1
2
Título: Estándares para la Calidad del Hardware y Software en la Seguridad Informática
Asignatura: Auditoria y Evaluación de Sistema
Autores: Alfredo Saavedra José Rincón José Urdaneta Michelle León Nolbert Pírela
3 Introducción Objetivos: SOFTWARE
Lenguajes de Programación Manejador de Bases de Datos Herramientas para Manuales Técnicos Herramientas para elaboración de Manuales de Usuarios Tipos de conexiones Método para testeo de Sistemas Desarrollo para páginas WEB Herramientas para desarrollo de Reportes Herramientas para Monitoreo de sistemas en Proceso de Desarrollo Herramientas para Administración y Auditoria de Bases de Datos Anti-Virus para Servidores y Clientes
SISTEMAS OPERATIVOS
Clientes Servers
HARDWARE Y COMUNICACIONES REDES
Topologia de Red Rack Gabinetes de pared Organizadores de Cables Equipos de Comunicación Cableado Fibra Optica
EQUIPOS
CPU (Servidor) CPU (Terminales)
Concepto de Calidad
Evolución Histórica Algunos Conceptos Calidad del Software
Concepto de Seguridad
Seguridad de la Información Seguridad Informática
4
Estándares de Software y Hardware Introducción La Corte Suprema de Justicia ha considerado que un condicionante importante para el despliegue y consecución de los objetivos del Programa de Fortalecimiento y Acceso a la Justicia, y para el desarrollo adecuado de las tecnologías por parte de la Dirección de Informática es disponer de unos estándares tecnológicos adecuadamente definidos y normalizados. Dichos estándares deben constituir el marco de referencia que garantice los niveles adecuados de integración, calidad y seguridad de las diferentes iniciativas tecnológicas que se emprendan en los próximos años. La definición objetiva de estándares referidos a la Arquitectura Tecnológica del Poder Judicial permite y facilita:
El despliegue de soluciones de forma ágil y fiable, mediante el soporte y normalización
de plataformas de servicios comunes. La creación de plataformas y redes de comunicación homogéneas. La integración entre iniciativas, al homogeneizar sus infraestructuras técnicas. La disminución efectiva del “riesgo tecnológico”, al unificar la toma de decisiones tecnológicas. Garantizar un control de costes eficaz, al evitar esfuerzos redundantes e incrementar las sinergias.
El presente documento representa la Guía de Estándares Tecnológicos del Poder Judicial de Nicaragua, en él se define el marco de especificaciones y requisitos técnicos; el cual deberá ser revisado y actualizado anualmente. Objetivos: 1. Permitir obtener una visión de conjunto que facilite la compatibilidad e integración entre sistemas y servicios, facilitando su crecimiento, gestión y normalización. 2. Incrementar las posibilidades de obtención de economías de escala en la infraestructura tecnológica gracias a la normalización y estandarización. 3. Garantizar la adecuación a las necesidades funcionales y objetivos estratégicos del Poder Judicial. 4. Lograr el desarrollo armónico y coordinado de la informática y las comunicaciones del Poder Judicial. 5. Fijar la normalización de los datos y el intercambio de información. 6. Lograr la integración, cooperación, optimización y racionalización de los recursos informáticos y de comunicaciones. 7. Fijar los criterios mínimos para que la tecnología que se adquiera o desarrolle se pueda interconectar, con miras a lograr la intercomunicación. 8. Generar espacios para el aprovechamiento de nuevas soluciones tecnológicas. NOTA: Como fuentes de información para compilar los datos necesarios para elaborar el presente documento, se contó con el apoyo de la Dirección de Informática de la Corte Suprema de Justicia y de documentación sobre estándares publicados en Internet.
5
SOFTWARE • • • • •
• •
• • • •
Lenguajes de Programación Visual Basic 6.0, Java y Visual Estudio Net. Manejador de Bases de Datos SQL-SERVER de la versión 2000 en adelante. Herramientas para Manuales Técnicos ERWIN, Easy Case, Visio Herramientas para elaboración de Manuales de Usuarios. Adobe Acrobat, Word, Excel, Visio, Paint. Tipos de conexiones Para conectarse de las diversas aplicaciones a SQL-SERVER con conexión OLEDB con ADO Método para testeo de Sistemas Método Prueba y Error Desarrollo para páginas WEB Macro media, Java Script, Easy Expert, Visual Studio Net, HTML, HTM, XML. Para trabajar con bases de datos se utilizará ASP. Herramientas para desarrollo de Reportes Cristal Report, Active Report. Herramientas para Monitoreo de sistemas en Proceso de Desarrollo Ms-Project y Excel como herramienta de apoyo. Herramientas para Administración y Auditoria de Bases de Datos Las que provee SQL-Server. Anti-Virus para Servidores y Clientes Suite 9 de Symantec, McAfee.
6
SISTEMAS OPERATIVOS • Clientes Windows 2K Windows XP Office 2003 estándar • Servers Windows 2k Advanced Windows 2003 LINUX
HARDWARE Y COMUNICACIONES REDES • Topología de Red Tipo Estrella Extendida • Rack De Piso de 7”, 3” • Gabinetes de pared Altura 24” 24” 36” 36” 48“
Ancho 21 ¼” 21 ¼” 21 ¼” 21 ¼” 21 ¼”
Profundidad 20 5/8" 20 5/8” 20 5/8” 20 5/8” 20 5/8”
Puerta Solida Vidrio Vidrio Solida Vidrio
Peso 69 lbs 73 lbs 95 lbs 99 lbs 119 lbs
Unidades 12U 12U 18U 18U 25U
Marco de metal y puertas con cerraduras. Anti-estática, anti-corrosión y Epoxy. • Organizadores de Cables Power Strip Polarización • Equipos de Comunicación Cisco con Tecnología IP (con al menos un puerto de 1 Gbs) Switch Catalyst 2900, 2950 Routers 3745, 1760-V
7
• Cableado Categoría 6 Jack RJ-45 Cable UTP Patch Cord 3 y 7 “ Entubado Canaleteado si es necesario Terminación de cables en paneles Etiquetación Certificado • Fibra Optica Multimodo 62.5um, 50um y monomodo. Aísle las fibras de los rigores de la instalación en condiciones de carga de tormenta NESC. Mensajero de acero, chaqueta externa, miembros de refuerzo, cinta de rasgadura, cinta de bloqueo contra agua, tubos de recubrimiento, miembro dieléctrico central, hilo de bloqueo contra agua y fibras con recubrimiento de 250um de colores.
Temperatura Operativa Estándares y Listados Instalaciones Típicas Criterio de Prueba y Diseño No. Fibras
2-60 61-72 73-96 97-120 121-192 193-216 217-240 241-288
Almacenaje -40C a Instalación: -30C a Operación -40C a + + 70C + 70C 70C Rus 7 CRF 1755.900 Externas, aéreas, auto-soportadas ANSI/ICEA S-87-640
De Números de Peso Tubos Nominal Kg/km 5 6 8 10 16 18 20 24
316(212) 336(225) 373(251) 412(277) 426(287) 453(305) 478(321) 573(361)
Diámetro Radio mínimo de Externo mm Curvatura Cargado cm Instalado cm 11.5 17.3(6.8) 23.2 12.4 18.6(7.3) 24.1 14.3 21.5(8.4) 25.9 16.3 24.5(9.6) 27.9 17.6 26.7(10.5) 29.3 18.5 27.8(10.9) 30.2 19.4 29.1(11.5) 31.1 21.6 32.4(12.8) 33.3
8
Fibras 2-60 121-192 241-288
Tramo de 150ft Tensión de 800 lb 0.8 1.1 1.4
Rendimiento
Tramo de 150ft Tensión de 1000 lb 0.6 0.9 1.1
62.5/125um (850/1300nm) Atenuación Máxima (Mhz*Km) 3.5/1.0 Ancho de banda mínimo rml 220/(Mhz*Km) Distancia Gibibit Ethernet 300/550 garantizada
Tramo de 150ft Tensión de 1200 lb 0.5 0.7 0.9
50/125 (850/1300nm) 3.5/1.5 -
Monomodo (1310/1550nm) 0.4/03 -
600/600
5.000
Adaptadores Descripción Plato Adaptador con Acopladores Plato Adaptador con Acopladores Plato Adaptador con Acopladores Plato Adaptador con Acopladores
No. De Adaptadores 6 8 6 8
Tipo de Acoplador ST-ST ST-ST SC-SC SC-SC
Caja de Distribución de Fibra Descripción Caja para Rack Caja para Rack Caja para Rack
No. De Puertos 12 24 48
No. Platos Adaptadores 2 Platos sin acopladores 4 Platos sin acopladores 8 Platos sin acopladores
Dimensiones 3.3” * 17.3” * 12” 3.5” * 17” * 15.5” 3.5” * 17” * 15.5”
9
EQUIPOS
CPU (Servidor)
Componentes Procesador Memoria RAM Tipo de memoria Tarjeta de Red Disco Duro
Unidad de Cinta (Backup)
CD-ROM Unidad de floppy 3.5” Puertos
Capacidad Dual Intel Xeon 3.8 GHZ Mínimo de 2 GB DDR Sugerencia 10/100/1000 Mb/s SCSI, mínimo de 2 x 146 GB de 15k revoluciones por minuto, en Raid-1. SCSI, mínimo de 3 x 146 GB de 15k revoluciones por minuto, en Raid-5. Velocidad 12.6 GB/h, 25.2 GB/h (con compresión de 02:01) Capacidad 36 GB, 72 GB (con compresión de 02:01) Minimo de 56X
Sugerencia
O superior Para servidores de Aplicaciones o Autenticación. Para servidores de Datos (Data Server).
Re-escribible
USB(2), Mouse y teclado PS/2, serial(2) y paralelo(2).
CPU (Terminales)
Componentes
Capacidad
Sugerencia
Procesador Memoria RAM Tipo de Memoria Tarjeta Madre Tarjeta de Red Tarjeta de red inalámbrica Disco Duro
Mínimo de 3.2 GHZ Mínimo de 512 MB DDR Sugerida Pentium IV 10/100 MB/S Estándar IEEE 802.11b IDE, mínimo de 80 GB de 7200 revoluciones por minuto Mínimo de 56X
De preferencia Intel
CD-ROM Unidad de floppy 3.5” Puertos
USB(2), Mouse y teclado PS/2, serial y paralelo.
O superior Como mínimo
Se sugieren re-escribible
10 CONCEPTO DE CALIDAD El término calidad es ambiguamente definido y pocas veces comprendido, esto se debe a que:
La calidad no es una sola idea, es un concepto multidimensional; La dimensión de calidad incluye el interés de la entidad, el punto de vista de la entidad, y los atributos de la entidad; Por cada concepto existen diferentes niveles de abstracción; Varía para cada persona en particular.
Una definición que se podría dar de calidad sería: Conjunto de propiedades y de características de un producto o servicio, que le confieren aptitud para satisfacer unas necesidades explícitas o implícitas. Evolución Histórica Inspección/detección de errores: hasta los años 40. Inicialmente el trabajo era artesanal y el control existente era individual, independiente de cada tarea. En el año 1918, Ford Motor Company, monta la Primera cadena de montaje y en 1930 Laboratorios Bel la pone en marcha. Control (estadístico) de calidad: hasta los años 80. El mercado es poco competitivo. Precio de venta es fijado por el fabricante en función de los costes. La principal función es impedir que el producto defectuoso llegue al cliente. Se persigue conseguir uniformidad de servicio. El concepto de control de calidad es igual a “problema a resolver”. Se utilizan técnicas estadísticas para controlar la calidad del departamento de producción. Se destacan en este periodo: Japón y Calidad total (1940-70). Deming, Ishikawa, Juran, Crosby,… Garantía de calidad: a partir de los 80. El mercado se caracteriza por ser competitivo y de oferta. El precio de venta es fijado por el mercado. Entran en juego la planificación y medida de la calidad. Se implantan modelos de calidad que afectan a todos los departamentos. 1980. Interés por la calidad en los EEUU. TQM 1987. Premio Malcom Baldrige Quality Award 1987. ISO 9000. A partir de las normas británicas 1992. Premio Europeo a la calidad de la EFQM. Gestión de calidad hoy.
11 Se busca un impacto estratégico y la oportunidad de ventaja competitiva. Tienen relevancia conceptos como: Planificación, fijación de objetivos, coordinación, formación, adaptación de toda la organización. La calidad afecta a la sociedad en general: directivos, trabajadores, clientes. Se toma como “una filosofía, una cultura, una estrategia, un estilo de gerencia de la empresa”.
Algunos conceptos Calidad: “Conjunto de propiedades y características de un producto o servicio que le confieren su aptitud para satisfacer unas necesidades explícitas o implícitas” Control de calidad: “Conjunto de técnicas y actividades de carácter operativo, utilizadas para verificar los requerimientos relativos a la calidad del producto o servicio”. Garantía de calidad: “Conjunto de acciones planificadas y sistemáticas necesarias para proporcionar la confianza adecuada de que un producto o servicio satisfará los requerimientos dados sobre calidad”. Gestión de la calidad: “Aspecto de la función de gestión que determina y aplica la política de la calidad, los objetivos y las responsabilidades y que lo realiza con medios tales como la planificación de la calidad, el control de la calidad, la garantía de calidad y la mejora de la calidad”. La gestión de la calidad es responsabilidad de todos los niveles ejecutivos, pero debe estar guiada por la alta dirección. Su realización involucra a todos los miembros de la organización. En la gestión de la calidad, se tienen en cuenta también criterios de rentabilidad. Sistema de gestión de la calidad: “Conjunto de la estructura de la organización, de responsabilidades, procedimientos, procesos y recursos que se establecen para llevar a término la gestión de calidad”.
12
Debe tener el volumen y alcance suficiente para conseguir los objetivos de calidad. Está fundamentalmente previsto para satisfacer las necesidades internas de la organización.). Para finalidades contractuales o vinculantes en la valoración de la calidad, se puede exigir que se ponga de manifiesto la realización de ciertos elementos del sistema de gestión de la calidad.
Calidad del Software “La calidad del software es el grado con el que un sistema, componente o proceso cumple los requerimientos especificados y las necesidades o expectativas del cliente o usuario”. (IEEE, Std. 610-1990). “Concordancia del software producido con los requerimientos explícitamente establecidos, con los estándares de desarrollo prefijados y con los requerimientos implícitos no establecidos formalmente, que desea el usuario” (Pressman, 1998). Factores que determinan la calidad del software: Se pueden clasificar en dos grandes grupos (Pressman):
Factores que pueden ser medidos directamente. Factores que sólo pueden ser medidos indirectamente. Se centran en tres aspectos importantes de un producto software
(McCall):
Características operativas: Corrección, fiabilidad, eficiencia, seguridad (Integridad) y facilidad de uso. Capacidad de soportar los cambios: Facilidad de mantenimiento, flexibilidad y facilidad de prueba. Adaptabilidad a nuevos entornos: Portabilidad, reusabilidad e interoperabilidad.
CONCEPTO DE SEGURIDAD Seguridad de la Información La seguridad de la Información tiene como fin la protección de la información y de los sistemas de la información del acceso, uso, divulgación, disrupción o destrucción no autorizada. Los términos Seguridad de Información, Seguridad informática y garantía de la información son usados con frecuencia y aunque su significado no es el mismo, persiguen una misma finalidad al proteger la Confidencialidad, Integridad y Disponibilidad de la información. Sin embargo, entre ellos existen algunas diferencias sutiles. Estas diferencias radican principalmente en el enfoque, las metodologías utilizadas, y las zonas de concentración. La Seguridad de la Información se refiere a la Confidencialidad, Integridad y Disponibilidad de la información y datos, independientemente de la forma que los datos puedan tener: electrónicos, impresos, audio u otras formas. Los Gobiernos, entidades militares, instituciones financieras, los hospitales y las empresas privadas acumulan una gran cantidad de información confidencial sobre sus empleados, clientes, productos, la investigación y la situación financiera. La mayor parte de esta
13 información es recolectada, tratada, almacenada y puesta a la disposición de sus usuarios, en ordenadores y transmitida a través de las redes a otros ordenadores. En caso de que la información confidencial de una empresa, sus clientes, sus decisiones, su estado financiero o la nueva línea de productos caigan en manos de un competidor o se vuelva pública en forma no autorizada, podría causar la pérdida de credibilidad de los clientes, pérdida de negocios, demandas legales o incluso la quiebra de la misma. Por lo que proteger la información confidencial es un requisito del negocio, y en muchos casos también un imperativo ético y una obligación legal. Para el individuo común, la Seguridad de la Información tiene un efecto significativo respecto a su privacidad, la que puede cobrar distintas dimensiones dependiendo de la cultura del mismo. El campo de la Seguridad de la Información ha crecido y evolucionado considerablemente en los últimos años. Convirtiéndose en una carrera acreditada a nivel mundial. La misma ofrece muchas áreas de especialización, incluidos la auditoría de sistemas de información, Planificación de la continuidad del negocio, Ciencia Forense Digital y Administración de Sistemas de Gestión de Seguridad por nombrar algunos. La correcta Gestión de la Seguridad de la Información busca establecer y mantener programas, controles y políticas, que tengan como finalidad conservar la confidencialidad, integridad y disponibilidad de la información. Confidencialidad: La confidencialidad es la propiedad de prevenir la divulgación de información a personas o sistemas no autorizados. Integridad: Para la Seguridad de la Información, la integridad es la propiedad que busca mantener a los datos libres de modificaciones no autorizadas. Disponibilidad: La Disponibilidad es la característica, cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones. Seguridad Informática La seguridad informática consiste en asegurar que los recursos del sistema de información (material informático o programas) de una organización sean utilizados de la manera que se decidió y que el acceso a la información allí contenida así como su modificación sólo sea posible a las personas que se encuentren acreditadas y dentro de los límites de su autorización. Objetivos de la seguridad informática: Los activos son los elementos que la seguridad informática tiene como objetivo proteger. Son tres elementos que conforman los activos: Información: Es el objeto de mayor valor para una organización. El objetivo es el resguardo de la información, independientemente del lugar en donde se encuentre registrada, en algún medio electrónico o físico. Equipos que la soportan: Software, hardware y organización.
14 Usuarios: Individuos que utilizan la estructura tecnológica y de comunicaciones que manejan la información. Análisis de riesgos El activo más importante que se posee es la información y, por lo tanto, deben existir técnicas que la aseguren, más allá de la seguridad física que se establezca sobre los equipos en los cuales se almacena. Estas técnicas las brinda la seguridad lógica que consiste en la aplicación de barreras y procedimientos que resguardan el acceso a los datos y sólo permiten acceder a ellos a las personas autorizadas para hacerlo. Existe un viejo dicho en la seguridad informática que dicta: "lo que no está permitido debe estar prohibido" y ésta debe ser la meta perseguida. Los medios para conseguirlo son:
Restringir el acceso (de personas de la organización y de las que no lo son) a los programas y archivos. Asegurar que los operadores puedan trabajar pero que no puedan modificar los programas ni los archivos que no correspondan (sin una supervisión minuciosa). Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el procedimiento elegido. Asegurar que la información transmitida sea la misma que reciba el destinatario al cual se ha enviado y que no le llegue a otro. Asegurar que existan sistemas y pasos de emergencia alternativos de transmisión entre diferentes puntos. Organizar a cada uno de los empleados por jerarquía informática, con claves distintas y permisos bien establecidos, en todos y cada uno de los sistemas o aplicaciones empleadas. Actualizar constantemente las contraseñas de accesos a los sistemas de cómputo.
Puesta en marcha de una política de seguridad Generalmente se ocupa exclusivamente de asegurar los derechos de acceso a los datos y recursos con las herramientas de control y mecanismos de identificación. Estos mecanismos permiten saber que los operadores tienen sólo los permisos que se les dio. La seguridad informática debe ser estudiada para que no impida el trabajo de los operadores en lo que les es necesario y que puedan utilizar el sistema informático con toda confianza. Por eso en lo referente a elaborar una política de seguridad, conviene:
Elaborar reglas y procedimientos para cada servicio de la organización. Definir las acciones a emprender y elegir las personas a contactar en caso de detectar una posible intrusión Sensibilizar a los operadores con los problemas ligados con la seguridad de los sistemas informáticos. Las amenazas Una vez que la programación y el funcionamiento de un dispositivo de almacenamiento (o transmisión) de la información se consideran seguras, todavía deben ser tenidos en cuenta las circunstancias "no informáticas" que pueden afectar a los datos, las cuales son a menudo imprevisibles o inevitables,
15 De modo que la única protección posible es la redundancia (en el caso de los datos) y la descentralización (por ejemplo mediante estructura de redes en el caso de las comunicaciones). Estos fenómenos pueden ser causados por:
El usuario: causa del mayor problema ligado a la seguridad de un sistema informático. Programas maliciosos: programas destinados a perjudicar o a hacer un uso ilícito de los recursos del sistema. Es instalado en el ordenador abriendo una puerta a intrusos o bien modificando los datos. Un intruso: persona que consigue acceder a los datos o programas de los cuales no tiene acceso. Un siniestro, una mala manipulación o una mal intención derivan a la pérdida del material o de los archivos. El personal interno de Sistemas. Las pujas de poder que llevan a disociaciones entre los sectores y soluciones incompatibles para la seguridad informática.
Técnicas de aseguramiento del sistema
z
Codificar la información. Vigilancia de red. Tecnologías repelentes o protectoras.
16
z