo varias*: El nmero de estaciones vendr dada por las necesidades operativas
50
Plan de Seguridad en Comunicaciones Javier Ruiz-Canela Lpez
Los servicios provistos a cliente deben de realizarse con las mayores garantas de
integridad, confidencialidad y seguridad en la informacin. Antes de la provisin del
servicio debe de quedar constancia el tipo de servicio que se desea prestar entre un
servicio de desarrollo de producto o de un mantenimiento del producto. En el desarrollo
de productos el cdigo de programas deber ubicarse en un servidor central y solo se
podr almacenar de forma temporal en las estaciones de trabajo. En el caso de
mantenimiento de producto se deber de crear un entorno de pruebas y otro de
desarrollo (vase: separacin de los recursos de desarrollo, pruebas y operacin). El
tipo de provisin de servicios a terceros puede ser servicio en cliente o servicio remoto.
El servicio en cliente deber llevar un contracto de buenas prcticas de seguridad
firmado por ambas partes en el que se estipule las medidas de seguridad a tomar. Dichas
medidas debern de contemplar las medidas descritas en el plan de seguridad de
sistemas. Los servicios remotos se refieren a aquellos servicios que se dan a cliente
desde la organizacin de la empresa. En estos servicios el equipo de desarrollo se
encuentra ubicado dentro de la organizacin y se comunica con el cliente a travs de
comunicacin remota. En este caso hay que garantizar la seguridad del medio de
comunicacin para ello se utilizar una red privada virtual.
Una VPN [JSH106] garantiza la integridad de los datos al enviar los datos cifrados desde
origen a destino, adems puede garantizar la confidencialidad de los datos a travs de la
utilizacin de una tabla IP fija. Segn sea la necesidad de servicio se pueden dar tres
VPN* posibles:
o IPSEC
VPN* El tipo de controles criptogrficos a utilizados viene dado en el Plan de Seguridad para Sistemas seccin de controles
criptogrficos.
51
Plan de Seguridad en Comunicaciones Javier Ruiz-Canela Lpez
o SSL
o MPLS
MPLS es un mecanismo para dirigir y transferir datos entre redes de reas grandes
(WAN) con utilizacin de nodos de alto rendimiento con independencia del contenido
de los datos. La tecnologa MPLS es utilizada para la creacin de VPN debido a su
capacidad de crear vnculos virtuales independientes al protocolo de encapsulamiento de
datos. Su uso se recomienda para cuando hay un gran nmero de usuarios en el sistema
ya que utiliza un sistema centralizado de autentificacin basado en tablas IP.
Sea cual sea la seleccin utilizada se debe contemplar la creacin de un servidor que
provea servidor especifico para la creacin de VPNs. Deber de reservarse un puerto
especial en la tabla de trfico para su uso y su ubicacin fsica estar dentro de la
organizacin solo accesible para personal de seguridad.
52
Plan de Seguridad en Comunicaciones Javier Ruiz-Canela Lpez
o Errores del producto, fecha donde se encontraron, usuario que detecto el error y
localizacin en el cdigo fuente.
o Medidas planteadas para la correccin del error y su efecto sobre el cdigo
o Comparacin de cdigo sin modificacin y con modificacin debido a un error
encontrado.
o Pruebas realizadas en el entorno de pruebas para el nuevo cdigo.
o Sugerencias y dudas registradas en ese mes
Todas las versiones de cdigo que se produzcan debern de ser guardas en un historial
como salvaguarda en caso de fallo u error instalado en un servidor central. No se
utilizarn datos reales en el entorno de pruebas bajo ningn concepto y se debern de
utilizar los recursos aconsejados en la seccin de Separacin de los recursos de
desarrollo, pruebas y operacin.
o Todo cambio sobre el producto llevar asociado un nuevo proyecto con una
nueva planificacin, un nuevo jefe de proyecto y una lista de necesidades
firmada por el cliente.
o La factibilidad del cambio debe de ser negociada con el cliente.
o La implantacin del cambio en el cliente debe de tener el consentimiento
expreso del cliente.
o El informe de cambio debe de ser aprobado por el cliente.
Help Desk * es un servicio de soporte informtico para resolver problemas informticos relacionados con un producto va
comunicacin remota.
HTTPS* (Hypertext Transfer Protocol Secure) es un protocolo de red basado en el protocolo HTTP, destinado a la
transferencia segura de datos de hipertexto
53
Plan de Seguridad en Comunicaciones Javier Ruiz-Canela Lpez
NO
CDB
o Monitorizacin de actividades
54
Plan de Seguridad en Comunicaciones Javier Ruiz-Canela Lpez
La gestin de cambio se inicia una vez finalizado la redaccin del plan de capacidad en
el cual se seguirn los pasos descritos en la seccin de gestin de cambios de este plan.
55
Plan de Seguridad en Comunicaciones Javier Ruiz-Canela Lpez
56
Plan de Seguridad en Comunicaciones Javier Ruiz-Canela Lpez
o IPS/IDS
Cuando se detecta un ataque ya sea de para sacar informacin de forma fraudulenta del
sistema o para conseguir que se caiga el sistema avisa de la intrusin. Un IPS es un
dispositivo de seguridad con las mismas cualidades que un IDS. Pero la diferencia de
este ltimo es que el IPS bloquea los ataques dejando la posibilidad de que el resto del
trfico contine.
El uso del Filtro de Paquetes y Gateway se recomienda para uso general que abarque la
entrada y salida de conexin desde la organizacin a Internet y viceversa. El uso de
inspeccin de estados se recomienda para uso inter-departamental y con usuarios de
acceso remoto.
57
Plan de Seguridad en Comunicaciones Javier Ruiz-Canela Lpez
o Servidor de Acceso
La educacin en seguridad es algo fundamental pues las malas prcticas representan una
vulnerabilidad para cualquier sistema de seguridad. El curso debe incluir los siguientes
temas: Uso correcto de contraseas, navegacin web segura, uso de certificados y
mecanismo de encriptacin, seguridad en ficheros y uso correcto del correo corporativo.
Proxy* herramienta para controla el acceso a Internet para todos los equipos de una organizacin.
58
Plan de Seguridad en Comunicaciones Javier Ruiz-Canela Lpez
Tambin se debe de controlar el cdigo descargado para el cliente, el cual debe de ser
contrastado por el equipo de desarrollo. Cada vez que se necesite enviar cdigo al
cliente se deber de enviar primero un certificado de clave pblica con una clave
pblica para dicha transaccin y los datos empresariales de la organizacin. El cdigo
ser enviado cifrado con la clave privada para la transaccin. Despus de la transaccin
el cliente deber enviar un acuse de recibo para indicar que la transaccin se ha
realizado con xito. Las claves sern proporcionadas por el servidor de certificados.
59
Plan de Seguridad en Comunicaciones Javier Ruiz-Canela Lpez
Hay diferentes tipos de copias de seguridad [JGall01] dependiendo del tipo de uso que se
le quiera dar: Backup Completa, Backup Diferencial y Backup incremental. El Backup
completo es un procedimiento para la copia de seguridad de todos los archivos de
sistema de disco. Este tipo de copias se recomienda para ficheros de nivel de seguridad
alto (vase plan de seguridad de datos). Este tipo de Backups debe de ser implementada
en el servidor de base de datos de la empresa. Como una regla ms se recomienda
realizar el procedimiento cada dos meses mediante un proceso batch. Los datos
copiados sern llevados a un RAID distinto del almacn original a ser posible en una
ubicacin fsica distinta al archivo de datos original. El Backup diferencial es un sistema
para hacer copias solo de aquellos archivos que hayan sido modificados. Se recomienda
para el control de versiones dentro de un entorno de desarrollo. Este tipo de copias de
seguridad debe de realizarlo el equipo de desarrollo manualmente se recomienda el uso
de una jerarqua de ficheros por versiones en el directorio de trabajo del servidor de
datos de desarrollo. Esta prctica est ms que recomendada en los procesos de
desarrollo sobre todo para evitar posibles fallos en cambios de cdigo. Y por ltimo el
Backup incremental se copia solo para aquellos archivos que hayan sido aadidos
nuevos su uso se puede utilizar para realizar copias de seguridad de configuracin para
sistemas operativos. Dicho mecanismo se puede realizar a travs de discos de seguridad
porttiles identificables (se desaconseja el uso de memorias flash extrables) con la
estacin de trabajo donde se realiza la copia, el sistema operativo, la fecha y el
responsable de la copia. Se recomienda que dichos discos de seguridad estn bajo la
custodia del equipo de seguridad de la empresa.
Raid * es un sistema de almacenamiento que usa mltiples discos duros entre los que distribuye o replica los datos.
60
Plan de Seguridad en Comunicaciones Javier Ruiz-Canela Lpez
BORDER INTERNAL
FIREWALL FIREWALL
INTERNET
IPS
SERVIDOR SERVIDOR
WEB CORREO
DMZ
(28) DMZ
61
Plan de Seguridad en Comunicaciones Javier Ruiz-Canela Lpez
La parte pblica del DMZ es aquella que se conecta con el exterior, su tarea es la de
controlar el trfico que sale y entra del permetro de seguridad y evitar ataques externos.
Est compuesto por el router y el border firewall. El objetivo del router es la de
comunicacin entre el permetro e Internet. Para ello proporcionan el sistema de
traduccin NAT para el direccionamiento de paquetes IPs. Adems proporciona
medidas de proteccin bsicas al ocultar las direcciones IP privadas. El objetivo
principal del border firewall es evitar ataques externos. Las reglas [MiTe09] que debe de
tener un border firewall son:
-Denegar todo el trfico a menos que este explcitamente permitido (Para ello tendr
implementado una tabla de trfico como la descrita en la seccin de procedimientos de
operaciones)
-Bloquear los paquetes que afirmen pertenecer a un permetro de red interna.
-Bloquear los paquetes salientes que afirmen tener una fuente externa con direccin IP.
(El servidor Web ser el encargado de decir que direcciones externas sern las validas)
-Permitir la negociacin de nombres DNS para la conexin haca Internet y desde DNS
anunciante.
-Permitir el trfico SMTP saliente y entrante desde el permetro.
-Permitir el trfico procedente de VPN y servidores externos VPN.
62
Plan de Seguridad en Comunicaciones Javier Ruiz-Canela Lpez
o Interfaz de Usuarios
Es la zona interna del permetro de seguridad est compuesta por las distintas redes
privadas de la organizacin ms el internal firewall. Las redes privadas estn
compuestas por equipos de trabajo con IP privada esttica interconectadas a travs de un
switch con limitacin de conexiones. El objetivo principal del internal firewall es el
encargado de evitar ataques internos desde la organizacin. Para ello debe incluir como
mnimo las siguientes reglas [MiTe09]:
63
Plan de Seguridad en Comunicaciones Javier Ruiz-Canela Lpez
o Memorias flash
Las memorias flash o memory stick poseen una conexin USB que permiten almacenar
datos en dispositivos realmente pequeos. Son medios voltiles es decir la informacin
no se queda almacenada de forma permanente. La desventaja de este tipo de
dispositivos es su sistema de montaje/desmontaje el cual implica en algunos casos el
uso de un software especfico. Este hecho podra causar incompatibilidades con algunos
sistemas operativos. Al igual que el uso del formato de archivos tambin puede limitar
el entorno operativo. Otra de las desventajas es que si no realiza un desmontaje correcto
puede sufrir prdidas de informacin. Aunque existen dispositivos flash con
mecanismos de autentificacin tctil no se recomienda su uso para el almacenamiento
de informacin sensible.
Su uso debe de estar limitado para que no se puedan copiar informacin vital de la
empresa. Para ello se recomienda que se eliminen las opciones de gestor de copias para
aquellas estaciones de trabajo donde no sean necesarios. As como bloquear fsicamente
puertos USB.
64
Plan de Seguridad en Comunicaciones Javier Ruiz-Canela Lpez
65
Plan de Seguridad en Comunicaciones Javier Ruiz-Canela Lpez
En las comunicaciones internas quedan divididas entre dos tipos, las comunicaciones
interdepartamentales y las comunicaciones departamentales. Las comunicaciones
interdepartamentales hacen referencia en comunicaciones entre departamentos dentro de
la organizacin. Dichas comunicaciones debern de llevar el visto bueno del jefe de
departamento siendo el responsable de las transacciones. Las comunicaciones
departamentales hacen referencia a comunicaciones dentro del mismo departamento. La
responsabilidad de las transacciones recae sobre el empleado emisor de dicha
informacin. La informacin transmitida a cada usuario deber de ser acorde con el
nivel de privilegios que disponga. En caso contrario la responsabilidad recaer en el
emisor de dicha informacin y en el receptor si se demuestra que ha accedido a dicha
informacin. Queda terminantemente prohibido que intervenga cualquier personal ajeno
a la organizacin en las comunicaciones internas.
Las comunicaciones externas son aquellas que se realizan entre la organizacin y sus
proveedores, socios o clientes. Se debe de garantizar que el flujo de informacin se
realiza a travs de una comunicacin segura. Para ello se establecer un tnel seguro a
travs de tecnologa VPN entre el agente externo y el agente interno. El agente interno
deber de tener el consentimiento por escrito va e-mail de su jefe de departamento para
poder realizar la comunicacin. La informacin que se enva se considera como
producto si se trata de un cliente, valor estratgico si se trata de un socio o informacin
de soporte si se trata de un proveedor. El formato ser en PDF para texto con firma
digital de la empresa. La firma digital ser proporcionada por la entidad de certificacin
de la empresa (vase Anexo A) y ser nica. Para cualquier otro tipo informacin
deber de estar comprimida y bajo contrasea. El producto debe de garantizar la
aprobacin del jefe de proyecto antes de ser enviado deber de incluir constancia de la
fecha de emisin, un identificador e informacin de la empresa. Las transacciones de
valor estratgico o de soporte debern de estar en conocimiento de los respectivos jefes
de departamento. El receptor de informacin de la organizacin deber enviar un acuse
de recibo con la recepcin correcta de la misma.
66
Plan de Seguridad en Comunicaciones Javier Ruiz-Canela Lpez
Mensajera electrnica
67
Plan de Seguridad Javier Ruiz-Canela Lpez
en Control de Acceso
7 PLAN DE SEGURIDAD
EN CONTROL DE ACCESO
7.1 Propsito, Objetivos y Alcance
Propsito
Alcance
Objetivos
68
Plan de Seguridad Javier Ruiz-Canela Lpez
en Control de Acceso
69
Plan de Seguridad Javier Ruiz-Canela Lpez
en Control de Acceso
La poltica de control de acceso debe de contemplar todos los puntos necesarios que se
pueden encontrar en el acceso lgico de los sistemas de informacin. Para ello es
necesario crear un diseo que contemple todas las necesidades de soporte lgico
informtico que pueda necesitar una organizacin. Un modelo general se muestra a
continuacin, donde se exponen 4 campos lgicos: la zona azul o FIREWALL
SYSTEM, la zona verde o DMZ SYSTEM, la zona amarilla o INTERNAL NET y la
zona roja o SECURITY NET.
BACKUPS BACKUPS
EXTERNA
VPN
VPN
DATA SERVIDOR
NETWORK FTP
IDS SERVIDOR
BBDD SECURITY SERVIDOR
NETWORK DE ACCESO
INTERNET
VPN
ROUTER SERVIDOR
CORREO
FIREWALL IPS
SECURITY
FIREWARE
SERVIDOR ADMINISTRADOR
MONITORIZACIN
WEB
NETWORK
SERVIDOR
DNS&DHCP EXTERNO
VPN
SERVIDOR
FIREWALL SYSTEM SERVIDOR
WEB DMZ NET DE CLAVES
SWITCH
INTERNAL NET
C
SISTEMA DE
TARJETAS INTELIGENTES SERVIDOR SECURITY NET
DE APLICACIONES
ESTACIN DE TRABAJO
Centralizacin de acceso
Acceso a los servicios a travs de una nica contrasea. Aunque las contraseas
sean seguras y generadas por algoritmos criptogrficos fuertes. La posibilidad de
que en un ataque se consiga la contrasea, implicara la necesidad de
reestructuracin del sistema de autentificacin de todos los servicios. Del mismo
modo, comprometera la confidencialidad de los archivos asociados a dichos
servicios, al no estar diversificada la autentificacin.
Vulnerabilidad ante ataques DoS. Al tener un sistema centralizado esto implica
la utilizacin de un servidor que puede fallar en sus servicios. Los ataques a este
tipo de servicios son habituales, por lo que hay que tomar medidas de proteccin
como la utilizacin de un sistema IPS o imprentar el protocolo IP versin 6.0.
71
Plan de Seguridad Javier Ruiz-Canela Lpez
en Control de Acceso
Registro de usuarios
Datos personales
Privilegios
PK,FK2 Identificador
PK,FK1 Nivel de Seguridad
1
Nombre * PK Clase Fichero
Apellidos
Acceso
Profesin
Modificacin
Status
Cancelacin
Nivel de Seguridad
*...0
Claves
PK Identificador
Clave pblica
Clave privada
Fecha emisin
Fecha caducidad
CRL
Gestin de privilegios
Cada usuario tendr una serie de privilegios en los ficheros segn sea su nivel de
seguridad. Segn podemos observar en el diagrama entidad relacin (31), cada fichero
tiene un nivel de seguridad asociado. Que segn el tipo de fichero tendr una serie de
privilegios de acceso, modificacin o cancelacin (vase plan de seguridad en datos).
Cuando un usuario inicie su sesin de trabajo, el gestor de base de datos consultar la
tabla fichero para saber qu tipo de privilegios tiene este usuario y sobre qu tipo de
ficheros.
72
Plan de Seguridad Javier Ruiz-Canela Lpez
en Control de Acceso
Cada empleado dispondr de una tarjeta inteligente la cual llevar incorporado un chip
con informacin personal y su clave privada. La clave pblica del usuario es de
conocimiento para todo los usuarios del sistema. A cada empleado le llegarn las claves
a travs de un canal seguro a su equipo de trabajo.
Las claves sern trasportadas a travs de certificados con la firma digital de la empresa.
Un programa gestor instalado en cada equipo de trabajo llamado autoridad de registro
ser el encargado de la gestin local de claves en cada equipo. La labor de dicho
programa ser la de actualizar el software del chip de la tarjeta inteligente con la ayuda
de un dispositivo hardware y la de hacer conocer al usuario su clave pblica. Tambin
deber de comprobar la veracidad de los mensajes que reciba el usuario a travs de una
consulta a la autoridad de verificacin.
Cuando los privilegios de usuario cambien por cambios en la relacin laboral con la
organizacin. Dichos cambios sern enviados por el departamento de recursos humanos
al departamento de seguridad informtica va mail con firma digital del departamento de
recursos humanos. El departamento de seguridad informtica se encargar de realizar
los cambios pertinentes en el registro de usuarios en el servidor de claves.
73
Plan de Seguridad Javier Ruiz-Canela Lpez
en Control de Acceso
Uso de contraseas
Cada certificado que reciba el usuario ser introducido en el sistema del equipo de
trabajo. Los certificados que reciba sern el personal (con sus claves pblica y privada),
el del departamento (para la firma digital del departamento), el empresarial (para la
firma digital de la empresa) y el certificado raz (para indicar la autoridad de
certificacin). La autoridad de registro ser la encargada de gestionar dichos
certificados. Dichos certificados proporcionarn la informacin necesaria para realizar
las siguientes tareas:
Para todos los puestos de trabajo deber de haber una poltica restrictiva en cuanto a la
utilizacin de software no corporativo. Una gran parte de los ataques de externos vienen
por la utilizacin de software gratuito que a menudo vienen incluidos con adware* y
spyware* (vase Anexo A). Para evitar dichos problemas todos los derechos de
administracin debern de estar bloqueados en los puestos de trabajo. Cada vez que un
usuario quiera instalar un nuevo programa deber de pedir una solicitud de cambio
(vase plan de seguridad en sistemas). Esta poltica puede ser flexible para equipos de
desarrollo software.
74
Plan de Seguridad Javier Ruiz-Canela Lpez
en Control de Acceso
BACKUPS BACKUPS
VPN
VPN
DATA SERVIDOR
NETWORK FTP
SERVIDOR
BBDD
SERVIDOR
CORREO
WEB
NETWORK
SERVIDOR
DNS&DHCP EXTERNO
SERVIDOR
WEB DMZ NET
El acceso a dicha zona est controlado por dos firewall, un firewall central para el
acceso de puestos de trabajo con identificacin IP fija, como se explicar en la seccin
de identificacin de equipos de equipos en las redes. Y un segundo acceso para el
control de configuracin accesible solo por el administrador de seguridad a travs de la
zona de roja o security net.
La zona verde esta divida entre dos redes: DATA NETWORK y WEB NETWORK. La
red de datos est compuesta por dos servidores: un servidor central de base de datos
para el acceso a ficheros de nivel de seguridad alto y extremo (solo posible a travs de
comunicacin segura VPN), y otro servidor de acceso FTP para ficheros de nivel de
seguridad bsico, medio-bajo, medio, medio-alto. Dichos sistemas estn previstos de un
sistema de backups para realizar copias de informacin de forma peridica.
75
Plan de Seguridad Javier Ruiz-Canela Lpez
en Control de Acceso
INTERNAL NET
SERVIDOR
DNS&DHCP INTERNO
C
SISTEMA DE
TARJETAS INTELIGENTES SERVIDOR
DE APLICACIONES
ESTACIN DE TRABAJO
La zona amarilla o INTERNAL NET est pensado para los equipos de trabajo del
permetro de seguridad, est compuesto de dos redes. La LOCAL USER NETWORK
para la estaciones de trabajo con un sistema de tarjetas inteligentes para el acceso al
sistema. Los puestos de trabajo pueden ser PC normales para los equipos de desarrollo o
Thin Client para los equipos de administracin. Y la APPLICATION NETWORK est
pensada para el acceso a aplicaciones por parte de los Thin Client gracias a la
incorporacin de un servidor de aplicaciones. Adems cuenta con un servidor DNS &
DHCP interno donde se guardarn las direcciones de todos los equipos de trabajo. La
informacin de este servidor ser enviada al sistema de firewalls para el control de
usuarios.
76
Plan de Seguridad Javier Ruiz-Canela Lpez
en Control de Acceso
SECURITY SERVIDOR
NETWORK DE ACCESO
SERVIDOR ADMINISTRADOR
MONITORIZACIN
SERVIDOR
DE CLAVES
PKI
NETWORK
SERVIDOR DE
CERTIFICADOS
SECURITY NET
La zona roja es la encargada por velar la seguridad del sistema perimetral, est
compuesta dos redes. SECURITY NETWORK para la monitorizacin y control de
acceso al sistema, est compuesta compuesto por dos servidores. El servidor de acceso
que posee una copia del registro de usuarios del servidor de claves. Cada vez que un
usuario introduce su tarjeta por el detector de tarjetas de su estacin de trabajo. El
programa gestor de tarjetas realizar una consulta al servidor de acceso. Si el servidor
de acceso no encuentra la informacin de usuario en el registro de usuarios. Enviar una
respuesta negativa al gestor de tarjetas, el cual no dejar que el usuario acceda al
sistema. Tambin notificar al servidor de monitorizacin que ha habido un acceso no
autorizado en el sistema guardndolo en un registro de logging. En caso contrario
enviar una notificacin correcta al programa gestor de tarjetas. Tambin enviar una
notificacin a los dems servidores para decirles que el usuario est conectado y que le
deje acceder a la informacin correspondiente con su nivel de seguridad. El servidor de
monitorizacin se encarga de recabar informacin de acceso al sistema y otro tipo de
informacin importante. El servidor recoge informacin de logging cada vez que un
usuario entra y sale del sistema, dicha informacin se la proporciona el servidor de
acceso. Tambin recoge informacin sobre cambios que se hayan podido producir en
los ficheros, proporcionada por el servidor de BBDD y FTP. Informacin sobre trfico
proporcionada por los firewalls y avisos del IPS.
77
Plan de Seguridad Javier Ruiz-Canela Lpez
en Control de Acceso
Cada equipo de trabajo tiene asignado una IP fija la cual est incluida en una tabla de
redes de equipos. El firewall central en la zona azul (30) poseer una copia de dicha
tabla de redes la cual ser dada por el servidor DNS & DHCP interno zona amarilla.
Desde dicho servidor se controla el acceso de todos los usuarios internos del sistema. El
firewall tambin recibir informacin para IPs de equipos externos del sistema que
tambin tengan el permiso para acceder a conexiones internas. El acceso a los
servidores solo ser posible para el equipo de trabajo, quedando la direccin de red de
dichos servidores ocultos para los usuarios. El Security Firewall ser el encargado de la
comunicacin entre servidores teniendo una tabla de redes independiente donde se
incluir las direcciones de los servidores de la zona amarilla, zona verde y zona roja.
Los usuarios no podrn acceder a las comunicaciones entre servidores, solo podrn
acceder a los servidores para la realizacin de consultas y gestin de ficheros quedando
imposibilitada la modificacin de la configuracin de los servidores. Para ello todos los
servidores tendrn un gestor de acceso independiente al sistema de gestin de acceso
centralizado para la realizacin de modificaciones en la configuracin. Dicho gestor
solo tendr implantado un par usuario-clave que tendr todos los derechos de
administracin. Dicho par se considera un activo vital para la seguridad del sistema de
informacin. Solo ser de conocimiento del equipo de seguridad quedando bajo su
responsabilidad el uso que hagan de la misma.
78
Plan de Seguridad Javier Ruiz-Canela Lpez
en Control de Acceso
79
Plan de Seguridad Javier Ruiz-Canela Lpez
en Control de Acceso
IDS
IPS
DMZ NET
ROUTER
FIREWALL
SECURITY
FIREWARE
VPN
FIREWALL SYSTEM
SWITCH
La informacin de la tabla IP del apartado anterior ser divida entre los dos firewall
existentes. Para el primer firewall se le pasar las direcciones de la LOCAL USER
NETWORK, y la zona verde. Para el firewall security se le pasar las direcciones de la
zona amarilla, zona verde y zona roja. La informacin de la tabla IP solo debe de ser
conocida por el equipo de seguridad quedando la gestin de la tabla bajo su
responsabilidad. Cualquier violacin de la tabla para el acceso a servidores deber de
ser detectado por el IDS instalado en la zona azul y un IPS en la zona roja. Los dos
firewall tendrn implantados las reglas de trfico expuestas en el plan de seguridad en
comunicaciones.
Cuando un usuario externo quiera conectarse a la red deber de pasar por la zona azul
del permetro. La IP de la mquina del usuario remoto deber de quedar registrada en la
tabla IP, para ello existen dos posibilidades. Una es asignarle una direccin IP dentro
del rango de direcciones de la USER LOCAL NETWORK. Lo que convertira al
usuario externo en un usuario interno. O la introduccin en la tabla IP de una nueva red
para usuarios remotos donde se le asignara un host concreto. Para cualquiera de las
posibilidades el usuario deber de ponerse en contacto con el equipo de seguridad
indicando su nombre, apellidos, profesin, nivel de seguridad y MAC de la mquina
remota. El equipo de seguridad contrastar la informacin con el departamento de
recursos humanos y ante una identificacin positiva concedern una direccin vlida
para el sistema al usuario.
80
Plan de Seguridad Javier Ruiz-Canela Lpez
en Control de Acceso
SI
NO Contador>10?
Consultar la
UNION(direccin IP de destino, mascara
tabla IP del
Contador=0 de subred)= UNION(direccin IP de origen, NO
firewall central
mascara de subred)?
Contador++
Inicio
SI
Conexin
(37) Encaminamiento
81
Plan de Seguridad Javier Ruiz-Canela Lpez
en Control de Acceso
El inicio de la sesin de trabajo por parte del usuario del sistema se debe de caracterizar
por mantener un equilibrio entre comodidad y seguridad. En el esquema que se muestra
a continuacin se muestran las tres posibilidades que tiene el usuario de entrar al
sistema: Remoto, Manual, Automtico.
no
Mediante
contrasea
administrador
Remoto
La
Autoridad de
Autoridad
Registro
Tipo de Mediante de Usuario y
solicita
entrada al Manual contrasea Verificacin contrasea si
identificacin a
sistema? usuario comprueba correctos?
la Autoridad de Entrada al Sistema
el registro
Inicio Verificacin
de usuario
Automtico
Mediante
Tarjeta
inteligente
El acceso automtico al sistema est pensado para aquellos usuarios que posean una
estacin de trabajo fija. En dicha estacin se instalar un hardware lector de tarjetas y un
software llamado autoridad de registro que se encargar de la gestin de contraseas en
cada terminal. Cuando el usuario introduzca su tarjeta en el lector de tarjetas, este
enviar la informacin a la autoridad de registro. La autoridad de registro enviar una
solicitud de autentificacin a la autoridad de verificacin va mensaje remoto. La
autoridad de verificacin es un programa gestor de claves instalado en el servidor de
acceso, zona roja. Dicho programa se encargar de gestionar las solicitudes de entrada
al sistema y de responder positiva o negativamente segn encuentre o no al usuario en el
sistema.
El acceso remoto se contempla para las operaciones de gestin del equipo de seguridad
informtico. Desde la consola de control de la zona roja, el equipo de seguridad podr
entrar a cualquier equipo de trabajo del sistema va Telnet para realizar tareas de
mantenimiento y monitorizacin de seguridad. Desde la consola tambin podrn
acceder a la configuracin de administracin de cualquier equipo de trabajo.
82
Plan de Seguridad Javier Ruiz-Canela Lpez
en Control de Acceso
Como se comento anteriormente el servidor de claves enva una copia del registro de
usuarios al cada uno de los servidores. Pero el servidor de acceso encargado de
controlar el acceso al sistema tiene que cubrir no solo la entrada al sistema por tarjetas
inteligentes sino tambin la entrada manual que representa los equipos de teletrabajo y
los equipos no fijos.
Datos personales
Acceso Manual
PK,FK3 Identificador
PK Identificador 1,0 1
Nombre
Usuario Apellidos
Contrasea Profesin
MAC FK2 Nivel de Seguridad
Status
*...0
Claves
PK Identificador
Clave pblica
Clave privada
Fecha emisin
Fecha caducidad
CRL
83
Plan de Seguridad Javier Ruiz-Canela Lpez
en Control de Acceso
Cuando se produzca una expiracin de las claves del usuario para el acceso al sistema.
El servidor de claves mandar una orden al servidor de certificacin para que cree un
certificado personal para el nuevo usuario y lo enve a la direccin IP asignada. En el
equipo de trabajo del nuevo usuario, el gestor de registro actualizar la tarjeta asignada.
En caso de ser un usuario que no posea tarjeta inteligente y tenga un acceso mediante
usuario y contrasea. El equipo de seguridad actualizar el registro del servidor de
acceso e introducir el usuario, contrasea y la direccin MAC de la mquina. Dicho
usuario y contrasea no tienen periodo de validez y se consideran fuera del ciclo de vida
de las claves.
Las bajas en el sistema no deben de significar el borrado de los datos del usuario del
sistema. Dicha informacin puede ser valiosa para el estudio de posibles ataques
externos. Sin embargo se ha de asegurar que los privilegios del usuario quedan
cancelados. Para ello se implanta un campo especial en la tabla de datos personales
llamado status. Status nos indicar la relacin laborar que tiene el usuario con el
sistema. Si el status est desactivado, indica que el usuario est de baja en el sistema.
Con lo cual al recibir cualquier peticin de entrada en el sistema por dicho usuario ser
denegada por la autoridad de validacin.
84
Plan de Seguridad Javier Ruiz-Canela Lpez
en Control de Acceso
85
Plan de Seguridad Javier Ruiz-Canela Lpez
en Control de Acceso
Solicitud de salida
del sistema? si
no no
Inicio si
si
no
Como se puede observar en el esquema de arriba (40), el gestor de entrada que cada
equipo de trabajo tendr un temporizador de inactividad incorporado. Dicho
temporizador se activar si no encuentra actividad en los dispositivos de entrada del
puesto de trabajo (teclado, ratn, unidad de tarjetasetc.). Una vez pasado 5 minutos el
sistema se bloquear con la actividad de un protector de pantalla que solo podr ser
desactivado con la introduccin de la tarjeta inteligente o mediante usuario y
contrasea.
86
Plan de Seguridad Javier Ruiz-Canela Lpez
en Control de Acceso
Cada usuario podr acceder mediante acceso ftp a los distintos ficheros que necesite
para su trabajo. Se considera que cada usuario podr trabajar online con los ficheros que
necesite si accede desde un puesto de trabajo Thin Client. La creacin, modificacin y
cancelacin de ficheros deber de ser online siempre que la tecnologa y los costes lo
permitan. No se recomienda que el usuario tenga la capacidad de descargas los ficheros
a su puesto de trabajo a menos que se bloquen los puntos de salida de la estacin de
trabajo: puertos USB, grabadora de CD/DVD, servicio de correo y web externosetc.
Sin embargo esta medida puede ser flexible para aquellos departamentos que necesiten
una gran capacidad de potencia para la elaboracin de su trabajo. No obstante todo
acceso, creacin, modificacin y cancelacin de ficheros deber de quedar registrado en
los servidores de datos y enviado al servidor de monitorizacin. Para ello pueden
utilizar un registro para ficheros donde se indique: identificador, fecha de creacin,
nivel de seguridad, ltimo acceso (identificador usuario), fecha de modificacin. Para
garantizar el rendimiento del sistema se pueden crear ambas copias del registro en los
servidores de monitorizacin y sistemas, que sean actualizados mediante queries.
Fichero
Privilegios
PK,FK2 Identificador Fichero
PK,FK1 Nivel de Seguridad
PK Clase Fichero * 1
Fecha de creacin
FK3 Identificador
Acceso Clase de Fichero
Modificacin Tipo de Fichero
Cancelacin Contenido original
FK1 Clase Fichero
* * 1
1
1 *
Datos personales Registro
87
Plan de Seguridad Javier Ruiz-Canela Lpez
en Control de Acceso
En este sistema se consideran como elementos sensibles todo aquellos que accedan a la
informacin corporativa. Es decir, puestos de trabajo y servidores y hardware de
control. En cada puesto de trabajo fijo debe de haber un sistema de tarjetas inteligentes.
No se puede contemplar un puesto de trabajo fijo sin este sistema si se desea implantar
el permetro descrito en este plan. La zona de servidores debe de estar aislado fsica y
lgicamente de los puestos de trabajo. En las zonas donde se encuentre servidores
corporativos solo podr haber un puesto de control para el acceso solo para el personal
de seguridad. Ningn usuario deber de tener acceso, a los servidores para la
modificacin de la configuracin de la misma. Todos los servidores deben de tener una
cuenta de administrador invisible al usuario normal del sistema. El usuario solo podr
realizar consultas y gestionar ficheros corporativos. El hardware de control entre los
que se encuentran firewalls, sistemas IDS/IPS y puestos de monitorizacin debern de
estar aislados de la misma forma que los servidores y con sistemas de identificacin
fuerte: como contraseas biomtricas, contrasea en el sistema BIOS, tarjeta
inteligenteetc.
88
Plan de Seguridad Javier Ruiz-Canela Lpez
en Control de Acceso
ESTACIN SISTEMA
BIOMTRICO
EXTERNA
VPN
INTERNET
ROUTER
FIREWALL
VPN
FIREWALL SYSTEM
Teletrabajo
Los puestos de trabajo que se encuentren fuera del permetro de seguridad fsico de la
empresa debern incorporar software para la conexin segura con el sistema de
informacin. Se propone la utilizacin de una VPN SSL para pequeos grupos de
trabajo y VPN MPLS para grandes grupos de trabajo siguiendo las recomendaciones del
plan de seguridad en comunicaciones. Cada usuario deber de incorporar un cliente
VPN en su estacin de trabajo externa. Desde el permetro de seguridad habr un
servidor VPN en comunicacin con el firewall central en la zona azul. En el servidor de
trabajo deber de haber una copia del registro de usuarios del servidor de acceso de la
zona roja. Es obligacin de cada usuario el mantener la confidencialidad de la
comunicacin. Los ficheros podrn ser accedidos desde puestos de teletrabajo pero no
se debe permitir que salgan del sistema baja ningn motivo. En los sistemas VPN
MPLS ser la compaa proveedora de servicios de Internet la que facilite las rutas de
acceso que sern instaladas en los routers corporativos por lo que no habr la necesidad
de crear un servidor VPN.
89
Plan de Seguridad Interna Javier Ruiz-Canela Lpez
Todo sistema organizativo est compuesto por una serie de recursos, los cuales deben de
ser contabilizados y gestionados. Los recursos son un control ms a tener en cuenta en
el diseo de la arquitectura de seguridad. No tener un control exhaustivo de los mismos,
implicara graves vulnerabilidades para el sistema. Este plan propone procedimientos
para inventariar y clasificar los recursos segn sus vulnerabilidades de seguridad.
Tambin quiere asignar las responsabilidades que tiene cada individuo de la
organizacin apoyndose en la jerarqua organizativa del plan de seguridad para
personal. Por ltimo se quiere exponer el trato que se tiene a terceros, ya sea
proveedores y clientes en trminos de seguridad.
Alcance
Objetivos
El objetivo de este plan es cumplir con la norma 27002 ms concretamente con los
captulos 6 y 7. A continuacin una lista se muestra los controles tratados en este plan:
90
Plan de Seguridad Interna Javier Ruiz-Canela Lpez
Una vez realizado el plan de gestin, deber de velar por el cumplimiento del mismo.
Aplicando un cdigo disciplinario (vase plan de seguridad para personal) en base a las
pruebas que se le otorguen desde el departamento de seguridad de la empresa. Dicho
departamento se crear para velar por la seguridad no solo del sistema de seguridad de
la informacin, sino tambin para todo el sistema de seguridad en general.
Es labor del gerente o director operativo el coordinar los cambios de seguridad entre
departamentos que se lleve en la empresa. La labor de cambio corresponder a personal
de seguridad de la organizacin, donde debern de realizar los cambios sin interferir la
labor de trabajo siempre y cuando esto sea posible.
El director operativo avisar mediante una circular a todos los jefes de departamento
sobre los cambios que se realicen en la estructura de seguridad de la informacin y los
pasos a seguir una vez realizado los cambios por el equipo de seguridad de la
organizacin. El equipo de seguridad ser el encargado de realizar los cambios sobre la
infraestructura hardware y software y de dar las instrucciones que sean necesarias al
equipo que vaya a trabajar bajo la dicha infraestructura.
91
Plan de Seguridad Interna Javier Ruiz-Canela Lpez
El personal siendo el ncleo del sistema productivo adquiere una gran responsabilidad y
un gran peligro para el sistema de informacin. Es obligacin del departamento de
seguridad y del sus superiores vigilar la actividad de sus subordinados para garantizar la
seguridad del sistema. El personal debe de cumplir con la poltica de seguridad de la
organizacin. No debe de relevar informacin confidencial de la empresa a ninguna
persona ajena a la organizacin. Debe de denunciar a su superior cualquier actividad
delictiva que haya podido observar. Adems de tomar las medidas de seguridad
descritas en el plan de seguridad en datos.
92
Plan de Seguridad Interna Javier Ruiz-Canela Lpez
Peticin de Registro de
recurso unidad de
departamental recurso
si si
Inicio
no
Gestin de
no
cambio
La gestin de recursos es una tarea que revierte gran importancia tal y como se ver en
los apartados de responsabilidad sobre los activos. Cada vez que se produzca una
solicitud de recurso este debe de quedar registrado e indicar la naturaleza y duracin de
la misma. El usuario que solicite un recurso deber de pedir una solicitud formal de
recurso, en el cual deber indicar la naturaleza del mismo, el propsito para el cual se va
a utilizar, la posibilidad de utilizarlo fuera de las instalaciones de la empresa y sus datos
empresariales (datos personales ms nivel de seguridad y puesto).
93
Plan de Seguridad Interna Javier Ruiz-Canela Lpez
Acuerdo de confidencialidad
Todo acuerdo de confidencialidad ya sea por parte del empleado o por parte de terceros
debe de cumplir con una serie de parmetros obligatorios. Los parmetros son los
siguientes:
o En las clausulas del contrato es conveniente destacar sea cual sea su naturaleza:
la finalidad del mismo, a que se comprometen ambas partes, la duracin de la
misma y los derechos y deberes de ambas partes.
94
Plan de Seguridad Interna Javier Ruiz-Canela Lpez
Las relaciones con las autoridades deben de ser un tema importante en las relaciones de
la organizacin. Se debe de tener el mximo rigor y diligencia. Se va a centrar en el
mbito espaol y en el mbito europeo en este punto. Haciendo un breve resumen de la
relacin con las agencias estatales y locales espaolas.
Durante la actividad comercial hay que mantener relacin con una serie de oficinas
oficiales para distintas tareas cotidianas, como por ejemplo: registrar una marca o
tratamiento de ficheros.
o Hay que indicar que operacin se quiere realizar. Puede ser un alta, una
modificacin o una supresin de fichero. En caso de modificaciones y
supresiones se deber indicar el Cdigo de Inscripcin que se asign al fichero
en el momento de su alta en el RGPD as como el CIF/NIF con el que fue
inscrito. En caso de modificacin se solicitan los apartados que se desea
modificar y el Nombre o Razn Social del responsable.
o En caso de alta, si la notificacin se refiere a un tratamiento de datos sobre
miembros de comunidades de propietarios, clientes propios, libro de recetario,
(clientes de farmacias), nminas-recursos humanos (empleados) o pacientes, y la
finalidad es la gestin propia de estos colectivos, puede marcar el cuadro TIPO y
seleccionar el modelo que corresponda (se rellenan determinados apartados con
valores apropiados) o bien seleccionar NORMAL para partir de un formulario
totalmente vaco.
95
Plan de Seguridad Interna Javier Ruiz-Canela Lpez
El comit directivo segn los autores N.E. Bowie* y R.F. Duska* son los representantes
de la empresa por dos motivos. El primer motivo es que son en los que recae la
responsabilidad de dirigir y el segundo motivo es que los resultados de su labor pueden
ser extrapolables. La labor de los directos es de gran importancia pues son ellos los que
marcan la estrategia comercial para hacer competitiva a la organizacin.
Los propietarios son los que tienen un inters financiero sobre la organizacin que se
traduce en forma de acciones. El comit directivo les debe una serie de obligaciones
para con ellos. La obligacin de obediencia dice que los directivos deben de tener unas
funciones bien claras acordes con el contrato entre el directivo y la organizacin. La
obligacin de confidencialidad por el cual el comit directivo debe de evitar cualquier
conflicto entre los stakeholders y dejar bien marcados los derechos de autor entre
empleado y organizacin. La obligacin de lealtad por el cual el comit directivo se
compromete a ser fiel a sus accionistas y no cometer conflicto de inters.
Los trabajadores tal y como se comenta en el plan de seguridad para personal tienen una
serie de derechos recogidos por la ley [RDET95] los cuales deben de ser cumplidos. A
parte, los trabajadores tambin deben de poseer una serie de derechos. Entre dichos
derechos se encuentra el derecho a la libertad, todo trabajador debe de ser libre de poder
elegir su trabaja bajo unas condiciones laborales dignas y con posibilidad de rescindir el
contrato. El trabajador tambin tiene derecho a tener un salario justo que se adecue a la
produccin de su trabajo y sea superior a los mnimos exigidos por la ley [RDET95] y
por las asociaciones de gremios. La privacidad es otro de los derechos recogidos como
fundamental, el trabajador tiene derecho a tener privacidad en su vida ntima y fuera del
trabajo. Al igual que se recoge una serie de derechos los trabajadores tambin tiene una
serie de obligaciones con la organizacin. El trabajador debe de realizar su labor con la
mxima profesionalidad posible y las mximas cuotas de calidad. El trabajador debe de
ser fiel a la organizacin no revelando informacin comprometida (esto se puede
conseguir con un contrato de confidencialidad). Y por ltimo el trabajador debe de tener
un carcter positivo hacia su trabajo intentando mejorar la organizacin en la medida de
sus posibilidades.
R.F. Duska* Director de la Mitchell Center for Ethical Leadership y profesor de tica en The American College
N.E. Bowie es un profesor de gestin estratgica y filosofa en la universidad de Minnesota en Minneapolis, Minnesota.
96
Plan de Seguridad Interna Javier Ruiz-Canela Lpez
La organizacin debe de tener una serie de obligaciones con sus clientes. Se considera
cliente cualquier persona u institucin que consume los productos o servicios de la
organizacin. La organizacin debe de tratar a los clientes de forma correcta y sincera.
Nunca debe de caer en la tentacin de engaar o de decir medias verdades sobre sus
productos o servicios pues eso solo afectar negativamente a la credibilidad de la
organizacin. El cliente tiene derecho a un servicio de calidad, dicho servicio debe de
cumplir con las expectativas del cliente y sus requisitos tanto implcitos como
explcitos. Del mismo modo, el cliente tiene derecho a ser escuchado y a elegir. Muchos
proyectos fracasan por no cumplir con las expectativas del cliente, el no escuchar al
cliente suele provocar un producto no deseado por el cliente (efecto frecuente entre las
empresas tecnolgicas espaolas).
La relacin con los proveedores tiene la necesidad de tener una buena relacin mutua
para el xito de ambas corporaciones. No obstante dicha relacin depender del nmero
de proveedor y de la disponibilidad de la materia prima entre otros factores. Ante una
situacin con pocos proveedores, la relacin esta en clara desventaja para la
organizacin. Lo mismo ocurre en una situacin inversa, donde la calidad de las
materias primas se puede resentir. Por lo que es necesario buscar esa situacin de
equilibrio.
97
Plan de Seguridad Interna Javier Ruiz-Canela Lpez
8.3 Terceros
Identificacin de los riesgos derivados de terceros
Amenaza de
nuevos
competidores
Poder de Poder de
negociacin de Rivalidad entre los negociacin
los proveedores competidores existentes de los
clientes
Amenaza de
productos y
servicios
sustitutivos
El anlisis de las cinco fuerzas del economista Michael Porter [Porter00] es un modelo
que describe de forma veraz el tipo de competencia que puede tener cualquier empresa
en el sistema econmico capitalista. Las industrias de hoy en da no estn exentas de
este tipo de peligros aunque los mtodos competitivos se hayan vuelto ms sofisticados.
Ms concretamente est en auge los ataques de ndole informtico para apoyar estas
fuerzas hostiles. Se analizar como estas cinco fuerzas afectan al sistema informtico
corporativo.
La primera amenaza son los nuevos competidores, en un mercado tan dinmico como el
tecnolgico y gracias a las nuevas tecnologas de la informacin. Cada vez resultar ms
fcil copiar nuevos productos y servicios. Por eso es muy importante clasificar la
informacin que se hace pblica a travs del servicio Web que se disponga. Hay que
seguir las directrices de la OWASP en diseo web y siempre validar las consultas desde
servidor y no cliente.
Los proveedores tienen un gran poder sobre todo si son pocos y controlan los recursos.
En el mundo tecnolgico por ejemplo hay un gran monopolio en el mundo de los
sistemas operativos debido a la gran influencia de los productos Microsoft. A la hora de
disear la arquitectura informtica corporativa habra que realizar un juicio de valor
para determinar hasta qu punto son necesarios por los productos Microsoft; y si estos
pueden ser sustituidos por otros productos de software libre que garanticen la misma
calidad en los productos.
98
Plan de Seguridad Interna Javier Ruiz-Canela Lpez
Los compradores son una parte esencial para el xito de cualquier corporacin pues son
hacia ellos para los cuales se trabaja. Los servicios online estn cobrando fuerza en el
mercado actual, esto ofrece a los comprados una libertad que antes no tenan. No
obstante los servicios online no son seguros y fiables a un 100%. Ah radica la
diferencia, en el mercado tecnolgico espaol no se apuesta por productos de calidad
sino por productos econmicos para combatir la enorme competitividad que ah. No
obstante, es una estrategia errnea. Los productos informticos de baja calidad producen
animadversin entre los clientes hacia las nuevas tecnologas. Lo que dificultara en
gran medida vender productos nuevos. Una apuesta por productos de calidad y
profesionales cualificados hara sin duda alguna aumentar la confianza entre los
clientes.
Los productos informticos son tan voltiles como la memoria RAM. En un mercado
donde surgen nuevas tecnologas cada da y hasta la persona menos inteligente puede
producir software alternativo. Ante esta amenaza de software de baja calidad hay que
ofrecer productos orientados a servicios SOA, donde no solo se ofrece un producto sino
tambin un mantenimiento del mismo serio, de calidad y adaptativo a las nuevas
necesidades del cliente.
La relacin con los clientes implica el tratamiento de ciertas medidas de seguridad para
no comprometer el sistema de seguridad de la empresa. El cliente tiene derecho a tener
productos de calidad y una atencin personalizada. Pero no tiene porque conocer los
sistemas de produccin a no ser que vayan incluidos en el producto. Por ello a parte de
seguir los consejos descritos en el plan de seguridad de sistemas para la comunicacin
con terceros. Hay que asegurarse que el producto que le entregamos al cliente no
compromete el sistema productivo de la organizacin. Para ello y tratndose de
producto software, no hay que facilitarle de ningn modo el cdigo fuente de los
programas.
Para conseguir este objetivo se tienen que desarrollar los productos desde estaciones de
trabajo propias aunque el servicio se haga en cliente. Si se trabaja desde servidor, hay
que asegurarse que solo se puede acceder por personal de la organizacin. Por ltimo
hay que entregar ejecutables una vez desarrollado el producto software.
99
Plan de Seguridad Interna Javier Ruiz-Canela Lpez
El contacto con personal ajeno a la organizacin deber de cumplir con una serie de
normas bsicas.
Esto significa que se debe de registrar el contacto con terceras personas para los
procedimientos de negocio* de la organizacin en un registro de visitas. Dicho registro
de visitas puede ser digital o fsico, en el cual se incluir nombre de la persona
contactada, nombre del personal interno con el que se contacta, fecha y motivo de
contacto.
100
Plan de Seguridad Interna Javier Ruiz-Canela Lpez
o Identificador inequvoco
Dicho identificador debe de ser nico para cada activo de la empresa. Para ello se
recomienda la utilizacin del cdigo de barras del producto. O en su defecto de un
sistema de clasificacin que incluya el tipo y la fecha de adquisicin.
Una descripcin breve donde se identifiquen las cualidades fsicas y de uso del activo.
Ayudar a una mejor clasificacin y buen uso del mismo.
o Nivel de seguridad
Donde se indicar el valor del mismo y el valor de inversin segn el ROI. Tambin se
puede incluir la vida til del activo en aos o meses.
o Propiedad
Cada activo de la empresa tiene una persona o departamento que lo usa, la cual debe de
ser identificada y registrada (vase plan de seguridad en control de acceso). En su
defecto debe de indicarse que se encuentra inactiva o en almacn.
101
Plan de Seguridad Interna Javier Ruiz-Canela Lpez
Se debe utilizar los activos de forma razonable segn sea su finalidad. Se debe de velar
por un uso cuidadoso de los mismos para poder alargar la vida de los activos lo mximo
posible. En el esquema de abajo se muestra una forma de clasificacin basado en
contabilidad clsica para los activos (45), que ayudar a entender su uso.
Activo fijo
PK Tipo
Descripcin
Nivel de Seguridad
ROI
Garanta
Fabricante
o Activo diferido: Gastos pagados por anticipado por los que se espera recibir un
servicio aprovechable posteriormente. Gastos de instalacin, papelera y tiles,
propaganda y publicidad, primas de seguros, rentas pagadas por anticipado,
intereses pagados por anticipado.
102
Plan de Seguridad Interna Javier Ruiz-Canela Lpez
Ejemplo de clasificacin:
A+-ESTRATGICA-NUEVOPRODUCTO-08/08/09
Fecha de
creacin
Finalidad de
la informacin
Tipo de
informacin
Nivel de
Seguridad
103
Plan de seguridad para personal Javier Ruiz-Canela Lpez
El propsito de este plan es crear una gua de buenas prcticas para la seguridad
relacionada con el personal de una organizacin. Para ello se tiene que definir los
requisitos de contratacin para el personal, los informes de confidencialidad de la
organizacin, los derechos y obligaciones que adquiere el personal y los trminos
seccin de trabajo para garantizar la seguridad de la organizacin.
Alcance
El alcance de dicho plan se aplica todo el personal de la empresa ya sea fijo o temporal.
Las subcontrataciones no estn recogidas en este plan, quedando determinadas las
relaciones con terceros en el plan de seguridad en sistemas.
Objetivos
104
Plan de seguridad para personal Javier Ruiz-Canela Lpez
Director Operativo
(A2)
Jefe de
Departamenteo
(B1)
Personal
(B2,C1,C2)
105
Plan de seguridad para personal Javier Ruiz-Canela Lpez
o Director Operativo
o Jefe de departamento
o Personal
106
Plan de seguridad para personal Javier Ruiz-Canela Lpez
o Delegado de prevencin
o Encargado de Seguridad
Investigacin de antecedentes
107
Plan de seguridad para personal Javier Ruiz-Canela Lpez
La organizacin debe de ofrecer al empleado garantas para que pueda realizar de forma
confortable su trabajo. El contrato debe incluir clausulas de prevencin de riesgos
laborales, dar de alta al empleado en la seguridad social, medidas de garanticen la
promocin por el trabajo bien realizado, garantizar el sueldo mnimo interprofesional y
subidas de sueldo acordes con el IPC (ndice de Precios al Consumo).
La contratacin debe de incluir los motivos por el cual se contrata al personal, cul ser
sus responsabilidades en la empresa y su nivel de seguridad. Tambin debe de incluir la
relacin laboral del contrato ya sea fijo o temporal. Tambin debe de incluir la cuanta
de su sueldo bruto y neto (descontando impuestos y seguridad social).
o Las acciones que se tomarn en caso de que el empleado haga caso omiso a los
requisitos de seguridad.
Los derechos del trabajador quedarn garantizados por escrito en el contrato de acuerdo
al estatuto de los trabajadores [RDET95] la LPRL [LPRL96] y la LGSS [LGSS00].
Cualquier delito cometido por el empleado tendr consecuencias legales por parte de la
empresa. El empleado tambin se comprometer a cumplir el cdigo tico de la
empresa.
108
Plan de seguridad para personal Javier Ruiz-Canela Lpez
109
Plan de seguridad para personal Javier Ruiz-Canela Lpez
Todo el personal debe de conocer y entender los procedimientos a seguir en caso de que
se produzca un fallo en el sistema de seguridad y saber contactar con el personal
encargado de la seguridad. Del mismo modo debe de conocer y entender las medidas de
prevencin de riesgos laborales contemplados por la poltica de la organizacin.
110
Plan de seguridad para personal Javier Ruiz-Canela Lpez
Proceso disciplinario
o Infraccin leve
Se considera infraccin leve como aquella que produce por la incorrecta aplicacin de
las medidas de seguridad de la empresa teniendo conocimiento de las mismas. Ejemplos
de la misma pueden ser los siguientes: Dejar una clave privada personal al descubierto
por otras personal , no cerrar la seccin de seguridad despus de la jornada laboral ,
dejar copias de archivos de desarrollo en el puesto personal en caso de haber un
almacn externo para las mismasetc.
La medida a adoptar en dichos casos son notas informativas desde la direccin o equipo
de seguridad advirtindole de la necesidad de aplicar de forma correcta las medidas de
seguridad. La repeticin reiterada de infracciones leves se convierte en una infraccin
moderada.
o Infraccin moderada
Las medidas a adoptar en dichos casos van desde sanciones econmicas hasta ceses
temporales de la actividad laboral. La repeticin reiterada de infracciones moderadas se
convierte en una infraccin grave.
o Infraccin grave
Se considera infraccin grave aquella que produce la violacin explicita de las medidas
de seguridad la empresa teniendo conocimiento de las mismas. Unos ejemplos de las
mismas pueden ser las siguientes: Dao a los sistemas de la organizacin, Traspaso o
robo de informacin clasificada de la empresa*, Acceder a ficheros de nivel superior de
seguridadetc. La medida a adoptar en estos casos es el despido inmediato del personal
implicado.
111
Plan de seguridad para personal Javier Ruiz-Canela Lpez
En caso de cese se pueden dar tres casos, cese procedente por infraccin grave de las
polticas de la empresa. En cuyo caso la organizacin no tendr ninguna obligacin de
contraprestacin para con el empleado. Cese procedente por finalizacin de contrato,
dado en los casos de contrato laboral temporal donde la empresa solicita durante un
periodo de tiempo unos servicios concretos sin necesidad de contraprestaciones. O por
deseo expreso del empleado en abandonar la organizacin. Cese improcedente por
motivos de reajuste de personal, en este caso la organizacin debe de dar una
contraprestacin correspondiente a los aos trabajados en la misma, segn los trminos
del estatuto de los trabajadores [RDET95].
En los casos de cambio de puesto de trabajo, hay que reajustar al empleado al nuevo
nivel de seguridad que posea, as como darles los accesos necesarios para que pueda
ejercer su nuevo cargo concorde a su nueva responsabilidad. En los casos que se trate de
una degradacin en el puesto el empleado se debe de comprometer en devolver todos
los activos y derechos de acceso que no le correspondan en los trminos explicados a
continuacin.
112
Plan de seguridad para personal Javier Ruiz-Canela Lpez
El empleado cesado deber de firmar las condiciones de despido que procedan. Donde
se recomienda que se incluyan el apartado de cese de empleo o cambio de puesto de
trabajo. Dichas condiciones y la firma sern registradas junto con la firma en un
histrico de ex empleados accesible solo para personal de recursos humanos y la
direccin.
El cese de los derechos no implica el cese de las obligaciones para con la empresa. El
empleado cesado deber de comprometerse en cumplir el contrato de confidencialidad
firmado con la organizacin. Donde se compromete a no revelar informacin vital para
la organizacin*. Romper este contrato de confidencialidad acarrear las medidas
legales que la organizacin estime pertinentes.
113
Plan de Seguridad en Medio Ambiente Javier Ruiz-Canela Lpez
y seguridad Fsica
Todo permetro de seguridad tiene dos componentes igualmente importantes, una lgica
y otra fsica. El acceso fsico a mquinas que manipulan o controlan informacin
corporativa puede ser causa de ataque. Pensar en la correcta distribucin fsica de los
activos de la empresa puede llevar a evitar dichos ataques. Para ello, est previsto seguir
como referencia para ello los captulos 11 de la ISO 27002 gua de buena prctica de
controladores recomendados para la seguridad. A lo largo de este plan se explicar
cmo se debe de desarrollar un permetro de seguridad fsico para la proteccin del
sistema de informacin de la empresa. Dicho permetro incorpora un sistema de video
vigilancia, proteccin contra amenazas ambientales y seguridad en equipos.
Alcance
Objetivos
114
Plan de Seguridad en Medio Ambiente Javier Ruiz-Canela Lpez
y seguridad Fsica
115
Plan de Seguridad en Medio Ambiente Javier Ruiz-Canela Lpez
y seguridad Fsica
o Control principal
Otro de los objetivos del control principal es asegurarse de que el individuo que entra
no portar elementos fsicos peligrosos para comprometer la seguridad de la empresa.
Para ello se aconseja la utilizacin de cabinas de seguridad o la utilizacin de detector
de metales y scanner de metales.
Adems se debe de controlar que ninguna persona que salga del recinto de trabajo salga
con dispositivos fsicos de almacenamiento. Para ello se propone desinmantadores
manuales para el personal de seguridad. Los desinmantadores son dispositivos que
anulan la capacidad magntica de los equipos de almacenamiento electrnico.
116
Plan de Seguridad en Medio Ambiente Javier Ruiz-Canela Lpez
y seguridad Fsica
o Teclado de acceso
Tarjeta Inteligente T
/Biometra Datos de Identificacin Usuario Query
Servidor Registro
de de Usuarios
INTERFAZ FSICO
Acceso
Identificacin
Identificacin
positiva
negativa
Apertura de Denegacin
puerta de acceso
117
Plan de Seguridad en Medio Ambiente Javier Ruiz-Canela Lpez
y seguridad Fsica
Asociacin con
Tasa de
no si Datos
Error<0.1?
INTERFAZ EXTERNO Personales
MODULO DE INSCRIPCIN Registro
de Usuarios
Lector Extraccin de
Comparacin =
biomtrico caractersticas
RESULTADO
Transformada de Hough* es una tcnica de extraccin propiedades geomtricas mediante anlisis de imgenes
118
Plan de Seguridad en Medio Ambiente Javier Ruiz-Canela Lpez
y seguridad Fsica
o Ventilacin y alarmas
Las zonas de trabajo deben ser cumplir con una serie de caractersticas para garantizar el
confort y la seguridad del personal. Garantizar el bienestar es una inversin de futuro
pues aumenta el rendimiento del personal y garantiza la disminucin de fugas de trabajo
y trabajadores. Para ello hay que asegurarse que los puestos de trabajo dispongan de
iluminacin natural. La iluminacin natural es una de las caractersticas que ms
valoran los equipos de trabajo. Es disponer de ventanas o ventanales en los puestos de
trabajo es una parte importante en el desarrollo de trabajo. Por supuesto dichas ventanas
o ventanales debern de estar hermticamente cerradas para evitar posibles puntos de
vulnerabilidad en el permetro de seguridad fsico. La necesidad de conductos de
ventilacin tambin es otro de los puntos que garantizar la seguridad en la instalacin.
Los conductos de ventilacin son necesarios para la evitar humos u otro tipo de
sustancias contaminantes en el permetro de seguridad. Tambin se puede utilizar para
regular la calidad del aire otro de los factores importantes en el entorno de desarrollo.
Deben tener un dimetro mnimo de 08 m (3) y un mximo de 12 m (3).
En las zonas donde se encuentren los servidores, routers y dems componentes del
sistema de informacin corporativo se deben de incluir sensores de temperatura, polvo,
calidad del aire y electricidad. Los sensores de temperatura indicarn la temperatura
ambiente del lugar. Los sensores de polvo deben de comprobar que no hay ms de 500
miligramos de polvo por metro cbico. Los sensores de aire deben de comprobar que no
haya agentes contaminantes en el aire. Y por ltimo, los sensores de electricidad para
evitar averas en los servidores por electricidad electroesttica.
119
Plan de Seguridad en Medio Ambiente Javier Ruiz-Canela Lpez
y seguridad Fsica
El control de las acciones del personal es uno de los objetivos de seguridad que se
tienen que tener en cuenta. Los sistemas de video vigilancia proporcionan un control de
las actividades del personal de la organizacin evitando de este modo posibles ataques
internos del personal y controlando la seguridad de las zonas restringidas. Sin embargo
el sistema de video vigilancia o CCTV que se propone en este plan respeta la legislacin
espaola en cuanto a video vigilancia [Inst06]. Para llegar a cumplir con la ley hay que
incluir en la poltica de video vigilancia una serie de derechos y restriccin:
o Toda persona deber de tener acceso mediante impresos sobres las condiciones
en las cuales puede y no puede ser grabado en las zonas de organizacin.
o Los ficheros digitales que se graben no podrn ser almacenados por un mximo
de 48 horas. A no ser que se encuentren indicios de delito, los cuales sern
fijados por el departamento jurdico de la organizacin.
Tambin la poltica de video vigilancia debe de incluir una serie de obligaciones para el
personal en general y para el personal de seguridad:
120
Plan de Seguridad en Medio Ambiente Javier Ruiz-Canela Lpez
y seguridad Fsica
Una vez definido los puntos fundamentales de los prerrequisitos para el sistema de
video vigilancia se pasara al diseo del sistema en s [Cox07] el cual deber de disponer
de cmaras IP, un PTZ, un DVR, cables coaxiales, un servidor y un puesto de control.
Los sistemas CCTV actuales utilizan cmaras digitales con dispositivos para la
implantacin de una red IP local con posibilidad de un acceso remoto a internet. Dichas
cmaras tienen las mismas caractersticas que las cmaras analgicas, pero con las
ventajas de tener un coste inferior y una calidad de imagen superior. Dichas cmaras
digitales estarn controladas a travs de la red con software especfico instalado en un
servidor dedicado. Habr dos tipos de cmaras: cmaras fijas para pasillos y cmaras de
180 para zonas de trabajo comn y entradas al permetro y zonas donde no se pueda
cubrir la FOV con cmaras fijas.
Los cables coaxiales RGS9 se caracterizan por su enorme fiabilidad. Teniendo una
atenuacin 0.58Db, una calidad imagen par de hasta 80Db y una calidad de recogida de
imagen digital de 6.0. Los cables estarn conectados a las salidas RS-485 de las cmaras
y se comunicarn directamente con el dispositivo PTZ.
Una grabadora de video digital (DVR) es un dispositivo que graba video en formato
digital a una unidad de disco. En este caso los videos se grabarn a un servidor de
cmaras de IP.
El puesto de control ser un monitor con capacidad de ver cmaras a la vez que recibir
informacin en tiempo real de las grabaciones de las cmaras a travs del servidor IP.
Tambin podr controlar el movimiento y enfoque de las cmaras.
PTZ
controller
T DRV
RGS9
Coaxial
Puesto de
Servidor de control
T Cmaras IP
Cmaras IP
121
Plan de Seguridad en Medio Ambiente Javier Ruiz-Canela Lpez
y seguridad Fsica
Los desastres naturales son otro factor de riesgo a tener en cuenta en el desarrollo del
permetro de seguridad fsico. Este factor suele tener repercusiones seria sobre los
dispositivos del sistema de informacin de la organizacin. Agua, fuego y electricidad
suelen ser los tres elementos que ms pueden influir en los equipos elctricos. Una fuga
de agua puede provocar cortocircuitos en los equipos elctricos dejando plenamente
inservibles. Un incendio puede arrasar con todo el mobiliario y especialmente con los
equipos de los sistemas de informacin al estar formados en su mayora por plsticos
altamente inflamables. Las subidas de corriente pueden provocar incendios en los
equipos informticos estas suelen estar provocadas por la mala utilizacin del sistema
elctrico de la empresa. Pero a su vez no se puede dejar de depender del sistema
elctrico porque sino las mquinas no funcionaran. Esto nos lleva tambin a una
dependencia elctrica generalizada y a la necesidad de utilizar mecanismos para
garantizar el flujo constante de electricidad para los equipos electrnicos.
Como se menciono anteriormente en todas las zonas del permetro de seguridad llevarn
incorporadas alarmas contra incendios. Pero el uso de alarmas contra incendios son
sistemas pasivos que deben ir acompaados de sistemas activos. Los sistemas activos
que se pueden utilizar para la prevencin de incendios son: sistemas de ventilacin,
sistemas de riego, extintores contra incendios, aislamiento de zonas.
Los sistemas de riego son comnmente utilizados en todas las instalaciones de oficinas.
Un sistema de riego consiste en una serie de aspersores colocados en el techo de las
oficinas. Donde estn conectados a sensores trmicos capturan la temperatura ambiente
del lugar. Si la temperatura excede de una cierta temperatura los aspersores se activarn
emitiendo una lluvia de agua que cubrir toda el rea afecta por el incendio.
Los extintores son un mecanismo manual de prevencin contra incendio. Su uso est
recomendado para cuando los dems mecanismos fallen. La colocacin de los extintores
debe de estar en zonas de transito como pasillos, vestbulo y zonas comunes. Y su
utilizacin debe estar reservada para personal de seguridad o en su defecto para
cualquier persona con mnimos conocimientos sobre su uso.
122
Plan de Seguridad en Medio Ambiente Javier Ruiz-Canela Lpez
y seguridad Fsica
Las inundaciones son otra posible causa de desastre natural, aunque no suelen ser
frecuentes hay que asegurar mecanismos para la prevencin de los mismos. Un buen
sistema de prevencin contra inundaciones tiene un factor que resulta fundamente.
Dicho factor es un buen sistema de canalizaciones. Un buen sistema de canalizaciones
puede conseguir que zonas inundadas puedan ser desaguadas en cuestin de minutos.
Todas las zonas donde disponga de aparatos elctricos deben de tener una rejilla con
acceso directo al alcantarillado. Dichas alcantarillas deben de tener una superficie
aconsejable de unos 900 cm (2).
Los sistemas UPS pueden ser utilizados para salvaguardar la informacin de los
servidores de datos, equipos de comunicaciones u sistemas elctricos crticos. Las
unidades UPS son muy variados en tamao van desde pequeos dispositivos para un
ordenador de alrededor de 200 Vatios a grandes unidades para la proteccin de edificios
enteros de varios megavatios.
Hay varios sistemas UPS cada uno de ellos con sus ventajas e inconvenientes. Los
sistemas UPS offline son sistemas que ofrecen caractersticas ms bsicas pero a la vez
son los ms baratos; proporcionan proteccin y aumento de la batera. Sin embargo, no
son sistemas fiables y pueden fallar. Los sistemas UPS en lnea son similares a los
sistemas UPS offline pero con la diferencia que incluyen un sistema multi-espiral con
diferentes niveles de tensin. Es un tipo especial de transformador elctrico que puede
aadir o restar potencia mediante bobinas, lo que aumente o disminuye la tensin de
salida del generador. Este tipo de sistemas son ms resistentes a subidas de tensin que
evitan que el generador pueda ser daado. Y por ltimo, los sistemas UPS online que
son ideales para sistemas de aislamiento elctrico con equipos sensible a los cambios de
tensin. Aunque son sistemas que estn reservados para grandes instalaciones alrededor
de 10 Kilowatios, los avances tecnolgicos estn consiguiendo equipos que necesiten
menos potencial (son los sistemas ms caros).
123
Plan de Seguridad en Medio Ambiente Javier Ruiz-Canela Lpez
y seguridad Fsica
Los trabajos que usen materiales peligrosos debern de estar en zonas especialmente
habilitadas para su almacenamiento. Su uso deber de estar perfectamente reglamentado
y con las herramientas y vestimenta necesarias para su manipulacin. El uso de
materiales peligrosos no podr ser utilizado sin supervisin de un experto. El no
cumplimiento de estas recomendaciones se puede considerar infraccin grave segn el
cdigo disciplinario (plan de seguridad para personal).
124
Plan de Seguridad en Medio Ambiente Javier Ruiz-Canela Lpez
y seguridad Fsica
La zona de carga y descarga o embarcadero se contempla como una zona puente entre
el permetro de seguridad y el exterior. Por lo que tiene que tomarse medidas de
proteccin especiales. En la zona de carga y descarga solo podr estar personal de la
organizacin, proveedores o clientes. Tambin se considerar que solo se almacenar
mercanca de la organizacin. Las cargas y descargas debern de estar registradas,
indicados el origen, destino, operario encargado, firma de proveedor o cliente y la fecha
de la transaccin. Se contempla la utilizacin de una zona estanca y el embarcadero que
estar video vigilada y con un personal de seguridad que inspeccionar toda la
mercanca que entra y salga del recinto. La entrada al recinto dispondr de un sistema de
acceso mediante tarjeta inteligente.
7200mm 13300mm
T
3200mm
6000mm
Revisor
900mm
900mm
Zona de
Carga y Descarga
3200mm
125
Plan de Seguridad en Medio Ambiente Javier Ruiz-Canela Lpez
y seguridad Fsica
Tambin es necesario que el acceso a dichas zonas est restringido. La zona de trabajo
donde se encuentran los equipos de trabajo deber de incluir la identificacin mediante
tarjeta inteligente. Y solo permitir el acceso a personal de desarrollo o personal con un
nivel de seguridad superior. La zona de servidores tendr doble control de acceso: el
acceso mediante tarjeta inteligente a dicha seccin del permetro (solo para personal de
seguridad y de mantenimiento) y el acceso mediante identificacin biomtrica (la cual
tendr almacenado los datos del personal encargado del mantenimiento de equipos). Al
mismo tiempo la zona de monitorizacin de la seguridad tambin dispondr de un
acceso de identificacin biomtrica solo para personal de personal.
Los despachos se consideran una zona de trabajo especial para asuntos de gestin. Cada
despacho llevar incorporado un equipo informtico segn las necesidades de
computacin de las actividades a realizar. Se podr tener desde un equipo informtico
(Thin Client) para las tareas con poca necesidad de clculo hasta porttiles. Sea cual sea
el equipo de trabajo con el que se trabaje deber de cumplir con las normas de acceso
del permetro de seguridad lgico. Y no podrn sacar informacin reservada del
permetro de seguridad fsico sin una autorizacin expresa de la direccin de la
organizacin.
126
Plan de Seguridad en Medio Ambiente Javier Ruiz-Canela Lpez
y seguridad Fsica
La proteccin de los equipos cumple una doble misin. Por un lado asegurar que los
equipos poseen la proteccin necesaria para la realizacin de las tareas cotidianas que
no se puedan producir ataques externos. Y por otra asegurar que no se produzcan
ataques internos. Se propone una serie de tareas para la prevencin en los equipos:
-El sistema de tarjetas inteligentes (vase plan de seguridad para control de acceso) es
un buen sistema para evitar el acceso a personal no autorizado en los equipos de trabajo.
127
Plan de Seguridad en Medio Ambiente Javier Ruiz-Canela Lpez
y seguridad Fsica
Instalaciones de Suministros
Los suministros son la base para el mantenimiento del sistema de informacin. Existen
dos tipos de suministros de nivel primario y los suministros de nivel secundario. Los
suministros de nivel primario se refieren a gas, luz y electricidad. Dichos suministros
bsicos son proporcionados por normalmente por otras compaas. Y suelen tener una
instalacin y unas indicaciones de seguridad claras provistas por la misma empresa. En
caso contrario hay que asegurarse que las instalaciones se realizan en una zona segura,
aislada de la zona de trabajo y con acceso restringido solo por personal cualificado
mediante tarjeta inteligente. Tambin debe de poseer mecanismos de control y
seguridad que posibiliten la interrupcin o el restablecimiento del flujo de suministro.
No hay que olvidar que en la zona donde estn instalados deben de colocarse los
indicativos y medidas de seguridad que indique el fabricante de las maquinas de
suministros. As como su manipulacin debe de ser ejecutada con las medidas de
proteccin pertinentes y la indumentaria adecuada: guantes de proteccin, pantalones
impermeables, casco (en caso de obra), gafas de proteccin (en instalaciones
elctricasetc.
128
Plan de Seguridad en Medio Ambiente Javier Ruiz-Canela Lpez
y seguridad Fsica
El mantenimiento del equipo tambin incluye la limpieza del mismo. Las partculas de
polvo pueden producir efectos negativos a los componentes mecnicos. Hay que evitar
fumar y comer en los lugares de trabajo y tener las ventanas cerradas.
Las vibraciones e impactos son otro de las causas de dao en los sistemas de
informacin. Un equipo informtico soporta un impacto de 92 G por cada 2 ms. Y una
vibracin de 0.5 en un barrido de 3 a 200 Hz durante 15 minutos. Para evitar estos
fenmenos hay que asegurarse que los componentes de cada mquina estn
perfectamente sujetos y en lugares estables.
El ruido acstico es uno de los factores menos valorados para el mantenimiento de los
equipos. Pero afecta a la ergonoma de los apartados elctricos. La OMS recomienda no
exceder de los 55 dB en el entorno de trabajo. Tambin advierte que la exposicin a 85
dB durante ms de una hora puede producir daos ergonoma de los equipos
informticos y daos irreparables al odo humano.
129
Plan de Seguridad en Medio Ambiente Javier Ruiz-Canela Lpez
y seguridad Fsica
Los equipos informticos que se utilice para teletrabajo deben de cumplir con unas
recomendaciones bsicas de seguridad tal y como se aconseja en el plan de seguridad en
comunicaciones. Los equipos informticos que salgan de las instalaciones deben de
estar inventariados. Indicando su portador, fecha de salida y entrada, identificador del
equipo, y nivel de seguridad. El nivel de seguridad de los equipos informticos
depender del acceso a los ficheros que puede tener el usuario portador del mismo. Las
medidas de seguridad a aplicar sern las recomendadas en el plan de seguridad para
datos.
Los equipos informticos que queden anticuados para las tareas de desarrollo no deben
de ser retirados inmediatamente. Pues se pueden utilizar para tareas de gestin que
necesitan menos peso computacional. Sin embargo el equipo debe de ser actualizado
para tal fin con las recomendaciones del plan de seguridad en sistemas.
130
Plan de Seguridad en Medio Ambiente Javier Ruiz-Canela Lpez
y seguridad Fsica
131
Plan de Seguridad Javier Ruiz-Canela Lpez
para Gestin de Riesgos
11 PLAN DE SEGURIDAD
PARA GESTIN DE RIESGOS
11.1 Propsito, Objetivos y Alcance
Propsito
El propsito de este plan es dar un marco de actuacin ante una situacin de ataque al
sistema. Para ello se analizar los puntos dbiles del sistema y la forma de solventar los
incidentes que puedan surgir en el sistema. Tambin se desea dar mecanismos de
actuacin para realizar mejoras en los controles de seguridad del sistema de
informacin. Evaluando posibles riesgos y reevaluando los controles ya existentes.
Alcance
Objetivos
El objetivo de este plan es cumplir con la norma 27002 ms concretamente con los
captulos 13 y 14. A continuacin una lista se muestra los controles tratados en este
plan:
132
Plan de Seguridad Javier Ruiz-Canela Lpez
para Gestin de Riesgos
Todo sistema de informacin tiene unos procesos que debido a su vulnerabilidad deben
de ser controlados. Estos procesos hacen referencia a la entrada/salida al sistema,
manipulacin de la informacin y comunicaciones con el sistema. Dichos eventos que
deben de guardarse en bases de datos y ser chequeadas por el servicio de seguridad de la
empresa. Se apoyan en la infraestructura de seguridad descrita en el plan de seguridad
en control de acceso.
Las comunicaciones de los usuarios con el exterior deben de quedar registradas para
ello es de especial inters guardar la informacin del correo corporativo. El servidor de
correo de la organizacin como controlador del trfico de correo debe de ser el
encargado de enviar la informacin al servidor de monitorizacin. Entre la informacin
que debe incluir se encuentra, el identificador de usuario, fecha de emisin, direccin de
envo y ficheros enviados.
133
Plan de Seguridad Javier Ruiz-Canela Lpez
para Gestin de Riesgos
Acceso Sistema
1 PK Fecha de entrada
PK Identificador
PK Estacin de Trabajo
1* Fecha de salida
1
Comunicaciones Mail
Acceso Ficheros
PK,FK1 Identificador
PK,FK1 Identificador
PK Fecha emisin 1* PK Identificador Fichero
PK Fecha de Acceso
Direccin envo
Firmado
Modificado
Cifrado
FK1 Estacin de Trabajo
FK1 Estacin de Trabajo
FK1 Fecha de entrada
0..1
Ficheros Mail
Clase de Fichero
Fecha de emisin
El Instituto SANS* (SysAdmin Audit, Networking and Security Institute) es una institucin con nimo de lucro fundada en 1989,
con sede en Bethesda (Maryland, Estados Unidos) que agrupa a 165.000 profesionales de la seguridad informtica
Backdoor* o puerta trasera es una secuencia especial dentro del cdigo de programacin mediante la cual el programador puede
acceder o escapar de un programa en caso de emergencia o contingencia en algn problema.
134
Plan de Seguridad Javier Ruiz-Canela Lpez
para Gestin de Riesgos
G4- Gran nmero de puertos abiertos. Los servicios ofrecidos por el sistema de
informacin pasan por comunicaciones online a travs del uso de puertos TCP/UDP.
Los usuarios al sistema aceden a sus servicios de trabajo a travs de esos puertos. Pero
una mala gestin de puertos puede acarear un ataque desde el exterior mediante un
escaneo de puertos*. Por eso es necesario crear un plan de comunicaciones que
contemple todos los servicios que son necesarios para el sistema, asignarle unos puertos
y cerrar todos aquellos que no sean tiles (vase plan de seguridad en comunicaciones).
El trmino escaneo de puertos* se emplea para designar la accin de analizar por medio de un programa el estado de los puertos de
una mquina conectada a una red de comunicaciones. Se utiliza para detectar qu servicios comunes est ofreciendo la mquina y
posibles vulnerabilidades de seguridad segn los puertos abiertos.
CGI* (Common Gateway Interface) Interfaz de entrada comn es una importante tecnologa de la World Wide Web que permite a
un cliente solicitar datos de un programa ejecutado en un servidor web.
135
Plan de Seguridad Javier Ruiz-Canela Lpez
para Gestin de Riesgos
En caso de que ocurra un incidente previsible (para que un incidente sea previsible el
comit directivo tiene que haber sido informado antes), por causa de un ataque interno,
externo o dao medioambiental. El comit directivo como responsable de apoyar al
sistema de seguridad y las mejoras del mismo. Ser responsable indirecto de dichos
incidentes si no apoya la gestin de su departamento de seguridad y no da autorizacin
para acometer las mejoras en el sistema de seguridad de la informacin que se
consideren objetivamente (se determina una mejora objetiva grave a aquella que
siguiendo las recomendaciones de organismos internacional pueden acarrear
consecuencias graves) graves o muy graves. El responsable indirecto de seguridad de la
empresa, ser responsable de casos previsibles si no se cumplen los objetivos marcados
por el plan de gestin para la seguridad de la informacin. Ser responsable indirecto
del mismo modo el director organizativo o los jefes de departamento si no cumplen con
las tareas de seguridad encomendadas. Se considerar responsable directo a la persona
que segn los procedimientos de recopilacin de evidencias descrito en este plan, sea el
autor material del incidente en cuestin.
Una vez depuradas responsabilidades, hay que considerar que requisitos necesita un
plan de contingencia para un sistema informtico. Un plan de contingencia debe de
incluir los siguientes puntos:
136
Plan de Seguridad Javier Ruiz-Canela Lpez
para Gestin de Riesgos
Dicho sistema debe de cubrir al menos con las necesidades mnimas del sistema de
informacin de la empresa. Se debe de ubicar en un lugar fsicamente y lgicamente
separado del sistema de informacin primario. Dicho sistema debe de incluir al menos
el 25% de los puestos de trabajo de la empresa. Acceso al backups de las bases de datos
descrito en el plan de seguridad en comunicaciones. Un sistema de extintores y un
sistema de ventilacin bsico. Dicho sistema se puede realizar con componentes
obsoletos para el sistema de informacin central para reducir costes.
o Estudio de impacto
o Reingeniera de controles
Una vez identificados los elementos afectados, hay que determinar las causas del ataque
y reestructurar los controles que se deban de ser actualizados. Para ello se debe de
proceder a su aislamiento y si fuera necesario sustitucin de los mismos.
137
Plan de Seguridad Javier Ruiz-Canela Lpez
para Gestin de Riesgos
Recopilacin de evidencias
La informtica forense [Bevil03] es una rama de la informtica que trata de averiguar los
hechos con los cuales se pueda demostrar la autora de un delito informtico. El proceso
consta de 4 partes principales: Identificacin, adquisicin, anlisis y presentacin. Cada
una de las partes es continuacin de la siguiente. No obstante, existe una relacin de
retro propagacin entre las mismas al ser un proceso de investigacin donde las causas
no estn determinadas.
o Identificacin
o Adquisicin
El objetivo de esta fase es obtener copias de todos los datos digitales que sern
procesados en la fase de anlisis. Esto incluye tanto archivos de texto, como de video y
audio. Todas las fuentes de datos deben de ser incautas y chequeadas mediante
herramientas de recuperacin de datos. Todos los datos recopilados deben de ser
ordenados y clasificados. Al final de este proceso se debe de obtener una validacin
notarial del mismo para que posea valor jurdico.
o Anlisis
El anlisis es la fase que convierte los datos digitales en pruebas de delito. Los
componentes fundamentales de esta tarea son la agregacin, correlacin, filtrado,
generacin y purificado de los datos. En dicha fase de anlisis debe de incluirse pruebas
digitales que relacin al autor material del delito.
o Presentacin
138
Plan de Seguridad Javier Ruiz-Canela Lpez
para Gestin de Riesgos
El primer paso para crear un plan de continuidad del negocio es realizar BIA. Un BIA
es un anlisis de impacto sobre la empresa basado en las vulnerabilidades del sistema de
informacin y otros componentes de riesgos. El resultado del anlisis es un informe que
describe los posibles riesgos especficos en una organizacin. Los posibles riesgos
asociados al sistema de informacin propuesto son:
Inundaciones Las ventanas, techo y puertas deben de estar en perfectas condiciones y Baja
revisados contra fugas
Instalar sensores de humedad
Los sistemas de backups deben de localizarse en una zona fsicamente
separada de la instalacin central de almacenamiento
Sistema UPS de restablecimiento de la energa
Emergency Management Forum* es una agencia gubernamental norteamericana que se encarga del estudio de la gestin de
emergencias a travs de estudios de empresas.
139
Plan de Seguridad Javier Ruiz-Canela Lpez
para Gestin de Riesgos
Una vez puestos las bases del BIA hay que plantear una serie de tareas y estrategias para
la prevencin de riesgos. Las principales tareas a realizar son:
El BIA planteado anteriormente afecta a todos los componentes hardware del sistema de
informacin de la empresa. Por lo tanto merece plantear sistemas estratgicos para la
totalidad del sistema de informacin.
Evitar
Riesgo
Identificacin Anlisis Anlisis Diseo de
del riesgo cuantitativo cualitativo respuesta?
Inicio Transferir
Fin
Riesgo
Mitigar
Riesgo
Por ltimo una vez desarrollado el plan de continuidad de la empresa debe ser aprobado
por el comit directivo de la organizacin.
140
Plan de Seguridad Javier Ruiz-Canela Lpez
para Gestin de Riesgos
o Aceptar el riesgo
o Evitar el riesgo
Se elimina el riesgo si se eliminan las causas. Esto significa implantar las medidas
recomendadas por el plan de prevencin de riesgos (54). Asumiendo el coste de
materiales y personal que supone.
o Transferir el riesgo
o Mitigar riesgo
Los controles para la continuidad del negocio se implantarn dentro del ciclo de vida de
la poltica de seguridad de la organizacin (vase poltica de seguridad). Las pruebas y
reevaluacin de los controles del plan continuidad seguirn los patrones del plan de
seguridad en auditorias.
141
Plan de Seguridad en Auditorias Javier Ruiz-Canela Lpez
Alcance
Objetivos
El objetivo de este plan es cumplir con la norma 27002 ms concretamente con los
controles del captulo 15, 10 y 6 que no se han incluido en los planes de seguridad en
datos, comunicaciones e interna. A continuacin una lista se muestra los controles
tratados en este plan:
142
Plan de Seguridad en Auditorias Javier Ruiz-Canela Lpez
Tendr que adquirir conocimientos suficientes sobre leyes (LOPD, ISO 27002) y sobre
seguridad informtica para el cumplimiento de su funcin .Dicha persona tiene un nivel
de seguridad A1 es decir puede tener acceso a todos los archivos. Tambin es el
responsable de informar a la agencia de proteccin de datos sobre la existencia de los
ficheros de nivel bsico, medio-bajo, medio, medio-alto y alto, tal como estipula la ley.
o Infraccin Leve
Causa: Acceso no autorizado a archivos.
Medida disciplinara: Amonestacin por parte del encargo.
o Infraccin Media
Causa: Creacin o Modificacin de archivos no autorizado.
Medida disciplinara: Expulsin temporal de la empresa.
o Infraccin Grave
Causa: Robo o Cancelacin de archivos no autorizado.
Medida disciplinara: Despido de forma inmediata.
143
Plan de Seguridad en Auditorias Javier Ruiz-Canela Lpez
El encargado de seguridad podr tomar las medidas que considere oportunas para el
correcto cumplimiento de las tareas. De mismo modo, el encargado de seguridad solo
responder de sus actuaciones ante el Director Ejecutivo de la empresa.
PKCS#13 utiliza se basa en los estndares X9.62, X9.63 (los cual define el algoritmo
ECDSA) y la regla P1363 (la cual define el algoritmo MQV). Algunos de los aspectos
que cubre la norma son los siguientes:
El tipo de software que se puede utilizar para estos algoritmos va desde software de
distribucin libre (OpenSSL del OpenSSL Project) hasta software comercial (Vault
Registry de IBM). La mejor opcin sin embargo es adaptar un software de libre
distribucin a las necesidades de la organizacin, debido a la inmensa cantidad de
libreras de libre distribucin con algoritmos criptogrficos (PKCS#15).
144
Plan de Seguridad en Auditorias Javier Ruiz-Canela Lpez
Creacin de
un entorno
de desarrollo
Asignacin
de recursos
Administracin
de puntos de
control
Diseo de
Gestin de modelos y
mejoras en el Validacin de
proceso de modelos
auditorias
Diseo de
Supervisin y modelos y
control Validacin de
modelos
145
Plan de Seguridad en Auditorias Javier Ruiz-Canela Lpez
o Asignacin de recursos
Una vez definidos los objetivos de las auditorias, hay que proceder a la asignacin de
recursos. Como mnimo una auditoria debe de disponer de los siguientes recursos: Una
persona asignada para la gestin de las auditorias, material de oficina, software en
gestin de auditoras*. Tambin el auditor necesitar acceso completo al sistema y
apoyo por parte de la direccin para hacer su trabajo.
Hay varios modelos que se pueden implantar a la hora de hacer una auditoria. Los
modelos ms conocidos son: verbales o testimoniales, donde el auditor recoge una serie
de respuestas basadas en entrevistas al personal, documentales donde se apoyado en test
analiza cada uno de los puntos de control y analticas a travs mtodos comparativos, de
correlacin, selectivosetc. La validacin de estos modelos puede ser numrica o
cualificativa siempre y cuando se marquen unos crticos homogneos para todos los
controles.
o Supervisin y control
146
Plan de Seguridad en Auditorias Javier Ruiz-Canela Lpez
Determinar los puntos de control del sistema necesitar analizar cada uno de los
componentes del sistema de informacin y sin olvidar las entrevistas al personal. La
rigurosidad con que se lleve a cabo cada uno de las auditorias depender de la
vulnerabilidad que pueda tener dicho control. De los controles planteados por la ISO
27002 el autor deber cerciorarse de que se cumple con los siguientes:
147
Plan de Seguridad en Auditorias Javier Ruiz-Canela Lpez
148
Plan de Seguridad en Auditorias Javier Ruiz-Canela Lpez
12.4 Supervisin
Registro de Auditoras
Revisin
PK Identificador
Fecha de Revisin
Valoracin
El registro de auditoras es una labor altamente recomendable. Con este fin se puede
conseguir un historial que puede ser de gran utilidad para la mejora del sistema de
auditoras o para la recopilacin de evidencias en caso de infraccin de la poltica de
seguridad.
El sistema de auditoras debe de ser supervisado por un superior, los informes relativos
a las auditorias debern de estar firmados por el jefe del departamento de seguridad y el
director operativo.
149
Plan de Seguridad en Auditorias Javier Ruiz-Canela Lpez
Hay numerosas empresas que se dedican a la auditoria, sobre todo en los temas
referentes a la LOPD. Cuando se subcontrata a una empresa se debe de seguir una serie
de pasos para que no se comprometa la seguridad de la organizacin. En primer lugar, la
empresa a la cual se le contrate servicios de auditora debe de estar avalada por algn
organismos por ejemplo AENOR. Tambin debemos obligar a la empresa contratada
que firme un contrato de confidencialidad con el fin de que no se revelen secretos de
empresa.
o Identificacin
o Retencin
Los registros deben ser retenidos por el jefe de departamento de seguridad; durante un
periodo mnimo de 20 das despus de su actualizacin en cada auditoria.
o Distribucin y recuperacin
En los servidores se conservarn los registros que sean necesarios para la actividad
laboral. Los dems registros sern restablecidos una vez finalizado el proceso de
auditora.
150
Plan de Seguridad en Auditorias Javier Ruiz-Canela Lpez
Registros de fallos
La tarea de auditora es cclica tal y como se expone en el primer punto. Los fallos en el
sistema suponen una vulnerabilidad importante que debe de ser revisada. Y debe de ser
planteada en la fase de mejoras de las tcnicas de auditoras.
Los fallos de sistemas operativos son enviados a travs del protocolo ICMP (vase plan
de seguridad en comunicaciones). Dichos fallos deben de ser revisados en el plan de
vulnerabilidades y tomar las medidas recomendadas por el fabricante (para ello sera
recomendado revisar los exploits de fabricantes).
Sincronizacin de reloj
La sincronizacin de relojes es una labor muy importante para las trasmisiones entre
servidores. Las causas de una falta de sincronizacin pueden producir retardos de
propagacin de los mensajes que produzcan fallos entre los programas cliente- servidor.
Por ese motivo es conveniente revisar el servicio UTC. Para ello es necesario realizar
una prueba entre servidores y una prueba entre servidor y clientes. Una vez realizado las
pruebas sern registradas en el registro de auditoras.
151
Plan Econmico Javier Ruiz-Canela Lpez
13 PLAN ECNOMICO
Una vez definido los planes que engloban la arquitectura de seguridad, hay que darle
una valoracin econmica para poder estudiar su viabilidad. Para ello se desea exponer
un plan de gestin para la implantacin de la seguridad. En dicho plan consta de tres
niveles: Bsico, Estndar y Avanzado. Cada uno de esos niveles se corresponde con la
aplicacin de la arquitectura de seguridad a un 30%,50% y 100% respectivamente. El
punto en comn de todos estos niveles es que tendrn un estudio de la poltica de
seguridad.
Alcance
Objetivos
152
Plan Econmico Javier Ruiz-Canela Lpez
13.3 Organizacin
Organizacin Interna
La organizacin interna representa los distintos roles necesarios para el desarrollo de las
actividades del proyecto, e integrados en la estructura principal del proyecto son los
siguientes:
Director Proyecto
Director Proyecto
Jefe Proyecto
Analista
153
Plan Econmico Javier Ruiz-Canela Lpez
Jurista
Tcnico de Sistemas
Programador
Responsable V&V
o Se encargar de verificar que el trabajo realizado cumple con todos los requisitos
del cliente as como los requisitos de calidad establecidos
o Validar el trabajo realizado
Docente
Organizacin Externa
La organizacin externa representa la relacin otros roles necesarios pero intervinientes
indirectos en las actividades del proyecto.
Subcontrata de
Servicios de Jefe Proyecto Cliente
Construccin
(59) Organizacin Externa
Cliente
154
Plan Econmico Javier Ruiz-Canela Lpez
Asignacin de Recursos
Como se menciono en el propsito del plan, este estudio econmico est orientado a la
pequea y medianas empresas. No obstante la diferencia de un proyecto de una pequea
empresa vara en consideracin con la mediana empresa. Para poder realizar un estudio
precioso debemos de dimensionar la cantidad de recursos humanos y mecnicos a las
necesidades de la empresa. Por ello se propone una asignacin de recursos estndar para
tres rangos diferentes: proyecto pequeo esta asignacin de recursos est pensada para
empresas de entre 50 a 100 empleados, proyecto mediano esta asignacin de recursos
est pensada para empresas de entre 100 a 500 empleados y gran proyecto pensado para
empresas entre 500 a 1000 empleados. En el siguiente recuadro, representa la
asignacin de recursos segn el tipo de proyecto: (las cantidades de
RM2,RM3,RM4,RM5 son relativas dependiendo de la disponibilidad de recursos de la
empresa):
Jefe de Proyecto* solo hay uno en cada proyecto, pero se contempla ayuda en los proyectos grandes
155
Plan Econmico Javier Ruiz-Canela Lpez
Planificacin de actividades
Implantacin
de Arquitectura de Seguridad
WP-05
WP-02 WP-03 Implementacin
WP-01 WP-04
Anlisis de Diseo de del Permetro de
Gestin Proyecto Programacin
Requisitos arquitectura Seguridad Fsico
WP-05-03
WP-01-03 Habilitacin del
PGP zona de
servidores
WP-05-04
Habilitacin del
zona de carga y
descarga
WP-05-05
Instalacin de
sistema de
videovigilancia
WP-05-06
Instalacin de
sistema de control
de puertas
156
Plan Econmico Javier Ruiz-Canela Lpez
Implantacin
de Arquitectura de Seguridad
WP-06
WP-07 WP-10
Implementacin WP-08 WP-09 WP-11
Instalacin Formacin
del Permetro de Pruebas Documentacin Cierre
Estacin Trabajo de Personal
Seguridad Lgico
WP-06-01
Instalacin WP-07-01
Servidores Reinstalacin
Ordenadores
WP-06-02
Saneamiento WP-07-02
Cables Configuracin Red
Local
WP-06-03
Instalacin de
Jerarqua de WP-07-03
Firewalls Implantacin de la
PKI
WP-06-04
Instalacin
Hardware de
acceso a Internet
WP-06-05
Configuracin de
red
WP-06-06
Traspaso BBDD
WP-06-07
Migracin Datos
Usuarios
WP-06-08
Puesta en marcha
Como podemos apreciar en los cuadros (61) y (62) la estructura de trabajo se compone
de 10 actividades raz. Cada uno de estas actividades a su vez, se componen de sub-
actividades o actividades. A continuacin se detallar la actividad de cada uno de estas
tareas; indicando segn lo planeado en los planes para un proyecto de amplitud
pequea.
157
Plan Econmico Javier Ruiz-Canela Lpez
158
Plan Econmico Javier Ruiz-Canela Lpez
WP-04 Programacin
Diseo interno del permetro lgico
Entradas Diseo externo del permetro lgico
Desarrollo del software necesario para apoyar la infraestructura de
clave pblica.
Actividades
Desarrollo del software necesario para la monitorizacin de actividades
en BBDD, correo, actividades de red y acceso.
Kit de programas para la PKI
Kit de programas para monitorizacin de actividades
Manual de Usuario
Salidas Manual de Programacin
Responsable: Programador
Gestin horas/hombre:400
Duracin: 50 das
159
Plan Econmico Javier Ruiz-Canela Lpez
WP-08 Pruebas
Entradas Plan de Seguridad para anlisis de riesgos
Realizar pruebas de acceso y manipulacin de ficheros
Actividades
Realizar pruebas de hacking: escaneo de puertos, DoS, virusetc
Salidas Informe de Pruebas
Responsable: Verificador V&V
Gestin horas/hombre:240
Duracin: 30 das
WP-09 Documentacin
Plan de Seguridad para anlisis de riesgos
Plan de Seguridad en comunicaciones
Plan de Seguridad en sistemas
Manual de Usuario
Plan de Seguridad del ambiental y seguridad fsica
Plan de Seguridad en control de acceso
Entradas Plan de Seguridad para permetro lgico
Establecer un la poltica de seguridad de la empresa, incluyendo plan de
Actividades continuidad, auditoras, personal y cdigo disciplinario y tico.
160
Plan Econmico Javier Ruiz-Canela Lpez
Salidas
Responsable: Docente
Gestin horas/hombre:120
Duracin: 15 das
WP-11 Cierre
Diseo interno del permetro lgico
Entradas Diseo externo del permetro lgico
Saneamiento de los cables
Actividades
Instalacin de Servidores, firewall e infraestructura de red
Salidas
Responsable: Jefe de Proyecto
Gestin horas/hombre:1568
Duracin: 59 das
161
Plan Econmico Javier Ruiz-Canela Lpez
Duracin
162
Plan Econmico Javier Ruiz-Canela Lpez
La siguiente tabla muestra la distribucin de las tareas del proyecto segn la actividad
de cada rol para un proyecto pequeo. La duracin total es de 7656 horas en 229 das.
Las tareas en gris son outsourcing por lo que no se contabilizan.
163
Plan Econmico Javier Ruiz-Canela Lpez
13.4 Costes
Los costes de la implantacin del proyecto estn expuestos en el cuadro (64). Los
recursos humanos estn calculados segn las horas obtenidas en el cuadro (65).
Proyecto Proyecto
Identificador Recursos Pequeo Mediano Gran Proyecto Euros/hora
Recursos Humanos
RH1 Director de Proyecto 176 176 176 50
RH2 Jefe de Proyecto 1832 3664 5496 40
RH3 Analista 1120 2240 3360 30
RH4 Programador 400 800 1200 20
RH5 Jurista 400 400 800 30
RH6 Verificador V&V 240 240 960 30
RH7 Tcnico de Sistemas 3128 6256 12512 20
RH8 Docente 360 720 1800 20
Recursos Materiales Precio Euros
RM1 Servidores 12 20 40 200
RM2 Ordenadores Fijos 18 62 187 400
RM3 Thin Client 75 375 750 100
RM4 Ordenadores porttiles 2 4 10 900
RM5 Cmaras de Video-vigilancia 7 16 32 60
RM6 Routers 1 2 5 50
RM7 Switches 2 10 20 60
RM8 Servidor Firewall 2 4 8 600
RM9 Bobina cable coaxial (30 metros) 1 2 5 40
RM10 Bobina fibra ptica (30 metros) 1 2 5 100
RM11 Cabina detectora de metales 1 1 1 3000
RM12 Sistemas de Tarjetas Inteligentes 93 437 937 40
RM13 Licencias Software Security Suite 7 18 48 80
RM14 Sistemas RAID 1 2 3 500
RM15 IPS/IDS 1 1 2 2000
Subtotal 243.250 496.440 917.970
Costes Indirectos
CI1 Contingencia 10% 24.325 49.644 91.797
CI2 IPC 0,06% 14.595 29.787 55.079
CI3 Outsourcing 6.000 12.000 24.000
CI4 Material de desarrollo 127.584 238.368 415.488
Cl5 Gastos Varios 21.264 39.728 69.248
Cl6 Seguro Social 42.528 79.456 138.496
Cl7 Material de oficina 21.264 39.728 69.248
Coste del Proyecto
Total + Contingencia positiva 500.810 985.151 1.781.326
Total + Contingencia negativa 452.160 885.863 1.597.732
164
Plan Econmico Javier Ruiz-Canela Lpez
13.5 Implantacin
La implantacin del plan no tiene porque incluir todas las medidas de seguridad
descritas en el proyecto. De esa idea surge la creacin de distintos planes de adaptacin:
adaptacin al 30%,50% y 100% (65). No obstante, todos los planes deben de cumplir
unos mnimos medidas de seguridad para poder cumplir con la legislacin vigente.
Todos los planes incluyen la adaptacin de los ficheros a la LOPD, creacin de una
zona centralizada de servidores y la redaccin de una poltica de seguridad.
El plan de adaptacin total incluye todos los recursos (66) y actividades del plan de
implantacin (61) (62). La adaptacin del sistema de informacin con medidas de
seguridad debe de incluir una monitorizacin constante. Para ello, est previsto que la
empresa distribuidora de los servicios de seguridad provea de un equipo de
monitorizacin. El equipo de monitorizacin para el plan de adaptacin estar
compuesto por un tcnico de sistema, un programador y un vigilante de seguridad
(puesto de control central y video-vigilancia). Los gastos del servicio de monitorizacin
no deben de ascender de los 6000 euros mensuales.
La adaptacin del plan al 30% supone la reduccin del anterior plan ms la eliminacin
de la infraestructura de tarjetas inteligentes (WP-07-03) (sustituidas por claves de
sesin). Del mismo modo, los recursos se reducen aun ms, se omiten de uso los Thin
Client, el sistema de tarjeta y la compra de servidores se reduce a la mitad
(RM3,RM12,RM1). La monitorizacin por lo tanto no tiene porque ser tan exhaustiva,
con un programador ser suficiente. Los gastos de monitorizacin sern de 1500 euros
mensuales.
165
Conclusiones Javier Ruiz-Canela Lpez
14 CONCLUSIONES
Por todo esto no solo se ha querido dar una serie de soluciones organizativas y
tecnolgicas en este proyecto. La gestin de la seguridad no es una ciencia exacta y por
ello no solo hay que crear un sistema de seguridad sino tambin mantenerlo y
mejorarlo; para poder hacer frente a las nuevas amenazas que puedan surgir. A raz de
esa idea, ha sido objetivo en este proyecto crear una conciencia social sobre el uso
correcto de la seguridad, pues como dice el dicho: es mejor prevenir que curar.
166
Anexo A: Estudio de Amenazas Javier Ruiz-Canela Lpez
Las empresas tienen que darse cuenta del enorme riesgo que representan estos ataques.
Pues son hacia ellas a las que van dirigidos la mayora de los ataque. En un principio el
acceso no autorizado a un sistema se consideraba como un tipo de divertimento siendo
su objetivo simplemente ldico y de reconocimiento social. Pero los ltimos aos este
tipo de ataques han tomado un rumbo delictivo al querer obtener un beneficio
econmico, un ejemplo de dicho ataque es el Phishing, que explicaremos ms adelante.
La Consultora Ernst and Young que engloba a ms de mil empresas, demostr que un
20% de sus prdidas financieras fueron como consecuencia de intromisiones en sus
sistemas de informacin. (Vase. Technology Review, Abril 02, pg.33).
Para poder realizar soluciones fiables a los problemas de seguridad que se plantean, y
poder proteger la informacin confidencial de la empresa, hay que analizar estos tipos
de ataques. Saber cmo se generan, como actan y cmo podemos combatir este tipo de
ataques es una tarea fundamental para la seguridad de la empresa.
Pero la pregunta que muchas veces se plantea en una empresa es porque debemos
tomarnos en serio dichas amenazas. Segn un estudio realizado por el centro de cyber-
crimen del FBI [FBI07] los ataques informticos se incrementan exponencialmente cada
ao (67). Llegando a causar miles de millones de dlares en prdidas para las empresas
afectadas. En Junio de 2001, un cyber-ataque provocado por el llamado Code-Red
infecto ms de 350.000 servidores Microsoft. En enero del 2003, otro cyber-ataque
provocado por el llamado Slammer dejo sin servicio a cerca de 75.000 ordenadores. Y
ms recientemente en el 2008 el llamado Conficker infecto a ms de 20 millones de
ordenadores en todo el mundo.
167
Anexo A: Estudio de Amenazas Javier Ruiz-Canela Lpez
168
Anexo A: Estudio de Amenazas Javier Ruiz-Canela Lpez
15.1 Malware
Categora Definicin
Malware
Caballo de Troya Un caballo de Troya es un software que parece ser una aplicacin
legtima, pero realiza la ejecucin de acciones maliciosas
169
Anexo A: Estudio de Amenazas Javier Ruiz-Canela Lpez
Categoras Definicin
Malware
Hijacker Un hijacker es un software que toma el control del usuario final del
navegador web. Los hijackers se utilizan para una variedad de
propsitos. Histricamente, los hijackers se han utilizado para
generar ingresos por publicidad.
Como se puede observar hay una gran variedad de tipos de Malware. En este estudio
nos centraremos en los Virus, Gusanos y Troyanos. Dicha eleccin se debe a que el
elemento ms representativo de Malware es el Virus, y los Gusanos y Troyanos por ser
una evolucin del Virus. Adems si tomamos como referencia el estudi expuesto al
principio nos damos cuenta que la inmensa mayora de los cyber-ataques de hoy en da
son provocados por Virus, Gusanos y Troyanos.
Despus de esta exposicin se expondr un ejemplo de este tipo de ataque, para ello se
explicar el modus operandi del Downadup, tambin llamado Conficker" o kido.
Un tipo de gusano que infecto a miles de maquinas Windows en 2008.
170
Anexo A: Estudio de Amenazas Javier Ruiz-Canela Lpez
Virus
El origen de los virus se remonta a 1932, cuando el famoso cientfico matemtico John
Louis Von Neumann, escribi un artculo, publicado en la revista cientfica de New
York, exponiendo su Teora y organizacin de autmatas complejos, donde
demostraba la posibilidad de desarrollar pequeos programas que pudiesen tomar el
control de otros, de similar estructura. Pero no fue hasta 1983, cuando el doctor Fred
Cohen demostraba como un programa era capaz de insertarse en otros. E incluso de
mucho antes, ya se conoca la forma prctica de invadir zonas de memoria, con el
desarrollo del denominado Core Wars; un pequeo programa implementado en los
laboratorios de la Bell Computer, subsidiaria de la AT&T.
No obstante, nunca hay que olvidar la amenaza que puede representar un virus. Es
importante destacar que el potencial de dao de un virus informtico no depende de su
complejidad sino del entorno donde acta. La definicin ms simple y completa para los
virus dainos viene dado por el modelo D.A.S y se fundamenta en tres caractersticas,
que se refuerzan y dependen mutuamente. Segn ella, un virus El modelo tambin
distingue entre tres mdulos:
171
Anexo A: Estudio de Amenazas Javier Ruiz-Canela Lpez
-Programa: Infectan archivos ejecutables tales como .com / .exe / .ovl / .drv / .sys / .bin
-Boot: Infectan los sectores Boot Record, Master Boot, FAT y la Tabla de Particin.
-Mltiples: Infectan programas y sectores de "booteo".
-Bios: Atacan al Bios para desde all reescribir los discos duros.
-Hoax: Se distribuyen por e-mail y la nica forma de eliminarlos es el uso del sentido
comn.
Una vez que conocemos lo que es un virus, sus propiedades y los diferentes tipos de
virus que hay. Analizaremos el dao que puede producir ordenado en seis categoras:
Daos Virus que afectan a la memoria residente. En el peor de los casos, se aconseja
menores la reinstalacin de los programas afectados.
172
Anexo A: Estudio de Amenazas Javier Ruiz-Canela Lpez
Caballos de Troya
Los ataques referentes a caballos de Troya o troyanos [Selo06] son una de las amenazas
ms serias en la seguridad informtica. El caballo de Troya es un virus informtico que
infecta a un sistema a travs de una red local o Internet, y cuyo objetivo es la de recabar
informacin o controlar el sistema para un tercero. Una de sus principales cualidades es
que pasa desapercibido como un programa benigno.
Segn la mitologa griega, el caballo de Troya fue utilizado como arma de guerra en la
batalla de Troya. En el interior de su estructura se escondan un batalln de soldados
que una vez introducido el caballo en la ciudad de Troya abrieron las puertas de la
ciudad para ayudar al ejrcito enemigo a tomar la ciudad. De ah viene la definicin de
este tipo de virus, pues las cualidades que representa se asemejan a las del caballo de
Troya de la antigedad.
Gusanos
Los gusanos son la evolucin ms temible de los virus. Segn los diccionarios
informticos [Pand09] [More03], el gusano es un cdigo maligno cuya principal misin
es reenviarse a s mismo. Dado este hecho los gusanos tienen esa propiedad vrica que
en principio no afecta a la informacin de los sistemas que contagia, pero si consumen
gran cantidad de recursos de los mismos y los utilizan como lanzaderas para infectar a
otros sistemas.
A diferencia de la mayora de los virus, los gusanos se propagan por s mismos, sin
modificar u ocultarse bajo otros programas. As mismo, y por su propia definicin, no
destruyen informacin, al menos de forma directa. Pero claro, estas definiciones se
aplican a los gusanos como tales; algunos cdigos de Malware son principalmente
gusanos, pero pueden contener otras propiedades caractersticas de los virus.
Una de las caractersticas de este tipo de cdigos es, precisamente por su forma de
infeccin, que estn enmascarados en un email que nos llega de una fuente bien
conocida. Alguien con quien mantenemos correspondencia o, al menos, que el remitente
la mantiene con nosotros.
173
Anexo A: Estudio de Amenazas Javier Ruiz-Canela Lpez
El mayor efecto de los actuales gusanos es su capacidad para saturar e incluso bloquear
por exceso de trfico a los sitios Web. Incluso si estn adecuadamente protegidos por un
antivirus actualizado. Y precisamente cuando tienen proteccin aumenta la sobrecarga,
debido a los procesos necesarios para analizar e intentar la eliminacin de una cascada
de correos en los que se detecta la infeccin.
En 24 de noviembre del 2008 la sociedad sufri un ataque sin precedentes que afecto a
miles y miles de ordenadores. Dicho ataque fue provocado por un gusano llamado
Downadup. El Downadup* se propaga explotando la vulnerabilidad del Servicio de
Servidor RPC, el ms comn y que permite la ejecucin de cdigo de forma remota.
Los sistemas infectados son sistemas informticos de infraestructura Windows, es decir
Windows 95/98/Me/NT/2000/XP/Vista y Server 2003. Este virus esta desarrollado en
Assembler, es decir lenguaje ensamblador un lenguaje de bajo nivel que permite
acceder al ordenador desde la capa de sistema ms baja.
La propagacin de este virus se realizaba en un principio a travs del Servicio RPC
(CVE-2008-4250 ), problema que fue solventado por Microsoft (boletn MS08-067).
Pero ms adelante utilizo formas alternativas de propagacin. Con la utilizacin de
fuerza bruta intentaba acceder a las carpetas compartidas de Microsoft con contraseas
dbiles. Para ello, guardaba una copia de s mismo y creaba un fichero autorun.inf, para
cuando el usuario acceda a la carpeta. Otra forma de infeccin que est muy al da es a
travs de dispositivos extrables. Guardaba una copia de s mismo en el autorun.inf del
dispositivo extrable, cada vez que el usuario acceda al dispositivo el gusano se
activaba.
174
Anexo A: Estudio de Amenazas Javier Ruiz-Canela Lpez
De tal modo que cada sistema vulnerado podra propagar el gusano por s mismo.
Seguidamente el gusano se conectaba a un router UPnP (plug & play), abra el puerto
TCP 80 (HTTP) y ubica la red registrada como puerta de entrada a Internet (Gateway),
permitiendo que intrusos puedan ingresar al equipo infectado desde redes externas.
175
Anexo A: Estudio de Amenazas Javier Ruiz-Canela Lpez
Uno de los problemas aadidos de este tipo de ataques es que la mayora de la gente
tiene una idea vaga sobre lo que significa los ataques de desbordamiento del buffer. En
esta seccin se pretende ensear el mecanismo con el cual los crackers utilizan esta
tcnica. Tambin hay que considerar el problema que estos mecanismos solo eran
disponibles a expertos por lo que se intentar utilizar un lenguaje sencillo para poder
explicarlo.
Una vez rota la seguridad del servidor, el cracker puede acceder al cdigo del
programa. En un programa web se utilizan direcciones para ir de una parte de programa
a otro. El cracker puede aprender la lgica del programa.
176
Anexo A: Estudio de Amenazas Javier Ruiz-Canela Lpez
Para un mejor entendimiento de este tipo de ataque se adjunta lo que podra ser un
extracto de cdigo de un ataque Buffer overflow. En este ejemplo observamos las
propiedades de un cdigo de control en una aplicacin. En este cdigo existen tres
partes destacables. La entrada de la funcin main con una cadena de entrada llamada
str (en verde), la cual no tiene control de longitud. La copia a nivel local de la cadena
de entrada str a una variable local cont mediante la utilizacin de la funcin lccopy*
(en azul). Y la funcin de control if que no dejar entrar a cdigo de acceso restringido
si la cadena cont no es igual a CONTRASEA.
#include <stdio.h>
void *lccopy(const char *str) {
char buf[BUFSIZE];
char *p;
strcpy(buf, str);
for (p = buf; *p; p++) {
if (isupper(*p)) {
*p = tolower(*p);
}
}
return strdup(buf);
}
int main(str)
{
char *cont=lccopy(str);
La funcin lccopy no tiene lmites en su entrada, ya que espera una cadena la cual
depende en tamao de BUFSIZE a nivel local. Un cracker podra pasarle una cadena de
entrada con un tamao superior a BUFSIZE y literalmente reventar el cdigo. En este
caso el resultado de buf seria totalmente distinto al esperado, paso 1 del algoritmo de
desbordamiento del buffer. El resultado de la ejecucin de main sera que la pila de
ejecucin a no entender la comparacin entre cont y CONTRASEA saltara a la
siguiente direccin de memoria. Es decir a cdigo de acceso restringido, paso 2 del
algoritmo de desbordamiento del buffer.
Una vez accedido al cdigo de acceso restringido solo tiene que aprender la informacin
de direccin para ese cdigo y de esa forma acceder sin necesidad de realizar el
mecanismo de control, paso 3 del algoritmo de desbordamiento del buffer.
177
Anexo A: Estudio de Amenazas Javier Ruiz-Canela Lpez
Las inyecciones SQL [MacV08] son un mtodo de ataque hacia bases de datos a travs
de mltiples hileras de infraestructura de aplicaciones. Los sistemas de prevencin de
amenazas buscan patrones especficos que sean similares al cdigo del Troyano Zebra.
El Troyano Zebra es un tipo de virus con el que se puede esconder consultas SQL
maliciosas detrs de las partes crticas en una aplicacin atacada, es el prototipo de
ataque SQL. Pero los crackers usan la flexibilidad de los lenguajes de programacin
para esconderse de los sistemas de prevencin de amenazas.
Las aplicaciones de hoy en da, estn diseadas con parmetros con una gran
flexibilidad. Que por otra parte es requerida para muchos datos de entrada para soportar
la localizacin y variabilidad de los datos solicitados. Los algoritmos llamados
signature matching y data scrubbing son los primeros utilizados para la prevencin
de ataques de inyeccin de SQL primarios porque dichos ataques son simples y usan
comandos SQL bsicos para llevar a cabo sus ataques. Dichos algoritmos utilizaban
patrones para detectar datos maliciosos con el anlisis de las tablas en base de datos que
podran ser causa probable de destruccin o que contuvieran informacin sensible para
la empresa. Pero los crackers pronto encontraron la forma de evitar dichos algoritmos y
crear nuevos mecanismos con los cuales evitar dichos filtros y hacer ms difcil su
deteccin.
Como hemos dicho anteriormente, los sistemas de prevencin utilizan patrones es decir
similitudes entre los ataques a travs de la apariencia de estos con el Troyano Zebra.
Pero dichos ataques han evolucionado con el paso de los aos y ahora las variantes de
los troyanos Zebra son muy diferentes unos de otros con lo que estos sistemas se quedan
obsoletos y virtualmente intiles.
178
Anexo A: Estudio de Amenazas Javier Ruiz-Canela Lpez
Como se comenta al principio los cracker utilizan las vulnerabilidades de SQL para
poder romper la seguridad de acceso. En el siguiente recuadro se muestra un control de
acceso tpico de SQL.
Cdigo:
$us=$_POST['usuario'];
$pass=$_POST['pass'];
$sql="SELECT * FROM usuarios WHERE user = '$us' AND password='$pass'";
-- cdigo largo cortado --
Cdigo:
if(mysql_fetch_array($sql)){
echo "Inicio de sesin correcto"; // Esto fue modificado
}
El problema del cracker es que necesita saber el usuario y contrasea para poder acceder
a la sesin. Pero qu pasara si la instruccin mysql_fetch_array le pasaran una
sentencia SQL de este tipo:
179
Anexo A: Estudio de Amenazas Javier Ruiz-Canela Lpez
Los ataques DoS no slo proceden de los sistemas remotos, tambin a nivel local de la
mquina. Los ataques locales de DoS son generalmente ms fciles de localizar y
corregir los parmetros, porque el problema de espacio est bien definido. Aunque los
ataques DoS en s mismos no generan un riesgo para los datos sensibles o
confidenciales, que pueden actuar como una herramienta eficaz para enmascarar otras
actividades ms intrusivas que podran tener lugar simultneamente. En la confusin y
el caos que acompaa a los fallos del sistema y la integridad infracciones, con
experiencia en los crackers pueden deslizarse desapercibidas.
Muchos ataques DoS se realizan a travs de una red, cuando el autor trata de sacar
provecho de la falta de seguridad integradas dentro de la iteracin actual de Protocolo
Internet (IP), IP versin 4 (IPv4). Los crackers son plenamente conscientes de que las
consideraciones de seguridad han sido aprobadas a nivel superior los protocolos y
aplicaciones. Un intento de corregir este problema se ha traducido en IP versin 6
(IPv6), que incluye un medio de validacin de la fuente de los paquetes y su integridad
mediante el uso de una cabecera de autenticacin. A pesar de la mejora continua de la
propiedad intelectual es fundamental, no resuelve los problemas de hoy, porque IPv6 no
est en uso generalizado.
Los recursos son por su propia naturaleza finita. Invariablemente, la falta de estos
recursos da lugar a alguna forma de servicio de la degradacin de la infraestructura
informtica ofrece a los clientes. El consumo de recursos (y en este caso el ancho de
banda se considera un recurso) implica la reduccin de los recursos disponibles,
cualquiera que sea su naturaleza, por medio de un ataque dirigido. Una de las formas
ms comunes de ataque DoS es el ancho de banda de red. En particular, las conexiones
a Internet y los dispositivos son un objetivo primordial de este tipo de ataques debido a
su ancho de banda limitado y la visibilidad al resto de la comunidad de Internet.
Cuando un negocio se basa en la capacidad de servicio de las solicitudes de los clientes
con rapidez y eficacia, un ataque en el consumo de ancho de banda puede reducir la
eficacia en el servicio siendo un autntico desastre para la empresa.
180
Anexo A: Estudio de Amenazas Javier Ruiz-Canela Lpez
La estructura de apoyo a un ataque DDoS pueden ser muy complicado y puede ser
difcil determinar una terminologa que describe con claridad. Pero tal vez podamos
ofrecer una aproximacin de lo que podra ser un ataque DDoS comn.
Cliente: El software de control utilizado por los crackers para lanzar ataques. El cliente
se dirige a sus cadenas de comandos subordinados anfitriones.
Demonio: Los programas de software se ejecutan en un zombi que recibe el cliente de
las cadenas de mando y acta sobre ellos en consecuencia. El demonio es el proceso
responsable de la aplicacin real del ataque detallado en el comando cadenas.
Los ataque Dos representan una autentica amenaza para la seguridad de cualquier
aplicacin web. Para llegar a una mayor comprensin de los ataques DoS se expondr
un ejemplo real.
181
Anexo A: Estudio de Amenazas Javier Ruiz-Canela Lpez
Internet
ADSL 10Mb
Maestro M1
(73) Esquema de relacin de Servidores y Clientes en un ataque DoS
Los servidores tienen un lmite de servicio en consultas dado por sus recursos finitos
(potencia de CPU, memoria etc). Esta vez aadimos un nuevo concepto para nuestro
ejemplo consultas/sesin. Las consultas/sesin son la cantidad de consultas que permite
un servidor dada una sesin. Supongamos que el valor es de 500 consultas/sesin para
nuestro servidor S1. Si cada ordenador zombi realiza 100 consultas por sesin, con tan
solo 6 ordenadores llegaremos a colapsar la capacidad de servicio del servidor. A este
tipo de ataque se le llama ataque por consumo de recursos.
182
Anexo A: Estudio de Amenazas Javier Ruiz-Canela Lpez
183
Anexo A: Estudio de Amenazas Javier Ruiz-Canela Lpez
Existe un ciclo [Alle06] para este tipo de prcticas. Un patrn que ayuda a comprender
este tipo de tcnicas. Estn divididas en 4 campos: Recopilacin de informacin,
Desarrollo de la relacin, Explotacin y Ejecucin.
Hay una gran variedad de tcnicas para ejecutar el ciclo anteriormente mencionado.
Todas estas tcnicas estn relacionadas con la falta de educacin en seguridad que sufre
el wetware en un sistema de informacin. Las tcnicas para la recopilacin de
informacin son ilustraciones simples de lo anteriormente mencionado. Por ejemplo,
buscar contraseas en cache, comprobar la basura en busca de informacin vital o
buscar entre sistemas de almacenaje de ordenadores viejos con el mismo fin. Este tipo
de tcnicas son basadas en el factor humano y las relaciones interpersonales, no suelen
ser las ms utilizadas pero hay que tomarlas en cuenta.
Otro tipo de tcnicas son las basadas en los ordenadores y tecnologa. La popularidad de
estas tcnicas es mayor que las anteriores sobre todo por el factor de anonimato que
representa para el cracker. Se representa en la siguiente tabla un conjunto de estas
tcnicas.
184
Anexo A: Estudio de Amenazas Javier Ruiz-Canela Lpez
Tcnica Definicin
Por contacto El cracker intenta conseguir informacin vital a travs de la
directo con manipulacin directa de la vctima. El cracker se hace pasar por un
suplantacin miembro de la organizacin normalmente de alto rango para
de identidad conseguir su objetivo. No suele ser usual pero es la forma ms
sencilla.
Las tcnicas de ingeniera social puede ser una amenaza para la seguridad de cualquier
organizacin. Como medida de seguridad profesional, es importante comprender la
importancia de esta amenaza y las formas en que puede manifestarse. Slo entonces
podremos adecuadas que podrn ser empleadas y mantenidos de manera de proteger a
una organizacin sobre una base continua.
185
Anexo A: Estudio de Amenazas Javier Ruiz-Canela Lpez
Utilizar de manera segura los servicios que brinda la tecnologa disponible, es la mejor
opcin, pero consciente de que el punto ms vulnerable de un sistema de seguridad es
precisamente el factor humano.
A continuacin se expondr un ejemplo real sobre los efectos del Phishing. Este
ejemplo est basado en experiencias personales recogidas de foros de contactos. El
troyano llamado Phisher.BH tiene la capacidad de infectar el sistema de mensajera del
ordenador y enviar mensajes falsos haciendo pasar por uno de mis contactos. En este
tipo de ataque queda muy claro la maestra de las tcnicas de ingeniera social con la
utilizacin de este troyano.
.
El objetivo de Phisher.BH es la de conseguir contraseas y nmero de cuenta corriente
de sus vctimas. Para ello se hace pasar por su banco habitual y le insta a ir a una
direccin dada aludiendo a problemas tcnicos. Para verlo con ms detalle
observaremos un mensaje de este tipo de ataque.
186
Anexo A: Estudio de Amenazas Javier Ruiz-Canela Lpez
Si analizamos este tipo de ataque vemos que cumple con el ciclo de vida de la
Ingeniera Social. En primer lugar el troyano Phisher.PH recopila informacin sobre la
victima chequeando su correo en busca de informacin bancaria para preparar el
mensaje Phishing con apariencia real. Tambin aprovecha para buscar en su agenda de
contacto otras posibles vctimas y expandir su actividad delictiva.
En segundo lugar intenta desarrollar una relacin con la victima a travs de un mensaje
personalizado. Personalizado pues este llega desde un banco habitual para el cliente. En
el mensaje se hace pasar por miembro del banco usurpacin de identidad, con lo cual
intenta dar confianza a la vctima.
187
Anexo A: Estudio de Amenazas Javier Ruiz-Canela Lpez
188
Anexo B: Estudio de Infraestructura Javier Ruiz-Canela
de Clave Pblica
16 ANEXO B:
ESTUDIO DE INFRAESTRUCTURA DE CLAVE
PBLICA
189
Anexo B: Estudio de Infraestructura Javier Ruiz-Canela
de Clave Pblica
El no Repudio impide que alguien niegue haber realizado una transaccin cuando
efectivamente la hizo cumpliendo con el primer principio de la FIP, la comunicacin.
Para la aplicacin de un sistema de encriptacin de datos necesitamos una
infraestructura para la gestin de la misma. En esta seccin se expondr una
Infraestructura de Clave Pblica (siglas en ingls, PKI) para su aplicacin prctica en
una arquitectura de seguridad.
190
Anexo B: Estudio de Infraestructura Javier Ruiz-Canela
de Clave Pblica
Ambas acciones implican el robo de informacin confidencial que solo debera de ser
conocida por los dos agentes. Para evitar que la informacin confidencial no caiga en
malas manos necesitamos que los datos vayan encriptados y que solo los pueda
descifrar la persona que nosotros queramos. Por lo tanto hay una necesidad de
transferencias segura de claves, para ello se utiliza lo que se llama como PKI. Una PKI
[JSH806] es una infraestructura de clave pblica, una combinacin de hardware,
software, polticas y procedimientos de seguridad. Que permiten la ejecucin con
garantas de que una transaccin electrnica se ha realizado de forma segura respecto a
la autentificacin, confidencialidad, integridad y no repudio.
La infraestructura de clave pblica nos garantiza que los datos viajarn seguros a travs
del medio de comunicacin, para ello el medio de comunicacin debe ser seguro. En un
medio de comunicacin seguro los mensajes van cifrados. El cifrado de los datos en
dicha infraestructura se realiza a travs de un algoritmo de encriptacin asimtrico.
Dicho algoritmo convierte el texto original del documento a un texto ilegible. Se llama
asimtrico pues para aplicar dicho algoritmo hace falta dos claves, una para cifrar y otra
para descifrar.
191
Anexo B: Estudio de Infraestructura Javier Ruiz-Canela
de Clave Pblica
Para todo este proceso de infraestructura de clave pblica necesitamos lo que se llama
un ciclo de vida de certificados [JSH806]. Un ciclo de vida de certificados es un proceso
por el cual se enva las claves a los usuarios del sistema por un periodo de tiempo
definido.
Generacin de Claves
La Generacin de claves es un proceso por el cual se le asigna a cada agente del sistema
un par de claves. Una clave de carcter pblico es de conocimiento general y se
enviarn a todos los agentes pertenecientes al sistema. La clave de carcter privada es
generada a la par con la clave de carcter pblico pero a diferencia de esta ltima solo
puede ser conocida por su legtimo dueo y no tienen ninguna relacin numrica
directa.
Una clave la definimos como una cadena de caracteres y nmeros, repartidos de forma
pseudo aleatoria. Las claves son generadas por el algoritmo HMQV y ECDSA a partir
de un nmero primo como se ha explicado anteriormente. La propuesta que se propone
es llevar informacin asociada en este nmero primo. Se propone que el nmero primo
p o d indique el estatus del individuo en la empresa.
192
Anexo B: Estudio de Infraestructura Javier Ruiz-Canela
de Clave Pblica
El nmero tendr 10 caracteres de los cuales dos estn reservados para el estatus del
individuo en la empresa, la posicin de ests dos posiciones no es fija y se identificarn
mediante letras latinas de la A a la Z. Los otros 8 caracteres sern numricos del 0
al 9 y representar un nmero primo. La posicin de las dos letras se da por un nmero
aleatorio entre el 1 y el 8, el cual indica la posicin de la primera letra del estatus del
individuo en la empresa. Dicho nmero aleatorio ser distinto por cada emisin de
claves nuevas. La posicin de las dos letras en la clave privada ser una menor que para
las claves pblicas dado por en nmero aleatorio.
Nmero p:
104857 ME 5
n=7
(79).Generacin de parmetros de entrada
Las posiciones en el nmero van desde el 0 hasta al 9. El nmero aleatorio dado para
esta generacin de claves es 7 (N=7). En nmero p (5) se observa una primera parte de
del nmero primo 1048575 est entre la posicin 0 y la posicin 6. Despus le sigue la
identificacin de su estatus de seguridad dado por las letras: BA bajo ME medio
AL alto. El estatus de seguridad* nos dice a los datos a los cuales puede acceder.
Seguido esto le sigue el ltimo carcter con el resto del nmero primo. Los algoritmos
HMQV y ECDSA solo utilizarn la parte numrica para la generacin del cifrado y
descifrado. La parte de identificacin de estatus ser asociada a las claves generadas y
pasadas al servidor de archivos y base de datos para el sistema de privilegios de
usuario*.
Una vez definidos los parmetros de entrada para los algoritmos HMQV y ECDSA se
tiene que definir la utilizacin de los mismos. Como se ha podido ver en las propiedades
explicadas anteriormente, HMQV obtiene una clave comn entre dos entidades y
ECDSA obtiene una clave pblica y otra privada. Para la PKI propuesta se definirn
claves de sesin entre usuarios con el algoritmo HMQV y claves de certificacin y
firma digital con el algoritmo ECDSA.
*El estatus de seguridad ser explicado con ms detalle en el documento de gestin de datos
*El sistema de privilegios de usuarios ser explicado con ms detalle en el documento de gestin de datos.
193
Anexo B: Estudio de Infraestructura Javier Ruiz-Canela
de Clave Pblica
Emisin de Certificados
La creacin de certificados se realiza segn el estndar X.509 [Hunt02] recomendada
por la ISO. El estndar X.509 nos da recomendaciones de cmo definir los datos y
procedimientos para distribuir claves pblicas va certificado digital. Dicho certificado
ser firmado por una AC Autoridad de Certificacin mediante el algoritmo ECDSA.
194
Anexo B: Estudio de Infraestructura Javier Ruiz-Canela
de Clave Pblica
Datos Personales
Claves Privada
Autoridad Certificadora
Autoridad Verificadora
El certificado digital de clave de dominio personal est compuesto por 5 partes. Los
Datos Personales donde se incluyen los datos concernientes a la persona a la cual va
dirigida el mensaje; la funcin de dicha parte es la de identificar de forma inequvoca a
la persona receptora del mensaje. La Clave Privada la cual dar el valor de la misma, la
fecha en la cual se cre y el periodo de validez de la misma, el nivel de seguridad. La
Autoridad Certificadora representa los datos de la entidad encargada de la creacin de
claves as como una va de contacto va mail. Para la verificacin del mensaje en el
apartado de Autoridad Verificadora nos indica donde se tiene que dirigir. La Autoridad
Certificadora puede jugar el mismo como Autoridad Verificadora. Y la ltima casilla
nos muestra datos para comunicar la revocacin del certificado en caso de fallo de
seguridad o incorreccin de los datos. El manejo de este certificado es automtico entre
el programa de certificacin y la tarjeta inteligente del individuo a la cual va destinado.
195
Anexo B: Estudio de Infraestructura Javier Ruiz-Canela
de Clave Pblica
Datos Empresariales
Claves Pblicas
Autoridad Certificadora
Autoridad Verificadora
El certificado digital de clave de dominio empresarial est compuesto por 5 partes. Los
Datos Empresariales donde se incluyen los datos concernientes a la entidad; el mensaje
va dirigido a todos los integrantes de la entidad. Las Claves Pblicas la cual dar el
valor de todas las claves as como su dueo y el nivel de seguridad de la misma. La
Autoridad Certificadora representa los datos de la entidad encargada de la creacin de
claves as como una va de contacto va mail. Para la verificacin del mensaje en el
apartado de Autoridad Verificadora nos indica donde se tiene que dirigir. La Autoridad
196
Anexo B: Estudio de Infraestructura Javier Ruiz-Canela
de Clave Pblica
Uso de Claves
Cada persona es poseedora de dos claves, una de pblica y otra privada. Las claves de
ndole privada son solo conocidas por su propietario. La clave privada ser usada para
las firmas digitales. La clave de ndole pblica es conocida por todo personal de la
empresa y nos indica la autora de la persona que enva el mensaje. Son por lo tanto de
dominio empresarial y no puede ser conocido por personal ajeno a la organizacin.
En caso de que las claves pblicas sean conocidas por personal ajeno a la organizacin
se comunicar de inmediato a la Autoridad de Registro. La Autoridad de Registro se lo
comunicara a la Autoridad Certificadora y esta ltima proceder a la emisin de una
nueva remesa de claves pblicas. Las claves pblicas se envan en un solo certificado
digital de claves pblicas enviado a todo el personal mediante un mensaje multicast. Del
mismo modo la Autoridad Certificadora tendr que enviar una nueva remesa de claves
privadas a todo el personal dado que las claves son simtricas. Las claves privadas sern
enviadas en certificados digitales de clave privada individuales a cada uno de los
miembros de la entidad.
Validacin
La validacin de las claves las realiza la Autoridad Verificadora es la encargada de que
todos los certificados han sido recibidos a los individuos indicados (No repudio). Todos
los certificados llevan asociados un acuse de recibo. El receptor de un mensaje debe
comunicarse con la Autoridad Verificadora indicando su identidad y la correcta
recepcin del mensaje. Para la recepcin de los certificados de clave privada se
recomienda el siguiente formato de acuse de recibo:
Acuse de Recibo para Clave Pblica N.: Nmero Identificador de certificado de clave privada
197
Anexo B: Estudio de Infraestructura Javier Ruiz-Canela
de Clave Pblica
Actualizacin
El proceso de actualizacin ser realizado por la Autoridad Certificadora mediante el
proceso de generacin de claves y emisin de certificados dicho anteriormente. La
Autoridad Certificadora tiene que tener constancia de que ha recibido todos los acuses
de recibo para todos los certificados emitidos. En caso de haber recibido todos los
acuses de recibo en un tiempo razonable fijado por la empresa, se notificar a todos los
usuarios una nueva rondad de actualizacin de claves.
198
Anexo B: Estudio de Infraestructura Javier Ruiz-Canela
de Clave Pblica
Poltica de Seguridad
En la poltica de Seguridad de claves tiene que quedar constancia de cmo se va a
implantar la infraestructura de clave pblica y del uso o manejo de las claves.
Para ello se detallar todo el proceso de vida de las claves: Generacin, Emisin, Uso y
Expiracin.
Generacin de Claves
199
Anexo B: Estudio de Infraestructura Javier Ruiz-Canela
de Clave Pblica
Para la gestin de las claves todo equipo de trabajo tendr un software instalado para la
comunicacin con el servidor de claves. Dicho software estar instalado en todos los
puestos de trabajo. Para la emisin de claves privadas se comunicar con las tarjetas de
forma automtica y para la emisin de claves pblicas con los usuarios mediante correo
electrnico para la emisin de claves.
Uso de Claves
Las claves privadas son de uso y conocimiento personal las claves privadas son de uso y
conocimiento empresarial. Se entiende por uso y conocimiento empresarial a todo el
personal directo de la empresa y a aquel indirecto con autorizacin dada por la direccin
de la empresa. Una violacin de lo anteriormente dicho supondra una violacin de la
seguridad y se procedera a una actualizacin de urgencia de todas las claves, tanto
privadas como pblicas con el conocimiento de la Autoridad de Registro (AR). Dicha
violacin quedar grabada en el fichero CRL de la Autoridad de Registro.
200
Anexo B: Estudio de Infraestructura Javier Ruiz-Canela
de Clave Pblica
201
Anexo B: Estudio de Infraestructura Javier Ruiz-Canela
de Clave Pblica
Aplicaciones PKI
Las aplicaciones y estndares necesarios para la infraestructura estn resumidas en el
siguiente esquema.
E-Mail
corporativo
Estndares
LPAD X.509 PKCS#11 PKCS#13 recomendados
para la PKI
202
Anexo B: Estudio de Infraestructura Javier Ruiz-Canela
de Clave Pblica
Certificado A Certificado B
AC/AV
Estacin de
Trabajo A Estacin de
Trabajo B
T T
C C
SISTEMA DE
TARJETAS INTELIGENTES SISTEMA DE
TARJETAS INTELIGENTES
AR VPN AR
Datos cifrados
Agente A
Agente B
El esquema mostrado arriba indica los componentes necesarios para una comunicacin
con una infraestructura PKI. Por una parte se encuentra la AC/AV entidad de
certificacin y validacin, entidad que se encarga de la emisin y validacin de claves.
En cada estacin de trabajo nos encontramos con tres elementos: La AR, el sistema de
tarjetas inteligentes, el agente. La AR es la encargada de pedir las claves a la AC/AV,
de guardar las claves pblicas en el directorio LPAD, guardar un fichero con los
certificados revocados CRL y la de actualizar y autentificar la clave privada del agente.
El sistema de tarjetas inteligentes es un sistema de acceso al terminal de trabajo donde
el agente tendr que introducir su tarjeta inteligente para poder interactuar con el
terminal. El agente es la persona encargada de manipular la informacin confidencial de
la empresa, su papel ser el de cifrar/descifrar datos y enviar la verificacin de claves.
El mecanismo de comunicacin sera el siguiente. Supongamos que el agente A quiere
enviar datos al agente B. El primer paso que debe hacer A es pedir una clave pblica y
una clave privada a la AR. La AR enva esta peticin a la AC, la cual responde con dos
certificados.
203
Anexo B: Estudio de Infraestructura Javier Ruiz-Canela
de Clave Pblica
204
Anexo B: Estudio de Infraestructura Javier Ruiz-Canela
de Clave Pblica
Este tipo de dispositivo se puede utilizar en la infraestructura PKI. Para ello, tiene que
tener un lector de tarjetas inteligentes que cumpla el estndar ISO-7816. En entornos
Microsoft Windows, el equipo debe tener instalado un servicio denominado
Crytographic Service Provider (CSP). Y en entornos Unix/Linux deben de implantar
el mdulo criptogrfico denominado PKCS#11.
205
Apndice Javier Ruiz-Canela Lpez
17 APNDICE
17.1 Acrnimos
Siglas Significado Siglas Significado
AENOR Agencia Espaola de Norvativas y Regulacin IDS Intrusion Detection System
AH Authentication Header IPS Intrusion Prevention System
AC Autoridad de Certificacin LOPD Ley Orgnica de Proteccin de Datos
AR Autoridad de Registro LED Light-Emitting Diode
AV Autoridad de Validacin LPAD Lightweight Directory Access Protocol
BIA Business Impact Analysis LAN Local Area Network
CDB Capacity Data Base MAC Media Access Control Address
CRL Certificate Revote List MQV Menezes-Qu-Vanstone
CCTV Closed-Circuit Television Video MPLS Multiprotocol Label Switching
CIF Cdigo de Identificacin Fiscal NAT Network Address Translation
CGI Common Gateway Interface NTP Network Time Protocol
DAS Daino, autorreproductor y subrepticin NIF Nmero de Identificacin Fiscal
DMZ Delimited Zone OWASP Open Web Application Security Project
DoS Denial of Service OMS Organizacin Mundial de la Salud
DPI Derechos de Propiedad Intelectual PTZ Pan, Tilt, Zoom
DH Diffie Hellman PC Personal Computer
DVR Digital Video Recover PDF Portable Document Format
DNI Documento Nacional de Identidad POP Post Office Protocol
DNS Domain Name System PKCS Public Key Cryptography Standard
DHCP Dynamic Host Configuration Protocol PKI Public Key Infrastructure
ECC Elliptic Curve Cryptography RAM Random Access Memory
ECDSA Elliptic Curve Digital Signature Algorithm RRHH Recursos Humanos
Registro General de Proteccin de
ESP Encapsulating Security Payload RGPD Datos
FIP Fair Information Practices ROI Return Of Investment
FAR False Acceptation Rate RSE Reverse Social Engineering
FRR False Rejection Rate RIP Routing Information Protocol
FBI Federal Bureau of Investigation SFTP Security File Transfer Protocol
FOV Field of View SSH Security Shell
FTP File Transfer Protocol SSL Security Socket Layer
GPS Global Position System SOA Service Oriented Architecture
HSM Hardware Security Module SMTP Simple Mail Transfer Protocol
HMQV Hash Menezes-Qu-Vanstone SCE Structured Cabling Electrical
HTTP HyperText Transfer Protocol SQL Structured Query Language
IP Identification Protocol TCP Transport control Protocol
IRPF Impuesto sobre la Renta para Personas Fsicas TLS Transport Layer Security
ISO International Standard Organization UPS Uninterruptable Power Supply
ICMP Internet Control Message Protocol UDP User Datagram Protocol
IMAP Internet Message Access Protocol VPN Virtual Private Network
IPSec Internet Protocol Security WAN Wide Area Network
206
Apndice Javier Ruiz-Canela Lpez
17.2 Bibliografa
Apuntes
[JSH806] Javier Jaurata Snchez Jos Mara Sierra Rafael Palacios hielscher Infraestructura de Clave
Pblica, Tema 8 Seguridad Informtica, Universidad Pontificia de Comillas ICAI, 2006
[JSH106] Javier Jaurata Snchez Jos Mara Sierra Rafael Palacios hielscher SeguridadPerimetral,
Tema 10 Seguridad Informtica, Universidad Pontificia de Comillas ICAI, 2006
[JSH506] Javier Jaurata Snchez Jos Mara Sierra Rafael Palacios hielscher Algoritmos asimtricos,
Tema 5 Seguridad Informtica, Universidad Pontificia de Comillas ICAI, 2006
[Barr03] Jess Barranco de Areba, Introduccin a los Sistemas de Informacin, Tema 1 Gestin de
Sistemas de Informacin, Universidad Pontificia de Comillas ICAI , 2003
[Puer03]Enrique Juan Fernndez Puertas, La cadena de Valor y la Visin de la Empresa por procesos,
Tema 1 Control Informtico de Gestin, Universidad Pontificia de Comillas ICAI, 2003
[Toma07] Alessandro Tomasi , The quality of the software, Universita degli studi di Trento, 2007
[Muo209] Manuel Muoz Garca, Capitulo 2: Inicio del Proyecto, Gestin de Proyectos Informticos,
Universidad Pontificia de Comillas ICAI, 2009
[Muo709] Manuel Muoz Garca, Capitulo 7: Gestin de Riesgos, Gestin de Proyectos Informticos,
Universidad Pontificia de Comillas ICAI, 2009
[OrteM409]Mariano Ortega de Mues, Modulo 4, los ingenieros y la tica profesional, tica informtica,
Universidad Pontificia de Comillas ICAI, 2009
Artculos
[Hunt02] Ray Hunt, PKI and Digital Certification Infrastructure,[
http://www.ieso.ca/imoweb/marketEntry/pki.asp],IEEE,2002
[Kraw05] Hugo Krawczyk, HMQV: A High-Performance Secure Diffie-Hellman Protocol, IBM
Reseach Center, New York [USA], 5 de junio de 2005
[Selo06] Josep lo, Trojan Horse Attack,[ http://www.irchelp.org/irchelp/security/], Febrero del 2006
[Ogor02] Maciej Ogorkiewicz & Piotr Frej, Analysis of Buffer Overflow Attacks, Windows OS
Security, 08 de Noviembre de 2002
207
Apndice Javier Ruiz-Canela Lpez
[Shim03] Robert J. Shimonski, Denial of Service 101, Misc Network Security, 05 de Febrero de 2003
[MacV08] Lori Mac Vittie, SQL Injection Evasion Detection, The ISSA journal, volumen 6, febrero de
2008
[Belto06] Mike Belton [Security Engineer], Understanding Malware and Internet Browser, Berbee,
Mayo de 2006
[Alle06] Malcolm Allen, Social Engineering, a means to violate a computer system, SANS, Junio de
2006
[Wind07] Windows corp, Windows NT, Terminal Server, and Microsoft Exchange Services Use
TCP/IP Ports , [http://support.microsoft.com/default.aspx?scid=kb;en-us;150543], Exchange 2000
windows 2000 connectivity through firewalls ,[http://support.microsoft.com/default.aspx?scid=kb;en-
us;280132] ,21 de febrero de 2007
208
Apndice Javier Ruiz-Canela Lpez
[Cox07] Bryan D. Cox Design and Installation of CCTV Systems for Retail Businesses,[
http://www.coxprotectiveservices.com], 2007
[Barry07] L. Barry Lyons IV, Preparing For A Disaster: Determining the Essential Functions That
Should Be Up First,[http://www.sans.org/reading_room/whitepapers/recovery/], 4 de octubre de 2007
[Krasn04] Ph D Jerry Krasner, Using Elliptic Curve Cryptography [ECC] for Enhanced Embedded
Security, American Technology International, Inc, Noviembre 2004.
Normas y legislacin
[LOPD99] LEY ORGNICA 15/1999 de Proteccin de Datos de Carcter Personal,
[www.boe.es/aeboe/consultas/bases_datos/doc.php],13 de diciembre de 1999.
[Inst06] INSTRUCCIN 1/2006,sobre el tratamiento de datos personales con fines de vigilancia a travs
de sistemas de cmaras o videocmaras,
[https://www.agpd.es/.../videovigilancia/.../Instruccion_1_2006_videovigilancia.pdf], 20 de Julio de 2007.
209
Javier Ruiz-Canela Lpez
210