CAPÍTULO 3. SISTEMA DE GESTIÓN DOCUMENTAL
3.1 POLÍTICA DE SEGURIDAD
3.1.6 HARDWARE (ESTACIONES DE TRABAJO Y SERVIDORES)
Los servidores y las estaciones de trabajo deben estar convenientemente
protegidos considerando la configuración de los sistemas operativos, el acceso no
autorizado a los mismos, malware y actualizaciones de seguridad.
Aspectos de instalación
Todos los servicios y protocolos innecesarios e inseguros de cada servidor
deberán ser deshabilitados.
Los parámetros de seguridad de cada servidor deben estar configurados
adecuadamente de acuerdo a los manuales de políticas definidas, deben estar activos y
actualizados.
Todo acceso administrativo que no sea de consola local, deberá estar cifrado. Se
deben utilizar tecnologías como SSH, VPN o SSL/TLS o semejantes en seguridad en
los casos que corresponda.
Herramientas contra software malicioso
Los programas de protección contra software malicioso (antivirus) deben estar
instalados y actualizados en todas las estaciones de trabajo y servidores. Estos
programas deben estar activos, actualizados y deben generar registros de auditoría.
Enrique Perona Játiva Página 44
Los programas antivirus deben tener activados la actualización automática y la
exploración periódica.
El software de firewall local debe estar instalado, activado y actualizado en todas
las estaciones de trabajo, en particular en los dispositivos con conectividad directa a
Internet.
Parches de seguridad
Todos los equipos y software deben contar con los últimos parches de seguridad
proporcionados por los proveedores que sean importantes para el buen funcionamiento
del sistema. Los parches importantes de seguridad deben instalarse dentro del plazo
máximo de tres meses desde su lanzamiento.
Evaluaciones de seguridad - Detección de vulnerabilidades
Deberán ejecutarse trimestralmente evaluaciones internas de vulnerabilidades por
medio de herramientas especializadas para ayudar a mantener un estado seguro de la
red, las aplicaciones y los servidores.
Deberá ejecutarse por lo menos anualmente una revisión de vulnerabilidades de la
red, servidores, aplicaciones externas y aplicaciones internas. Esta tarea deberá ser
ejecutada por una empresa especializada en este tipo de servicio.
Acceso lógico y físico
Todas las conexiones con los sistemas y redes deben ser realizadas por medio de
dispositivos probados y aprobados y se debe contar con mecanismos de autenticación de
usuarios.
Los equipos que pueden ser accedidos por terceros estarán protegidos por
mecanismos de control aprobados por el Departamento de TI.
3.1.7
APLICACIONESYSOFTWARE
Todos los sistemas de información utilizados por la organización deberán
contemplar los aspectos mencionados a continuación relacionados a la seguridad
implementada en los mismos. Los empleados deben velar por su cumplimiento.
Control de acceso
Si el sistema de control de acceso a un computador o red no está funcionando
apropiadamente, debe suspenderse el acceso a todos los usuarios.
Enrique Perona Játiva Página 45
Toda transacción que afecte a información de valor, sensible o crítica debe ser
procesada únicamente cuando se valide la autenticidad del origen (usuario o sistema) y
se compruebe su autorización mediante un mecanismo de control de acceso o perfiles.
Todo programa, equipo y archivo que contenga fórmulas, algoritmos u otras
especificaciones que se utilicen para la generación de claves debe estar controlado con
las más altas medidas de seguridad.
Las contraseñas estarán cifradas en todo momento y nunca serán escritas o
incorporadas dentro de los programas fuentes. Todos los sistemas deberán implementar
controles que impidan la recuperación de las palabras clave almacenadas.
Todas las contraseñas emitidas inicialmente por el Departamento de TI deben ser
válidas solamente para el primer acceso del usuario, inmediatamente después la
aplicación deberá solicitar el cambio de la misma asegurando que solamente el
propietario conozca su contraseña.
Perfiles de usuario y privilegios
Controles de accesos
Los perfiles de usuario serán definidos de acuerdo a la función y cargo de cada
empleado de tal forma que la información solo sea accedida y/o modificada por los
usuarios autorizados y en los horarios establecidos.
Los usuarios no abandonarán su computador, estación de trabajo sin haber
realizado el cierre de la sesión activa y bloquear su sesión.
El acceso a los sistemas debe realizarse por medio de un código de identificación
y contraseña únicos para cada usuario.
Los errores de user ID o password durante el acceso no mostrarán mensajes
declarando la fuente del problema, simplemente debe informar que el acceso es
incorrecto.
El sistema operativo deberá bloquear la cuenta del usuario después de tres intentos
fallidos y consecutivos. El bloqueo permanecerá hasta que un responsable de seguridad
lo habilite de nuevo previa identificación del usuario.
Controles sobre las cuentas de usuario
El sistema debe controlar el tiempo de inactividad del usuario y desactivar la
sesión de forma automática después de que se haya cumplido el tiempo definido.
El sistema no deberá permitir que ningún usuario maneje simultáneamente
sesiones en diferentes terminales, pudiendo abrir hasta las sesiones permitidas en su
misma terminal.
Enrique Perona Játiva Página 46
Se recomienda que el sistema despliegue información para el usuario de la hora y
la fecha del último acceso realizado por el mismo.
Políticas y administración de contraseñas
En todos los servidores y aplicaciones deberá implementarse sistemas de
complejidad de contraseñas.
El sistema debe llevar un histórico de palabras clave, de tal forma que los usuarios
no usen palabras utilizadas anteriormente.
Las contraseñas nunca serán presentadas en forma legible en pantalla o
impresiones.
El sistema debe obligar de forma automática a todo usuario a cambiar su
contraseña según lo definido por las política.
Administración del software
La organización deberá contar con un inventario actualizado del software de su
propiedad, el comprado a terceros, el desarrollado internamente o el adquirido bajo
licencia.
Los ambientes de desarrollo, pruebas y producción deberán permanecer separados
para su adecuada administración, operación, control y seguridad.
La instalación de software en los equipos de la organización deberá ser realizada
por el personal del Departamento de TI con la debida autorización del mismo. Esta
autorización se basará en la evaluación de la aplicación y la debida justificación para ser
instalada.
Los programas que se encuentren en el ambiente de producción, solamente podrán
ser modificados de acuerdo con los procedimientos internos establecidos y en todos los
casos se considerarán planes de contingencia y recuperación.
Los datos de producción no se deberán utilizar en los entornos de desarrollo y
pruebas.
Adquisición de software
La organización implementará un esquema de adquisición de software de terceros
que incluya un contrato con el proveedor que contemple cláusulas para la protección de
la información y del software adquirido, la documentación correspondiente y los medios
de respaldo necesarios.
Las aplicaciones adquiridas de terceros o desarrolladas internamente, deberán
incluir en sus especificaciones puntos de seguridad de la información.
Enrique Perona Játiva Página 47
La organización implementará una metodología formal para el desarrollo de
software seguro y las actividades de mantenimiento que cumplirán con las políticas,
normas, procedimientos, controles y otras definiciones del proyecto aplicables en el
desarrollo de sistemas y exigibles por el negocio.
Los controles implementados deberán ser como mínimo los exigidos en los puntos
relacionados a adquisición de software. Su revisión deberá estar incluida en los planes
de auditoría de sistemas.
Para el desarrollo de software solamente podrán ser utilizados generadores y
herramientas de los cuales se tenga certeza de su comportamiento seguro y confiable, y
que además, haya sido aprobado por el Departamento de TI.
Toda clave o llave de cifrado utilizada en el entorno de pruebas y desarrollo nunca
será instalada en el ambiente de producción. Con esto se garantiza que los
desarrolladores de software no tendrán conocimiento de las claves y llaves en
producción.
Las aplicaciones web deberán ser desarrolladas en base a directrices de
codificación segura (por ejemplo, OWASP). Las aplicaciones web públicas deberán ser
chequeadas por métodos manuales o automáticos por lo menos una vez al año o después
de cada cambio.
Pruebas de software
El ambiente de pruebas será lo más idéntico posible en configuración al ambiente
de producción.
Si hay necesidad de introducir llaves o claves utilizadas en el ambiente de
producción, éstas deberán ser introducidas y utilizadas de manera segura.
Una vez se hayan realizado todos los cambios al software, detectados durante las
pruebas, deberá ejecutarse nuevamente una serie de pruebas integrales, que garanticen
su correcto funcionamiento.
El código fuente será revisado en búsqueda de códigos mal intencionados o
debilidades de seguridad, utilizando herramientas automáticas, para luego ser compilado
y transferido a producción.
Puesta en producción del software
Para la puesta en producción de algún software, deberá existir autorización del
responsable de la aplicación, la conformidad del usuario final y la autorización por parte
del Departamento de TI.
Las características utilizadas en el entorno de pruebas y que son innecesarias en el
ambiente de producción serán identificadas y desactivadas en el momento de la
instalación del software.
Enrique Perona Játiva Página 48
Antes de la puesta en producción se deberán probar los parches de seguridad
asociados y los cambios de configuración del software y del sistema.
Mantenimiento del software
Cuando un tercero efectúe ajustes a algún software deberá firmar un acuerdo de
confidencialidad y utilización no autorizada del mismo.
Por cada mantenimiento a la versión del software, también se actualizarán las
versiones de respaldo.
Las actualizaciones de software requeridas por la organización deberán
contemplar el cumplimiento de los procedimientos de licenciamiento respectivo.
3.1.8
CLASIFICACIÓN,
ALMACENAMIENTO
Y
ADMINISTRACIÓN
DE
In document
Elaboración de un plan de implementación de la ISO/IEC 27001:2005
(página 43-48)