danny alejandro garzÓn aristizabalrepository.udistrital.edu.co/bitstream/11349/2424/1... ·...

CREACIÓN, IMPLEMENTACION Y EVALUACIÓN DE LA POLÍTICA DESEGURIDAD DE BASE DE DATOS PARA LOS AMBIENTES DE PRODUCCIÓNDEL INSTITUTO COLOMBIANO PARA LA EVALUACIÓN DE LA EDUCACIÓN

"ICFES"

DANNY ALEJANDRO GARZÓN ARISTIZABAL

UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS

FACULTAD DE INGENIERÍA

INGENIERÍA DE SISTEMAS

BOGOTÁ D.C.

2015

CREACIÓN, IMPLEMENTACION Y EVALUACIÓN DE LA POLÍTICA DESEGURIDAD DE BASE DE DATOS PARA LOS AMBIENTES DE PRODUCCIÓNDEL INSTITUTO COLOMBIANO PARA LA EVALUACIÓN DE LA EDUCACIÓN

"ICFES"

DANNY ALEJANDRO GARZÓN ARISTIZABAL

CÓD. 20061020028

Documento de tesis presentado como modalidad de trabajo de grado para optar altítulo de ingeniero de sistemas.

Director:PhD. CARLOS ENRIQUE MONTENEGRO MARIN

UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS

PROYECTO CURRICULAR DE INGENIERÍA DE SISTEMAS BOGOTÁ D.C.

INGENIERÍA DE SISTEMAS

BOGOTÁ D.C.

2015

NOTA DE ACEPTACIÓN

__________________________________

__________________________________

__________________________________

__________________________________

__________________________________

DIRECTOR DE TESIS

__________________________________

JURADO

AGRADECIMIENTOS

En primer lugar quiero agradecer a mi familia, que siempre estuvo a mi lado cada

segundo apoyando e incentivando para que todo saliera bien durante el desarrollo

de esta tesis.

A los compañeros y compañeras del Instituto Colombiano para la evaluación de la

educación superior "ICFES". En especial a mi directora externa Erika Villamizar y

a mis compañeros de la universidad, que siempre aportaron con su conocimiento

en aquellos momentos que fue necesario preguntar. En especial a Freddy Orozco

quien siempre estuvo allí para aconsejarme y ayudarme a encontrar soluciones a

los problemas.

A los profesores del proyecto curricular de ingeniería de sistemas, en especial a mi

director de tesis Carlos Montenegro por creer y brindarme su apoyo en este

proyecto.

Y a todas esas personas que de alguna forma influyeron, aportaron e hicieron que

este sueño fuese realidad.

CONTENIDO

pág.

AGRADECIMIENTOS ............................................................................................. 4LISTA DE ILUSTRACIONES................................................................................... 7LISTA DE TABLAS.................................................................................................. 8INTRODUCCIÓN .................................................................................................. 101. PLANTEAMIENTO DEL PROBLEMA ............................................................ 112. JUSTIFICACIÓN ............................................................................................ 133. OBJETIVOS ................................................................................................... 15

3.1 Objetivo General ..................................................................................... 153.2 Objetivos Específicos.............................................................................. 15

4. ALCANCES Y LIMITACIONES ...................................................................... 164.1 Alcances ................................................................................................. 164.2 limitaciones ............................................................................................. 17

5. MARCO TEÓRICO ........................................................................................ 185.1 Norma ISO 27001 ................................................................................... 185.2 Seguridad en base de datos ................................................................... 195.3 Arquitectura de bases de datos .............................................................. 205.4 Oracle ..................................................................................................... 20

5.4.1 Arquitectura De Oracle ...................................................................... 205.5 SQL Injection .......................................................................................... 225.6 Imperva SecureSphere Database........................................................... 23

6. METODOLOGÍA ............................................................................................ 266.1 Planear.................................................................................................... 276.2 Hacer ...................................................................................................... 276.3 Verificar................................................................................................... 286.4 Actuar...................................................................................................... 28

7. CREACIÓN DE LA POLITICA........................................................................ 307.1 Fase 1: Planear....................................................................................... 30

7.1.1 Definición del objetivo y alcance de la política................................... 307.2 Fase 2: Hacer ......................................................................................... 31

7.2.1 Levantamiento del Inventario de Activos ........................................... 317.2.2 Activos de Información ...................................................................... 32

7.2.2.1 Activos asociados con la Información ......................................... 357.2.3 Análisis de riesgos, amenazas y vulnerabilidades............................. 38

7.2.3.1 Identificación de las amenazas ................................................... 397.2.3.2 Identificación de las vulnerabilidades. ......................................... 43

7.2.4 Establecimiento de controles para mitigar los riesgos amenazas yvulnerabilidades ............................................................................................. 44

7.3 Fase 3: Verificar ...................................................................................... 567.3.1 Establecer la medición de la eficacia de los controles....................... 567.3.2 Definición de los procedimientos, estándares, normas y políticas deuso que sustentan la política. ......................................................................... 597.3.3 Desarrollo de un plan de auditoria ..................................................... 63

7.4 Fase 4: Actuar......................................................................................... 647.4.1 Afinamiento a la definición de la política............................................ 647.4.2 Campaña de divulgación de la política .............................................. 64

8. CONCLUSIONES .......................................................................................... 68REFERENCIAS..................................................................................................... 69ANEXO A. Política de Seguridad de Bases de Datos ........................................... 71

LISTA DE ILUSTRACIONES

pág

Ilustración 1. Cantidad de empresas que han certificado el cumplimiento de lanorma ISO 27001 en los años 2007-2012 [6]........................................................ 19

Ilustración 2. Esquema de arquitectura de Oracle [7].......................................... 21

Ilustración 3. Topología de conexión del firewall de base de datos IMPERVA en elICFES [8]............................................................................................................... 24

Ilustración 4. Imagen de la campaña de divulgación de la política de base dedatos, acerca de los incidentes de seguridad........................................................ 66

8

LISTA DE TABLAS

pág

Tabla 1. Clasificación de los tipos de activos de información y relacionados con lainformación............................................................................................................ 32

Tabla 2. Clasificación de los tipos de activos de información y relacionados con lainformación............................................................................................................ 32

Tabla 3. Definición de los responsables de la información. .................................. 33

Tabla 4. Definiciones para determinar la criticidad de los activos respecto a laconfidencialidad, integridad y disponibilidad.......................................................... 34

Tabla 5. Organización de los objetos de la base de datos por su función dentro dela operación del instituto........................................................................................ 35

Tabla 6. Organización de los objetos de la base de datos por su función dentro dela operación del instituto........................................................................................ 36

Tabla 7. Activos relacionados con la información de tipo software. ...................... 36

Tabla 8. Activos relacionados con la información de tipo servicios....................... 37

Tabla 9. Activos relacionados con la información de tipo personas. ..................... 37

Tabla 10. Activos relacionados con la información de tipo otros........................... 38

Tabla 11. Amenazas por errores y fallos no intencionados. ................................. 41

Tabla 12. Amenazas relacionadas con ataques intencionados. ........................... 43

Tabla 13. Vulnerabilidades de los activos asociados con las bases de datos. ..... 44

Tabla 14. Controles incluidos en la definición de la política y su relación con lasamenazas que busca mitigar................................................................................. 50

Tabla 15. Controles incluidos en la definición de la política y su relación con lasvulnerabilidades que busca mitigar. ...................................................................... 51

Tabla 16. Controles incluidos en el firewall para mitigar las amenazas al interiordel data center....................................................................................................... 53

9

Tabla 17. Controles incluidos en el firewall para mitigar las vulnerabilidades alinterior del data center........................................................................................... 53

Tabla 18. Controles incluidos en el firewall para mitigar las amenazasprovenientes de conexiones externas al data center. ........................................... 55

Tabla 19. Controles incluidos en el firewall para mitigar las vulnerabilidadesprovenientes de conexiones externas al data center. ........................................... 55

Tabla 20. Medición de la eficacia de los controles implementados para mitigar laamenaza de abuso de privilegios de acceso......................................................... 58

10

INTRODUCCIÓN

El Instituto Colombiano para la Evaluación de la Educación "ICFES", es una

entidad especializada en ofrecer servicios de evaluación de la educación en todos

sus niveles, y en particular apoya al Ministerio de Educación Nacional en la

realización de los exámenes de Estado y en adelantar investigaciones sobre los

factores que inciden en la calidad educativa, para ofrecer información pertinente y

oportuna para contribuir al mejoramiento de la calidad de la educación.

El Instituto tiene bajo su responsabilidad realizar y evaluar los Exámenes de

estado de la educación Media (Saber 11°) y Superior (Saber Pro). También está al

frente de la evaluación periódica de la educación Básica (Saber 3°, 5°y 9°); y de la

participación, a nombre de Colombia, en las evaluaciones internacionales y

estudios comparativos regionales [1].

Por la naturaleza de sus actividades la información es el principal activo para el

instituto; lo que pone como eje central de las actividades las bases de datos, la

forma en que estas son gestionadas y la información allí contenida. Por este

motivo además de la obligación de cumplir la normatividad vigente de la protección

de datos personales. Ley Estatutaria 1581 de 2012. El ICFES ha descubierto la

necesidad de fortalecer la seguridad de las bases de datos, los sistemas que la

gestionan, los entornos de desarrollo que realizan transacciones sobre ella y los

usuarios que las acceden.

El presente documento está elaborado de conformidad con las normas IEEE para

trabajos escritos [2].

11

1. PLANTEAMIENTO DEL PROBLEMA

El instituto colombiano para la evaluación de la educación. ICFES cuenta

actualmente con un servidor en el cual se encuentran alojadas dos bases de datos

en ambientes separados. "Interactivo" y "Prisma" en estas bases de datos se

almacena la información de los resultados y los registros de las personas que han

presentado o están inscritos para presentar los exámenes de las pruebas: saber

3°, 5°, 9°, Pre-Saber 11°, saber 11°, validación del bachillerato, Saber Pro,

Concursos docentes, Policía Nacional y Evaluaciones internacionales.

Actualmente la información almacenada en la base de datos "Interactivo" cuenta

con registros de las pruebas que fueron realizadas desde el año 1978 hasta el

segundo semestre del año 2004. Año a partir del cual se empezaron a almacenar

los nuevos registros en la nueva base de datos "Prisma" hasta el segundo

semestre del 2014.

La información almacenada en la base de datos "interactivo" se ha venido

migrando a la base de datos "Prisma". Y el objetivo es migrar toda la información a

esta base de datos. Para la base de datos "interactivo" existe una política de

seguridad. Sin embargo para la nueva base de datos "Prisma" no se tiene

definida una política de seguridad.

Debido a que la base de datos Prisma y los sistemas que la gestionan permiten el

manejo de la información del ICFES y la información es uno de los principales

activos para el instituto es fundamental gestionar dicha información de manera

eficiente, efectiva y segura. Por esta razón se debe crear e implementar una

política de seguridad para las Bases de datos del ambiente Prisma que asegure

mantener la integridad, confidencialidad y disponibilidad de los sistemas. Para

cumplir con estos objetivos se definen los aspectos más importantes que deberá

contemplar dicha política:

12

Seguridad de la plataforma de las Bases de datos, Seguridad de los usuarios de la

base de datos, Seguridad de las contraseñas de las bases de datos, Seguridad de

las conexiones a las bases de datos, Integridad de las bases de datos, Auditoria

de las Bases de datos.

Otro aspecto de seguridad a tener en cuenta es que este servidor de base de

datos se encuentra en un data center externo a la entidad; lo cual implica riesgos

de fuga de información debido a que la empresa que provee el servicio de

instalaciones tiene las credenciales del usuario administrador de la base de datos.

Para apoyar con el cumplimiento y seguimiento de la política de seguridad de la

base de datos se ha adquirido una herramienta (Firewall perimetral de la base de

datos) llamada IMPERVA SecureSphere Database. Con la cual se busca

implementar y hacer seguimiento a las medidas de seguridad planteadas en la

definición de la política. Para mitigar las diferentes vulnerabilidades.

13

2. JUSTIFICACIÓN

Las bases de datos del instituto colombiano para la evaluación de la educación

ICFES almacenan datos sensibles como se define en la ley estatutaria 1581 de

2012 en la cual se entiende por datos sensibles aquellos que afectan la intimidad

del Titular o cuyo uso indebido puede generar su discriminación, tales como

aquellos que revelen el origen racial o étnico, la orientación política, las

convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones

sociales, de derechos humanos o que promueva intereses de cualquier partido

político o que garanticen los derechos y garantías de partidos políticos de

oposición así como los datos relativos a la salud, a la vida sexual y los datos

biométricos [3]. Para los cuales la ley exige que bajo ninguna circunstancia

pueden ser revelados. Además almacenan información acerca de puntajes de

varias asignaturas en diferentes niveles de educación, resultados de pruebas para

habilidades especificas, clasificación de instituciones educativas de todos los

niveles en Colombia, resultados de concursos docentes, resultados de exámenes

de la Policía Nacional e información acerca de la validación del bachillerato.

Información que hace que las bases de datos sean atractivas para cualquier

atacante.

Un servicio con deficiencias de seguridad puede resultar en un ataque que

consiga una denegación de servicio, que se cambie la página web de la compañía

o que se obtenga un control total de la red interna, es decir, una amenaza para

todos los clientes de la misma. Se pueden encontrar numerosos ejemplos de ello.

No es que no exista abundante documentación anterior al 2011, pero quizá dicho

año ha sido especialmente significativo en lo que se refiere a la popularización de

ataques dirigidos contra grandes compañías y entidades más allá del afán de lucro

o de obtención de “reputación” habitual entre los hackers “buenos”. Grupos

heterogéneos como Anonymous o Lulzsec consiguieron evitar los controles de

14

seguridad existentes en compañías y entidades de talla mundial, publicando

posteriormente los datos obtenidos [4].

Debido a la importancia de la información almacenada en las bases de datos del

ICFES este debe cumplir ciertos estándares de seguridad de la información como

el cumplimiento de la norma ISO 27001. Norma en la cual el ICFES busca obtener

una certificación de cumplimiento.

Para obtener esta certificación el instituto deberá implementar una serie de

políticas. Entre ellas una de seguridad de bases de datos; que contenga

procedimientos y controles a los cuales se les pueda hacer un seguimiento de

cumplimiento.

15

3. OBJETIVOS

3.1 Objetivo General

Crear, implementar y evaluar la política de seguridad de base de datos para el

ambiente Productivo del Instituto Colombiano para la Evaluación de la Educación

"ICFES".

3.2 Objetivos Específicos

Crear una política de seguridad que permita definir la correcta utilización de las

bases de datos del ambiente productivo del ICFES, estableciendo los

lineamientos de seguridad sobre la información que almacena el instituto.

Definir los procedimientos y protocolos que se deben seguir para el uso seguro

de las bases de datos del ambiente productivo.

Implementar la política de seguridad de base de datos del ambiente productivo

del ICFES apoyada por la herramienta IMPERVA Secure Sphere Database.

Configurar controles en el firewall de base de datos para realizar el

seguimiento y cumplimiento de la política de base de datos.

Verificar que los controles implementados en IMPERVA apoyen el

cumplimiento de la política de base de datos.

16

4. ALCANCES Y LIMITACIONES

4.1 Alcances

La finalidad del proyecto es definir una política de seguridad para las bases de

datos productivas del ICFES y realizar el seguimiento de la misma. Esta política

aplicará para el servidor de la base de datos productiva "Prisma" alojada en un

data center externo al instituto, los sistemas que la gestionan, los entornos de

desarrollo que realizan transacciones sobre ella y los usuarios activos en el

sistema gestor de base de datos Oracle 11g.

Para el desarrollo de este proyecto se deben realizar los siguientes entregables:

Documento con la definición de los alcances y objetivos de la política.

Documento con la clasificación de los activos de información de la base de

datos "Prisma".

Documento del inventario de la infraestructura que soporta la base de datos

"Prisma".

Documento con la descripción de los riesgos, amenazas y vulnerabilidades

asociados a los activos de información y la infraestructura que soporta la base

de datos "Prisma".

Documento con la descripción de los controles para mitigar los riesgos

amenazas y vulnerabilidades.

Documento que recopile la medición de la eficacia de los controles.

Documento con la definición de los procedimientos y normas que sustentan la

política.

Documento donde se describa un plan de auditoría para la política.

Documento final con la definición de la política con los ajustes sugeridos

después de la auditoria.

17

4.2 limitaciones

El tiempo dispuesto para la ejecución del proyecto es de 13 semanas de trabajo

(520 horas, calculadas a razón de 8 horas diarias de lunes a viernes) y no podrá

extenderse, debido a que es necesario tener la política afinada cuando se termine

el proceso de migración a la base de datos "Prisma" y los controles de seguridad

deben estar funcionando adecuadamente.

Otra limitación es el acceso físico al servidor de datos debido a que se encuentra

alojado en un data Center externo al instituto y la administración depende

exclusivamente del personal que éste disponga para dicho fin.

18

5. MARCO TEÓRICO

5.1 Norma ISO 27001

ISO 27001 es una norma internacional emitida por la Organización Internacional

de Normalización (ISO) y describe cómo gestionar la seguridad de la información

en una empresa. Esta norma puede ser implementada en cualquier tipo de

organización, con o sin fines de lucro, privada o pública, pequeña o grande. Está

redactada por los mejores especialistas del mundo en el tema y proporciona una

metodología para implementar la gestión de la seguridad de la información en una

organización. También permite que una empresa sea certificada; esto significa que

una entidad de certificación independiente confirma que la seguridad de la

información ha sido implementada en esa organización en cumplimiento con la

norma ISO 27001[5].

ISO 27001 se ha convertido en la principal norma a nivel mundial para la

seguridad de la información y muchas empresas han certificado su cumplimiento;

en la ilustración 1 se puede ver la cantidad de certificados en los últimos años [6]:

19

Ilustración 1. Cantidad de empresas que han certificado el cumplimiento de la

norma ISO 27001 en los años 2007-2012 [6].

5.2 Seguridad en base de datos

Las bases de datos están en todas partes. Es así de simple, son el almacén de la

información de uso diario para prácticamente todo. Almacenan datos bancarios,

médicos, el censo de la población, antecedentes penales y los datos de la

declaración de la renta. No hay ninguna organización o empresa que no haga uso

de un modo u otro de una base de datos, por lo que está claro que son una pieza

clave y jugosa para cualquier atacante, ante la que cualquier medida de protección

es poca. Esto no sería un gran problema si nuestras bases de datos se

encontraran guardadas en una caja de seguridad en un lugar desconocido, pero

entonces tampoco serían muy útiles. Las bases de datos forman parte de un

ecosistema desde el cual se permite el acceso a la información que contienen a

ciertos usuarios. Dentro de este ecosistema casi siempre encontramos un

aplicativo web, en la práctica la totalidad de servicios web utilizan de un modo u

otro una base de datos. Es por ello que ambos mundos están íntimamente

interrelacionados y por lo que cuando pensamos en seguridad no podemos

considerar dichos elementos como aislados [4].

20

5.3 Arquitectura de bases de datos

Existe un principio que formula que la base de datos más segura es la que mejor

se conoce. La elección debe ser un compromiso entre necesidad y funcionalidad

que ofrece cada arquitectura, y una vez hecha la elección entre la oferta del

mercado, estudiar en profundidad la misma para lograr un nivel óptimo de

seguridad [4].

Para el caso de las bases de datos del ICFES están diseñadas y gestionadas

bajo una arquitectura Oracle.

5.4 Oracle

Probablemente, Oracle es la base de datos más conocida y popular del mundo.

Una muestra de su popularidad es que se encuentra presente en 98 de las 100

industrias incluidas en el top 100 de Fortune. Fue uno de los primeros vendedores

del mercado y se ejecuta en una gran cantidad de plataformas, esto proporciona

un muy buen producto, lo que explica su popularidad. Sin embargo, ha tenido un

historial de problemas relacionado con la gran cantidad de funcionalidades que

proporciona. En especial, inyección de PL/SQL (el lenguaje de scripting

proporcionado por el producto) y desbordamientos de búfer en distintas partes de

código han sido algunos de los principales problemas históricos de este producto

[4].

5.4.1 Arquitectura De Oracle

Aunque la arquitectura específica para cada una de las versiones de Oracle es

distinta, existen una serie de conceptos que constituyen el esqueleto de una base

de datos Oracle heredados desde la versión 7 hasta las más recientes. esto

incluye la versión 11g [4], que es la versión que soporta las base de datos del

"ICFES" actualmente.

21

Ilustración 2. Esquema de arquitectura de Oracle [7].

En la ilustración 2. Se observan los participantes en una base de datos Oracle

como se definen en [7].

Proceso de usuario: Se conecta al servidor para interactuar con la base de

datos.

Proceso del servidor: Escucha los procesos de usuario y realiza las peticiones

a una instancia de la base de datos.

PGA (program global area): Memoria reservada para un proceso de usuario.

Se libera al morir la sesión.

Instancia: Conjunto de procesos tanto lógicos como de control para acceder a

los datos en sí, almacenados en ficheros físicos. Accede a una y sólo una base

de datos. Dentro de la instancia hay una serie de subprocesos como se

detallan en [7]:

SMON (system monitor): Recupera la instancia al arrancar la base de datos.

PMON (process monitor): Monitoriza los procesos de usuario y libera los recursos

que ocupan los mismos cuando acaban.

22

DBWR (database writer): Escribe los datos físicamente en los ficheros de logs de

redo cuando es necesario liberar dichos buffers de la instancia.

LGWR (LoG WRiter) nombrado a partir de la versión 7 como ARCH (archiver):

Una vez los archivos de logs de redo están llenos, escribe los datos en los

archivos correspondientes para liberar espacio.

CKPT (checkpoint process): Cada vez que se vacían los buffers y se escriben en

ficheros de logs, se produce un checkpoint. Este proceso es el encargado de

coordinar todas las operaciones correspondientes a dicho evento y guardar la

coherencia de la base de datos mediante la escritura de los datos en todos sus

archivos correspondientes y asegurando que las operaciones han tenido éxito.

RECO (recover): Elimina y limpia cualquier dato incoherente resultante de una

transacción distribuida fallida. Este proceso se incluye en la versión de Oracle 10g.

5.5 SQL Injection

Este es el tipo de ataque más común y popular hacia las bases de datos. Mediante

la inyección SQL un atacante podría realizar entre otras cosas las siguientes

acciones contra el sistema como se mencionan en [4].

Descubrimiento de información (information disclosure): Las técnicas de

inyección SQL pueden permitir a un atacante modificar consultas para acceder

a registros y/o objetos de la base de datos a los que inicialmente no tenía

acceso.

Elevación de privilegios: Todos los sistemas de autenticación que utilicen

credenciales almacenados en motores de bases de datos hacen que una

vulnerabilidad de inyección SQL pueda permitir a un atacante acceder a los

identificadores de usuarios más privilegiados y cambiarse las credenciales.

23

Denegación de servicio: La modificación de comandos SQL puede llevar a la

ejecución de acciones destructivas como el borrado de datos, objetos o la

parada de servicios con comandos de parada y arranque de los sistemas.

Asimismo, se pueden inyectar comandos que generen un alto cómputo en el

motor de base de datos que haga que el servicio no responda en tiempos útiles

a los usuarios legales.

Suplantación de usuarios: Al poder acceder al sistema de credenciales, es

posible que un atacante obtenga las credenciales de otro usuario y realice

acciones con la identidad robada o “spoofeada” a otro usuario.

5.6 Imperva SecureSphere Database

Es una solución que apoya la seguridad de las Bases de datos y brinda protección

a los datos sensibles. Permite visualizar la traza completa de los datos, Alerta o

bloquea ataques y solicitudes de acceso anormales en tiempo real. Restringe las

vulnerabilidades y derechos de acceso. permite la auditoria para hacer

seguimiento a los controles implementados y para cumplir con las políticas de

seguridad establecidas dentro de la organización [8].

Esta herramienta aporta unas características especiales que permite mejorar la

seguridad de las bases de datos las cuales se describen a continuación:

Detecta las vulnerabilidades del software comercial que gestiona las bases de

datos basado en la investigación del Imperva ADC.1 crea parches virtuales

para las vulnerabilidades detectadas reduciendo la ventana de exposición

Identifica los derechos de los usuarios excesivos e inactivos a los datos

sensibles

1Es una base de datos en la cual se almacena información acerca de la vulnerabilidades conocidasdel software comercial que permite la gestión de bases de datos como ORACLE, MYSQL,POSTGRES entre otros.

24

Acelera la respuesta a incidentes y la investigación forense con análisis

avanzados

Permite demostrar el cumplimiento normativo a través de procesos

automatizados, análisis y presentación de informes.

Esta solución consiste en instalar dos dispositivos entre los servidores de datos y

el switch que comunica los servidores con la red. El primer dispositivo es una

puerta de enlace (Gateway X2500) donde se realiza el monitoreo de la base de

datos. y el segundo es un dispositivo de administración centralizada. (Appliance

M150 MX). El cual cuenta con dos interfaces de manejo, de las cuales una de

ellas está dispuesta para la administración de la plataforma en la red LAN y la otra

interfaz se utiliza para el intercambio de gran cantidad de información de auditoría

y control entre los dispositivos. Estos dispositivos han sido instalados en modo

puente (Bridge mode), como se observa en la ilustración 3; Todo el tráfico pasa a

través del gateway, el cual lo monitorea y bloquea las conexiones maliciosas

descartando paquetes (Dropping) [8].

Ilustración 3. Topología de conexión del firewall de base de datos IMPERVA en el

ICFES [8].

25

El manejo de la herramienta IMPERVA SecureSphere Database se puede hacer

mediante la Interfaz gráfica de usuario: Se accede a ella a través de un socket2

especifico. y puede ser visualizada en cualquier navegador web. Esta interfaz

ofrece una visibilidad total del uso de la información, de las vulnerabilidades y de

los derechos de acceso.

2Combinación de una dirección IP y un puerto.

26

6. METODOLOGÍA

El proyecto al estar enfocado en apoyar el cumplimiento de un estándar de

seguridad propuesto por la Organización internacional para la estandarización

"ISO". Seguirá la metodología propuesta por esta organización para la

implementación de sistemas de gestión que permita llevar a cabo un plan de

mejora continua sobre el sistema. Esta metodología consiste en enfocar el

proyecto en un ciclo de vida PHVA.

El ciclo de vida de un proyecto es la serie de fases por las que atraviesa un

proyecto desde su inicio hasta su cierre. Las fases son generalmente secuenciales

y sus nombres y números se determinan en función de las necesidades de gestión

y control de la organización u organizaciones que participan en el proyecto, la

naturaleza propia del proyecto y su área de aplicación. Las fases se pueden dividir

por objetivos funcionales o parciales, resultados o entregables intermedios, hitos

específicos dentro del alcance global del trabajo o disponibilidad financiera. Las

fases son generalmente acotadas en el tiempo, con un inicio y un final o punto de

control. Un ciclo de vida se puede documentar dentro de una metodología. Se

puede determinar o conformar el ciclo de vida del proyecto sobre la base de los

aspectos únicos de la organización, de la industria o de la tecnología empleada

[9].

El ciclo de vida PHVA se basa en el circulo PDCA en ingles "Plan, do, check, act"

esto es, planificar, hacer, verificar, actuar. constituye una de las principales

herramientas de mejoramiento continuo en las organizaciones, utilizada

ampliamente por los sistemas de gestión de la calidad (SGC) con el propósito de

permitirle a las empresas una mejora integral de la competitividad, de los

productos ofrecidos, mejorado permanentemente la calidad, también le facilita

tener una mayor participación en el mercado. Por su dinamismo puede ser

utilizado en todos los procesos de la organización y por su simple aplicación, que

27

si se hace de una forma adecuada, aporta en la realización de actividades de

forma organizada y eficaz [10].

Para este proyecto se definen una serie de actividades para cada una de las

etapas del ciclo de vida sustentadas por unos entregables como recomienda el

pmbok [9]. Estos entregables se detallan en cada una de las etapas a

continuación.

6.1 Planear

En esta etapa se definirán los objetivos y los alcances de la política y como

lograrlos. se organizaran grupos de trabajo con los usuarios del Sistema gestor de

base de datos y se tendrán encuentra sus opiniones. Para finalizar esta etapa se

realizara un documento a manera de entregable que recopile dichas definiciones.

6.2 Hacer

Es la etapa de ejecución para lograr los objetivos propuestos en la etapa anterior.

para ello se realizaran los siguientes entregables:

levantamiento del Inventario de Activos de Información: es un documento

donde se especifica la clasificación de la información (pública, privada y

sensible) almacenada en la base de datos.

levantamiento del Inventario de la infraestructura que soporta la base de datos:

este documento contendrá la información de toda la infraestructura física

utilizada para la gestión de las bases de datos productivas del instituto

Análisis de riesgos, amenazas y vulnerabilidades: Para este entregable se

tendrán en cuenta los dos anteriores. en base en los cuales se hará un análisis

de los riesgos, las amenazas y las vulnerabilidades de seguridad a los cuales

está expuesto el sistema.

28

Establecimiento de controles para mitigar los riesgos amenazas y

vulnerabilidades: a partir del entregable anterior se definirán una serie de

controles para mitigar los hallazgos encontrados. y se configuraran aquellos

que sean pertinentes en el firewall de base de datos.

6.3 Verificar

Establecer la medición de la eficacia de los controles: Para cada uno de los

controles establecidos en la etapa anterior se debe definir una forma de medir

su eficacia y realizar un seguimiento

Definición de los procedimientos y normas que sustentan la política: Una vez

comprobada la eficacia de estos controles se deben documentar bajo un

procedimiento o norma para asegurar su difusión y cumplimiento dentro del

instituto

Desarrollo de un plan de auditoría: el ultimo entregable de esta etapa deberá

ser un plan de auditoría interna de la política para verificar su funcionamiento y

cumplimiento

6.4 Actuar

Para la etapa final del ciclo de vida del proyecto se debe realizar un análisis del

documento entregado de la auditoría interna y con base en este realizar el

afinamiento de los controles, normas o procedimientos y generar los siguientes

entregables.

Realizar afinamiento a la definición de la política: Con base en los hallazgos

expuestos por la auditoría interna se deben realizar las correcciones

pertinentes

29

Realizar campaña de divulgación de la política. Para la actividad final de esta

etapa se debe desarrollar la socialización y divulgación de la política entre los

funcionarios que interactúan con el sistema gestor de base de datos y se debe

generar un documento a manera de entregable con las opiniones más

relevantes.

30

7. CREACIÓN DE LA POLITICA

7.1 Fase 1: Planear

7.1.1 Definición del objetivo y alcance de la política

Teniendo en cuenta que la norma ISO 27001 define la seguridad de la información

como: "la preservación de la confidencialidad (asegurando que sólo quienes estén

autorizados pueden acceder a la información), integridad (asegurando que la

información y sus métodos de proceso son exactos y completos) y disponibilidad

(asegurando que los usuarios autorizados tienen acceso a la información y a sus

activos asociados cuando lo requieran)"[6].

El objetivo general de la política de base de datos establece que se mantengan

dichos criterios. Definiendo además que está política aplicara exclusivamente a la

base de datos de producción debido a la importancia de los datos que allí son

almacenados. Quedando establecido el objetivo general así: "Definir el correcto

uso de la base de datos del ambiente de producción, del Instituto Colombiano para

la evaluación de la educación "ICFES", estableciendo los lineamientos de

seguridad sobre dicha base de datos para asegurar que se mantenga la

integridad, confidencialidad y disponibilidad de la información allí almacenada"

[11].

Se limita y especifica la aplicación de esta política estableciendo el siguiente

alcance: "Esta política aplica para el servidor de la base de datos productiva

"Prisma" alojada en un data center externo al instituto, la infraestructura que

soporta la conectividad del servidor con la red del ICFES, los sistemas que la

gestionan, los entornos de desarrollo que realizan transacciones sobre ella y los

usuarios activos en el sistema gestor de base de datos Oracle." [11].

31

7.2 Fase 2: Hacer

7.2.1 Levantamiento del Inventario de Activos

La norma ISO 27001 establece en su dominio número siete la forma correcta de

gestionar los activos de información implementando cinco controles agrupados en

dos objetivos de control así [6]:

Responsabilidad sobre los activos

Inventario de activos.

Propiedad de los activos.

Uso aceptable de los activos.

Clasificación de la información

Directrices de clasificación.

Etiquetado y manipulado de la información.

Por esto se establecen las definiciones particulares para el caso del ICFES para la

correcta clasificación de los activos, información y responsabilidades y así evitar

confusiones por parte de los funcionarios. En la tabla 1 se presentan las

definiciones de los tipos de activos de información o relacionados con la

información.

32

Tabla 1. Clasificación de los tipos de activos de información y relacionados con la

información.

7.2.2 Activos de Información

Para la clasificación de la información se tendrá en cuenta los criterios descritos

en la tabla 2

Tabla 2. Clasificación de los tipos de activos de información y relacionados con la

información.

33

Para nombrar los responsables de los activos de información o relacionados con la

información se tendrá en cuenta las definiciones descritas en la tabla 3

Tabla 3. Definición de los responsables de la información.

Además de asociar los activos de información con las definiciones antes descritas,

se debe establecer un nivel de criticidad para cada activo respecto a la

confidencialidad, integridad y disponibilidad. Dicha criticidad será asignada

teniendo en cuenta las definiciones presentadas en la tabla 4.

ConfidencialidadCriterio Descripción Explicación

A Alto El conocimiento o divulgación no autorizada de la información quegestiona este activo impacta negativamente a los ciudadanos

M MedioEl conocimiento o divulgación no autorizada de la información quegestiona este activo impacta negativamente al menos un procesomisional del ICFES.

B BajoEl conocimiento o divulgación no autorizada de la información quegestiona este activo impacta negativamente a al menos un proceso deapoyo del ICFES

MB Muy Bajo El conocimiento o divulgación no autorizada de la información quegestiona este activo no impacta negativamente al ICFES

34

IntegridadCriterio Descripción Explicación

A Alto La pérdida de exactitud y estado completo del activo impactanegativamente la prestación del servicio a los ciudadanos

M Medio La pérdida de exactitud y estado completo del activo impactanegativamente a al menos un proceso misional del ICFES.

B Bajo La pérdida de exactitud y estado completo del activo impactanegativamente a al menos un proceso de apoyo del ICFES

MB Muy Bajo La pérdida de exactitud y estado completo del activo no impactanegativamente al ICFES

DisponibilidadCriterio Descripción Explicación

A AltoLa falta o no disponibilidad del activo de información impactanegativamente la prestación del servicio a los ciudadanos o impactanegativamente al ICFES

M Medio La falta o no disponibilidad del activo de información impactanegativamente a al menos uno de los procesos misionales del ICFES

B Bajo La falta o no disponibilidad del activo de información impactanegativamente a al menos un proceso de apoyo del ICFES.

MB Muy Bajo La falta o no disponibilidad del activo de información no impactanegativamente al ICFES

Tabla 4. Definiciones para determinar la criticidad de los activos respecto a la

confidencialidad, integridad y disponibilidad.

Basándose en estas definiciones se realiza el inventario de activos de información

y activos asociados con la información, relacionados con la base de datos

productiva del ICFES.

Para facilitar el análisis y mantenimiento de los activos estos se agrupan por su

naturaleza y función dentro de los procesos del instituto. Para el caso de los

activos de Información de la base de datos los objetos se agrupan en diferentes

esquemas como se muestra en la tabla 5.

Activo deinformación

Tipo deInformación Propietario Custodio Confidencialidad Integridad Disponibilidad

Esquemas coninformaciónpersonal

Nopublicable

Administradorde la base dedatos delICFES

SubdireccióndeInformación A A A

Esquemas coninformación de

Nopublicable

Administradorde la base de

Subdirecciónde M A A

35

Activo deinformación

Tipo deInformación Propietario Custodio Confidencialidad Integridad Disponibilidad

la logística delas pruebas

datos delICFES

Información

Esquemas deresultados

Semiprivada Administradorde la base dedatos delICFES

SubdireccióndeInformación M A A

Tabla 5. Organización de los objetos de la base de datos por su función dentro de

la operación del instituto.

7.2.2.1 Activos asociados con la Información

Teniendo en cuenta las definiciones de la tabla 1 los activos relacionados con la

información de la base de datos productiva de tipo hardware quedan agrupados

como se muestra en la tabla 6.

Activos relacionadoscon la Informaciónde tipo Hardware

Propietario Custodio Confidencialidad Integridad Disponibilidad

Servidores Dirección detecnología

ProveedorData Center A A A

Dispositivos delfirewall de base dedatos

Subdireccióndeinformación

ProveedorData Center A A M

Switch Dirección detecnología


Elementos deconexión entre losdispositivos de red

Dirección detecnología


Equipos de computoterminalesdestinados para laadministración de labase de datos enLevel 3

ProveedorData Center


A A A

Equipos de computoterminalesdestinados para laadministración de labase de datos en elICFES


Subdireccióndeinformación A A A

36

Activos relacionadoscon la Informaciónde tipo Hardware

Propietario Custodio Confidencialidad Integridad Disponibilidad

Equipos de computode usuarios deDesarrollo



A A A

Equipos de computode usuarios deSoporte yMantenimiento delas BD


Subdireccióndeinformación A A A

Elementos dealmacenamiento deBackup de la basede datos


ProveedorData Center A A M

Tabla 6. Organización de los objetos de la base de datos por su función dentro de

la operación del instituto.

Los activos relacionados con la información de tipo software quedan definidos


Activos relacionadoscon la Información de

tipo SoftwarePropietario Custodio Confidencialidad Integridad Disponibilidad

Ambientes dedesarrollo para Oracle:SQL Developer, SQLplus y Toad

Direccióndetecnología

Subdireccióndeinformación A A M

Imperva (Interfazgrafica de usuario )



A A M

sistema operativoservidor de bases dedatos AIX



Oracle Database 11gEnterprise Edition(servidor)



Oracle Database 11gEnterprise Edition(Cliente)


Dirección detecnología A A M

Tabla 7. Activos relacionados con la información de tipo software.

37

Los activos relacionados con la información de tipo servicios quedan definidos


Activos relacionados conla Información de tipo

ServiciosPropietario Custodio Confidencialidad Integridad Disponibilidad

Aplicaciones para losciudadanos desarrolladaspor el "ICFES"

Dirección deinformación

Dirección deinformación A A A

Tabla 8. Activos relacionados con la información de tipo servicios.

Los activos relacionados con la información de tipo personas quedan definidos

como se muestra en la tabla 9

Activos relacionadoscon la Información de

tipo personasPropietario Custodio Confidencialidad Integridad Disponibilidad

Administradoresexternos de las Basesde datos

ProveedorDataCenter


Administradoresinternos de las Basesde datos



A A A

Administradores de laseguridad de las Basesde Datos



A A M

Usuarios de Consulta Direccióndetecnología

Subdireccióndetecnología

A M M

Usuarios deDesarrollo


Subdirecciónde desarrollodeaplicaciones

A M M

Usuarios de Soporte yMantenimiento de lasBD a nivel de datos



A A M

Personal de Soporte yMantenimiento de lasBD a nivel deinfraestructura

ProveedorDataCenter


A M M

Tabla 9. Activos relacionados con la información de tipo personas.

38

Para las aplicaciones desarrolladas por el ICFES, que usan los ciudadanos para

acceder a la información de la base de datos productiva a través de la internet. Se

crean diferentes usuarios (Uno por cada aplicación) dentro de la base de datos,

con los permisos y privilegios necesarios para que la aplicación cumpla con los

requerimientos establecidos. Estos usuarios no cumplen con las definiciones de la

tabla 1, para ser catalogados como personas o servicios. Por esta razón serán

catalogados como una activo relacionado con la información en la categoría de

otros.

Activo relacionadocon la información Propietario Custodio Confidencialidad Integridad Disponibilidad

Usuarios de tipoAplicación

Dirección detecnología


A M M

Tabla 10. Activos relacionados con la información de tipo otros.

7.2.3 Análisis de riesgos, amenazas y vulnerabilidades

Para realizar el análisis de los riesgos amenazas y vulnerabilidades relacionados

con los activos de información y activos relacionados con la información de la base

de datos productiva. tendremos en cuenta las definiciones de la norma ISO 27000

[12] así:

Amenaza: Causa potencial de un incidente no deseado, que puede provocar

daños a un sistema o a la organización.

Vulnerabilidad: Debilidad de un activo o control que puede ser explotada por una

o más amenazas.

Riesgo: Posibilidad de que una amenaza concreta pueda explotar una

vulnerabilidad para causar una pérdida o daño en un activo de información. Suele

39

considerarse como una combinación de la probabilidad de un evento y sus

consecuencias.

Para identificar las amenazas que aplican a los activos relacionados con la base

de datos productiva del icfes se toma como base la lista de amenazas descritas en

la Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información

"MAGERIT" [13]. Publicada por el ministerio de hacienda y administraciones

publicas de España.

7.2.3.1 Identificación de las amenazas

Las amenazas expuestas en la metodología MAGERIT se clasifican en 6

diferentes categorías. Para la identificación de las amenazas a la base de datos no

se tendrán en cuenta las categorías de desastres naturales y de origen industrial

ya que estas están cubiertas por la política general de seguridad de la información

del ICFES[14]. Ni la categoría de nuevas amenazas XML ya que estas no se

relacionan directamente con la base de datos. Las amenazas identificadas en la

categoría de errores y fallos no intencionados se muestran a continuación en la

tabla 11.

Amenaza DescripciónErrores de los usuarios Equivocaciones de las personas cuando usan los

servicios, datos, etc.Errores del administrador Equivocaciones de personas con responsabilidades de

instalación y operaciónErrores de monitorización(log)

Inadecuado registro de actividades: falta de registros,registros incompletos, registros incorrectamentefechados, registros incorrectamente atribuidos

Errores de configuración Introducción de datos de configuración erróneos.Prácticamente todos los activos dependen de suconfiguración y ésta de la diligencia del administrador:privilegios de acceso, flujos de actividades, registro deactividad, encaminamiento, etc.

Deficiencias en laorganización

Cuando no está claro quién tiene que hacerexactamente qué y cuándo, incluyendo tomar medidassobre los activos o informar a la jerarquía de gestión.Acciones descoordinadas, errores por omisión, etc.

40

Amenaza DescripciónErrores de [re-]encaminamiento

Envío de información a través de un sistema o una redusando, accidentalmente, una ruta incorrecta que lleve lainformación a donde o por donde no es debido; puedetratarse de mensajes entre personas, entre procesos oentre unos y otros. Es particularmente destacable elcaso de que el error de encaminamiento suponga unerror de entrega, acabando la información en manos dequien no se espera.

Errores de secuencia Alteración accidental del orden de los mensajestransmitidos.

Escapes de información La información llega accidentalmente al conocimiento depersonas que no deberían tener conocimiento de ella,sin que la información en sí misma se vea alterada.

Alteración accidental de lainformación

Alteración accidental de la información. Esta amenazasólo se identifica sobre datos en general, pues cuando lainformación está en algún soporte informático, hayamenazas específicas.

Destrucción de información Pérdida accidental de información. Esta amenaza sólose identifica sobre datos en general, pues cuando lainformación está en algún soporte informático, hayamenazas específicas.

Fugas de información Revelación por indiscreción. Incontinencia verbal,medios electrónicos, soporte papel, etc.

Vulnerabilidades de losprogramas (software)

Defectos en el código que dan pie a una operacióndefectuosa sin intención por parte del usuario pero conconsecuencias sobre la integridad de los datos o lacapacidad misma de operar.

Errores de mantenimiento /actualización de programas(software)

Defectos en los procedimientos o controles deactualización del código que permiten que siganutilizándose programas con defectos conocidos yreparados por el fabricante.

Errores de mantenimiento /actualización de equipos(hardware)

Defectos en los procedimientos o controles deactualización de los equipos que permiten que siganutilizándose más allá del tiempo nominal de uso.

Caída del sistema poragotamiento de recursos

La carencia de recursos suficientes provoca la caída delsistema cuando la carga de trabajo es desmesurada.

Pérdida de equipos La pérdida de equipos provoca directamente la carenciade un medio para prestar los servicios, es decir unaindisponibilidad. Se puede perder todo tipo deequipamiento, siendo la pérdida de equipos y soportesde información los más habituales. En el caso deequipos que hospedan datos, además se puede sufriruna fuga de información.

41

Amenaza DescripciónIndisponibilidad del personal Ausencia accidental del puesto de trabajo: enfermedad,

alteraciones del orden público, guerra bacteriológica, ...

Tabla 11. Amenazas por errores y fallos no intencionados.

Las amenazas relacionadas con ataques intencionados se detallan en la tabla 12.

Amenaza DescripciónManipulación de losregistros de actividad(log)

Cualquier alteración a los registros de actividades

Manipulación de laconfiguración

Prácticamente todos los activos dependen de su configuracióny ésta de la diligencia del administrador: privilegios de acceso,flujos de actividades, registro de actividad, encaminamiento,etc.

Suplantación de laidentidad del usuario

Cuando un atacante consigue hacerse pasar por un usuarioautorizado, disfruta de los privilegios de este para sus finespropios. Esta amenaza puede ser perpetrada por personalinterno, por personas ajenas a la Organización o por personalcontratado temporalmente.

Abuso de privilegios deacceso

Cada usuario disfruta de un nivel de privilegios para undeterminado propósito; cuando un usuario abusa de su nivelde privilegios para realizar tareas que no son de sucompetencia, hay problemas

Uso no previsto Utilización de los recursos del sistema para fines no previstos,típicamente de interés personal: juegos, consultas personalesen Internet, bases de datos personales, programaspersonales, almacenamiento de datos personales, etc.

[Re-]encaminamientode mensajes

Envío de información a un destino incorrecto a través de unsistema o una red, que llevan la información a donde o pordonde no es debido; puede tratarse de mensajes entrepersonas, entre procesos o entre unos y otros. Un atacantepuede forzar un mensaje para circular a través de un nododeterminado de la red donde puede ser interceptado. Esparticularmente destacable el caso de que el ataque deencaminamiento lleve a una entrega fraudulenta, acabando lainformación en manos de quien no debe.

Alteración de secuencia Alteración del orden de los mensajes transmitidos. Con ánimode que el nuevo orden altere el significado del conjunto demensajes, perjudicando a la integridad de los datos afectados.

Acceso no autorizado El atacante consigue acceder a los recursos del sistema sintener autorización para ello, típicamente aprovechando un fallodel sistema de identificación y autorización.

42

Amenaza DescripciónAnálisis de tráfico El atacante, sin necesidad de entrar a analizar el contenido de

las comunicaciones, es capaz de extraer conclusiones a partirdel análisis del origen, destino, volumen y frecuencia de losintercambios. A veces se denomina “monitorización de tráfico”.

Repudio Negación a posteriori de actuaciones o compromisosadquiridos en el pasado. Repudio de origen: negación de serel remitente u origen de un mensaje o comunicación. Repudiode recepción: negación de haber recibido un mensaje ocomunicación. Repudio de entrega: negación de haberrecibido un mensaje para su entrega a otro.

Interceptación deinformación (escucha)

El atacante llega a tener acceso a información que no lecorresponde, sin que la información en sí misma se veaalterada.

Modificación deliberadade la información

Alteración intencional de la información, con ánimo de obtenerun beneficio o causar un perjuicio.

Destrucción deinformación

Eliminación intencional de información, con ánimo de obtenerun beneficio o causar un perjuicio.

Divulgación deinformación

Revelación de información.

Manipulación deprogramas

Alteración intencionada del funcionamiento de los programas,persiguiendo un beneficio indirecto cuando una personaautorizada lo utiliza.

Manipulación de losequipos

Alteración intencionada del funcionamiento de los programas,persiguiendo un beneficio indirecto cuando una personaautorizada lo utiliza.

Denegación de servicio La carencia de recursos suficientes provoca la caída delsistema cuando la carga de trabajo es desmesurada.

Robo La sustracción de equipamiento provoca directamente lacarencia de un medio para prestar los servicios, es decir unaindisponibilidad. El robo puede afectar a todo tipo deequipamiento, siendo el robo de equipos y el robo de soportesde información los más habituales. El robo puede realizarlopersonal interno, personas ajenas a la Organización opersonas contratadas de forma temporal, lo que establecediferentes grados de facilidad para acceder al objeto sustraídoy diferentes consecuencias. En el caso de equipos quehospedan datos, además se puede sufrir una fuga deinformación.

Ataque destructivo Vandalismo, terrorismo, acción militar, ... Esta amenaza puedeser perpetrada por personal interno, por personas ajenas a laOrganización o por personas contratadas de forma temporal.

Ocupación enemiga Cuando los locales han sido invadidos y se carece de controlsobre los propios medios de trabajo.

43

Amenaza DescripciónIndisponibilidad delpersonal

Ausencia deliberada del puesto de trabajo: como huelgas,absentismo laboral, bajas no justificadas, bloqueo de losaccesos, …

Extorsión Presión que, mediante amenazas, se ejerce sobre alguienpara obligarle a obrar en determinado sentido.

Ingeniería social(picaresca)

Abuso de la buena fe de las personas para que realicenactividades que interesan a un tercero.

Tabla 12. Amenazas relacionadas con ataques intencionados.

7.2.3.2 Identificación de las vulnerabilidades.

Para identificar las vulnerabilidades de la base de datos, debido a que no se han

establecido controles solo se tendrán en cuenta las debilidades de los activos

identificadas mediante entrevistas a los administradores y usuarios de la bases de

datos. Las vulnerabilidades identificadas de relacionan en la tabla 13, junto con

una descripción.

Vulnerabilidad DescripciónConexión a la base de datos através de los puertos por defecto

Las conexiones a la base de datos se realizan através de los puertos por defecto de Oracle

Puertos en desuso habilitados Los puertos que no se usan para conectarse a labase de datos no están bloqueados

Perfiles con contraseñas débiles ytiempos de vida muy largos

Los usuarios de base de datos tienencontraseñas débiles y para algunas de ellas noestá definido un tiempo de caducidad

Características de base de datosinnecesariamente habilitadas

La instalación de la base de datos se hizo conpaquetes que no son utilizados

la sentencia CREATE LIBRARY noestá siendo auditada

La sentencia create library usada para crear unesquema asociado con una biblioteca compartidadel sistema operativo. Este esquema puede serllamado a través de sentencia pl/SQL

el modo NOLOGGING estáhabilitado para algunos objetos

Los objetos creados en modo LOGGING (pordefecto) registran en redo todos los cambios(transacciones) que se le fueron aplicando. Estosirve para recuperar, ante una caída abrupta dela base de datos

Aplicaciones que se conectan a labase de datos vulnerables ainyecciones SQL

Algunas aplicaciones desarrolladas al interior delinstituto son vulnerables a inyecciones de códigoSQL y están expuestas en internet

44

Vulnerabilidad DescripciónPaquetes restringidos conprivilegios de acceso publico

A algunos paquetes restringidos les fueronotorgados privilegios de acceso público entreellos: UTL_FILE, UTL_SMTP, UTL_TCP,UTL_HTTP,

Los Redo Logs no tienenredundancia

Se recomienda que todos los redo logs esténmirror on-line y que existan al menos 2 grupos deredo log

El trafico al interior del data centerno está siendo auditado

Al estar ubicados los servidores en un datacenter externo al instituto se podría hacer unaconexión directa desde allí y este tráfico no seríaauditado por el firewall

Permisos y privilegios excesivospara los usuarios de base de datoscon que se conectan algunasaplicaciones

Al ser desarrolladas las aplicaciones se lesotorgan permisos excesivos sobre objetos de lasbases de datos que luego no son revocados

Tabla 13. Vulnerabilidades de los activos asociados con las bases de datos.

Para disminuir los riesgos asociados a las amenazas y vulnerabilidades descritas

en las tablas 11, 12 y 13 se deben definir e implementar una serie de controles.

7.2.4 Establecimiento de controles para mitigar los riesgos amenazas yvulnerabilidades

Un solo control puede mitigar una o varias amenazas y/o vulnerabilidades, de esta

forma se pueden relacionar los controles con las amenazas o vulnerabilidades

que se pretenden mitigar. De acuerdo a los recursos destinados por el ICFES para

mejorar la seguridad de la base de datos, se pueden establecer dos tipos de

controles:

1. Controles que pueden ser definidos en la política de seguridad de la basede datos productiva: Estos controles corresponden a lineamientos que deben

seguir los usuarios de la base de datos para minimizar la exposición a las

amenazas y vulnerabilidades expuestas en la sección 7.2.3. para mejorar la

seguridad. Estos controles y su relación con las amenazas que pretende mitigar se

presentan a continuación en la tabla 14.

45

Amenaza Control

Abuso deprivilegios deacceso

Asegurar que todos los usuarios de la base de datos cuenten con elmínimo de permisos y privilegios necesarios para cumplir con sus laboresdentro del instituto.Crear un ambiente de preproducción para que los usuarios de desarrollo(Analistas SQL, Arquitectos de datos, etc.) puedan trabajar en él y no enel de producción directamente. Se debe definir el procedimiento decreación del ambiente de preproducciónÚnicamente el administrador interno podrá ejecutar los scripts realizadospor los usuarios de desarrollo, una vez que estos hayan sido ejecutadospor parte de cada usuario exitosamente en un ambiente depreproducción, desarrollo o pruebas.Asegurar que solo existan usuarios de base de datos para las personasidentificadas como activos de tipo personas y solo cuenten con permisosde consulta. Además de no usar ninguna configuración por defecto(puertos, usuarios, contraseñas...)Al otorgar los permisos y privilegios a los usuarios con los que seconectaran las aplicaciones a la base de datos, debe asegurar que seanlos estrictamente necesarios para que la aplicación cumpla únicamente elobjeto para el cual fue desarrollada. Mínimo de permisos y privilegiosComprobar con una periodicidad al menos trimestral, que la lista deusuarios de la base de datos corresponda con los permisos y privilegiosque realmente deben estar autorizados.

Acceso noautorizado

Toda clave cumplirá unas normas mínimas de seguridad, siguiendo laPolítica de uso de contraseñas existente.

Alteraciónaccidental delainformación

Crear un ambiente de preproducción para que los usuarios de desarrollo(Analistas SQL, Arquitectos de datos, etc.) puedan trabajar en él y no enel de producción directamente. Se debe definir el procedimiento decreación del ambiente de preproducción

Análisis detráfico

Realizar el monitoreo del desempeño de la base de datos y la gestión delas transacciones al menos tres veces por día y reportar cualquieranomalía encontrada inmediatamente.

Resolver cualquier incidente o fallo relacionado con el sistema operativoy el sistema gestor de base de datos en el servidor, en el menor tiempoposible según sea el incidente.

Ataquedestructivo

Realizar las copias de seguridad de los servidores, y en ningún caso delos computadores personales. Esto implica que la información debesiempre mantenerse en el servidor de datos.

Caída delsistema poragotamientode recursos

Asegurar la disponibilidad, confidencialidad e integridad del sistemaoperativo y del sistema gestor de base de datos en el servidor.

46

Amenaza Control

Deficienciasen laorganización

Es obligación de todo el personal del ICFES. notificar al responsable deseguridad cualquier otra incidencia, de naturaleza no técnica, que atenteo pueda atentar contra la seguridad de la información de la base dedatos. El conocimiento y la no notificación de una incidencia por parte deun usuario será considerada como una falta del mismo contra laseguridad de la base de datos por parte de éste

Establecer un encargado jurídicamente de la seguridad de la base dedatos y de las medidas establecidas en la políticaestablecer un encargado de notificar al ministerio de comercio, industria yturismo las bases de datos creadas mediante orden de la dirección detecnología (decreto 886 de 2014).

Implantar las medidas descritas en el Procedimiento de Registro deincidencias de seguridad de la Información, existente en el instituto yque debe estar a disposición de todos los usuarios y administrador con elfin de que se registre, cualquier incidencia que pueda suponer un peligropara la seguridad de la base de datos.

Coordinar y controlar las medidas definidas en la política y concientizar alos responsables del cumplimiento de la política.Adoptar las medidas necesarias para que el personal obligado a cumplirlo expuesto la política, conozca las normas que afectan el desarrollo desus funciones.

Destinar el personal especifico para la puesta en marcha de las medidasde seguridad, colaborar con el propietario de la información y apoyar elcumplimiento de la política.

Mantener actualizada la política siempre que se produzcan cambiosrelevantes en la base de datos o en la organización de la misma.Adecuar en todo momento el contenido de la política a las disposicionesvigentes en materia de seguridad de datos, y asegurar que el nuevodocumento llegue a todo el personal relacionado.

Mantener siempre actualizados los controles de seguridad e implementarnuevos controles cuando sea requerido.Analizar con periodicidad al menos trimestral las incidencias registradas,para independientemente de las medidas particulares que se hayanadoptado en el momento que se produjeron, adoptar las medidascorrectoras que limiten esas incidencias en el futuro relacionadas con labase de datos.Documentar los resultados de las auditorías.

Denegaciónde servicio

Al menos una vez al trimestre realizaran un mantenimiento preventivo delos activos asociados con la información de tipo hardware.

47

Amenaza Control

Destruccióndeinformación

Aquellos medios que sean reutilizables, y que hayan contenido copias dedatos deberán ser borrados físicamente antes de su reutilización, deforma que los datos que contenían no sean recuperables.Aquellos medios que no sean reutilizables, y que hayan contenido copiasde datos deberán ser entregados al encargado de la seguridad de lainformación para su destrucción física, se debe definir el Procedimientode destrucción de soportes con información de la base de datos.

Divulgacióndeinformación

Los soportes que contengan datos deberán estar almacenados enlugares a los que sólo tengan acceso personas autorizadas.Cualquier movimiento total o parcial de datos, ya sea en soporte físico otransferencia telemática, fuera de las instalaciones del ICFES deberá serautorizada expresamente por el dueño de la información yconsentimiento del subdirector de información.

Errores de[re-]encaminamiento

Impedir el acceso de personas no autorizadas al conocimiento deinformación, en cuya gestión, tramitación o custodia participe.El propietario de la información y quienes intervengan en cualquier fasedel tratamiento de los datos privados y semiprivados están obligados alsecreto profesional respecto de los mismos y al deber de guardarlos,obligaciones que subsistirán aun después de finalizar sus relaciones conla entidad.

Queda prohibido extraer información de la base de datos que contengadatos públicos, privados o semiprivados ya existentes, o crear una copiade la información aprovechando los datos ya existentes, sin laautorización del propietario.

Errores de losusuarios

Crear un ambiente de preproducción para que los usuarios de desarrollo(Analistas SQL, Arquitectos de datos, etc.) puedan trabajar en él y no enel de producción directamente. Se debe definir el procedimiento decreación del ambiente de preproducciónCrear tablas de auditoría que permitan establecer la trazabilidad de loscambios sobre los datos de los activos de información de la base dedatos productiva.

Al menos cada año, se realizará una auditoría, externa o interna quedictamine el correcto cumplimiento y la adecuación de las medidas de lapolítica de seguridad, identificando las deficiencias y proponiendo lasmedidas correctivas necesarias. Los informes de auditoría seránanalizados por el responsable de seguridad, quien propondrá aladministrador de la base de datos las medidas correctorascorrespondientes.

Errores demantenimiento /actualización

Mantener la disponibilidad, confidencialidad e integridad de los activosasociados con la información de tipo hardware de la base de datos ysolucionar cualquier incidente relacionado con ellos en el menor tiempoposible.

48

Amenaza Controlde equipos(hardware)

Al menos una vez a la semana revisar el correcto funcionamiento de losactivos asociados con la información de tipo hardware teniendo encuenta que cumplan con la disponibilidad, confidencialidad e integridad.Dar respuesta a las fallas que surjan con los activos asociados con lainformación de tipo hardware en el menor tiempo posible según sea eltipo de fallo.

Determinar las amenazas vulnerabilidades y riesgos asociados a la basede datos y establecer controles para mitigarlos

Errores demantenimiento /actualizaciónde programas(software)

Realizar las actualizaciones de los activos relacionados con lainformación de tipo software de acuerdo a una revisión conjunta con eladministrador de seguridad.


Al menos una vez por trimestre revisar, conjuntamente con eladministrador interno, que todos los activos relacionados con lainformación de tipo software estén actualizados a la última versión segúnrecomendaciones de los fabricantes.

Errores demonitorización (log)

Los soportes que contengan datos, bien como consecuencia deoperaciones propias de trabajo, o bien como consecuencia de procesosperiódicos de respaldo o cualquier otra operación esporádica, deberánestar claramente identificados con una etiqueta externa que indique dequé se trata, qué tipo de datos contiene, proceso que los ha originado yfecha de creación. Los tipos de soportes permitidos son.• Hojas impresas. Los soportes impresos deben contar en la primera hojacon los datos requeridos en la etiqueta• Dispositivos de almacenamiento óptico. CD (Compact Disc) / DVD(Digital Versatile Disc) / Blu-ray Disc (BD)• Pendrives. Memoria USB y cualquier otro tipo de pendrive: Si lasuperficie del pendrive no es lo suficientemente grande deberá seridentificado con un código y relacionar la información que contiene en unarchivo que debe ser guardado en la subdirección de información.

Errores desecuencia

Monitorear el desempeño de la base de datos y la correcta gestión de lastransacciones del sistema gestor de base de datos.

Escapes deinformación

Guardar la debida reserva sobre los datos a los que hayan tenido accesoen razón a su puesto de trabajo u otra circunstancia.

Escapes deinformación

Queda prohibido utilizar archivos con datos personales que el ICFES nohaya autorizado.

Fugas deinformación

Guardar la debida reserva sobre los datos a los que hayan tenido accesoen razón a su puesto de trabajo u otra circunstancia.

49

Amenaza ControlRegistrar la entrada y salida de los correos electrónicos o transferenciade datos de carácter personal por red, de forma que se pueda siempreidentificar su origen, tipo de datos, formato, fecha y hora del envío ydestinatario de los mismos.Solicitar autorización al administrador de la base de datos siempre que serequiera crear copias de la información de la base de datos.

Solicitar autorización al administrador de la base de datos siempre que sedeba entregar información de la base de datos a terceros.No se podrá bajo ninguna circunstancia mantener copias de lainformación de la base de datos en computadores de escritorio ni mediosexternos.

Indisponibilidad delpersonal

Solamente para aquellos casos excepcionales en los que sea necesariocontinuar con las funciones que realizaba la persona ausente (debido auna baja o ausencia temporal no prevista), será el subdirector o directorde área, el que podrá solicitar al administrador de base de datos accesoa sus objetos y datos, dentro de la base de datos dejando constancia deello por medio de correo electrónico o escrito.

Interceptación deinformación(escucha)

Es obligación de todo el personal del ICFES. notificar cualquier incidenciaque afecte a la seguridad de la información, o presunción/sospecha de lamisma, que se produzca en la base de datos y recopilar toda lainformación posible para optimizar el procedimiento de detección delproblema.Aquellos medios que no sean reutilizables, y que hayan contenido copiasde datos deberán ser entregados al encargado de la seguridad de lainformación para su destrucción física, definir el Procedimiento dedestrucción de soportes con información de la base de datos.

Manipulaciónde losequipos

Mantener la disponibilidad, confidencialidad e integridad de los activosasociados con la información de tipo hardware de la base de datos ysolucionar cualquier incidente relacionado con ellos en el menor tiempoposible.

Modificacióndeliberada delainformación

Aquellos medios que no sean reutilizables, y que hayan contenido copiasde datos deberán ser entregados al encargado de la seguridad de lainformación para su destrucción física, definir el Procedimiento dedestrucción de soportes con información de la base de datos.Cuando los datos deban ser enviados fuera de las instalaciones delICFES, bien sea mediante un soporte físico de grabación de datos o biensea mediante correo electrónico, deberán ser cifrados de forma que sólopuedan ser leídos e interpretados por el destinatario.

Ocupaciónenemiga


Pérdida deequipos


50

Amenaza Control

RepudioRevisar que los scripts que realicen los usuarios de desarrollo obedezcana acciones propias del desarrollo de su trabajo y no atenten contra laseguridad de la base de datos.

Robo

Realizar las copias de seguridad de los servidores, y en ningún caso delos computadores personales. Esto implica que la información debesiempre mantenerse en el servidor de datos.Asegurar que la base de datos ofrezca redundancia para alojar susarchivos en caso de falla del almacenamiento primario, como por ejemploDisk Mirroring, SAN, etc.

Suplantaciónde laidentidad delusuario

Cada usuario será responsable de la confidencialidad de su contraseñay, en caso de que la misma sea conocida fortuita o fraudulentamente porpersonas no autorizadas, deberá notificarlo al personal de seguridad dela información como incidente de seguridad por mesa de ayuda y solicitarque esta sea cambiada por el administrador de base de datos

Uso noprevisto

Garantizar que la utilización de los servidores que contienen las bases dedatos son de función específica. No se permite dar otros usos a estosservidores.Realizar únicamente las consultas a la base de datos que seanestrictamente necesarias para cumplir con el objeto del desarrollo de susactividades en el instituto.Realizar únicamente las consultas a la base de datos que seanestrictamente necesarias para desarrollar los scripts que cumplan conlas actividades objeto de trabajo.

Vulnerabilidades de losprogramas(software)

Crear un ambiente de preproducción para que los usuarios de desarrollo(Analistas SQL, Arquitectos de datos, etc.) puedan trabajar en él y no enel de producción directamente. Se debe definir el procedimiento decreación del ambiente de preproducción

Vulnerabilidades de losprogramas(software)


Tabla 14. Controles incluidos en la definición de la política y su relación con lasamenazas que busca mitigar.

Los controles definidos en la política para mitigar las vulnerabilidades de la base

de datos se relacionan en la tabla 15.

51

Vulnerabilidad ControlLos Redo Logs no tienenredundancia

Realizar las copias de seguridad de los servidores, y enningún caso de los computadores personales. Esto implicaque la información debe siempre mantenerse en elservidor de datos.

Características de base dedatos innecesariamentehabilitadas

Asegurar que toda plataforma en las que se encuentreinstalada la base de datos, tenga los servicios noesenciales deshabilitados y/o desinstalados,endurecimiento de sistema operativo y puertos en desusodeshabilitados.

la sentencia CREATELIBRARY no está siendoauditada

Crear un ambiente de preproducción para que los usuariosde desarrollo (Analistas SQL, Arquitectos de datos, etc.)puedan trabajar en él y no en el de produccióndirectamente. Se debe definir el procedimiento decreación del ambiente de preproducción

Paquetes restringidos conprivilegios de accesopublico

Crear un ambiente de preproducción para que los usuariosde desarrollo (Analistas SQL, Arquitectos de datos, etc.)puedan trabajar en él y no en el de produccióndirectamente. Se debe definir el procedimiento decreación del ambiente de preproducción

Conexión a la base dedatos a través de lospuertos por defecto

Asegurar que solo existan usuarios de base de datos paralas personas identificadas como activos de tipo personas ysolo cuenten con permisos de consulta. Además de nousar ninguna configuración por defecto (puertos, usuarios,contraseñas...)

Características de base dedatos innecesariamentehabilitadas


el modo NOLOGGING estáhabilitado para algunosobjetos


Aplicaciones que seconectan a la base de datosvulnerables a inyeccionesSQL

Al otorgar los permisos y privilegios a los usuarios con losque se conectaran las aplicaciones a la base de datos,debe asegurar que sean los estrictamente necesarios paraque la aplicación cumpla únicamente el objeto para el cualfue desarrollada.

Tabla 15. Controles incluidos en la definición de la política y su relación con lasvulnerabilidades que busca mitigar.

La definición de una política de seguridad debe ser independiente de las

herramientas tecnológicas que una organización tenga a disposición para mejorar

52

los niveles de seguridad ya que las políticas tienen como misión servir para dirigir

y dar soporte a la gestión de la seguridad de la información de acuerdo con los

objetivos establecidos, la legislación y regulaciones existentes además de brindar

un marco normativo para dar un buen uso a un recurso tecnológico como lo

menciona la guía para la elaboración del marco normativo de un sistema de

gestión de seguridad de la información [15]. Es por esto que los controles

implementados en el firewall de base de datos servirán para reforzar la seguridad

y tratar de llevar índices de medición pero no serán incluidos en la definición del

documento de la política.

2. Controles que pueden ser implementados en el firewall de base de datos:Estos controles corresponden a reglas que se pueden definir en el firewall de base

de datos para minimizar la exposición de la base de datos a amenazas y

vulnerabilidades y mejorar su seguridad. Debido a la topología de conexión del

firewall de base de datos IMPERVA en el ICFES mostrada en la ilustración 3.

Existen dos ventanas de exposición a amenazas. La primera corresponde a las

amenazas originadas desde las conexiones que se realizan desde cualquier punto

de internet hacia los servidores de datos (Conexiones que pasan por el firewall) y

la segunda las conexiones que realizan los administradores de base de datos

externos (administradores del data center) directamente a los servidores de datos.

Para ello el firewall Imperva ofrece una funcionalidad adicional, que se trata de la

instalación de un agente en el sistema operativo del servidor de datos que

funciona como una extensión del firewall y se administra desde la misma interfaz

grafica de usuario una vez instalado. Este agente puede realizar monitoreo y

bloqueo de transacciones del tráfico interno al servidor de datos al igual que

bloqueo de puertos. En la tabla 16 se describen los controles implementados para

mitigar las amenazas que pueden provenir de las conexiones realizadas al interior

del data center directamente al servidor de datos.

53

Amenaza ControlErrores de los usuarios (Externos)

Realizar la instalación de un agenteen el servidor de la base de datosproductiva que se usa para bloquearpuertos de conexión en desuso ymonitorear el tráfico interno a losservidores de datos desde el datacenter

Errores del administrador (Externos)Errores de monitorización (log) (Externos)Errores de configuración (Externos)Escapes de información (Externos)Alteración accidental de la información(Externos)Destrucción de información (Externos)Fugas de información (Externos)Manipulación de los registros de actividad (log)(Externos)Manipulación de la configuración (Externos)Abuso de privilegios de acceso (Externos)Uso no previsto (Externos)Acceso no autorizado (Externos)Repudio (Externos)Modificación deliberada de la información(Externos)Destrucción de información (Externos)Extorsión (Externos)

Tabla 16. Controles incluidos en el firewall para mitigar las amenazas al interiordel data center.

Dentro de las vulnerabilidades identificadas en la sección 7.2.3.2 existen algunas

que pueden ser mitigadas con la instalación del agente en el servidor como se

detallan en la tabla 17.

Vulnerabilidades ControlPuertos en desuso habilitados Realizar la instalación de un agente en el servidor de la

base de datos productiva que se usa para bloquearpuertos de conexión en desuso y monitorear el tráficointerno a los servidores de datos desde el data center

El trafico al interior del datacenter no está siendo auditado

Tabla 17. Controles incluidos en el firewall para mitigar las vulnerabilidades alinterior del data center.

54

Para ayudar a mitigar las amenazas y vulnerabilidades provenientes de

conexiones externas al data center (usuarios de base de datos del ICFES y

usuarios de conexión de las aplicaciones desarrolladas por el Instituto) se

configuran una serie de reglas en el firewall como se muestra en la tabla 18.

Amenaza ControlErrores del administrador

Establecer una regla en el firewall para auditar lasoperaciones de los administradores de base de datosinternos.

Errores de monitorización (log)Errores de configuraciónEscapes de informaciónAlteración accidental de la informaciónDestrucción de informaciónFugas de informaciónManipulación de los registros deactividad (log)Manipulación de la configuraciónAbuso de privilegios de accesoUso no previstoAcceso no autorizadoRepudioModificación deliberada de lainformaciónDestrucción de informaciónExtorsiónIngeniería social (picaresca)Suplantación de la identidad delusuario

Establecer una regla en el firewall que permitaúnicamente conexiones a los usuarios de la base dedatos desde los equipos destinados a estos usuarios(teniendo en cuenta direcciones Ip y Mac)

Alteración accidental de la información Establecer una regla en el firewall que bloquee todasaquellas operaciones de los usuarios de base dedatos con que se conectan la aplicaciones, que nocumplan con el objeto para el cual fuerondesarrolladas

Vulnerabilidades de los programas(software)Manipulación de programasErrores de los usuarios

Establecer una regla en el firewall que permitaúnicamente las operaciones de tipo "Select" sobre lastablas de auditoria

Errores del administradorErrores de monitorización (log)Alteración accidental de la informaciónDestrucción de información

55

Amenaza ControlManipulación de los registros deactividad (log)Abuso de privilegios de accesoAlteración de secuenciaRepudioModificación deliberada de lainformaciónDestrucción de informaciónIngeniería social (picaresca)Errores de los usuarios

Establecer una regla en el firewall para auditar lasoperaciones de los siguientes tipos de usuarios de labase de datos: administradores de la seguridad de lasbases de datos, usuarios de consulta, usuarios dedesarrollo, usuarios de soporte y mantenimiento de lasBD a nivel de datos.

Errores de monitorización (log)Fugas de informaciónSuplantación de la identidad delusuarioAbuso de privilegios de accesoUso no previstoRepudioDivulgación de informaciónExtorsiónIngeniería social (picaresca)

Tabla 18. Controles incluidos en el firewall para mitigar las amenazasprovenientes de conexiones externas al data center.

Finalmente se implementa un control en el firewall para ayudar a mitigar las

vulnerabilidades relacionadas con la base de datos productiva identificadas al

interior de la organización como se especifica en la tabla 19.

Vulnerabilidades ControlAplicaciones que se conectan a la basede datos vulnerables a inyecciones SQL

Creación de una regla en el firewall parabloquear todas las operaciones de losusuarios de base de datos con los que seconectan las aplicaciones que nocorrespondan con el objeto para el que fueroncreadas

Permisos y privilegios excesivos paralos usuarios de base de datos con quese conectan algunas aplicaciones

Tabla 19. Controles incluidos en el firewall para mitigar las vulnerabilidadesprovenientes de conexiones externas al data center.

56

7.3 Fase 3: Verificar

7.3.1 Establecer la medición de la eficacia de los controles

Es necesario considerar como medir el desempeño de los controles

implementados para mejorar la seguridad de la base de datos productiva y así

realizar la gestión correspondiente en la búsqueda de mejores resultados. Para

esto se propone como método de toma de decisiones el análisis de decisiones con

múltiples criterios "MCDA" [16]. Como hay un cierto número de controles por cada

amenaza o vulnerabilidad a estos se les debe asignar un nivel de importancia (con

lo cual la suma de las prioridades de los controles por amenaza o vulnerabilidad

debe ser igual a uno), para realizar el análisis se recurrirá a la función de valor

como método más empleado del "MCDA". En la aplicación de la función de valor

se establecen dos criterios por control (estimación del nivel de cumplimento y

facilidad de implementación) y se les debe asigna una calificación entre 0 y 1. El

total por criterio de evaluación será el producto entre la Importancia del control

respecto a la amenaza/vulnerabilidad y la calificación dada al criterio. En la tabla

20, se muestra a manera de ejemplo la medición de la eficacia de los controles

implementados en la definición de la política para mitigar la vulnerabilidad de

abuso de privilegios de acceso.

57

Amenaza ControlImportancia del

control respecto a laamenaza /

vulnerabilidad

Estimacióndel nivel de

cumplimentototal

1Facilidad de

implementacióntotal

2

Abuso deprivilegiosde acceso

Asegurar que todos los usuarios de labase de datos cuenten con el mínimode permisos y privilegios necesariospara cumplir con sus labores dentrodel instituto.

0,3 1 0,3 0,7 0,21

Crear un ambiente de preproducciónpara que los usuarios de desarrollo(Analistas SQL, Arquitectos de datos,etc.) puedan trabajar en él y no en elde producción directamente. Se debedefinir el procedimiento de creacióndel ambiente de preproducción

0,2 1 0,2 0,8 0,16

Únicamente el administrador internopodrá ejecutar los scripts realizadospor los usuarios de desarrollo, una vezque estos hayan sido ejecutados porparte de cada usuario exitosamente enun ambiente de preproducción,desarrollo o pruebas.

0,2 1 0,2 0,7 0,14

Asegurar que solo existan usuarios debase de datos para las personasidentificadas como activos de tipopersonas y solo cuenten con permisosde consulta. Además de no usarninguna configuración por defecto(puertos, usuarios, contraseñas...)

0,1 1 0,1 0,4 0,04

Al otorgar los permisos y privilegios alos usuarios con los que se conectaranlas aplicaciones a la base de datos,debe asegurar que sean los

0,1 1 0,1 0,2 0,02

58

Amenaza ControlImportancia del

control respecto a laamenaza /

vulnerabilidad

Estimacióndel nivel de

cumplimentototal

1Facilidad de

implementacióntotal

2

estrictamente necesarios para que laaplicación cumpla únicamente elobjeto para el cual fue desarrollada.Mínimo de permisos y privilegios

Comprobar con una periodicidad almenos trimestral, que la lista deusuarios de la base de datoscorresponda con los permisos yprivilegios que realmente deben estarautorizados.

0,1 1 0,1 0,9 0,09

Sumatoria 1 1 0,66

Tabla 20. Medición de la eficacia de los controles implementados para mitigar la amenaza de abuso deprivilegios de acceso.

Esta evaluación de los controles deberá hacerse trimestralmente, con el fin de llevar un histórico de la evaluación

de los controles y que sirva de herramienta para la toma de decisiones en cuanto a la gestión e implementación

de nuevos controles.

59

7.3.2 Definición de los procedimientos, estándares, normas y políticas deuso que sustentan la política.

Una política de seguridad establece el marco normativo a seguir para mejorar los

niveles de seguridad. Sin embargo para la creación de este marco pueden surgir

diferentes documentos como: políticas de uso, normas, estándares y

procedimientos. Formalmente no existe una definición jerárquica y es común que

estos documentos sean confundidos entre sí. Aunque no existe una obligación

formal para dividir la política en estos documentos, esta segmentación puede

permitir establecer políticas y normas generales con menor frecuencia de cambio,

mientras que los estándares, procedimientos e instructivos pueden modificarse por

el responsable. También, en algunas organizaciones las políticas y las normas son

aprobadas por la junta directiva, mientras que los estándares, procedimientos e

Instructivos son aprobados por el oficial de seguridad, lo cual permite mayor

flexibilidad [15]. Por esta razón en la política de seguridad de la base de datos

productiva se definen estos documentos como los describe la guía para la

elaboración del marco normativo de un sistema de gestión de la seguridad de la

información desarrollada por Firma-e [15] así:

Política de seguridad: Debe definir Los objetivos (lo que hay que lograr), las

estrategias (cómo lograr esos objetivos) y las directrices para lograr los

objetivos. Se pueden definir para cada nivel de la organización y para cada

área o departamento.

Las normas de seguridad definen qué hay que proteger y los niveles de

protección deseados. El conjunto de todas las normas de seguridad debe

cubrir la protección de todos los entornos de los sistemas de información de la

organización. Establecen un conjunto de expectativas y requisitos que deben

ser alcanzados para poder satisfacer y cumplir cada uno de los objetivos de

seguridad establecidos en la política.

60

Basándose en la política o las normas de seguridad, y dependiendo del ámbito

de aplicación, el área responsable de garantizar la seguridad de un activo

deberá crear los procedimientos de seguridad en los que describirá de forma

concreta cómo proteger lo definido en las normas y las personas o grupos

responsables de la implantación, mantenimiento y seguimiento de su nivel de

cumplimiento. Son guías que especifican el cómo, dónde y cuándo realizar

tareas específicas.

También podrán existir, como desarrollo de la propia política de seguridad o de

cualquiera de las normas existentes, las políticas de uso que establecen las

normas de comportamiento que deben cumplir los usuarios en el uso de los

sistemas de información. Estos documentos destinados a usuario final

resumirán y trasladarán los requisitos de seguridad a contemplar en la

utilización o uso de determinadas tecnologías o servicios de manera concisa y

fácilmente comprensible.

Esta segmentación de la política se realiza dentro del mismo documento

incluyendo como anexos las políticas de uso y los procedimientos y especificando

dentro de la política las normas, quedando definida de la siguiente forma:

1. Objetivo. Definido en la sección 7.1.1 de este proyecto.

2. Alcance. Definido en la sección 7.1.1 de este proyecto.

3. Definiciones. En esta parte de la política se presentan las definiciones de los

conceptos más relevantes de manera concisa para que sean fácilmente

comprensibles por las personas involucradas. Estos conceptos han sido descritos

previamente al realizar el levantamiento del inventario de activos.

4. Responsables del cumplimiento. Aquí se define el personal del instituto que

debe acatar y cumplir las normas establecidas en la política y que fueron

previamente identificados como activos relacionados con la información de tipo

personas.

61

5. Normas de seguridad. Aquí se definen las reglas inquebrantables que deberá

cumplir el personal identificado como responsable del cumplimiento y se hace una

definición de sus funciones respecto a la seguridad de la base de datos.

5.1. Funciones y obligaciones. Se establecen las funciones y obligaciones del

personal dividiéndolo en diferentes roles de acuerdo a su relación con la base de

datos.

5.1.1. Todo el Personal. Se definen las funciones y obligaciones respecto a la

seguridad de la base de datos independientemente de su rol y se dividen en 4

aspectos generales así:

5.1.1.1. Confidencialidad de la Información.

5.1.1.2. Salvaguarda y protección de las contraseñas personales.

5.1.1.3. Gestión de Incidencias.

5.1.1.4. Gestión de soportes.

Luego se describen las funciones y obligaciones especificas para cada uno de los

roles identificados de la siguiente forma:

5.1.2. Administradores externos de las bases de datos.

5.1.3. Usuarios externos de soporte y mantenimiento de la bases de datos anivel de infraestructura.

5.1.4. Administrador interno de las bases de datos.

5.1.5. Administradores de la seguridad de las bases de datos.

5.1.6. Usuarios de Consulta.

5.1.7. Usuarios de desarrollo de las base de datos.

62

La política debe establecer las sanciones aplicables en caso de incumplimiento de

la política por cualquier persona de la siguiente forma:

6. Incumplimiento. Se estipulan las acciones que se tomarán en primera

instancia al comprobar el incumplimiento de la política por parte de cualquier

persona y se describen algunos ejemplos de incumplimiento. La definición de este

apartado se realizó como el resultado de una serie de reuniones con la dirección

de tecnología del ICFES y la oficina asesora jurídica.

7. Referencias. Se incluyen las referencias de los documentos base utilizados

para el desarrollo de la política además de algunas normas y leyes jurídicas que

se buscan cumplir con esta política.

Como anexos se incluyen una política de uso y tres procedimientos de seguridad a

los que se hace referencia dentro de la política.

El Anexo A. Política de uso de contraseñas. Es una política de uso elaborada

previamente para definir la normatividad del correcto uso de las contraseñas.

El Anexo B. Procedimiento de destrucción de soportes con información de labase de datos. Es un procedimiento de seguridad propuesto a raíz de la creación

de la política de seguridad de la base de datos donde se identificaron unas

amenazas y vulnerabilidades relacionadas con el manejo que se tenía en el

instituto con los soportes de la información.

Anexo C. Procedimiento de creación del ambiente de preproducción. Este

procedimiento también fue propuesto a raíz de la identificación de unas amenazas

y vulnerabilidades relacionadas con la metodología utilizada en el instituto para las

modificaciones tanto de los objetos como de los datos de la base de datos. Se

evidenció que no existía un control sobre los cambios que realizaban los usuarios

de desarrollo sobre la base de datos de producción. Además que todos estos

usuarios tenían permisos tanto de modificación de datos como de objetos. Por

63

esta razón se propuso la creación de un ambiente de preproducción, para que los

usuarios de desarrollo pudieran realizar sus actividades sin poner en riesgo la

integridad, confidencialidad y disponibilidad de la base de datos productiva y una

vez confirmado el correcto funcionamiento de los scripts elaborados pudieran ser

enviados al administrador interno para que él los ejecute en el ambiente de

producción.

Anexo D: Procedimiento de registro de incidencias de seguridad de laInformación. El procedimiento que se debe seguir para registrar incidencias de

seguridad de la información de cualquier tipio, existía previamente en el instituto

como parte del sistema de gestión de calidad, este procedimiento contempla los

incidentes relacionados con la seguridad de las bases de datos y cualquier

sistema informático, por esta razón se incluyó en la política de seguridad de la

base de datos productiva además para evitar tener duplicidad en procedimientos

que puedan confundir a los usuarios.

7.3.3 Desarrollo de un plan de auditoria

Como último paso de esta fase del proyecto se estableció desarrollar un plan de

auditoría para la política de seguridad de la base de datos. Un plan de auditoría

como lo define la norma ISO 9000:2005 Es el documento de trabajo detallado que

se constituye en la guía para la ejecución de los programas de auditoría interna a

desarrollar, por la oficina de control interno o quien haga sus veces quien

desarrolla las funciones de elaboración, ejecución, evaluación y seguimiento

significativos que se realicen durante el ejercicio deberán ser conocidas y

aprobadas por el comité [17]. Sin embargo realizar un plan de auditoría para cada

una de las políticas de seguridad establecidas implicaría un gran esfuerzo en

cuanto a la planeación y ejecución de las auditorias debido al gran numero de

políticas de seguridad que existen y podrían existir dentro del instituto. Por esto se

estableció un plan de auditoría para la seguridad de la información. Donde se

contempla realizar una auditoría anual a las definiciones de las políticas de

64

seguridad incluida la de la base de datos productiva y dos auditorías anuales de

seguimiento al cumplimiento de la misma por parte del personal [18]. Estas

auditorías serán llevadas a cabo por el líder de seguridad de la información del

ICFES quien desarrollara el papel de auditor líder y el acompañamiento de un

delegado de la oficina de control interno del instituto.

7.4 Fase 4: Actuar

7.4.1 Afinamiento a la definición de la política

Como resultado de la auditoría interna realizada a las definiciones de la política de

seguridad [18], por parte de la líder de la seguridad de la información MSc. Erika

Liliana Villamizar con el acompañamiento de un representante de la oficina de

control interno se hicieron las siguientes recomendaciones:

Incluir dentro de las referencias de la política todas las leyes y normas

constitucionales con las que se relaciona la política

Establecer claramente las sanciones que podrían sufrir los funcionarios por el

incumplimiento de la política después de la clara descripción de las funciones y

obligaciones dependiendo su rol

Alinear la política con la norma ISO 27001 para su fácil integración con un

sistema de gestión de seguridad de la información en su eventual

implementación.

Las recomendaciones fueron acatadas y se incluyeron en la versión final de la

política que se incluye como anexo en el presente documento.

7.4.2 Campaña de divulgación de la política

Para dar a conocer los lineamientos descritos en la política de la base de datos e

incentivar al personal que interactúa con la base de datos productiva a cumplirla,

se realizó la creación de una campaña de seguridad de la información enfocada a

65

mejorar la seguridad de las base de datos productivas por parte de sus usuarios.

Para el desarrollo de esta campaña se contó con la ayuda de la oficina de

información del instituto colombiano para la evaluación de la educación "ICFES".

Quienes fueron los encargados de ejecutar dicha campaña teniendo en cuenta los

siguientes aspectos más relevantes:

Dar a conocer al personal las definiciones de: Incidente de seguridad, Activo de

Información, política de seguridad, riesgos y amenazas relacionados con la

base de datos. Para esto la oficina desarrollo una campaña de expectativa

enviando imágenes informativas con la descripción de los conceptos

mencionados a través del correo institucional al personal que interactúa con la

base de datos productiva. La ilustración 4 es un ejemplo de una de estas

imágenes donde se da la definición de que es un incidente de seguridad y

como podría afectar al ICFES.

66

Ilustración 4. Imagen de la campaña de divulgación de la política de base de

datos, acerca de los incidentes de seguridad.

67

Divulgar la política de seguridad de la base de datos productiva. Para dar a

conocer las funciones, responsabilidades y sanciones descritas en la política

de seguridad de la base de datos productiva a los usuarios. Se realizó una

charla de asistencia obligatoria para todo el personal del instituto que

interactúa con la base de datos productiva donde se explicó el nuevo

procedimiento para realizar modificaciones a los objetos y los datos y se

explicaron cada una de las funciones responsabilidades y sanciones que

deben cumplir los usuarios de las bases de datos dependiendo de su rol.

Publicar la política de seguridad de la base de datos productiva en un lugar de

fácil acceso para los usuarios y darles a conocer su ubicación. Para cumplir

con esto la política fue publicada en la intranet del "ICFES" y se envió un

correo electrónico a todos los usuarios de la base de datos productiva con la

descripción de su ubicación en la intranet y el enlace para acceder a ella.

68

8. CONCLUSIONES

Para facilitar la actualización y mantenimiento de cualquier política de

seguridad es necesario diferenciar claramente las políticas de las normas

estándares y procedimientos en su definición.

Las políticas de seguridad pueden apoyarse en herramientas tecnológicas sin

embargo las definiciones de la política debe ser independientes de ellas.

El uso de firewalls dedicados como IMPERVA Secure Sphere Database,

permite implementar controles de seguridad adicionales a las base de datos

ayudando a mitigar las amenazas y vulnerabilidades a las que se encuentra

expuesta.

La identificación de los activos de información relacionados con la base de

datos y su correcta clasificación, permite una más fácil identificación de las

amenazas y vulnerabilidades que los afectan.

Se deben incluir en las políticas de seguridad las definiciones especificas a las

que hace referencia para evitar ambigüedades y confusiones para los

responsables del cumplimiento.

La concientización del personal de una organización sobre la importancia de la

seguridad de la información es fundamental para reducir los incidentes

relacionados con ella

69

REFERENCIAS

[1]. Instituto Colombiano Para La Evaluación De La Educación, ICFES Institucional[En línea]. Colombia, 2014 Disponible en www.icfes.gov.co.

[2]. IEEE, "Estilo de Referencias IEEE". Institute of Electrical and ElectronicsEngineers, México 2015.

[3]. Congreso de Colombia, Ley Estatutaria 1581 de 2012 [En línea]. 17 deOctubre de 2012. Disponible en http://www.alcaldiabogota.gov.co/sisjur/norma.

[4]. A. Cebrián, J. María, y otros, "Seguridad en bases de datos", Barcelona:Eureca Media, SL, 2012. pp. 55-70.

[5]. International Organization for Standardization, ISO [En línea]. 2015 Disponibleen www.iso.org.

[6]. Information security management, ISO 27001 [En línea]. 1 de Marzo de 2013Disponible en www.iso.org.

[7]. Oracle, "Database Concepts Guide 2014" [En línea]. 2015 Disponible enhttp://docs.oracle.com/cd/E25054_01/server.1111/e25789/process.

[8]. I2 Seguridad en Sistemas, "Informe de implementación final de IMPERVA,"ICFES., Bogotá, Septiembre de 2013.

[9]. Project Management Institute, "Pmbok", Newtown Square, PA : PMI, 2013.

[10]. Walton, Mary, "The Deming Management Method". New York : The BerkleyPublishing Group, 1988.

[11]. Instituto Colombiano Para La Evaluación De La Educación, ICFES "Políticade seguridad de base de datos", Bogotá: 2015.

[12]. Instituto Colombiano de Normas Técnicas y Certificación, ICONTEC, "NormaTécnica colombiana ISO/IEC 27000", Bogotá: ICONTEC, 2013

70

[13]. Ministerio de administraciones públicas, "Metodología de Análisis y Gestiónde Riesgos de los Sistemas de Información. MAGERIT Libro II - Catálogo deElementos", España: 2012.

[14]. Instituto Colombiano Para La Evaluación De La Educación, ICFES "Políticageneral seguridad de la información ICFES", Bogotá: 2014

[15] Firma-e, Javier Cao Avellaneda, "Guía para la elaboración del marconormativo de un sistema de gestión de la seguridad de la información(SGSI)", España: 2007.

[16] Carlos Ormella Meyer y Asociados. "Métricas de Seguridad de la Informacióny Gestión del Desempeño con el Balanced Scorecard"

[17] International Organization for Standardization, ISO "Quality managementsystems ISO 9000:2005"

[18] Instituto Colombiano Para La Evaluación De La Educación, ICFES "Plan deauditorías 2015", Bogotá:2015

[19]. W. Deming, "Calidad, Productividad y Competitividad: la salida de la crisis,"Madrid : Ediciones Díaz de Santos, 1989.

[20]. Oracle, "Oracle Database Security Guide 2014" [En línea]. Enero de 2014Disponible en http://docs.oracle.com/cd/B28359_01/network.111/b28531.pdf

[21]. Open Web Application Security Project, "OWASP" [En línea]. 2015 Disponibleen www.owasp.org.

[22]. ICONTEC, "Norma Técnica Colombiana NTC-ISO-IEC 27001".Bogotá: ICONTEC, 2013.

71

ANEXO A. Política de Seguridad de Bases de Datos

1

Revisó Erika LilianaVillamizar

Aprobó Erika LilianaVillamizar

FechaAplicación

Julio 27 de 2015

Información del documento

Versión Fecha Elaborado por: Razón de la actualización1 17/06/2015 Danny Garzón

Pasante Ingenieríade sistemas-ICFES

Creación

2 27/07/2015 Danny Garzón Actualización

2

Política de Seguridad de Bases de Datos

ContenidoInformación del documento ..................................................................................... 1Política de Seguridad de Bases de Datos ............................................................... 21. Objetivo............................................................................................................ 32. Alcance ............................................................................................................ 33. Definiciones...................................................................................................... 34. Responsables del cumplimiento....................................................................... 45. Normas de seguridad....................................................................................... 5

5.1. Funciones y obligaciones ........................................................................... 55.1.1. Todo el Personal.................................................................................. 5

5.1.1.1. Confidencialidad de la Información ............................................... 55.1.1.2. Salvaguarda y protección de las contraseñas personales ............ 55.1.1.3. Gestión de Incidencias.................................................................. 65.1.1.4. Gestión de soportes ...................................................................... 6

5.1.2. Administradores externos de las Bases de datos ................................ 75.1.3. Usuarios externos de soporte y mantenimiento de la bases de datos anivel de infraestructura ..................................................................................... 85.1.4. Administrador interno de las Bases de datos ...................................... 85.1.5. Administradores de la seguridad de las Bases de Datos:.................. 105.1.6. Usuarios de Consulta ........................................................................ 115.1.7. Usuarios de desarrollo de las base de datos..................................... 11

6. Incumplimiento ............................................................................................... 117. Referencias.................................................................................................... 12ANEXOS ............................................................................................................... 13

Anexo A. Política de uso de contraseñas .......................................................... 14Anexo B. Procedimiento de destrucción de soportes con información de la basede datos. ............................................................................................................ 20Anexo C. Procedimiento de creación del ambiente de preproducción............... 22Anexo D: Procedimiento de registro de incidencias de seguridad de laInformación ........................................................................................................ 24

3

1. ObjetivoDefinir el correcto uso de la base de datos del ambiente de producción "Prisma",del Instituto Colombiano para la evaluación de la educación "ICFES",estableciendo los lineamientos de seguridad sobre dicha base de datos paraasegurar que se mantenga la integridad, confidencialidad y disponibilidad de lainformación allí almacenada.

2. AlcanceEsta política aplica para el servidor de la base de datos productiva "Prisma"alojada en un data center externo al instituto, la infraestructura que soporta laconectividad del servidor con la red del ICFES, los sistemas que la gestionan, losentornos de desarrollo que realizan transacciones sobre ella y los usuarios activosen el sistema gestor de base de datos Oracle.

3. DefinicionesActivo de Información: Se refiere a cualquier tipo de información almacenada enalgún medio (físico o electrónico) que tenga valor para la organización.

Activo relacionado con la información: Se refiere a cualquier elementorelacionado con el tratamiento de la información (Hardware, software, personas...)que tenga valor para la organización.

Propietario: Corresponde a una parte designada de la institución, un cargo,proceso, o grupo de trabajo que tiene la responsabilidad de definir:• Quiénes tienen acceso y qué pueden hacer con la información (modificar, leer,procesar, entre otros).• Cuáles son los requisitos para que la información se salvaguarde ante accesosno autorizados, modificación, pérdida de la confidencialidad o destruccióndeliberada.• Qué se hace con la información una vez ya no sea requerida.

Custodio: Es una parte designada de la entidad, un cargo, proceso, o grupo detrabajo encargado de administrar los componentes tecnológicos donde seencuentra la información; además se encarga de hacer efectivos los controles de

4

seguridad administrativos que el propietario de la información haya definido, talescomo el manejo de archivos, el uso de copias y la eliminación.

Los datos personales pueden ser:

Dato Público: Son públicos, entre otros, los datos contenidos en documentospúblicos, sentencias judiciales debidamente ejecutoriadas que no estén sometidosa reserva y los relativos al estado civil de las personas.

Dato Semiprivado: Es semiprivado el dato que no tiene naturaleza íntima,reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo asu titular sino a cierto sector o grupo de personas o a la sociedad en general,como el dato financiero y crediticio de actividad comercial o de servicios.

Dato Privado: Es el dato que por su naturaleza íntima o reservada sólo esrelevante para el titular.

4. Responsables del cumplimientoLa definición de perfiles que a continuación se describe responde a la necesidadde implantar en el ICFES una política de seguridad que abarque los activos deinformación y los activos relacionados con la información de la base de datosproductiva.

El personal que debe cumplir esta normativa queda clasificado en las siguientescategorías:

Administradores externos de las base de datos: Personas designadas porla empresa que provea el servicio de data center para la administración de labase de datos. Quienes serán los custodios de la información.

Usuarios externos de soporte y mantenimiento de la bases de datos anivel de infraestructura: Personas designadas por la empresa que provea elservicio de data center para brindar soporte a la infraestructura de la base dedatos.

Administrador interno de la bases de datos: Persona designada por elICFES para la administración de la base de datos. Quien será el propietario dela información.

Administradores de la seguridad de la bases de datos: Personasdesignadas por el ICFES para la administración de la seguridad de la base dedatos.

5

Usuarios de Consulta: Personas designadas por el ICFES para realizarconsultas a las tablas de la base de datos productiva.

Usuarios de desarrollo de las base de datos: Personas designadas por elICFES para realizar labores de desarrollo en la base de datos (creación,borrado y modificación de objetos y/o datos).

5. Normas de seguridad.A continuación se definen las reglas inquebrantables y las funciones yobligaciones relacionadas con la seguridad de la base de datos productiva paratodas las personas que interactúan de alguna forma con ella.

5.1.Funciones y obligaciones

5.1.1. Todo el PersonalTodo el personal que interactúa con la base de datos productiva está obligado aconocer la presente política y aplicarla.Las funciones y obligaciones que afectan a todo el personal son:

5.1.1.1. Confidencialidad de la Información1. Guardar la debida reserva sobre los datos a los que hayan tenido acceso en

razón a su puesto de trabajo u otra circunstancia.2. Impedir el acceso de personas no autorizadas al conocimiento de información,

en cuya gestión, tramitación o custodia participe.3. El propietario de la información y quienes intervengan en cualquier fase del

tratamiento de los datos privados y semiprivados están obligados al secretoprofesional respecto de los mismos y al deber de guardarlos, obligaciones quesubsistirán aun después de finalizar sus relaciones con la entidad.

4. Queda prohibido extraer información de la base de datos que contenga datospúblicos, privados o semiprivados ya existentes, o crear una copia de lainformación aprovechando los datos ya existentes, sin la autorización delpropietario.

5. Queda prohibido utilizar archivos con datos personales que el ICFES no hayaautorizado.

5.1.1.2. Salvaguarda y protección de las contraseñas personales1. Cada usuario será responsable de la confidencialidad de su contraseña y, en

caso de que la misma sea conocida fortuita o fraudulentamente por personasno autorizadas, deberá notificarlo al personal de seguridad de la información

6

como incidente de seguridad por mesa de ayuda y solicitar que esta seacambiada por el administrador de base de datos.

2. Solamente para aquellos casos excepcionales en los que sea necesariocontinuar con las funciones que realizaba una persona ausente (debido a unabaja o ausencia temporal no prevista), será el subdirector o director de área, elque podrá solicitar al administrador de base de datos acceso a sus objetos ydatos, dentro de la base de datos dejando constancia de ello por medio decorreo electrónico o escrito.

Toda clave cumplirá unas normas mínimas, según detalla el Anexo A, Política deuso de contraseñas.

5.1.1.3. Gestión de Incidencias1. Es obligación de todo el personal del ICFES. notificar cualquier incidencia que

afecte a la seguridad de la información, o presunción/sospecha de la misma,que se produzca en la base de datos y recopilar toda la información posiblepara optimizar el procedimiento de detección del problema.

2. Es obligación de todo el personal del ICFES. notificar al responsable deseguridad cualquier otra incidencia, de naturaleza no técnica, que atente opueda atentar contra la seguridad de la información de la base de datos. Elconocimiento y la no notificación de una incidencia por parte de un usuario seráconsiderada como una falta del mismo contra la seguridad de la base de datospor parte de éste.

5.1.1.4. Gestión de soportes1. Los soportes que contengan datos, bien como consecuencia de operaciones

propias de trabajo, o bien como consecuencia de procesos periódicos derespaldo o cualquier otra operación esporádica, deberán estar claramenteidentificados con una etiqueta externa que indique de qué se trata, qué tipo dedatos contiene, proceso que los ha originado y fecha de creación. Los tipos desoportes permitidos son.

Hojas impresas. Los soportes impresos deben contar en la primera hoja conlos datos requeridos en la etiqueta

Dispositivos de almacenamiento óptico. CD (Compact Disc) / DVD (Digital VersatileDisc) / Blu-ray Disc (BD)

Pendrives. Memoria USB y cualquier otro tipo de pendrive: Si la superficie delpendrive no es lo suficientemente grande deberá ser identificado con un código yrelacionar la información que contiene en un archivo que debe ser guardado en lasubdirección de información.

7

2. Aquellos medios que sean reutilizables, y que hayan contenido copias de datosdeberán ser borrados físicamente antes de su reutilización, de forma que losdatos que contenían no sean recuperables.

3. Aquellos medios que no sean reutilizables, y que hayan contenido copias dedatos deberán ser entregados al encargado de la seguridad de la informaciónpara su destrucción física de acuerdo al procedimiento descrito en el Anexo B,Procedimiento de destrucción de soportes con información de la base dedatos.

4. Los soportes que contengan datos deberán estar almacenados en lugares alos que sólo tengan acceso personas autorizadas.

5. Cualquier movimiento total o parcial de datos, ya sea en soporte físico otransferencia telemática, fuera de las instalaciones del ICFES deberá serautorizada expresamente por el dueño de la información y consentimiento delsubdirector de información.

6. Cuando los datos deban ser enviados fuera de las instalaciones del ICFES,bien sea mediante un soporte físico de grabación de datos o bien sea mediantecorreo electrónico, deberán ser cifrados de forma que sólo puedan ser leídos einterpretados por el destinatario.

5.1.2. Administradores externos de las bases de datos

Funciones:1. Monitorear el desempeño de la base de datos y la correcta gestión de las

transacciones del sistema gestor de base de datos.2. Asegurar la disponibilidad, confidencialidad e integridad del sistema operativo y

del sistema gestor de base de datos en el servidor.

Obligaciones:1. Realizar las copias de seguridad de los servidores, y en ningún caso de los

computadores personales. Esto implica que la información debe siempremantenerse en el servidor de datos.

2. Realizar el monitoreo del desempeño de la base de datos y la gestión de lastransacciones al menos tres veces por día y reportar cualquier anomalíaencontrada, al administrador interno inmediatamente.

3. Resolver cualquier incidente o fallo relacionado con el sistema operativo y elsistema gestor de base de datos en el servidor, en el menor tiempo posiblesegún sea el incidente.

8

4. Asegurar que toda plataforma en las que se encuentre instalada la base dedatos, tenga los servicios no esenciales deshabilitados y/o desinstalados,endurecimiento de sistema operativo y puertos en desuso deshabilitados.

5. Asegurar que la base de datos ofrezca redundancia para alojar sus archivos encaso de falla del almacenamiento primario, como por ejemplo Disk Mirroring,SAN, etc.

6. Garantizar que la utilización de los servidores que contienen las bases dedatos son de función específica. No se permite dar otros usos a estosservidores.

5.1.3. Usuarios externos de soporte y mantenimiento de la bases dedatos a nivel de infraestructura

Funciones:1. Mantener la disponibilidad, confidencialidad e integridad de los activos

asociados con la información de tipo hardware de la base de datos y solucionarcualquier incidente relacionado con ellos en el menor tiempo posible.

Obligaciones:1. Al menos una vez a la semana revisaran el correcto funcionamiento de los

activos asociados con la información de tipo hardware teniendo en cuenta quecumplan con la disponibilidad, confidencialidad e integridad.

2. Al menos una vez al trimestre realizaran un mantenimiento preventivo de losactivos asociados con la información de tipo hardware.

3. Dar respuesta a las fallas que surjan con los activos asociados con lainformación de tipo hardware en el menor tiempo posible según sea el tipo defallo.

5.1.4. Administrador interno de las Bases de datos

Funciones:1. Es el encargado jurídicamente de la seguridad de la base de datos y de las

medidas establecidas en el presente documento, implantará las medidas deseguridad establecidas en él.

2. Crear un ambiente de preproducción para que los usuarios de desarrollo(Analistas SQL, Arquitectos de datos, etc.) puedan trabajar en él y no en el deproducción directamente como se describe en el Anexo C, Procedimiento decreación del ambiente de preproducción.

9

3. Asegurar que todos los usuarios de la base de datos cuenten con el mínimode permisos y privilegios necesarios para cumplir con sus labores dentro delinstituto.

Obligaciones:1. Revisar que los scripts que realicen los usuarios de desarrollo obedezcan a

acciones propias del desarrollo de su trabajo y no atenten contra la seguridadde la base de datos.

2. Ejecutar los scripts realizados por los usuarios de desarrollo una vez que estoshayan sido ejecutados por parte de cada usuario exitosamente en un ambientede preproducción, desarrollo o pruebas.

3. Asegurar que solo los usuarios descritos en el numeral 4 del presentedocumento tengan acceso a la base de datos y solo puedan consultarla.Además de no usar ninguna configuración por defecto (puertos, usuarios,contraseñas...)

4. Al otorgar los permisos y privilegios a los usuarios con los que se conectaranlas aplicaciones a la base de datos, debe asegurar que sean los estrictamentenecesarios para que la aplicación cumpla únicamente el objeto para el cual fuedesarrollada.

5. Notificar al ministerio de comercio, industria y turismo las bases de datoscreadas mediante orden de la dirección de tecnología (decreto 886 de 2014).

6. Implantar las medidas necesarias, según el Anexo D, Procedimiento deRegistro de incidencias de seguridad de la Información, que estarán adisposición de todos los usuarios y administrador de BD con el fin de que seregistre, cualquier incidencia que pueda suponer un peligro para la seguridadde la base de datos.

7. Comprobar con una periodicidad al menos trimestral, que la lista de usuariosde la base de datos corresponda con los permisos y privilegios que realmentedeben estar autorizados.

8. Realizar las actualizaciones de los activos relacionados con la información detipo software de acuerdo a una revisión conjunta con el administrador deseguridad.

9. Crear tablas de auditoría que permitan establecer la trazabilidad de loscambios sobre los datos de los activos de información de la base de datosproductiva.

10

5.1.5. Administradores de la seguridad de las Bases de Datos

Funciones:1. Coordinar y controlar las medidas definidas en el documento, sirviendo al

mismo tiempo de enlace entre los responsables del cumplimiento de la política.2. Adoptar las medidas necesarias para que el personal obligado a cumplir lo

expuesto en este documento, conozca las normas que afectan el desarrollo desus funciones.

Obligaciones:1. Coordinar la puesta en marcha de las medidas de seguridad, colaborar con el

propietario de la información y apoyar en el cumplimiento del documento.2. Mantener actualizado el presente documento siempre que se produzcan

cambios relevantes en la base de datos o en la organización de la misma.3. Adecuar en todo momento el contenido del documento a las disposiciones

vigentes en materia de seguridad de datos, y asegurar que el nuevodocumento llegara a todo el personal relacionado.

4. Determinar las amenazas vulnerabilidades y riesgos asociados a la base dedatos y establecer controles para mitigarlos

5. Mantener siempre actualizados los controles de seguridad e implementarnuevos controles cuando sea requerido.

6. Analizar con periodicidad al menos trimestral las incidencias registradas, paraindependientemente de las medidas particulares que se hayan adoptado en elmomento que se produjeron, adoptar las medidas correctoras que limiten esasincidencias en el futuro relacionadas con la base de datos.

7. Al menos una vez por trimestre revisar, conjuntamente con el administradorinterno, que todos los activos relacionados con la información de tipo softwareestén actualizados a la última versión según recomendaciones de losfabricantes.

8. Al menos una vez al año, cooperar con una auditoría, externa o interna quedictamine el correcto cumplimiento y la adecuación de las medidas delpresente documento de seguridad, identificando las deficiencias y proponiendolas medidas correctivas necesarias. Los informes de auditoría serán analizadospor el responsable de seguridad, quien propondrá al administrador de la basede datos las medidas correctoras correspondientes.

9. Documentar los resultados de las auditorías.10.Crear un control que permita registrar la entrada y salida de los correos

electrónicos o transferencia de documentos con datos de carácter personal por

11

red, de forma que se pueda siempre identificar su origen, tipo de datos,formato, fecha y hora del envío y destinatario de los mismos.

5.1.6. Usuarios de Consulta

Funciones:1. Realizar únicamente las consultas a la base de datos que sean estrictamente

necesarias para cumplir con el objeto del desarrollo de sus actividades en elinstituto.

Obligaciones:1. Solicitar autorización al administrador de la base de datos siempre que

requieran crear copias de la información de la base de datos.2. Solicitar autorización al administrador de la base de datos siempre que deban

entregar información de la base de datos a terceros.3. No podrán bajo ninguna circunstancia mantener copias de la información de la

base de datos en sus computadores de escritorio ni medios externos.

5.1.7. Usuarios de desarrollo de las base de datosFunciones:1. Realizar únicamente las consultas a la base de datos que sean estrictamente

necesarias para desarrollar los scripts para cumplir con las actividades objetode su trabajo.

Obligaciones:1. Solicitar autorización al administrador de la base de datos siempre que

requieran crear copias de la información de la base de datos.2. Solicitar autorización al administrador de la base de datos siempre que deban

entregar información de la base de datos a terceros.3. No podrán bajo ninguna circunstancia mantener copias de la información de la

base de datos en sus computadores de escritorio ni medios externos.

6. Incumplimiento

Esta política, es de obligatorio cumplimiento, por lo tanto debe ser cumplida portodos los funcionarios, contratistas, entes reguladores, socios de negocios yterceros, que interactúen con la base de datos productiva.

12

Incumplimiento significa toda conducta de cualquier miembro que no respete lapolítica. Entre los ejemplos de incumplimiento se incluyen, sin limitarse a ellos:

a) Los funcionarios que sean negligentes en la aplicación de medidas deseguridad.

b) Una acción o inacción por parte de un funcionario que contribuye a laviolación de las normas orientadas al buen uso de la información de labase de datos.

c) Un funcionario que no notifica o resuelve inmediatamente los problemasde seguridad de la información que sean detectados.

d) Los funcionarios que no tomen las medidas correspondientes ante unaqueja o un incidente de seguridad.

Cualquier violación de esta política y procedimientos de seguridad esconsiderado como falta disciplinaria por incumplimiento de las obligaciones ydeberes del funcionario, y se llevará a cabo el respectivo proceso deinvestigación, atendiendo las circunstancias particulares de cada caso.

Los empleados temporales y de terceros que estén involucrados en incidentesde incumplimiento pueden ver terminado su contrato de acuerdo con lascondiciones que en él se hayan establecido.

7. Referencias

[1] ISO 27001:2005. Sistemas de gestión de Seguridad en la Información-Requerimientos.

[2] ISO/IEC 133351:2004. Tecnología de la información – Técnicas de seguridad –Gestión de seguridad en tecnología de información y comunicaciones – Parte 1:Conceptos y modelos para la gestión de seguridad en la tecnología de la información ycomunicaciones .

[3] ISO/IEC TR 18044:2004.Tecnología de la información – Técnicas de seguridad –Gestión de incidentes en la seguridad de la información .

[4] Firma-e, Javier Cao Avellaneda. Guía para la elaboración del marco normativo de unsistema de gestión de la seguridad de la información (SGSI). 29 de noviembre de 2007.

13

ANEXOS

14

Anexo A. Política de uso de contraseñas

ICFES

POLITICA DE CONTRASEÑAS“SEGURIDAD DE LA INFORMACION”

Revisó Subdirección deDesarrollo deAplicacionesSubdirección deInformación

15

Aprobó Dirección deTecnología eInformación

FechaAplicación

Julio de 2012

16

INFORMACIÓN DEL DOCUMENTO

Versión Fecha[dd/mm/yy]

Elaborado por: Razón de la actualización

1 06/07/2011Yanid Parra

Contratista Seguridadde la Información

Creación del documento

2 12/07/2011Yanid Parra

Contratista Seguridadde la Información

Ajustes a los comentarios delICFES

17

CONTENIDO1. OBJETIVO ...................................................................................................................................... 182. ALCANCE ....................................................................................................................................... 183 POLITICAS..................................................................................................................................... 184 responsabilidades ....................................................................................................................... 19

18

1. OBJETIVOEstablecer los lineamientos para que el usuario defina contraseñas que no seanfácilmente vulnerables y lograr así un control de acceso seguro y efectivo a losrecursos informáticos del ICFES.

2. ALCANCEEsta política aplica a las contraseñas para el acceso a los recursos informáticospor parte de los miembros del ICFES tales como: servicio de correo, redcorporativa, aplicaciones, sistemas de administración, Internet, Intranet y demássistemas de información.

3. POLITICASLas contraseñas son uno de los controles más utilizados para el acceso seguro alos recursos informáticos. La seguridad en el acceso depende de la fortaleza delas contraseñas, entre más simples sean, mayor será la probabilidad de que sevulneren. Por esta razón todos los miembros deben aportar de manera individuala la protección de la información del ICFES, comprometiéndose a seguir lasdirectrices que se indican a continuación:

Las contraseñas son de uso personal e intransferible, no se debencompartir con ninguna persona. Todas las contraseñas deberán sertratadas como información confidencial.

Ningún usuario podrá acceder un sistema utilizando la cuenta o contraseñade otro usuario. Los usuarios deben velar porque sus claves o contraseñassean obligadas a cambiar periódicamente.

Nunca deberán ser escritas en papeles.

No deberán ser guardadas en línea usando las opciones deautocompletado y agentes de manejo de contraseñas que ofrece el sistemaoperativo.

Las contraseñas no deben ser guardadas en ningún sistema computarizadosin cifrado.

Los usuarios son responsables de las transacciones que se realicen consus contraseñas.

Se deben seguir las siguientes reglas para la creación de una contraseña:o La longitud mínima deberá ser de 8 caracteres.o La contraseña debe contener caracteres alternando mayúsculas y

minúsculas, caracteres especiales, y números.

19

o No se podrán reutilizar hasta 6 contraseñas ya empleadasanteriormente.

o La contraseña se debe cambiar por lo menos cada 2 meses.o No pueden ser palabras completas, ni en español, ni en cualquier

otro idioma, ni palabras de uso común, tales como: temporal,Colombia, ICFES2011, etc.

o Debe ser fácil de recordar, pero difícil de adivinar.o No deben estar basadas en información personal, ni de trabajo, no

se deben usar nombres de familiares, fechas, etc.4. Responsabilidades Todo usuario debe mantener la confidencialidad de las contraseñas bajo su

responsabilidad.

Mantener controlado el acceso a su computador, previniendo que tercerosinstalen software o hardware que guarde las contraseñas digitadas.

Es responsabilidad de los usuarios cambiar las contraseñasinmediatamente si se sospecha que se han sido conocido por cualquier otrapersona, y además deben notificar el incidente a través de la mesa deayuda.

20

Anexo B. Procedimiento de destrucción de soportes con información de labase de datos.

22

Anexo C. Procedimiento de creación del ambiente de preproducción

24

Anexo D: Procedimiento de registro de incidencias de seguridad de laInformación

danny alejandro garzÓn aristizabalrepository.udistrital.edu.co/bitstream/11349/2424/1... ·...

Documents