MANUAL DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
POLÍTICA GENERAL Información del Documento TÍTULO:
Descripción de la política general
VERSIÓN: AUTOR:
1.0 Andrea Cabrera Henri Cueva, Ma. Paula Espinosa V Aprobado
ESTADO:
Lista de Cambios VERSIÓN 1.0 2.0
FECHA
31-07-06 15-07-08
AUTOR DESCRIPCIÓN Emisión Inicial Ma. Paula Administradores Espinosa V.
Manual de gestión de seguridad de la información
Contenido 1. 2. 3. 4.
4
Objetivo..........................................................................4 Responsables del cumplimiento..................................4 Defi niciones...................................................................4 Sanciones por Incumplimiento....................................6
Manual de gesti贸n de seguridad de la informaci贸n
1. MANUAL DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN El presente documento es un conjunto de reglas destinadas a apoyar los procesos de administración y gestión de recursos de los servidores que forman parte de la red de la Universidad. Tienen como objetivo soportar a los administradores en el uso y cuidado de la información que utilizan en el desarrollo de las actividades de administración de los servicios. 2. ORGANIZACION DEL MANUAL 2.1. Política General Objetivo Establecer los principios generales de seguridad de la información que debe regir el comportamiento de los administradores de los servicios de la Universidad Técnica Particular de Loja en el desarrollo de sus funciones. Responsables del cumplimiento Administradores de servicios de la Universidad y los terceros, que interactúan de manera habitual u ocasional, que accedan a información sensible, son responsables de informarse del contenido del presente manual y cumplirlo y hacerlo cumplir en el desarrollo de sus tareas habituales.
Manual de gestión de seguridad de la información
Definiciones La Universidad entiende que la información es un recurso que, como el resto de los importantes activos comerciales, tiene valor para una institución y por consiguiente debe ser protegida. A través de las medidas de protección definidas en el presente Manual, la Universidad pretende garantizar su continuidad, minimizar el daño y maximizar el retorno sobre las inversiones y las oportunidades. Se establecen un conjunto de controles que conforman el Manual de Gestión de Seguridad de la Información a través de: • Normas Definiciones concretas sobre cada uno de los temas de seguridad que luego serán adaptadas a cada recurso informático en particular. • Procedimientos Detalle de cursos de acción y tareas que deben realizar los usuarios para hacer cumplir las definiciones de las normas. • Estándares Técnicos Conjunto de parámetros específicos de seguridad para cada una de las tecnologías informáticas utilizadas. Por ello, es política de la Universidad: • Asegurar que sea procesada toda la información necesaria y suficiente para la marcha de la Universidad únicamente en los sistemas informáticos y procesos transaccionales (Integridad).
Manual de gestión de seguridad de la información
• Garantizar que la información y la capacidad de su procesamiento manual y automático, este disponible para usuarios autorizados y sean resguardados y recuperados eventualmente cuando sea necesario, de manera tal que no se interrumpa significativamente la marcha de los procesos (Disponibilidad). • En base al acuerdo de confidencialidad para administradores, garantizar que toda la información este protegida del uso no autorizado, revelaciones accidentales, espionaje industrial, violación de la privacidad y otras similares originadas de terceros no autorizados. (Confidencialidad). • Garantizar que los sistemas informáticos brinden información segura para ser utilizada en la operatoria de cada uno de los procesos (Confiabilidad). • Asegurar que toda la información generada por los sistemas de información se encuentre libre de errores y/o irregularidades de cualquier tipo (Exactitud). • Garantizar que todos los accesos a datos y/o transacciones cumplan con los niveles de autorización correspondientes para su utilización y divulgación (Autorización). • Garantizar que todos los medios de procesamiento y/ o conservación de información cuenten con medidas de protección física que eviten el acceso y/o utilización indebida por personal no autorizado, así como permitan la continuidad de las operaciones. (Protección Física). • Asegurar que todos los derechos de propiedad sobre la información utilizada por todos los empleados en el Manual de gestión de seguridad de la información
desarrollo de sus tareas, estén adecuadamente establecidos a favor de la Universidad (Propiedad). • Asegurar el registro e identificación inequívoca de los usuarios en el uso de los sistemas, de tal manera que no puedan negarla en ningún momento (No repudio). • Garantizar que toda acción dentro de un sistema informático (aplicaciones, redes, computadores, bases de datos) sea registrada con fines de hacer una auditoria posterior (Registro). Estos principios se garantizarán a través del cumplimiento de una o varias de las normas que a continuación se proponen. Cualquier inquietud o sugerencia hacerlo llegar a la cuenta politicas@utpl.edu.ec. 2. Norma 1: ADMINISTRACIÓN DE USUARIO, CLAVES DE ACCESO Y PERMISOS 2.1. Objetivo Gestionar de manera adecuada el acceso a la información, considerando: perfiles, permisos, cuentas, contraseñas, protectores de pantalla y acuerdos de confidencialidad. 2.2. Consideraciones generales - Creación de una cuenta de usuario; cuando el mismo: • Ingresa a la Universidad. • Requiere acceso a un sistema de manera temporal o de prueba. - Modificación de un rol de usuario; cuando el mismo:
Manual de gestión de seguridad de la información
• Requiere nuevos permisos de acceso a igual información y/o a nueva información. • Se ha cambiado de puesto de trabajo y ya no necesita acceder a determinada aplicación - Baja de una cuenta de usuario: cuando el mismo • Ha abandonado la Universidad y ya no tiene ninguna razón ocupacional para acceder al servicio. • Se ha graduado de la Universidad. • Ha concluido su tiempo asignado para prueba. - Cada usuario del campus, será asociado por defecto a un rol. Los usuarios que pertenecen al mismo rol poseen características y funciones similares, por lo tanto, también comparten los mismos permisos. Es importante considerar ésta definición para determinar el acceso de los diferentes servicios. (ver estándar técnico ET1N01: Esquema de roles para asignación de recursos.) 2.2.1. Acceso a los servidores • El Administrador de los servidores deberá otorgar a los usuarios solamente privilegios necesarios de acuerdo a su rol. (ver estándar técnico ET2N01: Asignación de privilegios sobre ficheros de servidores Linux y Solaris) 2.2.2. Accesos a los equipos activos - El administrador de los equipos activos deberá otorgar privilegios a los usuarios dependiendo del rol: monitoreo, proveedores, gp o soporte, vpn, administración básica, prueba, etc. - Cada equipo tendrá definidos los privilegios por niveles Manual de gestión de seguridad de la información
de autenticación los mismos que están establecidos del nivel 0 al 15. - Solo el usuario administrador debe ser usuario del nivel 15 que es el nivel que tiene todos los privilegios. - Otros usuarios deberán ser creados en los niveles del 0 al 14. Sin embargo; el administrador podrá modificar los permisos de cada nivel dependiendo de sus necesidades. - Cada cuenta creada para acceso a los equipos deberá ser probada por el administrador validando que ésta no tenga privilegios adicionales a los requeridos. 2.2.3. Administración Remota • Se deberá permitir acceso remoto a los servidores solamente a personal autorizado e identificados dentro de la UTPL. • El acceso remoto a los servidores y equipos activos debe hacerse mediante protocolos seguros como SSH, que transmitan la información encriptada y potentes mecanismos de validación de usuarios. • Los servicios de administración remota como el mstsc (Windows) o ssh (Linux), son exclusivos de los Administradores, éste tipo de acceso está bloqueado para el resto de hosts de la red. • Ningún equipo externo a la red de la Universidad puede acceder remotamente a los servidores. De ser estrictamente necesario se deberá tener la autorización del Administrador del servidor, y el acceso debe realizarse a través de un canal seguro. 2.2.4. Cuentas de usuarios • Está prohibida la asignación de cuentas a personas
10
Manual de gestión de seguridad de la información
ajenas a la Universidad salvo que estén debidamente autorizadas por el departamento de Recursos Humanos, en cuyo caso la cuenta deberá expirar automáticamente cuando haya culminado el tiempo asignado • Los Administradores de los servidores y equipos activos deberán manejar la cuenta de Administrador principal, el resto de usuarios tendrán otra cuenta con los privilegios necesarios para su rol. En ausencia del Administrador Principal su personal de Backup podrá hacer uso de esta cuenta. (ver estándar técnico ET4N01: Asignación de Cuentas para personal de los Servicios) • Los Administradores de los servicios y/o equipos activos no deberán utilizar el usuario de Administrador para tareas diarias, para ello se debe crear otro usuario con los permisos necesarios. - Los usuarios que se creen son los que el administrador determine como habilitados para tener acceso a los equipos. - Cualquier nuevo usuario que requiera acceso a los equipos deberá informar al administrador del mismo para la creación correspondiente. (Ver procedimiento PR08NO1: Creación de cuentas para acceso a equipos activos) - Los administradores de los equipos y servidores deberán tener un registro en digital de la información respectiva de los usuarios creados para tener acceso a los recursos. (ver estándar técnico ET7NO1 : Registro de usuarios con acceso a equipos ) 2.2.5. Depuración de cuentas • Los Administradores de los servicios deberán eliminar los permisos asociados con un usuario inmediatamente después de ser notificados de su baja. Manual de gestión de seguridad de la información
11
• Cada mes el Administrador de servidores y/o Equipos Activos debe depurar las cuentas de usuario, de manera que no permanezcan creadas cuentas de personas que ya no hacen uso de la misma. 2.2.6. Administración de contraseñas • Se deberá configurar el tiempo de duración de la contraseña al momento de crear una cuenta de usuario: si esta corresponde a los Administradores principales de los servicios deberá ser de un mes; y si esta corresponde a usuarios de los respectivos servicios deberá ser de (dos) meses. • Se deberá crear la contraseña para las cuentas mediante el formato asignado. (ver estándar técnico ET5N01: creación de contraseñas) • El Administrador no debe mantener la contraseña que se define en la instalación por defecto de equipos o servidores (sanfran, cisco, redhat, class, etc.). • Para mantener la contraseña segura: - Deber tenerla siempre en mente (fácil de recordar). - No debe escribirla en ningún documento impreso. - Puede guardarla en un archivo del computador sí y sólo sí usted tiene control directo y personal sobre la máquina, no la comparte con nadie. La información es guardada en forma criptográfica usando un sistema confiable (PGP o Password Safe) • Cambiar inmediatamente la contraseña al sospechar o detectar que ha sido descifrada. • Evitar usar contraseñas que son idénticas o substancialmente similares u otras previamente empleadas. • No debe compartirse la contraseña o revelarla a otros.
12
Manual de gestión de seguridad de la información
• Cambiar las contraseñas una vez culminada la delegación de funciones a terceros. 2.2.7. Acceso a computadoras personales • Se debe controlar el acceso al computador del administrador dados los permisos que éste equipo tiene sobre los servidores. 2.2.8. Desconexión • Los administradores deberán cerrar siempre sus sesiones cuando haya terminado sus tareas o al abandonar su sitio de trabajo. 3. Norma 2: TRATAMIENTO DE LA INFORMACIÓN 3.1 Objetivo Identificar y clasificar la información que se tiene en la Universidad, tomando en cuenta: su forma, medio de comunicación, el riesgo y el tipo, para poder darle el nivel de seguridad respectivo. 3.2 Consideraciones Generales 3.2.1 Definición de Información - Se deberá considerar como información a todo dato relacionado con los procesos que lleva la Universidad, cualquiera sea su forma y medio de comunicación y / o conservación: • Información en los sistemas y/o reportes impresos • Formularios / comprobantes propios y/o de terceros • Otros soportes magnéticos móviles y/o fijos • Información transmitida vía oral Manual de gestión de seguridad de la información
13
3.2.2 Riesgos de la Información - El Dueño de Datos deberá identificar los riesgos a los que está expuesta la información que manipula teniendo en cuenta la posibilidad de que personal interno y/o externo realice: • • • • • • • • • • • • • •
Divulgación no autorizada modificación indebida destrucción de los soportes indisponibilidad de información clave virus fraudes informáticos incumplimiento de leyes y regulaciones robo de información acceso clandestino a redes intercepción de comunicaciones software ilegal spam violación de correo electrónico interrupción de los servicios
3.2.3. Clasificación de la información - El Dueño de Datos deberá analizar su información para proceder a su clasificación, basándose principalmente en: su valor, su uso, los perjuicios que pudiera ocasionarle a la Universidad y/o su personal, el incumplimiento de alguno de los valores generales de seguridad definidos en la Política General. Se sugiere utilizar los siguientes tipos de información en el proceso de clasificación:
14
Manual de gestión de seguridad de la información
3.2.3.1 Información pública Se deberá considerar de acceso público a toda información cuya divulgación necesaria no representa riesgo significativo para la Universidad. 3.2.3.2. Información de acceso autorizado Se deberá definir como información de acceso autorizado a toda aquella información de uso restringido, considerando: • Autorización El Dueño de Datos deberá definir quien y que tipos de permisos se da a los usuarios para que puedan acceder a la información, ya sea de lectura, modificación y/o eliminación y ejecución. • Conservación No deberá conservarse en los equipos de procesamiento individuales, ni en medios de almacenamiento personal, sino exclusivamente en los equipos de procesamiento centralizados o servidores. • Envíos Se deberá asegurar la existencia de controles sobre la integridad, exactitud, confidencialidad e inviolabilidad de los datos transmitidos electrónicamente, que aseguren la correcta recepción del envío por parte del destinatario. • Impresión Se deberá evitar la impresión de documentos más allá de lo imprescindible para efectuar las tareas diarias y usar impresoras / colas de impresión de acceso restringido. • Destrucción Se deberá destruir toda la información y sus correspondientes soportes lógicos / físicos cuando se considere en desuso. Manual de gestión de seguridad de la información
15
3.2.3.3 Información sensible a. Se deberá considerar información sensible a la información de acceso autorizado cuya divulgación puede presentar riesgos importantes para la Universidad. b. Toda información sensible deberá cumplir con las medidas propuestas para información de acceso autorizado y las siguientes medidas adicionales de seguridad para garantizar su integridad: • Deberán encriptarse todos los archivos de datos sensibles tanto de producción como de cualquier otro ambiente. • Utilizar impresoras dedicadas y de acceso físico restringido para los reportes que contienen información confidencial. • Utilizar trituradoras de papel para la destrucción de los soportes impresos. • Para esta información no esta permitido su uso con propósitos de prueba en los ambientes de desarrollo y/o implementaciones de sistemas, salvo expresa autorización del Dueño de Datos. 3.2.3.4 Controles Generales - Todo acceso de terceros a recursos de tratamiento de información sensible como: documentos impresos y/o digitales, equipos computacionales y aplicaciones de la Universidad deberán estar basados en un contrato formal que contenga o se refiera a todos los requisitos de seguridad que dispone el Manual de Gestión de Seguridad de la Información de la Universidad. 4. Norma 5: LOGS DE AUDITORIA Y REPORTING 4.1. Objetivo
16
Manual de gestión de seguridad de la información
Definir las pautas generales para asegurar una adecuada identificación y seguimiento de los eventos de seguridad. 4.2.
Definiciones
4.2.1 Definición de logs de auditoria y reporting - El administrador junto con el Equipo de Seguridad son los responsables de la definición de los eventos de seguridad a ser registrados automáticamente en las aplicaciones, base de datos, en los servicios, servidores, equipos de comunicación, entre otros. - Exclusivamente los Dueños de Datos, Equipo de Seguridad y el Grupo de Auditoria Informática deberán solicitar al Administrador el registro de eventos adicionales. 4.2.2 Tipos de eventos - Se deberán registrar entre otros, los siguientes eventos relacionados con el manejo de la seguridad: 4.2.2.1 Logs de Aplicación: Guarda los eventos producidos por aplicaciones o programas. Se sugiere: • • • •
Acceso a las páginas de Internet. Ejecución de transacciones críticas en aplicaciones. Depuración de correos electrónicos. Registro para el Acceso a la Sala de Servidores.
4.2.2.2 Sistema: Contiene eventos producidos por el propio sistema y por sus componentes. Se sugiere: • Creación, modificación o eliminación de usuarios y grupos. Manual de gestión de seguridad de la información
17
• Asignación de cuentas en equipos computacionales. • Cambios en la configuración de servidores. • Encendido y apagado de equipos centrales de procesamiento. • Configuraciones de dispositivos de red. 4.2.2.3 Seguridad: Contiene información concerniente a los eventos del sistema, incluyendo información relativa a la monitorización de la actividad de los usuarios y procesos, igual que mensajes relativos a los servicios de seguridad. Se sugiere: • Configuraciones de contraseñas en los servidores para administradores. • Accesos fallidos de ingreso de usuarios. • Desconexión forzada de usuarios. • Todos los accesos no autorizados a información clasificada como de acceso autorizado. • Todos los accesos para cualquier usuario que acceda a la información clasificada como sensible. 4.2.2.4 En cuanto a Reportes: • Inventario de equipos computacionales. • Inventario de respaldos. • Inventario del software instalado en equipos computacionales. • Monitoreo de equipos activos, servidores, enlaces. • Cronograma del mantenimiento físico y lógico a equipos computacionales y servidores. • Procesos de depuración de información no automatizados.
18
Manual de gestión de seguridad de la información
• Todos los eventos del dueño de datos y grupo de auditoria informática cuando sean específicamente solicitados. 5 Norma 6: SEGURIDAD EN LAS COMUNICACIONES 5.1 Objetivo Asegurar la integridad, confidencial y disponibilidad de la información en su transmisión y recepción tanto en una red interna como externa. 5.2 Consideraciones Generales 5.2.1 Seguridad para la red interna • El grupo de Telecomunicaciones deberá configurar los dispositivos de red (firewall, routers, switch) con los niveles de seguridad definidos para cada servicio. • No está permitido el uso de módems en PCs que tengan también conexión a la red local (LAN), a menos que sea debidamente autorizado. Todas las comunicaciones de datos deben efectuarse a través de la LAN de la Universidad y las autorizaciones por parte del administrador, con el fin de prevenir la intrusión de hackers. Si se presenta la necesidad de este tipo de conexión deben considerarse las configuraciones necesarias para evitar problemas de seguridad. 5.2.2 Telefonía • La administración de telefonía de la Universidad es la única entidad autorizada para la instalación y manejo de líneas telefónicas. • La asignación de privilegios a las extensiones telefónicas para realizar llamadas: local, larga distancia, celular; Manual de gestión de seguridad de la información
19
deberá realizarla el administrador de telefonía previa autorización del departamento de Recursos Humanos. • Se deberá determinar varios tipos de claves para asignar privilegios de llamadas (local, larga distancia, celular). 6 Norma 8: PREVENCION DE VIRUS 6.1 Objetivo Proponer pautas para proteger la información de la Universidad de la presencia de virus informáticos, haciendo uso de programas de software de antivirus, procedimientos y medidas complementarias para lograr este objetivo. 6.2
Definiciones
6.2.1 Programas de instalación - Se deberá instalar software antivirus en todos los servidores de la Universidad y por cada uno de los servicios que presta. 6.2.2 Actualizaciones - Todas las estaciones de trabajo y servidores tendrán configurada la actualización automática y diaria de las definiciones de virus. - Cualquier actualización manual deberá ser descargada del sitio Web oficial del proveedor. - Cada vez que exista una versión nueva y estable del antivirus, se deberá actualizar a ésta versión, sin descartar cualquier actualización adicional que el administrador del antivirus considere necesario.
20
Manual de gestión de seguridad de la información
6.2.3 Administración - El Administrador del antivirus deberá llevar una gestión adecuada y oportuna del antivirus, específicamente en: manejo, monitoreo, mantenimiento, elaboración, actualización y distribución del manual de instalación del antivirus y políticas asociadas al tema. - El Administrador deberá verificar que las alarmas de detección de virus y actualización del antivirus estén activadas. - El Administrador del antivirus deberá coordinar con los administradores de los servicios las instalaciones, actualizaciones, monitoreo y soporte del antivirus instalado. - El Administrador del antivirus deberá trimestralmente generar un informe acerca de las principales novedades suscitadas en torno al tema, el mismo que debe ser entregado al Responsable de seguridad. 7 Norma 9: SEGURIDAD FÍSICA EN LAS INSTALACIONES 7.1 Objetivo Mantener una adecuada protección física de los equipos, soportes de procesamiento, transmisión y conservación de la información de la Universidad. 7.2 Definiciones 7.2.1 Área Física La Sala de servidores está conformada por dos áreas: • El área principal en la que se almacenarán los servidores y equipos de red. Manual de gestión de seguridad de la información
21
• El área secundaria (ampliación) servirá para la concentración de cableado estructurado del edificio de la UPSI, y para el alojamiento de los equipos y baterías eléctrica. 7.3 Consideraciones Generales • Los administradores deben conocer las normas de seguridad que deben existir en la Sala de servidores a fin de ayudar en el monitoreo de su cumplimiento. En especial los factores ambientales que se deben tener en cuenta para que los equipos funcionen correctamente. • Todos los servidores de la Universidad deberán colocarse en la Sala de servidores debidamente ubicados. • La administración por parte del Personal Autorizado a los servidores y equipos de red deberá realizarse vía acceso remoto mediante una conexión segura. En caso de requerir revisiones físicas a los equipos, se podrá tener acceso a la sala con responsabilidades que ello implica. • En caso de que personal ajeno a la Universidad necesite acceder a la Sala para tareas de instalaciones o mantenimiento, estarán bajo responsabilidad del personal autorizado encargado de la tarea o proyecto. • En el caso de visitas, las mismas podrán ser realizadas bajo supervisión de la persona que acompaña al grupo (autoridad, eventos o UPSI). En caso de que el grupo no tenga guía, deberá ser acompañado por una persona del grupo de Telecomunicaciones. 7.4 Control de acceso • Los líderes de grupo, responsable de la Sala de servidores y el Director de la UPSI, deberán elaborar una lista del personal autorizado para ingresar a la Sala de Servidores.
22
Manual de gestión de seguridad de la información
Estrictamente se debe anotar a las personas que por el rol de sus funciones tienen que ingresar cotidianamente, esta lista debe ser actualizada semestralmente. • El responsable de la Sala de Servidores deberá entregar al personal autorizado una tarjeta de identificación codificada o en su defecto el código de acceso, que le permitirá ingresar a la sala de servidores y registrar su entrada en el Sistema de Control de Acceso. • El personal de Gestión Productiva que requiera ingresar a la sala de servidores deberá dejar su credencial de identificación con la persona encargada de vigilar el acceso a esta sala, y registrarse manualmente (Ver estándar técnico ET1N09: Registro de acceso a la sala de servidores), en el cual se especificará también el nombre de la persona a la cual está a cargo. 7.5 Personal autorizado • Se considera como personal autorizado a todo personal de planta de la UTPL que tenga como responsabilidad la administración de algún servidor o equipo de comunicaciones alojado en la sala de servidores y a la persona que tenga la función de backup. • Autoridades de la Universidad. • Los estudiantes que se desempeñen en las funciones de Gestión Productiva podrán acceder a la sala de servidores bajo la supervisión o responsabilidad del Administrador del servicio o del equipo. 7.6 Responsabilidades del personal autorizado El personal autorizado tiene bajo su responsabilidad: • Registrar su acceso a la sala de servidores, en una bitácora Manual de gestión de seguridad de la información
23
•
• •
• • •
alojada a la entrada de la misma. (Ver estándar técnico ET1N09: Registro de acceso a la sala de servidores). Controlar que las condiciones físicas, eléctricas y ambientales de la sala de servidores se desarrollen dentro de los parámetros normales, y en caso de no ser así informar al personal responsable de Telecomunicaciones (NOC). El mantenimiento lógico y físico de los equipos activos y elementos adicionales que tenga a su cargo. Los servidores, equipos de comunicaciones y elementos alojados en la sala de servidores, son responsabilidad de cada uno de los administradores de los servicios o enlaces que se manejen. Al personal de gestión productiva que ingrese a la sala de servidores y las actividades que realicen. Velar para que el orden y el aseo se vean reflejados en la sala de servidores. En caso de requerir un nuevo espacio para el alojamiento de equipos en la sala de servidores presentar al Líder del Grupo de Telecomunicaciones las especificaciones físicas y eléctricas, con al menos un mes de anticipación.
7.7 Instalaciones eléctricas • Para integrar un equipo nuevo en la Sala de Servidores deberá informarse del requerimiento al Responsable de la Sala a fin de determinar la pertinencia de la ubicación. • Previo a la instalación de equipos informáticos, el grupo de Telecomunicaciones deberá solicitar al Grupo de Electricidad y Sistemas Electrónicos realicen cálculos de la carga eléctrica requerida en la instalación, de los tableros de distribución, así como de los circuitos y conexiones que deben soportar la carga adicional proyectada.
24
Manual de gestión de seguridad de la información
7.8 Inventario • El Responsable de la Sala de servidores deberá mantener inventario de todos los servidores de la Universidad. • El grupo de Telecomunicaciones deberá mantener inventario de los equipos activos existentes en la Universidad. • Todo equipo activo y servidor deberá estar etiquetado para su identificación y control de inventario, además de tener el sello de seguridad colocado por el grupo de Soporte Tecnológico (ver estándar técnico ET2N09: Etiquetado de equipos). 7.9 Movilización de servidores • Ningún equipo computacional ni de red, deberá salir de la sala de servidores sin previa notificación al personal de Telecomunicaciones y al grupo de Soporte Tecnológico. 8 Norma 10: RESPALDOS 8.1 Objetivo Definir las políticas de respaldo de información que deben cumplir los administradores de servicios de la UTPL. 8.2 Definiciones 8.2.1 Administrador del sitio de backup El Grupo de Telecomunicaciones asignará un Administrador para el sitio de backup, el mismo estará encargado de: • Verificar constantemente si existe alguna anormalidad física en el sitio de backup y tomar las respectivas medidas. • Llevar un registro del personal que podrá acceder al sitio. Manual de gestión de seguridad de la información
25
• Organizar y priorizar con cada uno de los dueños de la información en caso de algún desastre. • Tener un registro donde consten los nombres, números de teléfonos, lugar de trabajo de los dueños de datos. 8.2.2 Administrador del servicio • Los administradores deberán verificar la correcta aplicación de los procedimientos para realizar copias de respaldo y recuperación de datos. (ver estándar técnico ET1N10: Lineamiento para la elaboración de respaldos). • El administrador del servicio deberá mantener un histórico de la creación, modificación y eliminación de cuentas de usuario, por un año (Ver estándar ET2N10: Histórico de Cuentas de usuario) • En caso de necesitar el alojamiento de un equipo en el sitio de backup, el administrador debe gestionar ante el responsable del Sitio de backup la asignación de un espacio y conectividad. • Los administradores de los servicios y/o sus colaboradores, deberán mantener documentos actualizados de políticas y manuales de administración, configuración y manejo del software instalado en los servidores, procesos de respaldo de la información y procesos de recuperación de la misma. • Los administradores deberán llevar registros de los respaldos efectuados (Ver estándar ET3N10: Registro de Respaldos), este será almacenado en una carpeta en el Sitio de Backup y cada administrador tendrá una copia del mismo. • Renovar y/o eliminar los dispositivos de respaldos cuando cumplan su periodo de vida útil. 8.2.3 Auditoria
26
Manual de gestión de seguridad de la información
• El Grupo de Auditoria será el encargado de controlar que las políticas se cumplan, y emitir correctivos. • Emitir un informe de los hallazgos encontrados. • Los administradores de los servicios deberán revisar, guardar y proteger los registros de auditoria existentes en sus equipos hasta 3 meses, luego de este tiempo deberán almacenarlos en un medio magnético y guardarlos como respaldo permitiendo su acceso a personas autorizadas. 8.2.4 A criterio de los administradores y líderes de grupo • Las claves actualizadas de la cuenta de administrador principal de los servicios deberán permanecer en forma independiente en un sobre cerrado y a custodia del Líder de cada grupo, para que este autorice el uso de la misma, en caso de algún incidente o ataque. • Se deberá renovar el sobre cerrado en caso de que la cuenta de administrador principal de algún servidor sea modificada antes del tiempo predeterminado. 8.2.5 Periodicidad y copia de seguridad • Cada administrador de los servicios deberá priorizar la información según su nivel de importancia y su comportamiento para determinar su frecuencia de respaldo, tomando en cuenta que como mínimo la información útil deberá respaldarse semanalmente y la configuración cada quince días, adicionalmente debe generar una copia para ser almacenada en un lugar alterno. • Se deberá trasladar los respaldos residentes en el disco del computador del Administrador a dispositivos de almacenamiento secundario como CDs, cintas, o cualquier otro tipo de almacenamiento en forma inmediata luego de haber realizado esta tarea. Manual de gestión de seguridad de la información
27
• Las copias de respaldos deberán almacenarse en el sitio de Backup, la frecuencia lo definirá el administrador del servicio, previa la respectiva verificación de validez de la información respaldada. • La copia de respaldo si tuviere un uso excesivo deberá reemplazarse periódicamente, antes de que el medio magnético de almacenamiento que la contiene llegue a deteriorarse. Cada vez que se cree un respaldo el mismo deberá ser validado y cada tres años volver a grabar la información respaldada para evitar perdidas de información por deterioro. 8.2.6 Rotación de soportes físicos • Los administradores de los servicios deberán rotar los medios de almacenamiento para no sobrescribir sobre respaldos recientes. • Mantener los medios de respaldos que se encuentran en la Universidad por el período de dos años. Al momento de desechar estos medios deberán ser destruidos para evitar posibles copias o recuperación de la información almacenada. 8.2.7 Copias históricas • Para las copias que se encuentran en el sitio de backup deberán conservarse al menos una copia por cada año de procesamiento, y por un plazo definido por el administrador, de acuerdo a los requerimientos. 8.2.8 Soportes físicos • La información a respaldar deberá estar almacenada en dispositivos de almacenamiento secundario como: CDs, cintas, en el Servidor Backup ó cualquier otro medio de almacenamiento.
28
Manual de gestión de seguridad de la información
• Los administradores de los servicios y sus colaboradores deberán verificar el funcionamiento de los medios de almacenamiento antes de realizar un respaldo. • Las copias de respaldo deberán conservarse en armarios de acceso restringido. • Se deberán mantener dispositivos básicos de respaldo para el hardware de los servidores en caso de fallas, tales como: fuente de poder, disco duro, buses, etc. 8.2.9 Pruebas periódicas • El administrador de servicios y su colaborador deberán realizar pruebas con una periodicidad de tres meses de los respaldos para verificar la validez y funcionalidad de los mismos. 8.2.10 Inventario de los soportes físicos • Toda la información respaldada será clasificada y etiquetada. (Ver Estándar Técnico ET4N10: Etiqueta de Dispositivos de respaldo) 8.2.11 Del Lugar de respaldo • El lugar asignado para el respaldo de la información, está ubicado en el primer piso de la Modalidad Abierta (Cuarto de Comunicaciones) • Esta sala dispone de un armario con divisiones independientes para almacenar cintas o CDs, cada una de estas tiene llave independiente. Estas divisiones serán asignadas por áreas (Desarrollo de software, Virtualización, Gestión del conocimiento, etc.) y el responsable de cada área será el encargado de vigilar por la seguridad de los respaldos almacenados. • Además se cuenta con un rack para alojar los servidores de backup de la información, el mismo que cuenta con Manual de gestión de seguridad de la información
29
su propia seguridad. De acuerdo a los requerimientos más urgentes se dará prioridad de alojamiento a los servidores. 8.2.12 Acceso al Sitio de Backup • Cada vez que un administrador requiera almacenar información en el sitio de backup, el administrador de este sitio le proporcionará la llave de acceso al sitio. La llave de los armarios tendrá cada líder del grupo y será administrada internamente en el grupo. • En vista que el Sitio de Backup, es también el Cuarto de Comunicaciones de la Modalidad Abierta, y por ende es de acceso para los jóvenes de Gestión Productiva se deberá tener las debidas precauciones de seguridad interna. 9. Norma 12: RESPONSABILIDAD DE LA SEGURIDAD DE LA INFORMACIÓN 9.1 Objetivo Definir roles, funciones y responsabilidades en relación con el cumplimiento del Manual de Gestión de Seguridad de la Información de la Universidad. 9.2
Definiciones
9.2.1 Administradores de los servicios • Se considera a las personas encargadas de llevar la administración de las aplicaciones existentes en los servidores que se tiene en la Universidad. 9.2.2 Responsabilidades de los administradores • Deberán implementar las medidas de seguridad dadas
30
Manual de gestión de seguridad de la información
• • • •
en el Manual de Gestión de Seguridad de la Información a fin de garantizar la seguridad de su servicio. Deberán participar activamente de las capacitaciones y actualizaciones periódicas para conocer el manual. Deberán apoyar a los proyectos que se planteen en torno al tema de seguridad informática. Deberán ser parte del desarrollo e implementación del Plan de Seguridad de la Universidad. Debe conocer y acecptar el Acuerdo de Confidencialidad sobre las funciones que realizan (ver Plantilla1 No.12: Acuerdo de Confidencialidad).
10.
Norma 13: MONITOREO
10.1 Objetivo Dar pautas para alcanzar un monitoreo y seguimiento de los controles implementados para el manejo de los recursos informáticos, procesos y personal que lo realiza, con el objeto de estar en una mejora continua. 10.2 Consideraciones Generales - El NOC/SOC deberá brindar la plataforma de monitoreo para la administración de los servicios y equipos activos: • Los administradores de los servicios y equipos activos deberán solicitar al NOC/SOC entrada a la plataforma de monitoreo para monitorear permanentemente sus respectivos equipos. • Los administradores de los servicios deberán revisar los controles actuales en cada servicio y renovarlos en caso de ser necesario. - Cada administrador de los servicios y equipos activos deberá proporcionar al NOC/SOC la información que se solicita en la plantilla: Configuración de Alarmas Manual de gestión de seguridad de la información
31
(ver Plantilla1 No13: Configuración de alarmas) para ser registrado en el monitoreo y aviso de alarmas que ofrece la herramienta Nagios. 10.2.1 Alarmas - El NOC/SOC deberá configurar con la herramienta Nagios que los avisos de alarmas llegue por correo electrónico o SMS y en el horario solicitado a los administradores. - Los tipos de alarmas que se deberán configurar son los siguientes: • Ping: saturación. • Traps: anomalías. • Host down: pérdida de conectividad. - El NOC/SOC deberá actualizar trimestralmente los contactos para avisos de alarmas. 10.2.2 Monitoreo • El NOC/SOC deberá evaluar la capacidad de los enlaces semestralmente, con los administradores de las aplicaciones involucradas. • Los administradores de los servicios deberán monitorear a los servidores quincenalmente mediante la herramienta Nagios (noc.utpl.edu.ec/nagios/). • Los administradores de los servicios deberán generar reportes quincenalmente para estar informado del estado de los componentes y rendimiento del equipo haciendo uso de las herramientas disponibles en cada plataforma. 11. Norma 14: MANTENIMIENTO DE EQUIPOS 11.1 Objetivo
32
Manual de gestión de seguridad de la información
Definir las pautas para llevar un mantenimiento oportuno y eficiente de los equipos computacionales con que cuenta La Universidad Técnica Particular de Loja, enfatizando en aspectos, tales como: responsable, periodicidad, diagnósticos, entre otros. 11.2 Definiciones 11.2.1 Mantenimiento preventivo • Los administradores de los servicios deberán notificar a los usuarios que se realiza el mantenimiento a estos equipos con al menos 48 horas antes de efectuarlos. 11.2.2 Mantenimiento lógico • Los administradores deberán realizar monitoreo permanente de los recursos de los servicios para verificar su correcto funcionamiento, mediante la tecnología que se disponen los servidores o con la utilización del sistema de monitoreo de la Universidad. • Los administradores de los servicios deberán someter al software a instalar en un ambiente de prueba a fin de determinar que es una versión estable. 11.2.3 Mantenimiento Físico - Todo mantenimiento deberá incluir la revisión de los componentes internos como externos. 11.2.4 Periodicidad del mantenimiento preventivo - Se deberá determinar la criticidad de los equipos para definir la periodicidad de su mantenimiento lógico: o Para los equipos activos y servidores su periodicidad será de 3 meses. o Para equipos de criticidad menor (estaciones de trabajo) se lo hará cada 6 meses. Manual de gestión de seguridad de la información
33
- Revisar las configuraciones de las alarmas en los servidores mensualmente. - Los administradores de los servicios deberán efectuar una revisión mensual del software para determinar si las versiones instaladas necesitan ser actualizadas, para esto se debe ayudar de herramientas de escaneo de equipos. - Cada 2 (dos) años se deberá evaluar la posibilidad de actualizar el Sistema Operativo en los servidores, pero antes se deberá verificar la compatibilidad tanto con el Hardware del equipo con la nueva versión de la plataforma a instalarse como también con el funcionamiento de los servicios. 11.2.5 Mantenimiento Físico - Se deberá determinar la criticidad de los equipos para definir la periodicidad de su mantenimiento físico: o Para los equipos activos y servidores su periodicidad será de una vez al año. o Para equipos de criticidad menor (estaciones de trabajo) se lo hará cada 6 meses. - Los administradores de los servicios deberán comprobar semanalmente el estado de los componentes de hardware de los servidores. 11.2.6 Mantenimiento Correctivo - Revisar semanalmente el comportamiento de los servidores para determinar si se requiere un mantenimiento antes de la fecha prevista. - Revisar y realizar un seguimiento a las alarmas generadas por los servidores en el momento en que se presenten (ver procedimiento PO1NO14: Mantenimiento correctivo en los servidores).
34
Manual de gestión de seguridad de la información
11.2.7 Informes - Todo mantenimiento que se realice tanto a las estaciones de trabajo como a los servidores deberá ser documentado en la plantilla: Mantenimiento de equipos. (ver anexos Plantilla1No14: Informe del mantenimiento a los equipos) - Los administradores de los servicios deberán evaluar la proyección de capacidad del equipo con el objetivo de reducir el riesgo de sobrecarga del equipo en cuanto a procesamiento y almacenamiento. - El personal del grupo de Soporte Tecnológico y los administradores de los servicios deberán elaborar un informe luego del mantenimiento efectuado a los equipos en caso de que se requiera el cambio de algún componente de hardware o software. 12 Norma 15: SERVIDORES
PLAN
DE
SEGURIDAD
DE
LOS
12.1 Objetivo Una vez elaborado el Plan de Seguridad de los Servidores, es necesario dar las pautas para el monitoreo y seguimiento de que los procesos definidos se cumplan. (Ver P01N015: plan de seguridad de servidores linux. 12.2 Consideraciones generales • El Equipo de Seguridad es el encargado de entregar a los administradores las políticas y directrices necesarias que permitan implementar niveles de seguridad en los diferentes servicios. • El Equipo de Seguridad se encargará del monitoreo y control de cumplimiento de políticas por parte de los administradores. Manual de gestión de seguridad de la información
35
• El Equipo de Seguridad deberá asesorar a los administradores para que implementan mecanismos que permitan minimizar los riesgos de los servicios administrados. • Los administradores deberán ejecutar las directrices señaladas en el Plan de Seguridad, y que se apliquen al entorno de los servidores que administran. • Los administradores deberán reportar al Equipo de Seguridad cualquier novedad que afecte a los servicios y que no esté contemplado en el Plan. • Cada administrador de los servicios y equipos activos deberá proporcionar al Equipo de Seguridad la información que requiera para realizar el control y seguimiento al cumplimiento del Plan. • Los administradores deberán revisar permanentemente las políticas de seguridad que estén involucradas a su gestión. • El Equipo de Seguridad deberá informar a los administradores si el Manual de Gestión de Seguridad de la Información ha tenido un cambio crítico. 12.2.1 Proceso de Instalación - Al instalar un nuevo servidor deberán cumplirse el proceso de instalación indicado en el Plan de Seguridad, más los pasos que los administradores consideren necesarios. • Antes de poner a producción un servidor, el Equipo de Seguridad deberá realizar una revisión de todo el sistema, para garantizar que este comience a operar con los requerimientos mínimos de seguridad establecidos. 12.2.2 Auditoria de los servidores • El administrador de los servidores deberá reportar al Equipo de Seguridad cualquier actualización de
36
Manual de gestión de seguridad de la información
software que esté programada a fin de realizar el análisis de vulnerabilidades respectivo. • El Grupo de Auditoria deberá realizar trimestralmente una auditoria de todos los servidores. • El Grupo de Auditoria entregará a los administradores, Equipo de Seguridad y al Responsable del Grupo/ Departamento, el resultado del análisis de vulnerabilidades realizado a los servidores. • Los administradores tienen la obligación de tomar acciones correctivas frente a los resultados obtenidos del análisis de vulnerabilidad, antes de poner el servidor en producción ya sea al inicio o luego de cualquier actualización. 12.2.3 Seguridad de Red • Todo servidor tendrá aginado un nivel de seguridad y una subred dependiendo del servicio que vaya a prestar. • Todo servicio que sea de acceso interno y acceso público, debe evaluar la pertinencia de tener un servidor bastión que sea el punto de comunicación de la red Interna e Internet. • Todo servidor que sea de acceso exclusivo para usuarios internos será ubicado en la red de Campus. • Los servidores se comunican con Internet a través de una dirección pública la misma que será asignada por el NOC/SOC, dependiendo del servicio que proporcionen. • Los permisos de entrada y salida hacia los servidores serán gestionados por el NOC/SOC • Los administradores deberá solicitar por correo los permisos requeridos para los servidores indicando las direcciones de origen, destino y puerto que se deben habilitar. Manual de gestión de seguridad de la información
37
• Los administradores deben conocer los usuarios internos y externos de cada uno de los servidores, las aplicaciones que utilizan así como las direcciones IP, a fin de generar correctamente el cortafuego y archivos de control de acceso en los equipos. • Los administradores deben conocer el comportamiento de las aplicaciones que corren en los equipos, para configurar de manera adecuada los Sistemas de Detección de Intrusos (HIDS) en cada servidor. 12.2.4 Reportes • Los administradores deberán entregar mensualmente los logs del firewall y del HIDS al Equipo de Seguridad o cuando hubiese existido un evento de seguridad.
38
Manual de gestión de seguridad de la información
ANEXOS Et1no1: Esquema de roles para asignación de Recursos de internet TÍTULO: VERSIÓN: AUTOR: ESTADO:
Estándar Técnico: Esquema de roles para asignación de servicios de Internet 1.0 Andrea Cabrera Henri Cueva Aprobado
Lista de Cambios VERSIÓN 1.0
FECHA 31-07-06
AUTOR DESCRIPCIÓN Emisión Inicial
ROL
USURIOS Canciller Vicecanciller Director de Modalidad Abierta y a Distancia
AUTORIDADES
Director General Académico Director General Administrativo Financiero Director General de Misiones Universitarias
Manual de gestión de seguridad de la información
39
Director General de Recursos Humanos Director General de Relaciones Interinstitucionales
AUTORIDADES
Secretario General Directores de los CITTES Directores de Escuela Administradores de Servicios ADMINISTRADORES DEPARTAMENTO FINANCIERO
Administradores de Bases de Datos Contabilidad - Modalidad Clásica Contabilidad - Modalidad Abierta Secretarias de Centro
SECRETARIAS
Secretarias de Carrera Secretarias en General Docentes Investigadores
DOCENTES INVESTIGADORES
Docentes accidental postulados Docentes Salas de Cómputo: A-B-C-D
ESTUDIANTES
Salas de las Academias: Cisco/ Linux, Oracle Sala de Electrónica
ET2NO1: Asignación de privilegios sobre ficheros de servidores linux y solaris
TÍTULO: VERSIÓN: AUTOR: ESTADO:
40
Estándar Técnico: Asignación de privilegios sobre ficheros de servidores Linux y Solaris 1.0 Andrea Cabrera Henri Cueva Aprobado Manual de gestión de seguridad de la información
Lista de Cambios VERSIÓN FECHA 1.0 31-07-06
AUTOR DESCRIPCIÓN Emisión Inicial
Tipo de usuario
Privilegios
Administrador
777 (rwxrwxrwx)
Usuario común
750 (rwxr-x---)
Prueba
750 (rwxr-x---)
Temporal
750 (rwxr-x---)
Gestión productiva
750 (rwxr-x---)
Tesistas
750 (rwxr-x---)
Monitoreo
744 (rwxr--r--)
ET4NO1: Asignación de cuentas para personal de servicios
TÍTULO: VERSIÓN: AUTOR: ESTADO:
Estándar Técnico: Asignación de cuentas para personal de servicios 1.0 Andrea Cabrera Henri Cueva Aprobado
Lista de Cambios VERSIÓN 1.0
FECHA 31-07-06
AUTOR DESCRIPCIÓN Emisión Inicial
Manual de gestión de seguridad de la información
41
Tipo de usuario
Identificador de tipo de usuario
Administrador
adm
Usuario común
usr
Prueba
pba
Temporal
tmp
Gestión productiva
gp
Tesistas
tes
Monitoreo
mon
ET5NO1: Creación de contraseñas TÍTULO:
Estándar Técnico: Creación de contraseñas
VERSIÓN: AUTOR:
1.0 Andrea Cabrera Henri Cueva Aprobado
ESTADO:
Lista de Cambios VERSIÓN 1.0
FECHA 31-07-06
AUTOR DESCRIPCIÓN Emisión Inicial
• La contraseña debe tener longitud mínima de 8 (ocho) caracteres • La contraseña debe ser una combinación de letras mayúsculas, minúsculas, números y caracteres especiales
42
Manual de gestión de seguridad de la información
• La contraseña no debe estar conformada por nombres o palabras comunes
ET7NO1: Registro de usuarios con acceso a servidores y/o equipos activos TÍTULO: VERSIÓN: AUTOR: ESTADO:
Estándar Técnico: Registro de Usuarios con acceso a Equipos Activos 1.0 Andrea Cabrera Henri Cueva Aprobado
Lista de Cambios VERSIÓN 1.0
FECHA 31-07-06
AUTOR DESCRIPCIÓN Emisión Inicial
1.1
11-06-98
MPEV Versión 1.1 equipos activos
Registro de Usuarios Equipo: _________________________________ Administrador: _________________________________ Username
Nombres
Apellidos
Funciones
Manual de gestión de seguridad de la información
Nivel de Privilegio
Fecha de caducidad
43
PRO8NO1: Creación de cuentas para acceso a equipos activos TÍTULO: VERSIÓN: AUTOR: ESTADO:
Procedimiento: Creación de cuentas para acceso a servicios activos 1.0 Andrea Cabrera Henri Cueva Aprobado
Lista de Cambios VERSIÓN 1.0
FECHA 31-07-06
AUTOR DESCRIPCIÓN Emisión Inicial
Objetivo: Definir los pasos a seguir para crear cuentas de usuario para acceder a los equipos activos del campus. Procedimiento: 1. Si el requerimiento es determinado por el propio administrador del equipo, pasar al paso 4. 2. Si el pedido de acceso viene de otra área, el administrador de mail deberá solicitar por correo electrónico los datos del nuevo usuario. El correo debe ser enviado por el responsable del área involucrada. 3. El correo enviado deberá indicar el equipo al que se desea tener acceso, dirección IP desde donde se
44
Manual de gestión de seguridad de la información
accederá, nombre del usuario, periodo de tiempo por el cual requiere el acceso y funciones a realizar. 4. El administrador procederá a crear la cuenta con el nivel de privilegio respectivo o añadirá permisos en caso necesario. Además es necesario agregar un comentario que permita identificar las funciones del usuario. 5. El administrador probará la cuenta para verificar que cumpla con los requisitos especificados en la solicitud 6. El administrador deberá registrar en un medio digital toda la información respectiva al usuario que se ha creado incluida la fecha de caducidad de la cuenta. 7. El administrador informará al nuevo usuario sobre sus credenciales, políticas y procedimientos sobre el uso de los equipos. ET1NO9: Registro de Acceso a la sala de servidores
VERSIÓN: AUTOR:
Estándar Técnico: Registro de Acceso a la Sala de Servidores 1.0 Diana Requelme
ESTADO:
Aprobado
TÍTULO:
Lista de Cambios VERSIÓN
FECHA
AUTOR
Manual de gestión de seguridad de la información
DESCRIPCIÓN
45
FECHA
NOMBRE
HORA ENTRADA
HORA SALIDA
ACTIVIDAD REALIZADA
OBSERVACIONES
REGISTRO DE ACCESO SALA DE SERVIDORES
46
Manual de gesti贸n de seguridad de la informaci贸n
ET2NO9: Etiquetado de equipos TÍTULO:
Estándar Técnico: Etiquetado de equipos
VERSIÓN: AUTOR:
1.0 Andrea Cabrera Henri Cueva Aprobado
ESTADO:
Lista de Cambios VERSIÓN 1.0 1.0
FECHA 31-07-06 31-07-06
AUTOR DESCRIPCIÓN Emisión Inicial Diana Emisión Inicial Requelme
Servidores: • • • • • •
Identificación : Marca: Serie: Modelo: Dirección IP: Administrador:
PC´s o Equipos de usuario final • • • • •
Ciudad: Marca: Serie: Tipo: Modelo:
Nombre registrado en el Servidor de Nombres de Dominio Manual de gestión de seguridad de la información
47
ET3NO9: Etiquetado de cables TÍTULO:
Estándar Técnico: Etiquetado de cables
VERSIÓN: AUTOR:
1.0 Andrea Cabrera Henri Cueva Aprobado
ESTADO:
Lista de Cambios VERSIÓN 1.0 1.0
FECHA 31-07-06 31-07-06
AUTOR DESCRIPCIÓN Emisión Inicial Diana Emisión Inicial Requelme
• •
Identificación de Punto de Red (número de piso, número de punto) Si el cable es de Voz o Datos. o Ej: 3P-Datos 24, donde: 3P corresponde a tercera planta y Datos 24 corresponde al punto 24 de Datos. ET1N10: Lineamientos para la Elaboración de Respaldos
Todo administrador debe considerar los siguientes pasos para la elaboración de respaldos: 1. De acuerdo al servicio, determinar la información a respaldar, se considera prioritario los respaldos concernientes a: • Backups del Sistema Operativo.
48
Manual de gestión de seguridad de la información
• Backups del Software Base (Paquetes y/o Lenguajes de Programación con los cuales han sido desarrollados o interactúan nuestros Aplicativos Institucionales). • Backups del Software Aplicativo (Considerando tanto los programas fuentes, como los programas objetos correspondientes, y cualquier otro software o procedimiento que también trabaje con la data). • Backups de los Datos (Bases de Datos, Índices, tablas de validación, passwords, y todo archivo necesario para la correcta ejecución del Software Aplicativo de nuestra Institución). • Backups de las configuraciones de todos los equipos activos. 2. Elaborar un cronograma planificado para la elaboración de respaldos para tener una mínima probabilidad de error, tomando en cuenta: • La integridad de los datos guardados • Utilizar soportes de almacenamiento en buen estado. • Rápida y eficiente recuperación de la información. 3. Definir el tipo de respaldo a elaborar: Considerar la tabla adjunta. 4. Determinar el medio de respaldo. En el caso de medios ya utilizados, considerar el número de veces que ha sido utilizado. 5. Elaborar el respaldo 6. Definir una estrategia de validación de la información respaldada, en los que se puede considerar: Manual de gestión de seguridad de la información
49
• Tamaño de los archivos • Suma de verificación • Bits de paridad
Respaldo
Archivos en respaldo
Archive bit
Ventajas
Desventajas
Completo (“Full”)
Todos
Eliminado en todos los archivos
Con este respaldo únicamente es posible recuperar toda la información
Tiempo de Ejecución
De Incremento (“Incremental”)
Archivos con archive bit. (Aquellos que hayan cambiado desde el último Respaldo Completo)
Eliminado en los archivos que se respaldan
Velocidad
Requiere del último Respaldo Completo y de todos los Respaldos de Incremento que le siguieron para recuperar el Sistema
Diferencial (“Differential”)
Archivos Intacto con archive bit. (Aquellos que hayan cambiado desde el último Respaldo Completo)
Sólo requiere del último Respaldo Completo y del último respaldo Diferencial
Ocupa mayor espacio en discos comparado con Respaldos de Incremento
50
Manual de gestión de seguridad de la información
ET2N10: Histórico de Cuentas de usuario TÍTULO: VERSIÓN: AUTOR:
Estándar Técnico: Historico de cuentos de usuario 1.0 Diana Requelme Aprobado
ESTADO:
Lista de Cambios VERSIÓN
FECHA
Nombre Fecha de de la creación cuenta
Responsable de la cuenta
AUTOR
Funciones
DESCRIPCIÓN
Observaciones
Fecha de caducidad
ET3N10: Registro de los respaldos TÍTULO:
Estándar Técnico: Registro de respaldos
VERSIÓN: AUTOR:
1.0 Diana Requelme
ESTADO:
Aprobado
Manual de gestión de seguridad de la información
51
Nombre del respaldo: Descripción de la información respaldada:
Sistema Operativo Software Aplicativo Archivos de Configuración Base de Datos
Número de medios de almacenamiento que ocupa : Fecha de almacenamiento de respaldo: Tipo de respaldo : Nombre del responsable del respaldo: Firma de responsabilidad:
1 Respaldos Completos, Respaldos Incrementales o Respaldos Diferenciales
ET4N10: Etiquetado del dispositivo de respaldo.
VERSIÓN: AUTOR:
Estándar Técnico: ETIQUETA DE DISPOSITIVO DE RESPALDO 1.0 Diana Requelme
ESTADO:
Aprobado
TÍTULO:
Lista de Cambios VERSIÓN
FECHA
AUTOR
DESCRIPCIÓN
Servidor Nombre del respaldo: Nombre del archivo: Versión:
52
Manual de gestión de seguridad de la información
Fecha de almacenamiento de respaldo: Aplicación o sistema al que pertenece la información: Fecha de elaboración: Número de grabaciones en el dispositivo: Nombre del responsable del respaldo: Firma de responsabilidad:
ET5N10: Registro de Cambios de Configuración.
VERSIÓN: AUTOR:
Estándar Técnico: REGISTRO DE CAMBIO DE CONFIGURACIÓN 1.0 Diana Requelme
ESTADO:
Aprobado
TÍTULO:
Lista de Cambios VERSIÓN
FECHA
AUTOR
DESCRIPCIÓN
Servidor Nombre del respaldo: Nombre de la Aplicación Tipo de Cambio:: Archivo o archivos afectados:
Manual de gestión de seguridad de la información
53
Aplicaci贸n o sistema al que pertenece la informaci贸n: Cambio solicitado por: Cambio aprobado por: Fecha de cambio: Caducidad de cambio: Firma de responsabilidad:
Equipo Activos Equipo Activo: Tipo de Cambio: Archivo o archivos afectados: Cambio solicitado por: Cambio aprobado por: Fecha de cambio: Caducidad de cambio: Firma de responsabilidad:
Firma de responsabilidad:
54
Manual de gesti贸n de seguridad de la informaci贸n
Plantilla1 No12 ACUERDO DE CONFIDENCIALIDAD Yo,......................................................................................... por el presente dejo constancia de haber recibido de parte de la Universidad las contraseñas correspondientes a la identificación de usuario, para acceder a los sistemas de información de la Universidad que están bajo mi responsabilidad. A través del presente documento declaro tener conocimiento de las políticas, normas y estándares de seguridad informática y expreso libre y voluntariamente mi aceptación de las mismas, obligándome a cumplirlas a cabalidad en todo momento, durante y después de mi relación con la Universidad, comprometiéndome entre otras cosas a: • No utilizar la información para fines contrarios a los intereses de la Universidad. • No realizar el intento de ganar acceso a recursos no asignados, el mismo será considerado “intento de violación a la seguridad del sistema” en el cual la Universidad se reserva el derecho de tomar las acciones pertinentes al caso. • No divulgar la información obtenida de los sistemas de la Universidad. • Modificar la contraseña al sospechar que ésta haya sido descubierta o por solicitud de la Universidad en cualquier momento. Manual de gestión de seguridad de la información
55
• Aceptar las responsabilidades sobre el uso de mi cuenta de usuario. • Utilizar los sistemas de la Universidad únicamente para fines aprobados por ésta. • Hacer buen uso de la cuenta de correo, evitando el intercambio de información nociva. • No permitir la utilización de la cuenta de usuario por terceros. • No realizar la instalación de ningún tipo de software no homologado por la Universidad o no definido en el proceso de administración de los servicios. • Aceptar que toda la información conservada en los equipos informáticos (archivos y correos electrónicos residentes en servidores de datos centralizados y/o estaciones de trabajo) es de propiedad de la Universidad, por lo que podrá ser solicitada, administrada y/o monitoreada por los dueños de la información. • Desconectarse de la estación de trabajo correspondiente, cada vez que finalice con las tareas que en ella desarrolla, a fin de evitar el uso de la clave por otra persona. En fe de lo expresado suscribo el presente acuerdo en …… ejemplares del mismo tenor y validez. Loja, ……………………………….. del 2008 Usuario:.........................................................................................
56
Manual de gestión de seguridad de la información
Fecha de entrega:....../......./.......................................................... Firma de usuario C.I:……………………………. Plantilla1No13CONFIGURACION DE ALARMAS SOLICITUD DE INFORMACION PARA CONFIGURACION DE ALARMAS DATOS GENERALES:
Fecha:
Administrador Principal Nombres Completos: Dirección de correo electrónico: Administrador Backup Nombres Completos: Dirección de correo electrónico: Número de Teléfono Móvil: SERVIDOR Dirección IP interna
Dirección IP externa
SERVICIOS A MONITOREAR: Servicio a monitorear
Puertos
Horario
Tipo
Firma:
Manual de gestión de seguridad de la información
57
Plantilla1No14 INFORME DEL MANTENIMIENTO A LOS EQUIPOS DATOS GENERALES:
Fecha:
Equipo: Responsable del Equipo: Departamento: MANTENIMIENTO Tipo: Lógico Físico Descripción del problema:
Solución aplicada:
Fecha del próximo mantenimiento: Responsable del mantenimiento:
Firma:
PO1No14: Mantenimiento correctivo en los servidores TÍTULO: VERSIÓN: AUTOR: ESTADO:
58
Procedimiento: Mantenimiento correctivo en los servidores. 1.0 Andrea Cabrera Henri Cueva Aprobado Manual de gestión de seguridad de la información
Lista de Cambios VERSIÓN 1.0
FECHA 31-07-2006
AUTOR
DESCRIPCIÓN Emisión Inicial
Objetivo: Definir los pasos a seguir para realizar el mantenimiento a los servidores cuando se presente problemas no previstos. Procedimiento: 1. El administrador del servidor deberá analizar la causa que determina el fallo del servicio. 2. Si se trata de un fallo critico, levantar inmediatamente el equipo computacional de contingencia. 3. Dar aviso inmediato a los usuarios del tiempo requerido para su mantenimiento. 4. El administrador deberá ayudarse del manual de procesos propios del servidor para levantar nuevamente el servicio. PO1No14: Plan de seguridad de los servidores linux ANTECEDENTES: El presente documento surge por la necesidad de contar con un plan que permita a los administradores de los Servidores Linux implementar nuevos servicios considerando normas de seguridad en sus sistemas así como las políticas de Manual de gestión de seguridad de la información
59
seguridad definidas en el Manual de Gestión de Seguridad de la Información de la UTPL (MGSI) involucradas en los procesos de administración. Cabe indicar que una vez emitido éste documento, su cumplimiento será monitoreado por parte del Equipo de Seguridad cada vez que se vaya a instalar un nuevo servidor, además de un chequeo periódico que se realizará trimestralmente. CONTENIDO: 1. 2. 3. 4. 5. 6. 7.
Proceso de instalación Sistema de Archivos Auditoria de Sistemas Seguridad de Red Mantenimiento Respaldos Pasos Básicos
1. Proceso de instalación: - Determinar el hardware que tiene el servidor, verificar si es compatible y si se ajusta a las necesidades del sistema que se va a implementar. - Buscar una adecuada distribución de Linux para el servidor. Para esto se sugiere seleccionar una versión actual y estable para implementarla. • • • •
60
GNU/Linux RedHat/Linux Fedora Suse Manual de gestión de seguridad de la información
− De las posibles instalaciones de Linux, la que se realiza a nivel de disco duro es la más segura que se puede hacer en un servidor, debido a las siguientes razones: • Permite verificar las firmas de los diferentes ficheros (md5sum nombre_fichero) • Se debe instalar solo los ficheros o paquetes que se necesite. • Permite destinar particiones a los diferentes ficheros que tengamos acorde al sistema que se va a instalar, si es un servidor se recomienda realizar una partición para cada uno de estos ficheros. - Examinar las vulnerabilidades de los paquetes tal como se indica en la Sección 3. 2. Sistema de Archivos: a Correcta distribución del espacio de almacenamiento, lo que limita que el deterioro de una partición afecte a todo el sistema. Se deben tomar en cuenta las siguientes recomendaciones: − Si el sistema va a dar servicio a múltiples usuarios que requieren almacenamiento para sus datos es conveniente que el directorio /home tenga su propia partición. − Si el equipo va a ser un servidor el directorio /var o incluso /var/spool deberían tener su propia partición. − Se suele tener el siguiente particionamiento básico: Manual de gestión de seguridad de la información
61
/boot /var /var/log /home /usr /usr/local /tmp − Se deben tener los ficheros en particiones separadas para evitar conflictos en el sistema. − No tener ficheros llenos para no comprometer el sistema. Dejar un espacio libre del 20% − Revisar el porcentaje de utilidad de la CPU. − Si el servidor requiere de un nivel de accesos al disco bastante grande se debe considerar algunas opciones de montaje de los sistemas de ficheros, los mismos que se configuran en /etc/fstab: noexec: no permite la ejecución de programas. nosuid: no permite que los bit suid/guid tengan efecto nodev: no permite acceso a dispositivos ro: montados como solo lectura Para habilitar el sistema de archivos para instalar o ejecutar algún software por parte del root se debe ejecutar el siguiente comando: # mount -o remount,rw <sistema_de_archivos> − Se debe considerar que la partición de la memoria virtual (swap) debe tener como mínimo el doble de la memoria física real de nuestro equipo.
62
Manual de gestión de seguridad de la información
Una vez que se establece el sistema de archivos con las seguridades antes mencionadas se puede recompilar el Kernel con las siguientes características: • Deshabilitar soporte para dispositivos que no se usarán • Desactivar la carga de módulos de forma dinámica. • Desactivar soporte para otro tipo de FileSystem que se utilice • Desactivar el soporte para hardware con el que no se cuente b. Permisos de archivos y directorios Los permisos en el sistema de archivos Linux se interpretan de la siguiente manera: Archivo Archivo
Lectura (r)
Escritura (w)
Ejecución (x)
Poder acceder a Poder modificar o Poder ejecutar un los contenidos añadir contenido programa binario o de un archivo a un Archivo guión de shell
Poder leer un Poder borrar o ver Poder entrar Directorio directorio, Archivos directorio los Archivos que mover en un directorio contiene
en
un
− Verificar los usuarios creados en el sistema y el grupo al que pertenece. Revisar MGSI: N01 Administración de usuarios, claves de acceso y permisos. − Se puede proteger las claves bajo sombra que son los paquetes etc/shadow que encripta las claves en otro sitio al que tienen solo acceso el root tiene las siguientes ventajas: • Fichero de configuraciones para establecer opciones para el “login” (/etc/login.defs) Manual de gestión de seguridad de la información
63
• Utilidades para añadir, modificar y borrar cuentas de usuarios y grupos. • Claves con fecha de caducidad. • Mejorar control sobre la elección de claves de los usuarios (no permite elegir claves sencillas de adivinar) − Proteger ficheros delicados como /etc/shadow y /etc/ gshadow, a los que solo tendría acceso el root. − Testear claves crackeandolas para ver si son seguras, si no lo son hay que cambiarlas. − Considerar permisos especiales SUID, GUID, BIT ESPECIAL para ciertas aplicaciones. A partir de las versiones del Kernel “indicar versiones”, se soportan las ACLs (Anexo1) este esquema provee un nivel adicional de seguridad a los archivos extendiendo el clásico esquema de permisos en Unix: con los permisos solo podemos especificar opciones para los tres grupos de usuarios habituales (propietario, grupo y resto), las ACLs van a permitir asignar permisos a usuarios o grupos concretos; por ejemplo, se pueden otorgar ciertos permisos a dos usuarios sobre unos archivos sin necesidad de incluirlos en el mismo grupo. − Compilar el kernel para que soporte ACLs ya que es una herramienta que mejora la configuración de permisos. − Implementar ACLs para el control de acceso a los archivos − Los siguientes comandos soportan la configuración de ACLs:
64
Manual de gestión de seguridad de la información
• Usar los comandos getfacl y setfacl de manera que no este en peligro la seguridad de nuestros ficheros. • Configurar los permisos con setfacl solo al que realmente necesita utilizar nuestros directorios y archivos. • Revisar periódicamente los directorios y archivos con getfacl para ver si necesitan de algún cambio de permisos. • Elaborar ACLs que no comprometan la seguridad del sistema. (Anexo 1) c. Almacenamiento seguro Se debe considerar el cifrado de archivos para información sensible usando herramientas como: − PGP − GnuGP 3. Auditoria de Sistemas a. Verificar vulnerabilidades Antes de poner el servidor en funcionamiento es necesario evaluar los servicios levantados así como las vulnerabilidades que los paquetes instalados presentan, lo que permitirá tomar una acción correctiva antes de poner el servidor a producción. La herramienta a utilizar es Nessus, cuya función es escanear puertos y verificar vulnerabilidades que pasan a través de los puertos o de los servicios levantados, además esta Manual de gestión de seguridad de la información
65
herramienta propone algunas acciones correctivas frente a las vulnerabilidades encontradas. Para la revisión se tendrá implementado un servidor de auditoria en donde se dispondrá de las herramientas para evaluar los sistemas. Además se deberá: − Desactivar todos los servicios innecesarios (chkconfig), así se evita posibles ataques por puertos que no deberían estar disponibles. − No instalar las X para modo gráfico. − Asegurarse que todos los servicios que estén instalados se encuentren actualizados y configurados de forma apropiada, para ello se puede ayudar con los procesos indicados en la Sección 3. − Desactivar y bajar servicios que sean innecesarios. # ps -axu : Muestra todos los procesos iniciados y corriendo
- Cerrar puertos que no se estén utilizando # netstat -natup : presentar todos los puerto abiertos y por cual proceso. Cumplimiento de normas El cumplimiento de la normas se verificará trimestralmente y por cada instalación de un nuevo servidor.
66
Manual de gestión de seguridad de la información
4. Seguridad de Red 4.1 Control de Acceso a la Red En el Anexo 2 se adjunta el esquema de la red en donde se puede observar que todos los servicios de la Universidad que están disponibles en Internet, tienen un esquema de Seguridad Perimetral a través de un Firewall que divide la red en DMZs. Los servidores son ubicados en las DMZs dependiendo del tipo de información que se maneja y por tanto del nivel de seguridad requerido. Todo servidor tiene configurada una dirección IP privada la misma que dependerá de la DMZ en el que esté ubicado. A la dirección privada se aplicará un NAT a fin de obtener la dirección pública la misma que será reconocida en Internet. 4.2 Protección de Conexiones de red Todo acceso a los servidores debe realizarse mediante una conexión segura como SSH (Security Shell) eliminando de esta manera el uso de servicios como Telnet y FTP para administración remota y transferencia de archivos respectivamente. Esta política debe ser aplicada tanto en conexiones internas como externas. − Los servicios de Internet que ofrecen intercambio de datos en el usuario y el servidor deberán correr sobre un protocolo seguro, de tal manera que se garantice la integridad y confidencialidad de la información que se está transmitiendo como passwords, números de tarjeta de crédito, etc. Manual de gestión de seguridad de la información
67
− Dar permisos de acceso solo a las direcciones que lo necesiten y en el puerto correspondiente. 4.3 Cortafuegos - Todo servidor debe tener configurado un firewall en su propio equipo. - La política por defecto debe ser denegar todo por defecto, para abrir puertos a medida que se requiera. - Implementar en el cortafuego, políticas de entrada, salida y de forward, dependiendo del tipo de sistema. Por ejemplo si va a ser un Web Server, tomaría mayor atención en las políticas de entrada y salida mientras que si es un proxy se deberán considerar políticas de forward. - Restringir en el cortafuegos los accesos para la administración del sistema, es decir, establecer quienes son los usuarios que necesitan permisos para establecer conexiones de administración - Registrar las conexiones que han sido detectadas como no válidas para tener una referencia sobre los intentos de acceso no permitido al equipo. - Realizar la configuración respectiva para que el cortafuego arranque junto con el servidor. - Administrar el cortafuego mediante la interfaz del webmin, cada vez que se requiera realizar un cambio. La configuración detallada la encuentra en el Anexo 3.
68
Manual de gestión de seguridad de la información
4.4 Sistemas de Detección de Intrusos basado en Host - Todo servidor debe tener instalado un IDS de host. (HIDS), que permita la detección de intrusos. Por ahora se recomienda instalar el Tripwire. - Ejecutar el IDS antes de que el servidor entre en producción para crear la base de datos inicial. - Configurar las llaves seguras del Tripwire una vez instalado para tener acceso a comandos de administración - Configurar el archivo de las políticas de Tripwire con los archivos del sistema que se desean monitorear considerando que se deberán monitorear archivos cuya variación no se dinámica, sino que son más bien estáticos, como por ejemplo: archivos de configuración, ejecutables, etc. - Construir una base de datos del Tripwire en donde se va a guardar la información cada vez que se cambia la política de monitoreo - Verificar permanentemente la integridad del sistema configurando el Cron y el Tripwire. - Generar los reportes de errores cada vez que se monitorea el sistema, para verificar si algún archivo ha sido modificado. - Una vez generados los archivos de políticas y configuraciones, se los debe borrar para mayor seguridad o respaldar en un sitio alterno. Manual de gestión de seguridad de la información
69
- Imprimir informes del comportamiento del sistema, detectado mediante la ejecución periódica del Tripwire. El Anexo 4 explica a mayor detalle la configuración. 4.4 TCP Wrappers - Es una de las mejores herramientas para proteger los servicios que prestará el equipo. - Configurar los ficheros de configuración de los wrapper /etc/host.allow y el /etc/host.deny para permitir y denegar accesos a los servicios del equipo. - Se deben configurar ambos ficheros /etc/host.allow y el /etc/host.deny caso contrario se estaría solo permitiendo o solo denegando accesos y de nada serviría la herramienta. - La mejor política de seguridad es denegar el acceso a todo el mundo y a todo servicio, excepto a ordenadores o redes especificas las que se configurarían en host.allow - Las reglas propuestas para el Tcpwrapper deben estar en el orden de más permisivas a más restrictivas. - Se debe utilizar Tcpwrapper debido a que: • Debido a que la seguridad lógica esta concentrada en un solo programa, los Wrappers son fáciles y simples de validar. • Debido a que el programa protegido se mantiene como una entidad separada, éste puede ser actualizado sin necesidad de cambiar el Wrapper.
70
Manual de gestión de seguridad de la información
• Debido a que los Wrappers llaman al programa protegido mediante la llamada al sistema estándar exec(), se puede usar un solo Wrapper para controlar el acceso a diversos programas que se necesiten proteger. ANEXO 5 más detalle 5. Mantenimiento Revisar “Manual de Gestión de Seguridad de la Información” N014: Mantenimiento de Equipos 6. Respaldos Revisar “Manual de Gestión de Seguridad de la Información” N010: Respaldos 7. Pasos Básicos para Mantener su Sistema Seguro. − Instale solo los paquetes necesarios, elimine los compiladores y lenguajes de programación que no necesite. − Monte su sistema de archivos de forma apropiada. − Verifique periódicamente si existen actualizaciones y aplíquelas con prudencia tomando en cuenta lo señalado en el apartado de Instalación. − Utilice los tcp-wrappers para poder configurar un control de acceso a los servicios, como lo señala el punto 4.5 Manual de gestión de seguridad de la información
71
− Limite el número de conexiones entrantes a sus servicios desde el exterior, implementando un firewall o con cualquier otro tipo de políticas. − Configure los parámetros del kernel relacionados con la red − Utilice sistemas de detección de intrusos basados en: Red, host, target − Realice pruebas de integridad al sistema de forma periódica para lo cual se puede ayudar del HIDS instalado. − Utilice sistemas para la detección de root¬kits, como chkrootkit. Anexo 6. − Analice el sistema de auditoria (logs,bitácoras,etc.)def orma periódica o instalar un reporteador de logs como el Watch Log, que envíen un reporte general del sistema. − Y finalmente tengan mucho cuidado con la creación de usuarios. No basta con que solamente una persona tenga la clave de root, basta con configurar mal los permisos para el usario y para un grupo y se podrían dejar huecos de entrada a usuarios no permitidos o dejar que las aplicaciones ganen permisos de root. − Restringa el acceso local al sistema (Password de bios,Password de lilo-grub, parámetros de arranque, deshabilite las unidades extraíbles, restringa los accesos por consola).
72
Manual de gestión de seguridad de la información
Anexo 1 - ACLs1. ACLs Las ALCs (listas de Acceso) son una herramienta súper útil para la configuración de permisos a diferencia de la configuración de permisos tradicionales UGO (user, group, other) de Unix y Linux, esta tiene más opciones de permisos a usuarios o grupos específicos 2. Implementación Para la implementación de esta herramienta se debe recompilar el kernel para que soporte ACLs y las herramientas que estas trae consigo. Esta soportado desde el Kernel 2.1 3. Manejo de ACLs Esta herramienta tiene dos comandos principales: getfacl: mostrar información de permisos de un fichero setfacl: configurar permisos de directorios y archivos Con estas dos opciones se pueden ver y configurar permisos de acuerdo a las necesidades del sistema, cosa que la configuración UGO no puede hacer. Debido a que si queremos que un usuario específico que pertenece a un grupo tenga permisos sobre un archivo no lo podremos hacer. Porque da permiso a un único usuario o a un único grupo. Con ACLs se pueden construir listas de acceso que permita la opción antes mencionada y otras opciones más Manual de gestión de seguridad de la información
73
setfacl -R -m u:Carlos:rw dir_raiz/subdir_1 setfacl -R -m u:carlos:rw dir_raiz/subdir_2
En este ejemplo tenemos al Usuario Carlos que tiene acceso al directorio raíz y a sus subdirectorios, pero no es lo esencial, lo importante es que podemos dar permiso a otros usuarios o grupos. Lo que nos es imposible en UGO Anexo 2 – Esquema de Red
74
Manual de gestión de seguridad de la información
Anexo 3 - Firewall 1. Firewall La necesidad de un firewall en un sistema que radica en el control de paquetes enviados y recibidos desde y hacia nuestro equipo, también del control de los puertos que reciben estos paquetes. Es considerada una de las herramientas más potente junto con tcpwrappers. 2. Implementación. La implementación de un firewall se basa en las necesidades de nuestro sistema. Por seguridad se implementa reglas de denegar todo por defecto. Actualmente cada kernel soporta iptables (firewall), y se lo puede configurar con varias opciones de seguridad para el sistema que vamos a implementar. Esta potente herramienta tiene varias aplicaciones como: Abrir, cerrar puertos. Verificar que puertos están escuchando. Permitir conexiones ssh - Permitir conexiones establecidas. A diferencia de tcpwrapper esta herramienta controla puertos de nuestro equipo. 3. Manejo de Firewall El manejo de esta herramienta depende de que servicios vaya a prestar el sistema, su configuración y actualización depende de ello. Manual de gestión de seguridad de la información
75
Anexo 4 – Tripwire Tripwire Herramienta que nos permite monitorear los diferentes ficheros a fin de que se pueda ver si estos ficheros han sido cambiados y detectar los intrusos a nuestro sistema. Esta herramienta se la consigue gratuitamente con formato rpm en Internet en la página: http://www.net-security.org/advisory.php?id=3905 Donde se encuentra esta herramienta para algunas versiones de Red Hat Linux. Instalación 1. Después de tener el rpm se lo instala con el siguiente comando: Rpm –Uvh <nombre del rpm> 2. Se debe configurar las claves del Tripwire con el comando # /etc/tripwire/twinstall 3. Luego de esto se configura el archivo de políticas, se puede hacer esto editando este archivo que se encuentra en: /etc/tripwire/twpol.txt Lo editamos de acuerdo a nuestro sistema y a que ficheros queremos monitorear. 4. Se instala este archivo de políticas con el comando # twadmin –m P /etc/tripwire/twpol.txt. 5. Construimos una base de datos para reportar los informes de daños en los ficheros # tripwire –m i 2> /tmp/mensajes
76
Manual de gestión de seguridad de la información
Uso del Tripwire Luego de que esta instalada la herramienta, se verifica la integridad de nuestro sistema: # tripwire –m c Con este comando se reportan los errores, pero para hacer permanente la verificación se puede configurar el cron de acuerdo a cada cuanto queremos que sea verificado nuestro sistema generalmente se puede hacer diariamente. Otra opción es que se notifique vía mail para esto se coloca la siguiente directiva en el archivo de políticas. emailto=user@host.doamin Reportes El tripwire viene con varias opciones de impresión de informes con los que se puede imprimir los informes cifrados y entendibles. Anexo 5 - TCP_wrappers TCP_wrappers Una herramienta que nos permite controlar los accesos a los servicios de Internet que posee nuestro equipo. Es una herramienta que sirve para monitorear y controlar el trafico que llega por la red, fue diseñada para la protección de sistemas y detección de accesos inválidos Manual de gestión de seguridad de la información
77
Implementación La implementación se puede realizar bajando el paquete de Internet y configurándolo en nuestro sistema Luego de haber instalado el paquete hay dos ficheros que son importantes /etc/host.allow y el /etc/host.deny que nos permiten controlar los accesos a los diferentes servicios de Internet TCP-Wrappers se compone de 5 programas: tcpd. Es el demonio del TCP-Wrappers. • tcpdmatch. Predice como el tcpd manejaría una petición en específico. tcpdchk. Verifica las reglas de control de acceso contenidas en los archivos /etc/hosts.allow y /etc/hosts.deny. safe-finger. Versión de finger para implementar el finger reversivo. • try-from. Programa que permite probar si el sistema es capaz de reconocer qué máquina la esta contactando. Manejo de Tcp_wrappers El usuario pone las reglas en los archivos de configuración /etc/host.allow y etc/host.deny Fichero /etc/hosts.deny ALL:ALL Con está opción podemos denegar los servicios a cualquier ordenador
78
Manual de gestión de seguridad de la información
Fichero /etc/hosts.allow ALL:localhost ALL:.fibranet.com in.ftpd,in.qpopper:ALL Con está opción permitimos el acceso a nuestros servicios a nosotros mismos, a fibranet.com, y solo servicios ftp y pop a todos los ordenadores. Con esta herramienta no se pueden controlar los puertos solo los accesos que han tenido esos puertos Anexo 6 - Chkrootkit V. 0.46a Los crackers, suelen camuflar o sustituir en ficheros binarios del sistema su propios ficheros troyanos, algunos de los ejemplos típicos son: login, su, telnet, netstat, ifconfig, ls, find, du, df, libc, sync, asi como los binarios listados en /etc/inetd.conf. Por tanto es necesario verificar que se tiene la versión original de estos ficheros y no la versión troyanizada La última versión detecta troyanos en los siguientes ficheros: aliens, asp, bindshell, lkm, rexedcs, sniffer, wted, z2, amd, basename, biff, chfn, chsh, cron, date, du, dirname, echo, egrep, env, find, fingerd, gpm, grep, hdparm, su, ifconfig, inetd, inetdconf, identd, killall, login, ls, mail, mingetty, netstat, named, passwd, pidof, pop2, pop3, ps, pstree, rpcinfo, rlogind, rshd, slogin, sendmail, sshd, syslogd, tar, tcpd, top, telnetd, timed, traceroute, write. Manual de gestión de seguridad de la información
79
1. ¿Qué es chkrootkit? Chkrootkit es una herramienta para chequear localmente señales de rootkit instalados en el sistema. Un rootkit es un conjunto de herramientas usadas frecuentemente por los intrusos o crackers que consiguen acceder ilícitamente a un sistema informático. Estas herramientas sirven para esconder los procesos y archivos que permiten al intruso mantener el acceso al sistema, a menudo con fines maliciosos. * chkrootkit: un shell script que chuequea los binarios del sistema para verificar si existe alguna modificación de rootkit. * ifpromisc.c: chequea si las interfaces de red están trabajando en modo promiscuo * chklastlog.c: verifica si se ha borrado el archivo lastlog. * chkwtmp.c: verifica si se ha borrado el archivo wtmp. * check_wtmpx.c: verifica si se ha borrado el archivo wtmpx. (Solaris) * chkproc.c: verifica señales de troyanos LKM (Linux Loadable Kernel Modules). * chkdirs.c: verifica señales de troyanos LKM (Linux Loadable Kernel Modules). * strings.c: reemplazo de secuencias. * chkutmp.c: chequea por eliminación de utmp.
80
Manual de gestión de seguridad de la información
chkwtmp and chklastlog trata de verificar la eliminación de entradas en el wtmp y archivos lastlog, pero no garantiza que la modificación sea detectada. chkproc chequea si las entradas del directorio /proc son ocultadas por el comando ps. Se recomiendo ejecutar el comando con la opción -v (verbose) 2. Instalación Para compilar el programa en c # make sense Luego simplemente deberá tipear: # ./chkrootkit 3. Uso chkrootkit deberá correr como root. La forma de jecutarlo es: # ./chkrootkit Esto ejecutará el test, o puede personalizarlo en base a las opciones que puede consultar con -h. 4. Mensajes de Salida “INFECTED”: el test ha identificado que un comando ha sido probablemente modificado por un rootkit conocido. “not infected”: no se han encontrado rastros de rootkit. Manual de gestión de seguridad de la información
81
“not tested”: el test no fue realizado. “not found”: el comando a ser testeado no fue encontrado. “Vulnerable but disabled”: comando está infectado pero no está en uso. 5. Un comando troyanizado ha sido encontrado. ¿Qué hacer? El mayor problema es que su equipo ha sido comprometido y que el hacker tiene privilegios de root. El problema se puede resolver reemplazando el comando troyanizado. La mejor vía es reinstalar el sistema desde un medio seguro.
82
Manual de gestión de seguridad de la información
Indice
1. MANUAL DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN 1.1. Política Generales...............................................................5 2. Norma 1: ADMINISTRACIÓN DE USUARIO, CLAVES DE ACCESO Y PERMISOS…………………….........8 2.1. Objetivo…………………………………………….......8 2.2. Consideraciones generales……………………….......8 2.2.1. Acceso a los servidores….……………………...........9 2.2.2. Acceso a los equipos activos……………..................9 2.2.3. Administración remota……………..……………......10 2.2.4. Cuentas de usuario……..............................................10 2.2.5. Depuración de cuentas………………………...........11 2.2.6. Administración de contraseñas………………..........12 2.2.7. Acceso a computadoras personales……………......13 2.2.8. Desconexión……………………..……………............13 3. Norma 2: TRATAMIENTO DE LA INFORMACIÓN 3.1. Objetivos…..……………………….....…………….....13 3.2. Consideraciones generales…………...………….......13 3.2.1. Definición de la información………….………….....13 3.2.2. Riesgos de la información…………………..…….....14 3.2.3. Clasificación de la información…………………......14 3.2.3.1. Información pública……………………........15 3.2.3.2. Información de acceso autorizado…….......15 3.2.3.3. Información sensible……..……………….....16 3.2.3.4. Controles generales……………….……........16 4. Norma 5: LOGS DE AUDITORIA Y REPORTING……...…………......16 4.1. Objetivos…………..………………....……………......16 4.2. Definiciones……………………………………...........17 4.2.1. Definición de logos de auditoría y reportíng…......17 Manual de gestión de seguridad de la información
85
4.2.2. 4.2.2.1. 4.2.2.2. 4.2.2.3. 4.2.2.4.
Tipos de eventos………………………..........17 Logs de Aplicación.……………………….....17 Sistema…………………….………………......17 Seguridad…………………………………......18 En cuanto a reportes..………………….........18
5. Norma 6: SEGURIDAD EN LAS COMUNICACIONES…………........19 5.1. Objetivos…………………………………………........19 5.2. Consideraciones Generales……………………........19 5.2.1. Seguridad de la red interna………………….…........19 5.2.2. Telefonía………………………………………….........19 6. 6.1. 6.2. 6.2.1. 6.2.2. 6.2.3.
Norma 8: PREVENCIÓN DE VIRUS…….……........20 Objetivo…………………………..……………….......20 Definiciones……………………………………..........20 Programas de instalación………………………........20 Actualizaciones………………………………….........20 Administración……………………………….….........21
7. Norma 9: SEGURIDAD FÍSICA EN LAS INSTALACIONES 7.1. Objetivos………..................………………….…........21 7.2. Definiciones……………….…………………….........21 7.2.1. Área Física……………….........…………………........21 7.3. Consideraciones Generales……………………........22 7.4. Control de acceso………………….…………….......22 7.5. Personal autorizado…………………………….........23 7.6. Responsabilidades del personal autorizado…........23 7.7. Instalaciones eléctricas…………………………........24 7.8. Inventario......................................................................25 7.9. Movilización de servidores……………………........25
86
Manual de gestión de seguridad de la información
8.
Norma 10: RESPALDOS…………………......……...25
8.1. Objetivos…………………………………………........25 8.2. Definiciones…………………………………..…........25 8.2.1. Administración del sitio de backup…………..........25 8.2.2. Administrador del servicio…………..………...........26 8.2.3. Auditoria…………………………..……………..........26 8.2.4. A criterio de los administradores y líderes de grupo….............................…………............................27 8.2.5. Periodicidad y copia de seguridad.…………..........27 8.2.6. Rotación de soportes físicos…………………...........28 8.2.7. Copias históricas………………………………...........28 8.2.8. Soportes físicos………..………………………...........28 8.2.9. Pruebas periódicas……………………………...........29 8.2.10. Inventario de los soportes físicos…..…….…...........29 8.2.11. Del lugar de respaldo………………………..............29 8.2.12. Acceso al Sitio de Backup…………………..............29 9. 9.1. 9.2. 9.2.1. 9.2.2.
Norma 12: RESPONSABILIDAD DE LA SEGURIDAD DE LA INFORMACIÓN.....................30 Objetivos…………..……..………………...................30 Definiciones…..…………………………....................30 Administradores de los servicios……………...........30 Responsabilidades de los administradores…..........30
10. Norma 13: MONITOREO……..................................31 10.1. Objetivo….………………………………………........31 10.2. Consideraciones Generales…………………............31 10.2.1. Alarmas…………………………………………..........32 10.2.2. Monitoreo………………………………………..........32
Manual de gestión de seguridad de la información
87
11. Norma 14: MANTENIMIENTO DE EQUIPOS……..……………………………….............32 11.1. Objetivo………………………………...……..............32 11.2. Definiciones………….…………………..….…..........33 11.2.1. Mantenimiento preventivo………………….............33 11.2.2. Mantenimiento lógico………………………….........33 11.2.3. Mantenimiento físico…………………….……..........33 11.2.4. Periodicidad del mantenimiento preventivo...........33 11.2.5. Mantenimiento físico……………………..….............34 11.2.6. Mantenimiento correctivo……………............……..34 11.2.7. Informes………………………………………….........35 12. Norma 15: PLAN DE SEGURIDAD DE LOS SERVIDORES.………………...…................................35 12.1. Objetivo……………………………………….............35 12.2. Consideraciones Generales………..…………..........35 12.2.1. Proceso de Instalación…………..……………..........36 12.2.2. Auditoría de los servidores……….……………........36 12.2.3. Seguridad de red………………………………..........37 12.2.4. Reportes………………………………………….........38
88
Manual de gestión de seguridad de la información