CAPITULO III 3 DESARROLLO DE LA PROPUESTA.
VALORACIÓN DEL ACTIVO
3.3.5 Tratamiento del Riesgo.
3.3.5.4 Desarrollo del plan de seguridad informática al caso de estudio.
El desarrollo del plan de seguridad del departamento del departamento de TI del distrito de Salud 1205 se lo realizará aplicando la normativa detallada a través de la RFC 2196. Y a continuación se detalla los parámetros a considerar para la creación de las políticas.
3.3.5.4.1 Plan de Seguridad con RFC 2196.
Según la RFC 2196 los componentes de una buena política de seguridad incluyen:
Pautas para adquisición de tecnología computacional con requerimientos específicos o características de seguridad deseadas. Estas deberían complementar pautas y políticas de adquisición existentes.
Una política de privacidad que define expectativas razonables de privacidad en temas tales como monitoreo correo electrónico, registros en teclado y acceso a archivos de usuarios.
Una política de acceso que defina privilegios y derechos de acceso, para proteger los bienes de pérdida o divulgación, especificando pautas de uso aceptables por los usuarios, staff de operaciones y administradores. También debería proveer de pautas para conexiones externas, comunicación de datos, conexión de dispositivos a redes e incorporación de nuevo software al sistema. También se debería especificar cualquier mensaje de notificación requerido (es decir, los mensajes de conexión deberían proveer advertencias sobre uso autorizado y líneasde monitoreo y no sólo decir “Bienvenido”) Una política de responsabilidad, que define las responsabilidades de los usuarios, staff
de operaciones y administradores. Esta debería especificar una capacidad de auditoría y proveer pautas para el manejo de incidentes (es decir, qué hacer y con quién contactarse si un posible intruso es detectado)
Una política de autenticación que establece confianza a través de una efectiva política de contraseñas y establece pautas para autenticación en forma remota y el uso de dispositivos de autenticación (es decir, passwords one-time y dispositivos que las generan)
Una declaración de disponibilidad, que establezca expectativas de los usuarios acerca de la disponibilidad de los recursos. Esta debería localizar redundancias y recuperar elementos, tan bien como especificar las horas de operación y los períodos de mantención. También debería incluir información de contactos para el sistema de reportes y fallas en la red.
Un sistema de tecnología de información y una política de mantención de redes que describan cómo el personal de mantención, tanto interno como externo, puede manejar y usar la tecnología. Un tópico importante que se indica aquí es si la mantención remota es permitida y cómo se controla dicho acceso. Otra área que se considera aquí es el outsourcing y cómo se maneja.
Una política de reporte de violaciones que indique qué tipo de violaciones (es decir, privacidad y seguridad, tanto interna como externa) deben ser reportadas y de quién son esos reportes. Una atmósfera no amenazante y la posibilidad de reportes anónimos, resultarán en una gran probabilidad que una violación será reportada si es que se detecta.
Información de soporte que proveen los usuarios, staff y administradores, con información de contacto para cada tipo de política de violación; pautas acerca de cómo manejar consultas acerca de incidentes de seguridad o información que pueda ser considerada confidencial y propietaria; referencias cruzadas a procedimientos de seguridad e información relacionada, tales como políticas de la compañía y leyes y regulaciones gubernamentales.
A continuación se detallan las políticas de seguridad de acuerdo a las exigencias y detalles de la RFC 2196.
Según la RFC 2196 las políticas es una expresión formal de reglas que deben cumplir aquellas personas que tienen acceso a información y tecnologías de información en una organización, su objetivo principal es informar a toda la empresa de los requisitos a cumplir, para proteger los bienes de información y tecnología y deben estar involucrados todos los miembros de la empresa.
Los componentes que se desarrollan para la política de seguridad incluyen:
3.3.5.4.2 Pautas de Adquisición de tecnología computacional.
Esto no se realiza para el Distrito de Salud por que todo es manejado por el departamento de Compras Públicas el Departamento de TI solo define las características del equipo para
la adquisición.
3.3.5.4.3 Política de Acceso a la Información de acuerdo al Tipo.
En este caso la RFC2196 refiere que todos los activos debe realizarse una gestión confiable que asegure las responsabilidades.
Las responsabilidades del área quedan distribuidas de la siguiente manera:
El distrito de Salud de Vinces dispone de activos de información para apoyar la gestión de todos sus empleados, y sus usos se definen en las siguientes políticas.
Correo Electrónico
Todo el personal del Distrito de Salud, en su ingreso se le otorga una cuenta de correo electrónico.
Es responsabilidad del usuario hacer buen uso de su cuenta, entendiendo por buen uso:
No contestar cadenas de correo porque en ellas se pueden solicitar información de la empresa.
Realizar uso de la cuenta solo para fines laborales.
Debe realizar limpieza de la bandeja de entrada mensualmente, con el objetivo de no sobrecargar el almacenamiento y acumular correo innecesariamente que afecte su capacidad de almacenamiento.
Respetar las cuentas de los otros usuarios.
Se le asignará solo una cuenta por usuario.
El uso del correo es personal por tanto la gestión del correo es totalmente responsabilidad de los usuarios.
El incumplimiento del buen uso de su cuenta de correo puede provocar el cierre de su cuenta.
Los archivos que consideren importante el usuario debe realizar su respectivo respaldo de la cuenta de correo.
3.3.5.4.4 Lineamientos para uso de los activos.
Uso de Equipos.
será el responsable directo de su uso.
El distrito de salud por parte del personal técnico puede realizar una revisión del equipo y el software instalado.
Todo mal uso del equipo, esto quiere decir que afecte el rendimiento del equipo, cause daño, o afecte la red será notificado a la dirección del Distrito para las acciones legales pertinentes.
Cuando surja algún inconveniente con algún equipo del distrito de salud, y se deba sacar fuera de las instalaciones se debe contar con la autorización del departamento de Bienes y del Director de TI.
3.3.5.4.5 Documentos
En el distrito existen documentación sobre el uso de los equipos y configuraciones de los sistemas utilizados. Estos manuales solo podrán ser consultados dentro de Distrito de Salud.
Si existe la necesidad de llevar algún documento de configuraciones o manuales fuera del distrito deberá contar con el visto bueno del Director de TI.
3.3.5.4.6 Política de Responsabilidad.
Se decidió con el departamento de TI realizar la siguiente matriz para asignación de responsabilidades.
Título: Documento para asignación de responsabilidades
Fecha Emisión: Fecha Modificación: Aprobación:
3.3.5.4.7 Políticas de Autenticación.
Para acceso de los equipos se implementará el Sistema Operativo Microsoft Windows Server 2012 y el Active Directory, este servicio brindara el sistema de autenticación a los equipos del Distrito de Salud, además se deberán cumplir los usuarios las siguientes políticas de Seguridad:
Se realizará un listado de aplicaciones y recursos que el usuario deberá tener acceso esto será remitido por el jefe de área, para que el personal de soporte entregue los accesos solicitados.
Se establece que luego de tres intentos fallidos de colocación de contraseña se bloqueara el usuario, y para proceder con el desbloqueo deberá remitir el usuario oficio solicitando el reinicio de contraseña y desbloqueo del usuario.
El presente documento detalla las responsabilidades que tendrán asignadas el personal del TI ,sin embargo puede ser utilizado por cualquier departamento que sienta la necesidad de su aplicación.
RESPONSABILIDADES
Las responsabilidades del área quedan distribuidas de la siguiente manera:
Actividades Responsable
Realizar un listado de contraseñas Personal de Soporte Coordinar las actividades de seguridad Director de TI Realizar notas de entrega y pedido Personal de Soporte Etiquetar cableado Administrador de la red Monitoreo y Mantenimiento de equipos Personal de Soporte Asignación de responsabilidades y obligaciones Director de TIC Respaldo de información Administrador de Red Comunicar políticas de Seguridad Director de TIC
3.3.5.4.8 Identificación y autenticación de usuario.
Durante el intento de conexión el sistema de Active directory deberá ocultar los identificadores y aplicaciones existentes y se divulgaran luego del inicio de sesión.
Se deshabilitará todo mensaje de bienvenida y ayuda luego de la autenticación.
Se habilitará en el sistema de Active directory el registro de login fallidos y autenticados, y se deberá tomar acciones correctivas con los usuarios de los intentos de sesión fallida y su revisión se la realizará mensualmente y serán informados al director del Distrito.
Para la creación de usuarios en la opción de nombre usuario se evitará al máximo identificar algún nivel de privilegios sobre algún software o acceso a dispositivo.
3.3.5.4.9 Aseguramiento de password.
El Active directory será el sistema de gestión centralizada de contraseñas, y permitirá al usuario elegir, cuando desea cambiar la contraseña.
Limitación del tiempo de conexión.
Las conexiones de los equipos se realizará en el horario ingreso y salida laboral.
Si existe algún personal que realiza o realizará labores luego de este periodo el director o jefe de área deberá remitir un oficio especificando las horas adicionales.
3.3.5.4.10 Política de Mantención de Redes.
En el distrito de Salud existirán subredes o perímetros separados por medio de alguna herramienta opensource para implementar firewall o proxy.
Para esta segmentación de la red se tomará en cuenta perímetros y acceso a aplicaciones.
3.3.5.4.11 Control de la conexión a la red.
Los archivos compartidos de los departamentos del distrito de salud, será accedidos solo por los usuarios autorizados y gestionados por Active Directory, y para el acceso se solicitará la autorización del jefe o director departamental.
Se establecerá control de acceso a los usuarios del distrito por horarios laborales para esto se restringirá por medio de active directory.
3.3.5.4.12 Control de encaminamiento (routing) de red.
En las redes del Distrito de salud se instalará controles de red a través de una herramienta que permita restringir el acceso a través de métodos de autenticación.
Los mecanismos de control de acceso dispondrá de listas de control de acceso por medio de las direcciones mac de los equipos con esto se asegura mantener una bitácora de conexiones.
3.3.5.4.13 Política de seguimiento de políticas de seguridad y violaciones.
A fin de detectar actividades de procesamiento de información no autorizadas se producirán y mantendrán registros de auditoría, en estos se registrarán los eventos de seguridad de información control de inicios de sesión y detalle de los servicios, para la detección de incidentes de seguridad.
3.3.5.4.14 Supervisión del uso de sistemas y servicios.
Se deberá registrar toda la información de los sistemas y servicios que proporciona la red, esto se lo realizará con la activación de los servicios y se almacenará los siguientes datos:
Identificación de los usuarios.
Tiempos de actividad en el servicio fecha de acceso y cierre del servicio, además de establecer desde el equipo que se lo realizó.
Los registros de intentos de acceso a los datos u otro recurso, exitosos, rechazos y cambios de configuración del sistema, uso de privilegios, uso de utilitarios y aplicaciones, así como los archivos accedidos y el tipo de acceso. Para esto los equipos serán unidos a un dominio con Active Directory y Kerberos.
Para las direcciones de redes y protocolos y control a la web se utilizara las aplicaciones provistas por Squid y su herramienta Sarg, que permite ver un historial de navegación por direcciones IP.
3.3.5.4.15 Plan de mantenimiento Preventivo y Correctivo. Anexo1.
3.3.5.4.16 Política de control de acceso a los servicios.
Los usuarios con accesos a un sistema de información o la RED, dispondrán de una única autorización de acceso compuesta de identificador de usuario y contraseña.
Ningún usuario recibirá un identificador de acceso al equipo y servicios del Distrito de Salud, hasta que no realice la aceptación de términos y uso fijados en las políticas de seguridad.
El usuario en el primer inicio de sesión se le solicitará el cambio y deberá definirla con base a las políticas de grupo y accesos a servicios y será el único responsable de mantener la privacidad de su contraseña.
La longitud mínima de la contraseña será de 6 caracteres en combinaciones de números, letras y por lo menos una de las letras será mayúsculas.
Los usuarios son los encargados de solicitar la revisión de algún servicio si nota algo anormal como lentitud o falta de acceso.
Los usuarios solo estarán autorizados a realizar manipulación de datos que se encuentran autorizados, y este se definirá de acuerdo a sus funciones, conforme a criterios del director del jefe o Director departamental salvo mejor criterio del director de TI y ser solicitado por escrito.
En el caso de usuarios temporales se configurarán para un corto periodo de tiempo. Una vez expirado este periodo se desactivaran automáticamente y en caso de seguir necesitando el accesos será autorizado por el director o jefe del departamento que esté desarrollando sus actividades.
3.3.5.4.17 Políticas para la infraestructura de los host para acceso a los servicios.
La asignación de privilegios a los sistemas de información y servicios, estará limitada por las siguientes políticas.
Los privilegios asociados a cada servicio o software será identificados y deberá establecer Sistema Operativo, Sistema Gestor de base de Datos, Requisitos o dependencias, y el personal que tendrá acceso al servicio o software.
Los privilegios para cada usuario se definirá en reunión con el director de área donde actuará el software o servicio, el cual deberá ser el mínimo para su rol en el departamento.
usuario, y no beberá entregar el privilegio hasta que no se haya hecho formal el proceso de asignación para esto deberá existir el documento.
El periodo de vigencia para el mantenimiento de los privilegios por usuario lo realizará cada 6 meses donde se deberá constatar privilegio otorgado al usuario y contrastar con el otorgado en el documento entregado por el director de área.
3.3.5.4.18 Gestión de acceso a los usuarios a los datos y servicios.
Para mantener un control en el acceso a la información y los servicios el director de TI deberá formalizar el proceso de revisión de derechos de acceso a los usuarios con las siguientes políticas.
Deberá revisar los derechos de acceso de los usuarios del distrito de Salud cada 6 meses
Deberá revisar los derechos de acceso especiales o temporales de los usuarios del distrito de Salud cada 6 meses
En caso de ascenso, remoción, o término de contrato se actualizarán los derechos de accesos en un plazo máximo de 2 días.
El Director de TIC del Distrito de Salud, una vez notificado por Talento Humano por parte de cualquier cambio de funcionarios.
3.3.5.4.19 Acceso Físico a la infraestructura. Protección de equipos y emplazamiento.
Para acceder a los equipos del data center, solo podrá realizarlo el custodio de la llave de acceso que será el director de TI, y debe existir otra persona designada en caso de ausencia del Director de TI.
El acceso a los equipos del data center solo podrán ser autorizados por el Director de TI para lo cual se solicitará la identificación respectiva a la empresa que representa y el trabajo a realizar en el data center, en caso de ausencia del Director de TI lo realizará el director distrital, bajo supervisión del personal de soporte.
Los usuarios de los equipos son los responsables de realizar la notificación respectiva por escrito en caso de existir algún problema potencial con el equipo de cómputo ejemplo: agua, fuego, polvo o algún tipo de elemento que ponga en riesgo el equipo.
El usuario deberá proteger memoria usb, disco óptico, o algún tipo de almacenamiento de información, que este bajo su responsabilidad y no guardar en lo posible información de la empresa.
El usuario no puede realizar manipulación, reubicación de los equipos de cómputo, realizar desplazamiento del cableado utilizado para acceder a servicios, sin autorización del Director de TI.
Es prohibido por parte del usuario consumir bebidas o alimentos en el escritorio o mueble destinado para la ubicación del equipo de cómputo.
3.3.5.4.20 Mantenimiento de equipos
La Unidad de TI realizará una cronograma de actividades de mantenimiento de los equipos departamentales, por lo menos dos veces al año para extender el periodo de uso.
Solo el personal de la unidad de TI podrá brindar servicio de reparación de los equipos para esto el responsable del equipo solicitará la credencial de identificación del personal.
Los usuarios deben realizar el respaldo de la información que consideren importante en el momento de trasladar el equipo a realizar diagnóstico y soporte, también deberá eliminar la información del equipo que considere vital para la empresa y considerada confidencial, para todas estas tareas puede solicitar ayuda al personal de TI.
3.3.5.4.21 Conexiones de red departamentales. Controles de la Red.
Es considerado como una infracción a la seguridad de la infraestructura cualquier tipo de escaneo a la red que no esté autorizado por el director de TI.
Es considerado ataque a la red informática cualquier equipo que tenga funcionando una tarjeta de red en modo promiscuo, porque podría obtener información de la red y las aplicaciones y servicios.
Se deberá realizar un test de seguridad por parte del equipo de TI por lo menos una vez cada 6 meses para constatar amenazas y vulnerabilidades de la red.
Con base a los resultados obtenidos el personal de TI deberá notifica al Director Distrital de Salud y realizar las correcciones del caso como las siguientes:
Rechazar conexiones a servicios comprometidos.
Permitir cierto tipo de tráfico.
Ocultar sistemas o servicios vulnerables que no son fáciles de proteger desde internet.
Auditar el tráfico entre el interior y el exterior.
Ocultar información sobre los dispositivos y cuentas de usuarios internos.
Se debe realizar la revisión de los logs del IDS, para así detectar conexiones fuera de hora reintentos de conexión fallidos y otros.
Como medida de seguridad para el acceso a la red inalámbrica, se deberá solicitar autorización y registro de la dirección mac del equipo.
Para la red inalámbrica se hará la implementación de autenticación tipo WPA y las contraseñas de acceso se actualizarán cada 6 meses para asegurar el acceso a los usuarios.
Se deberá aplicar el registro de todas las actividades de las redes inalámbricas y de los usuarios que acceden a este servicio, para realizar esta tarea, el departamento de TI realizará la implementación de un equipo para almacenar los logs.
Está prohibido instalar en los equipos de oficina o equipos que acceden a la red inalámbrica cualquier software para extracción de paquetes, esta práctica incurre una violación de la confidencialidad por tanto el usuario si empleado del distrito podrá ser sancionado de acuerdo a ley.
Para que el usuario no tenga responsabilidad en caso de una sustracción de identidad, el usuario deberá notificar por escrito al director de TI para dar de baja el equipo de la red en caso de ser un equipo portátil.
Está prohibido instalar cualquier equipo inalámbrico que permita conexión de más usuarios a la red, es decir algún router o acces point.
No se permite configurar las tarjetas inalámbricas como puntos de acceso.
3.3.5.4.22 Seguridad de los servicios de Red.
El encargado de las redes debe incorporar en el firewall controles para salvaguardar el procesamiento de los datos, para esto deberá realizar controles quincenales con el fin de detectar cualquier falla en los controles.