CONCLUSIONES Y RECOMENDACIONES
1. Controles de Acceso al Centro de Cómputo
¿Realizaron un análisis costo beneficio a la hora de implementar los controles? SI ¿Cómo se asesoraron? ... NO ¿Por qué? ... ¿Restringen el acceso al centro de cómputo a las personas que no pertenecen al
mismo? ¿Qué métodos de control aplican? ¿Dónde? Tarjetas de entrada... Guardias de seguridad... Llaves Cifradas... Circuito cerrado de televisión... ¿Qué tipos de autenticación se utiliza en la empresa?
Con algo que el individuo sabe (password, PIN, etc.)
Algo que el individuo procesa (un token, un smart card, etc.) Algo que el individuo es (controles biométricos)
Algo que sabe hacer (como los patrones de escritura) ¿Por qué no utilizan las otras?
Por el costo ---- No vale la pena ----
¿Dejan entrar solo a personal que lo necesite? SI ---- NO----
¿Les hacen algún control? ¿Cuál? ... 2. Control de Acceso a los Equipos
¿Cómo se controlan los siguientes accesos?
La BIOS tiene habilitada una contraseña SI ---- NO ----
Las Pc’s tienen habilitadas:
La unidad de CD o DVD SI ---- NO ----
La lectora de tarjetas de memoria SI ---- NO ----
¿Cómo se controlan estos dispositivos? ... ¿De qué manera se evitan los virus en los CD’s y Memorias?…... ¿Estos dispositivos son booteables (se permite desde el setup el booteo de estos
dispositivos? SI---- NO ----
¿ Ha habido robos de información a través de estos dispositivos ? SI ---- NO ---- ¿Las unidades de Memoria, CDW y DVD RW están habilitadas en todos los
equipos? SI ---- NO ----
134 ¿En qué máquinas están?
...
¿Los dispositivos externos extraíbles están guardados con llaves? SI ---- NO ---- ¿Existe control sobre terceros que realizan mantenimiento? SI ---- NO ---- ¿Existen entradas no autorizadas en las PC’s, como puertos no usados y no
deshabilitados? SI ---- NO ----
¿Puede alguien instalar una impresora u otro dispositivo (un zip o disco removible) en alguna máquina? SI ---- NO ----
¿Cómo se hace el control de dispositivos que se instalan en las Pc’s ?
¿Se hace una revisión periódica de los mismos? ... ¿Quién las hace? ...
¿Cada qué tiempo? ...
¿Se apagan los servidores en algún momento? SI ---- NO ----
¿Es necesario que queden prendidos las 24 horas? ... 3. Unidades de soporte
¿Cuenta el CPD con los siguientes elementos?
Aire Acondicionado (18o C a 20oC) SI ---- NO ---- Calefacción SI ---- NO ----
Control de humedad (65 por ciento) SI ---- NO ----
Luz de emergencia en el centro de cómputo SI ---- NO ---- Detectores de humo, agua y calor SI ---- NO ----
Alarmas: contra fuego SI ---- NO ---- humo SI ---- NO ---- calor SI ---- NO ---- intrusos SI ---- NO ---- agua SI ---- NO ---- ¿Qué otras hay?
Servidor de repuesto o redundante SI ---- NO ---- UPS SI ---- NO ----
¿Cuántos? ...
¿En qué máquinas? ... ¿Funcionando cuántas horas? ...
Estabilizador de tensión SI ---- NO ---- ¿Cuántos? ...
135 Extintores de incendio:
¿Son los adecuados? SI ---- NO ----
¿Son manuales o automáticos (rociadores)? ...
¿Se corta la energía eléctrica cuando se activan estos rociadores? SI---- NO ¿Están en el lugar correcto? SI ---- NO ----
¿En qué lugares?... ¿Cómo eligieron el lugar ? ...
¿Se revisan las posibles fallas eléctricas o posibles causas de incendio? SI ---- NO - ¿Se cubren los equipos cuando se activan los rociadores? SI ---- NO ----
¿Hay una sola red eléctrica? SI ---- NO ----
¿Hay equipos que eviten la sobrecarga de la red eléctrica? SI ---- NO ----
¿Hay hardware especial de aislamiento y protección de dispositivos magnéticos? SI ---- NO ----
4. Edificio
¿El edificio fue diseñado tomando en cuenta la seguridad de los datos y equipo? SI ---- NO ----
Centro de cómputo:
¿Está ubicado en pisos elevados (para prevenir inundaciones)? SI ---- NO --- ¿Existe piso o techo falso para pasar el cableado? SI ---- NO ----
¿El piso o techo falso están fabricados con materiales incombustibles? SI ---- NO ---- ¿El área que cubre el piso o el techo falso es de fácil acceso? SI ---- NO ----
¿El piso y techo del centro de cómputo es impermeable? SI ---- NO ----
¿Es lo suficientemente grande previendo el crecimiento de la red o re instalaciones ? SI ---- NO ----
¿La localización del centro de cómputo tiene paredes incombustibles? SI ---- NO ---- ¿Está cerca del backbone? SI ---- NO ----
¿El personal está capacitado para actuar en caso de incendio? SI ---- NO ---- ¿Está permitido comer, fumar o beber dentro del centro de cómputo? SI ---- NO ---- ¿Existen procedimientos estándar para la recepción y almacenaje de papel? SI ----
NO ----
¿El Departamento de Bomberos de su localidad está al tanto de las particularidades y Vulnerabilidades del Centro de Cómputo? SI ---- NO ----
Cableado
¿Usan cableado estructurado? SI ---- NO ----
136
¿Se consideró la ubicación de los canales, para que sean afectados por
inundaciones, cortes eléctricos, desagües o campos magnéticos? SI ---- NO ---- ¿Utilizan cables especiales para que no haya interferencia? SI ---- NO ---- ¿Qué medidas utilizan para controlar las
interferencias?... ¿Cómo previenen los cortes o daños en los
cables?... ¿Cómo calcularon el ancho de banda de la
red?... ¿Es suficiente? SI ---- NO ----
¿Las bocas de red son suficientes? SI ---- NO ---- ¿Cuántas utilizan? ... ¿Cómo protegen las que no utilizan?
¿Están habilitadas? SI ---- NO ----
¿Cómo las deshabilitan? ...
¿Se conoce por donde van las cañerías de forma que no interfieran con la red? SI --- NO ----
¿El Centro de Cómputo esta cerca o aledaño a áreas donde se utiliza o almacene materiales inflamables, tóxicos o corrosivos? SI ---- NO ----
¿El mobiliario del centro de datos está fabricado con materiales inflamables? SI ---- NO ----
¿Existe alguna forma de cortar la energía inmediatamente en caso de emergencia? SI ---- NO ----
137 Anexo 3. Entrevista Seguridad Lógica. 1. Identificación de usuarios.
Altas:
¿Qué datos se guardan en el perfil de usuario?:
ID del usuario ---, tiene relación con código de recursos humanos SI---- NO---- Password ----
Apellidos y Nombres ----
Departamento o Unidad a la que pertenece ---- Fecha de expiración del password ----
Fecha de anulación de la cuenta ---- Contador de intentos fallidos ---- Bajas:
¿Recursos humanos informa las desvinculaciones y cambios de funciones del personal? SI---- NO ----
¿Existen procedimientos para la eliminación de claves? SI ---- NO ---- ¿Se llevan registros de las claves eliminadas? SI ---- NO ----
¿Por cuánto tiempo? ... ¿Qué datos se guardan? ... ¿Con qué finalidad? ...
¿Estos procedimientos se realizan inmediatamente después que el empleado se ha retirado de la empresa? SI ---- NO ----
Gestión y Mantenimiento:
¿Cuentan con una política documentada para la gestión de claves de acceso? SI ---- NO ----
¿Quién es la persona encargada de administrar las claves? SI ---- NO ---- ¿Cómo están conformadas las claves de acceso? ... ¿Con qué periodicidad se actualizan las claves? ... ¿Son utilizadas técnicas de cifrado para proteger las claves? SI ---- NO ---- ¿Se verifica que el usuario tenga autorización para el uso del sistema antes de
asignarle una clave? SI ---- NO ---- ¿Quién autoriza? ...
¿En caso de que el usuario cambie de función, se lleva un registro actualizado de los cambios de privilegios? SI ---- NO ----
¿Existe un registro de los intentos de aceptación y rechazo de claves de usuario en el sistema? SI ---- NO ----
¿Existe un registro que indique la hora, fecha y aplicación que utilizo el usuario? SI -- -NO ----
138
¿Se realizan seguimientos a los registros de accesos no autorizados, autorizados y fallidos? SI ---- NO ----
¿Existen registros de errores al ingresar datos, por cada aplicación? SI ---- NO ---- ¿Está el tiempo de conexión limitado al horario de trabajo? SI ---- NO ----
¿Qué procedimientos se sigue cuando el usuario se encuentra dentro de alguna de estas condiciones?:
Vacaciones... Olvido o revelación de claves... Claves sin usar... ¿Se llevan registros de estos procedimientos? SI ---- NO ---- 2. Autenticación
¿Qué se muestra cuando se tipea el password? Asteriscos ----
Espacios ----
No se mueve el cursor ----
¿Cómo se guardan los datos de autenticación? Encriptados ----
Bajo password ----
¿De qué forma se los asegura? ………... ¿Se clasifica estos datos como confidenciales? SI ---- NO ----
¿Quién tiene acceso a estos datos? ... ¿La autenticación es para: toda la red ---- o por aplicación ----?
¿Se bloquea el acceso luego de un número de intentos fallidos? SI ---- NO ---- ¿Después de cuantos intentos de acceso? ...
¿El equipo espera un tiempo para mostrar nuevamente la ventana de ingreso de contraseña? SI ---- NO ----
¿Se usan firmas digitales para autenticar a los usuarios dentro de la organización, cuando mandan mensajes internos? SI ---- NO ----
¿Y para mensajes externos? SI ---- NO ----
¿Serian necesarias para algún documento? SI ---- NO ---- 3. Password
¿Qué método emplean para generar las claves? Software ----
Usuario ----
¿Qué características debe tener el password?
139
Tamaño mínimo y máximo………... ¿El password se inicia como expirado para obligar el cambio? SI ---- NO ----
¿Se permite que tenga el nombre de la empresa, o el nombre del usuario? SI ---- NO ----
¿Dos cuentas pueden tener el mismo password? SI ---- NO ----
¿De existir dos o más cuentas de administrador, todas o algunas de ellas tienen el mismo password? SI ---- NO ----
¿El password puede ser el mismo que el ID del usuario? SI ---- NO ----
¿Con que frecuencia es necesario cambiar el password antes de que se vuelva obsoleto?...
¿Se puede cambiar el password en cualquier momento? SI ---- NO --- ¿Cuál es el procedimiento para manejo de password pérdidas o reveladas? :
¿Se guarda los password usados por el usuario? SI ---- NO ---- ¿Cuántos password de cada usuario se guardan? ...
¿Se capacita a los usuarios sobre la administración del password? SI ---- NO ---- Se les enseña a:
No usar password fáciles de descifrar ---- No divulgarlas ----
No escribirlas o guardarlas en lugares fáciles de encontrar ---- No usar la misma clave para varios servicios ----
Comprender que el password es el principal método de seguridad ---- 4. Roles
¿Las claves se asignan por grupos de usuarios ---- o por cada usuario ----?
¿Los permisos de (lectura, escritura, ejecución, eliminación, todos los anteriores) son asignados de acuerdo a las funciones del usuario? SI ---- NO ----
El ID hace referencia: A una persona ---- Anónimos ---- Al grupo ---- 5. Transacciones
¿ Se permite hacer ciertas transacciones a unos usuarios que otros no pueden hacer? Dependiendo de:
Tipo de usuario—
Del Grupo—
¿Se restringe el acceso a ciertos programas a ciertos usuarios? SI ---- NO ---- ¿Cómo?...
140 6. Limitaciones a los servicios
¿Existe en la empresa productos de software cuya licencia limite su uso a un número determinado de usuarios? SI ---- NO ----
¿El administrador ha establecido límites al uso simultaneo de ciertas aplicaciones? SI ---- NO ----