12.0diseño de mecanismos de seguridad y control

8/20/2019 12.0Diseño de Mecanismos de Seguridad y Control

http://slidepdf.com/reader/full/120diseno-de-mecanismos-de-seguridad-y-control 1/19

FAVA - Formación en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendiz

DISEÑAR LOS MECANISMOS DESEGURIDAD Y CONTROL

Introducción 3

1. FUNDAMENTOS DE SEGURIDAD 4

2. CONTROLES DE SEGURIDAD 9

3. SEGURIDAD EN PLATAFORMAS 11

3.1. Desde el punto del Control de Accesos 11

3.2. Desde el punto de Comunicaciones y Operaciones 13

4. SEGURIDAD DE SISTEMAS OPERATIVOS 14

BIBLIOGRAFÍA 16

GLOSARIO 17




2

M a p a c o n c e p t u a l

D I S E Ñ A R

L O S M E C A N I S M O S D E S E G U

R I D A D

Y

C O N T

R O L




3

INTRODUCCIÓN

Existen muchas definiciones del término seguridad. Simplificando, se

puede definir la seguridad como la "Característica que indica que un siste-ma está libre de todo peligro, daño o riesgo." Villalón (2007).

En toda actividad se hace necesario, no solo planear y ejecutar las activi-dades, sino efectuar procedimientos de control que vayan encaminados aasegurar que dichas actividades han sido ejecutadas de acuerdo a losparámetros que se habían establecido con anterioridad.

Es por ello, que para Evaluar la seguridad de los sistemas de informaciónse requiere que en las diferentes fases del ciclo de vida de los sistemas deinformación, se planteen protocolos claros que permitan lograr un buen

nivel de calidad en el software.

Para el diseño de estos mecanismos de seguridad y control, se debe ir dela mano de la seguridad informática, es por ello que en este tema tocare-mos varios conceptos claves de este tema tan de moda actualmente, paraevitar caer en la “inseguridad informática”.

Diseñar los Mecanismos de Seguridad y Control

DISEÑAR LOS MECANISMOS DESEGURIDAD Y CONTROL




4

Algunos de ellos son:

Diseño de autorización: en este ítem se deben definir los roles, permi-sos y privilegios de la aplicación. Diseño de autenticación: Aquí se debe diseñar el modo en el que losusuarios se van a autenticar, contemplando aspectos tales como los meca-nismos o factores de autenticación con contraseñas, tokens, certificados,etc. También, y dependiendo del tamaño de la organización, se puedepensar en la posibilidad de integrar la autenticación con servicios externoscomo LDAP, Radius o Active Directory y mecanismos que tendrá la aplica-ción para evitar ataques de diccionario o de fuerza bruta.

Diseño de los mensajes de error y advertencia: Al diseñar estos men-sajes se debe evitar que los mismos brinden demasiada información y que

ésta sea utilizada por atacantes.

Diseño de los mecanismos de protección de datos: Se debe contem-plar el modo en el que se protegerá la información sensible en tránsito oalmacenada; según el caso, se puede definir la implementación de encrip-ción, hashes o truncamiento de la información.

1. FUNDAMENTOS DE SEGURIDAD

Para definir estos dos términos se debe precisar que actualmente la per-

manencia y disponibilidad de los recursos en el planeta depende del apro-vechamiento, manejo y conservación sostenible que se haga de ellos.

Para hablar de seguridad en las tecnologías de la información, se debentener en cuenta TRES PILARES fundamentales sobre el manejo de losdatos y la prestación de los servicios, los cuales se pueden relacionar conla sigla C.I.A.

• Confidentiality (Confidencialidad): Indica que la información soloes revelada a usuarios autorizados en tiempos precisos, es decir SOLO

en horarios asignados.• Integrity (Integridad): Se refiere a la modificación de la información,

para ello se debe identificar muy bien los roles de los usuarios y asídefinir los niveles de acceso para la manipulación de los datos.





5

• Availability (Disponibilidad): Se refiere a la disponibilidad de lainformación. Para este proceso, desde el área técnica, se debenestablecer medidas de seguridad, cuyo objetivo fundamental es reducircualquier riesgo asociado, algunas de estas medidas de seguridad pueden ser:

• Identificación y autenticación de usuarios. • Control de flujo de información. • Confidencialidad. • Integridad. • No Autorización.

Estas medidas de seguridad se ponen en práctica mediante mecanismos deprotección como:

• Autenticación: Este término se refiere

a la verificación que se realiza a laidentidad del usuario; este procesogeneralmente se lleva a cabo cuando seingresa al sistema, a la red o a cualquierbase de datos.

Normalmente para ingresar a cualquiersistema informático se utiliza un nombrede usuario y una contraseña, aunqueactualmente se están utilizando técnicasmás seguras, como una tarjetamagnética, o por huellas digitales, lautilización de más de un método a la vezdisminuye el riesgo de ataques a laseguridad de la información.

Al momento de construir la contraseñade autenticación del sistema tenga encuenta las siguientes recomendaciones:

• Característica de la contraseña: Este aspecto se refiere al tamaño en

caracteres de la misma; en la medida que la contraseña contenga untamaño grande en caracteres y ésta sea compleja (conjunto de caracteresvariado, con minúsculas, mayúsculas y números) menor será la posibilidadde ser adivinada y más difícil será burlar esta técnica.

IngresoUsuarios registrados

INGRESAR

¿Olvidé mi contraseña?

¿Mi usuario está

Bloqueado o Inactivo?

Tipo de documento de identidad:

Número de documento:

Contraseña:





6

• Confidencialidad: La contraseña solo la debe manejar el usuario,no puede ser conocida por nadie más. Un error muy común, es quelos usuarios se prestan las contraseñas o que las escriben en unpapel y éste lo dejan pegado en el escritorio, lo que permite quecualquier otro usuario conozca la contraseña, comprometiendo a laempresa y al propio dueño.

Un problema muy común entre los usuarios, es que difícilmenterecuerdan contraseñas tan elaboradas. También es muy común quese utilicen palabras muy obvias como el nombre, el apellido, elnombre de usuario, el grupo musical preferido, la fecha denacimiento, etc., que facilitan la tarea a quién quiere ingresar alsistema sin autorización.

En la actualidad existe una preocupación especial por las

conservación y el logro de un desarrollo sostenible pero aun serequiere no solo de un nivel de conciencia e información, sino deacciones puntuales y claras que apunten a resolver los problemas dedeterioro ambiental que cada ves son mas graves y ponen en riesgoel equilibrio y la estabilidad de todos en el planeta.

•Control de Acceso: Todos los sistemas que no sean de libre accesodeberán contar con control de acceso basado en roles. La autorizacióndeberá realizarse sobre el mismo sujeto que se autentica o también podrárequerirse mayor información que permita obtener la autorización congranularidad más fina, lo que implica que se adquieren muchos recursos

para administrar el bloqueo, pero se asegura la consistencia de los datos.

Usuarios Rol

Registrar

Tipos de Permisos

Consultar

Modificar

Procesar





7


• Cifrado de Datos: Mediante la evaluación de riesgos se identificaráel nivel requerido de protección, tomando en cuenta el tipo y la calidaddel algoritmo de cifrado utilizado y la longitud de las clavescriptográficas a utilizar.

• Firma Digital: Las firmas digitales proporcionan un medio de protecciónde la autenticidad e integridad de los documentos electrónicos. Seimplementan mediante el uso de una técnica criptográfica sobre la basede dos claves relacionadas de manera única, donde una clave,denominada privada, se utiliza para crear una firma y la otra, denominadapública, para verificarla.

10 1 1 0 0 1 0 1 1 0

1 1

0 1 0 1 1 0 1 0 1 0 0 1 0 1 1 0 1 0 0

1010 1 1 0 0 1 0 1 1 0

1 1

0 1 0 1 1 0 1 0 1 0 0 1 0 1 1 0 1 0 0

10

MensajeOriginal.

Comparaciónde resultados.

JUAN

Hash

Hash

MARIO

resumen

resumen

resumen

resumen

Cifrado delresumen conclave privada.

Descifrado delresumen conclave pública.

Obtención delresumen demensaje.

El resumencifrado es lafirma digitaldel mensaje.

Mensajefirmado.

E N V I O

R E C E P C I Ó N

resumen

resumen

1

2

3

4

56




8


• Controles Criptográficos: Se utilizarán sistemas y técnicascriptográficas para la protección de la información en base a unanálisis de riesgo efectuado, con el fin de asegurar una adecuadaprotección de su confidencialidad e integridad.

• Servicios de No Repudio: Estos servicios se utilizarán cuando seanecesario resolver disputas acerca de la ocurrencia de un evento oacción. Su objetivo es proporcionar herramientas para evitar queaquél que haya originado una transacción electrónica niegue haberla

efectuado.

Texto Claro Texto Claro

Algoritmo deEncriptación

Algoritmo deDesencriptación

TextoEncriptado

resumen

Mensaje

Algoritmo deresumen de

mensaje

Comprobaciónde firma

(clave públicadel que envía)Clave privada

del que envia

Resumen delmensaje Encriptación




9


2. CONTROLES DE SEGURIDAD

Para hablar de controles de seguridad es indispensable tomar comoreferente la norma ISO27001- Sistema de Gestión de Seguridad de laInformación.

“La norma ISO 27001 define cómo organizar la seguridad de lainformación en cualquier tipo de organización, con o sin fines de lucro,privada o pública, pequeña o grande. Es posible afirmar que esta normaconstituye la base para la gestión de la seguridad de la información”

Esta norma se podría resumir mediante el siguiente grafico:

Políticas de

SeguridadOrganización de la

Seguridad

Clasificación yControl de Activos

Control deAccesos

Seguridad delPersonal

SeguridadFísica

Desarrollo yMantenimiento de

Sistemas

Gestión deComunicaciones y

Operaciones

Administración dela continuidaddel Negocio

Cumplimiento

Gestión deIncidentes de

Seguridad




10


• Políticas de Seguridad: Busca proporcionar dirección y apoyogerencial para el proceso de seguridad de la información brindando loslineamientos necesarios a cumplir para alcanzar los objetivos delnegocio.

• Organización de la Seguridad: Busca administrar la seguridad de lainformación dentro de la organización mediante el establecimiento de unmarco gerencial para iniciar y controlar la implementación de laseguridad de la información.

• Clasificación y Control de Activos: El objetivo es mantener unaadecuada protección de los activos de la organización.

• Control de Acceso: Se debe controlar el acceso a la información y losprocesos de negocio tomando como referencia los requerimientos de la

seguridad y los negocios. Actualmente se tienen disponibles recursoscomo los firewalls, los VPN, las IPS y los dispositivos biométricos.

• Seguridad del Personal: Se centra en reducir los riesgos de errorhumano, robo, fraude o uso inadecuado de instalaciones mediante ladefinición de responsabilidades del personal con respecto a la seguridadde la información y definición de criterios de selección del personal.

En este aspecto es importante incluir cláusulas de confidencialidad ybuen uso de la información en los contratos de trabajo.

• Seguridad Física y Ambiental: Se debe impedir accesos noautorizados, daños e interferencia a las sedes y centros informáticos dela empresa.

• Desarrollo y Mantenimiento de Sistemas: Se debe asegurar que laaplicación pueda funcionar correctamente SIEMPRE y sin ataques deintrusos, para ello se deben incorporar medidas de seguridad en la capade negocios.

• Gestión de Comunicaciones y Operaciones: Busca garantizar el

funcionamiento correcto y seguro de las instalaciones de procesamientode información, para ello se deben establecer responsabilidades para elprocedimiento y gestión de todas las instalaciones de procesamiento.




11


• Administración de la Continuidad de los Negocios: Se deben definirestrategias para contrarrestar las interrupciones de las actividadescomerciales. Y proteger los procesos críticos de los negocios, de losefectos de fallas significativas o desastres que puedan ocurrir.

• Cumplimiento: Se debe garantizar la compatibilidad del sistema degestión de seguridad de la información con las leyes del derecho civil ypenal.

• Gestión de Incidentes de Seguridad: Este tópico busca minimizar elimpacto causado por un riesgo de seguridad ya materializado, es decirocurrió una falla de seguridad. Para ello se deben definir procedimientosmuy claros que permitan realizar la investigación e identificar el origendel riesgo.

Dependiendo del tamaño de la organización se habla de computaciónforense y se manejan Equipos de respuesta a incidentes los cuales,actualmente, toman como referente una serie de documentos de interésgeneral sobre seguridad de la información, conocidos como “serie 800del NIST”, algunas de ellas son, NIST SP800-61 Y NIST SP800-94.

3. SEGURIDAD EN PLATAFORMAS

Los capítulos correspondientes al “control de Acceso” y “Gestión deComunicaciones y Operaciones” de la norma ISO 27001, son losencargados de presentar algunos parámetros a tener en cuenta almomento de definir protocolos para asegurar la seguridad de lasplataformas de la organización.

Es de vital importancia el análisis de riesgos a las plataformas paraminimizarlos adecuadamente con medidas de arquitectura de seguridad,algunos de los aspectos a considerar son:

3.1. Desde el Punto del Control de Accesos, se deben definirestrategias para:

• La administración de acceso a los usuarios. • Control de acceso al Sistema Operativo. • Control de acceso a las aplicaciones.




12


Recuerde que desde el momento que se inicia el proceso de definición derequerimientos y el análisis de procesos y datos, se identifican diferentesactores con sus respectivas responsabilidades, las cuales dependen delcargo en la organización. Es de ese análisis de donde salen los perfiles y

permisos que van a configurarse en el sistema de información, los accesosa los datos y los horarios en los cuales se van a utilizar las herramientasinformáticas.

Se redactarán procedimientos necesarios para:

• Las claves deben tener fechas de inicio y caducidad de vigenciadefinidas, de tal manera que sólo puedan ser utilizadas por el lapsodefinido (se recomienda que no sea mayor a 12 meses).

• Almacenar claves, incluyendo la forma de acceso a las mismas por partede los usuarios autorizados.

• Cambiar o actualizar claves, incluyendo reglas sobre cuándo y cómodeben cambiarse las claves.

• Distribuir claves de forma segura a los usuarios que corresponda,incluyendo información sobre cómo deben activarse cuando se reciban.

Opc.2Opc.3 Opc.4 Opc.4 Opc.4Opc.2

Opc.3+

Opc.4

Opc.1

Opc.2

Opc.3

Opc.4

Opc.2Opc.3

ROL‘XXXXX’

Opc.1

Opc.2

Opc.3

Opc.4

ROL‘YYYYY’




13


• Generar claves para diferentes sistemas criptográficos y diferentesaplicaciones.

• Recuperar claves pérdidas o alteradas como parte de la administración

de la continuidad de las actividades del Organismo, por ejemplo para larecuperación de la información cifrada.

• Registrar y auditar las actividades relativas a la administración de claves.

• Revocar claves, incluyendo cómo deben retirarse o desactivarse lasmismas, por ejemplo cuando las claves están comprometidas o cuandoun usuario se desvincula del Organismo (en cuyo caso las clavestambién deben archivarse).

3.2. Desde el Punto de Comunicaciones y Operaciones, se deben

tener en cuenta los siguientes parámetros:

• Control de cambio de las operaciones• Procedimiento de manejo de incidentes• Separación de funciones• Separación de ambientes de desarrollo, pruebas y producción.• Instalación de nuevos servidores• Controles contra software malicioso• Registro de actividades de los usuarios administradores• Registro de fallas• Eliminación de medios de almacenamiento• Seguridad del comercio electrónico• Seguridad del correo electrónico• Seguridad en los equipos de oficina

En este aspecto es clave tener presente que al usuario (actor) del sistemase le asignaran permisos dependiendo de los procesos que maneje.




14


Un ejemplo muy puntual es el aplicativo SOFIA PLUS, al actor aprendiz sele permite Consultar constancias y horarios, Registrar (GUARDAR) evidencias en las fechas estipuladas, Actualizar evidencias una vez elinstructor le ha configurado una nueva disponibilidad para la evidencia, yno está permitido Eliminar nada.

El actor instructor puede Consultar las evidencias enviadas por elaprendiz, Guardar y Actualizar el centro de calificaciones y tampocotiene permitido realizar Borrado de datos en el sistema.

Estos permisos se deben definir muy bien para asegurar los datos.

4. SEGURIDAD DE SISTEMAS OPERATIVOS

Los sistemas operativos (S.O) son el nivel base de seguridad para elacceso de servicios informáticos en una empresa, ellos manejan unmodelo de autenticación, cuyo fin es el controlar el acceso principal a lasmáquinas y permitir el uso de información de las mismas.

Los S.O tienen una serie de servicios que abren vulnerabilidades deseguridad en las plataformas; estas vulnerabilidades pueden sercontroladas mediante configuraciones especiales en el Sistema Operativo.

Antes de realizar estas configuraciones, pensemos ¿Cómo combinar elmodelo de autenticación, servicios inseguros y controles de acceso de talmanera que los riesgos resultantes sean mínimos y minimizados?




15


La respuesta se encuentra en la LINEA BASE DE SEGURIDAD (LBS),donde se define la configuración de seguridad necesaria para que, sin eluso de medidas adicionales de arquitectura de seguridad como firewalls eIPS, los riesgos de seguridad de la plataforma sean minimizados.

La LBS incluye la revisión del modelo de autenticación, los servicios desistema operativo necesarios para la máquina y el esquema de permisospara los recursos del sistema operativo. Existen herramientas que brindanplantillas con algunas medidas para implantar en cada ambiente o sistemaoperativo, algunas son:

NIST 800-68: Establece la línea base de seguridad para Windows XPBastille Linux: Establece la línea base de seguridad para LinuxSolaris Security toolkit: Establece la línea base de seguridad para Solaris.

Es importante aclarar que las plantillas se aplican de acuerdo con lainfraestructura de la empresa, y que las medidas de seguridad dependende la empresa.

Adicional a las medidas a implantar, en cada ambiente se deberán realizarlos controles necesarios para garantizar el control de acceso a los recursosdel sistema. Los sistemas deberán acceder únicamente a los archivos queles pertenecen para garantizar la protección de los archivos en el discoduro, ningún programa podrá acceder a archivos y/o carpetas en lossistemas que no sean de su propiedad.

Esto deberá cumplirse independientemente del lugar donde se encuentrenalojadas las aplicaciones; que pueden ser, en Servidores de Aplicaciones oen Computadoras de Escritorio. Los archivos propios de cada aplicacióndeberán guardarse en lugares predefinidos.

Para el caso de las aplicaciones de escritorio, deberá definirse desde elsistema operativo, un lugar con capacidad de guardar los archivos de lasaplicaciones (carpeta dedicada para la aplicación) con el fin de evitar quese le deban dar derechos especiales para la ejecución de estos programas.Se debe evitar la escritura de archivos en el disco duro en la ruta raíz.

En el caso de las aplicaciones alojadas en servidores deberá acordarse unlugar donde la aplicación deberá acceder, Los servidores de aplicacionessolo deberán acceder a los archivos que le pertenecen, y deberámantenerse el debido aislamiento entre las aplicaciones de un mismoservidor de aplicaciones y entre los recursos que utilizan.




16


RECURSOS BIBLIOGRÁFICOS

Evaluación de la Seguridad de los Sistemas Informáticos. Consultada el2 de julio de 2013, disponible enhttp://www.slideshare.net/vidalcruz/evaluacion-de-la-seguridad-de-los-sistemas-informaticos

Introducción a la Seguridad Informática. Consultada el 15 de julio de2013,Disponible enhttp://recursostic.educacion.es/observatorio/web/es/software/software-general/1040-introduccion-a-la-seguridad-informatica?

Seguridad de la Información. Consultada el 16 de julio de 2013,disponible enhttp://csrc.nist.gov/publications/PubsSPs.html

Villalon Huerta, Antonio (2007). Seguridad de los sistemas deinformación, consultada en julio de 2013

Gutierrez, Pedro (2013). ¿Qué son y para qué sirven los hash?:funciones de resumen y firmas digitales, consultado en julio de 2013,

disponible en:http://www.genbetadev.com/seguridad-informatica/que-son-y-para-que-sirven-los-hash-funciones-de-resumen-y-firmas-digitales

Aeris (2008), Encripción. Consultado en julio de 2013 y disponible enhttp://www.aeris.cc/aeris/cfm/ayuda.cfm?Id=Aeris-5-2-2&Tipo=child&Padre=Aeris-5-2

Es.Wikipedia.org




17


GLOSARIO

Autenticación: verificación que se realiza a la identidad del usuario.

Availability: Disponibilidad.

Confidentiality: Confidencialidad.

Directorio activo: Active Directory (AD) es el término que usaMicrosoft para referirse a su implementación de servicio de directorio enuna red distribuida de computadores. Su estructura jerárquica permitemantener una serie de objetos relacionados con componentes de unared, como usuarios, grupos de usuarios, permisos y asignación de

recursos y políticas de acceso.

Encripción: Es un proceso para convertir la información a un formatomás seguro. En otras palabras, los datos que están en un formato claro,o sea entendible, se convierten mediante un proceso matemático a unformato encriptado o codificado, o sea ininteligible. Una vez que llegan asu destino, se decodifican para poder ser legibles de nuevo, sedesencriptan.

Firma digital: Proporcionan un medio de protección de la autenticidade integridad de los documentos electrónicos.

Granularidad fina: Implica que se adquieren muchos recursos paraadministrar el bloqueo, pero se asegura la consistencia de los datos.

Hashes: Los hash o funciones de resumen son algoritmos queconsiguen crear a partir de una entrada (ya sea un texto, unacontraseña o un archivo, por ejemplo) una salida alfanumérica delongitud normalmente fija que representa un resumen de toda lainformación que se le ha dado (es decir, a partir de los datos de laentrada crea una cadena que sólo puede volverse a crear con esos

mismos datos).

Integrity: Integridad.




18


ISO27001: Sistema de Gestión de Seguridad de la Información.

Ladp: Son las siglas de Lightweight Directory Access Protocol (enespañol Protocolo Ligero de Acceso a Directorios) que hacen referencia aun protocolo a nivel de aplicación que permite el acceso a un servicio dedirectorio ordenado y distribuido para buscar diversa información en unentorno de red.

L.B.S: Línea Base de Seguridad.

NIST: National Institute of Standards and Technology.

Radius: Acrónimo en inglés de Remote Authentication Dial-In UserServer, es un protocolo de autenticación y autorización para aplicacionesde acceso a la red o movilidad IP. Utiliza el puerto 1812 UDP paraestablecer sus conexiones.

Serie 800 del NIST: Serie de documentos de interés general sobreseguridad de la información.

Sistemas Operativos: Son el nivel base de seguridad para el acceso deservicios informáticos en una empresa.

Token: También llamado componente léxico, es una cadena decaracteres que tiene un significado coherente en cierto lenguaje deprogramación. Ejemplos de tokens podrían ser palabras clave (if, else,while, int, ...), identificadores, números, signos, o un operador de varioscaracteres, (por ejemplo, :=).



19


Atribución, no comercial, compartir igual

Este material puede ser distribuido, copiadoy exhibido por terceros si se muestra en loscréditos. No se puede obtener ningún ben-eficio comercial y las obras derivadas tienenque estar bajo los mismos términos delicencia que el trabajo original.

OBJETO DEAPRENDIZAJE

Desarrollador de contenidoExperto temático

Asesor Pedagógico

Productor Multimedia

Programadores

Líder expertos temáticos

Líder línea de producción Santiago Lozada Garcés

Ana Yaqueline Chavarro Parra

Daniel Eduardo Martínez Díaz

José Jaime Luis Tang PinzónVictor Hugo Tabares Carreño

Rafael Neftalí Lizcano ReyesClaudia Milena Hernández

Magda Milena García Gamboa

Diseñar los mecanismos deSeguridad y Control

12.0diseño de mecanismos de seguridad y control

Documents