Control de Acceso a las aplicaciones y a la información

Objetivo: evitar el acceso no autorizado a la información contenida en los sistemas de aplicación.


Se deberían usar medios de seguridad para restringir el acceso a los sistemas de aplicación y dentro de ellos.
El acceso lógico al software de aplicación y a la información se debería restringir a usuarios autorizados.
Los sistemas de aplicación deberían:

• controlar el acceso de usuarios a la información y a las funciones del sistema de aplicación, de acuerdo con una política definida de control de acceso;
• suministrar protección contra acceso no autorizado por una utilidad, el software del sistema operativo y software malicioso que pueda anular o desviar los controles del sistema o de la aplicación:
• no poner en peligro otros sistemas con Jos que se comparten los recursos de información

Administración Accesos usuarios: 

Se debe definir, establecer, documentar y revisar mensualmente la política de control de acceso con base en los requisitos del negocio de la Organización y de la seguridad para el acceso a los activos y sistemas de información. En esta política deben establecerse las reglas y derechos de cada usuario o grupo de usuarios.

Todos los usuarios y proveedores de servicios de la Organización deben estar informados de los controles que deben seguir, según la política de control de acceso establecida, a los diferentes sistemas de información y activos con los que interactúan en la Organización.

Se deben establecer procedimientos para controlar la asignación de los derechos de acceso a los sistemas y servicios de la Organización, los cuales deben abarcar las etapas del ciclo de vida del acceso de los usuarios, desde el registro inicial de nuevos usuarios hasta su eliminación o desactivación cuando ya no sea requerido dicho acceso a los sistemas de información y servicios de la Organización.
Para los usuarios que tengan acciones privilegiadas en los sistemas y servicios de información, se deben definir y establecer derechos con acceso privilegiado que permita a estos usuarios evitar controles del sistema o ingresar a información y servicios de administración de más alto perfil. 

Bibliografía

• ISO/IEC 17799:2005, Documentación – International standard book numbering (ISBN)

• International Organization for Standarization. About ISO. Extraído el 1 de octubre, 2008, de http://www.iso.org/iso/about.htm

• International Organization for Standarization. Discover ISO. Extraído el 1 de octubre, 2008, de http://www.iso.org/iso/about/discover-iso_isos-name.htm

• IEC. IEC History. Extraído el 1 de octubre, 2008, de http://www.iec.ch/about/history/

• Wikipedia. Electrotecnia. Extraído el 1 de octubre, 2008, de http://es.wikipedia.org/wiki/Electrotecnia

• Wikipedia. International Electrotechnical Commission. Extraído el 1 de octubre, 2008, de http://en.wikipedia.org/wiki/International_Electrotechnical_Commission

• Wikipedia. IEC JTC1. Extraído el 1 de octubre, 2008, de http://en.wikipedia.org/wiki/ISO/IEC_JTC1

• Wikipedia. Métrica. Extraído el 1 de octubre, 2008, de http://es.wikipedia.org/wiki/M%C3%89TRICA

• Wikipedia. Criptografía. Extraído el 1 de octubre, 2008, de http://es.wikipedia.org/wiki/Criptograf%C3%ADa

 Cumplimiento

Es una prioridad el buen cumplimiento de los requisitos legales para evitar las violaciones a cualquier ley; regulación estatutaria, reguladora o contractual; y cualquier requerimiento de seguridad. La identificación de la legislación aplicable debe estar bien definida.

Se deben definir explícitamente, documentar y actualizar todos los requerimientos legales para cada sistema de información y para la organización en general.

Es necesario implementar los procedimientos apropiados para asegurar el cumplimiento de los requerimientos legislativos, reguladores y contractuales sobre el uso del material con respecto a los cuales puedan existir derechos de propiedad intelectual y sobre el uso de productos de software patentado.

El cumplimiento de los requisitos legales se aplica también a la protección de los documentos de la organización, protección de datos y privacidad de la información personal, prevención del uso indebido de los recursos de tratamiento de la información, y a regulaciones de los controles criptográficos.

Los sistemas de información deben estar bajo monitoreo y deben chequearse regularmente para ver y garantizar el cumplimiento de los estándares de implementación de la seguridad.

En cuanto a las auditorías de los sistemas de información, se tiene que maximizar la efectividad de y minimizar la interferencia desde/hacia el proceso de auditoría del sistema de información. Durante las auditorías de los sistemas de información deben existir controles para salvaguardar los sistemas operacionales y herramientas de auditoría. También se requiere protección para salvaguardar la integridad y evitar el mal uso de las herramientas de auditoría.

Las actividades y requerimientos de auditoría que involucran chequeos de los sistemas operacionales deben ser planeados y acordados cuidadosamente para minimizar el riesgo de interrupciones en los procesos comerciales.

Control de Acceso a las Redes

Objetivo: evitar el acceso no autorizado a los servicios en red.

Es recomendable controlar el acceso a los servicios en red, tanto internos como externos.

El acceso de los usuarios a las redes y a los servicios de red no debería comprometer la seguridad de los servicios de red garantizando que:

• existen interfases apropiadas entre la red de la organización y las redes que pertenecen a otras organizaciones. y las redes públicas:
• se aplican mecanismos adecuados de autenticación para los usuarios y los equipos.
• se exige control de acceso de los usuarios a los servicios de información.

Control de Acceso al Sistema Operativo

Todo acceso a los sistemas operativos de la Organización debe estar controlado por registros de inicio seguro. Es importante tener en cuenta la identificación automática de terminales para la autenticación de conexiones a sitios específicos y a equipos portátiles. Se debe definir un procedimiento para la conexión de los usuarios al sistema informático el cual minimice la posibilidad de accesos no autorizados.

Los procesos de conexión empleados deben mostrar el mínimo de información posible sobre el sistema, para no facilitar ayuda innecesaria a usuarios no autorizados. Los mecanismos seguros de "logon" se encuentran documentados en los manuales de usuario de las diferentes aplicaciones. 

Se debe limitar y mantener controlado el uso de programas utilitarios del sistema, los cuales sean capaces de eludir medidas de control del sistema o de las aplicaciones. Para las terminales utilizadas por la Organización se debe definir un período de tiempo de inactividad. 

Las terminales inactivas en sitios de alto riesgo, en áreas públicas o no cubiertas por el sistema de seguridad de la Organización deben ser desactivadas después de que se cumpla el periodo de tiempo de inactividad previamente definido, para impedir el acceso a estas por usuarios no autorizados.

El dispositivo que realiza la activación debe borrar la pantalla y cerrar las aplicaciones y sesiones de conexión a red después de cumplido el periodo de inactividad. Para reducir accesos no autorizados a terminales que manejan aplicaciones de alto riesgo, se deben implementar restricciones en los tiempos de conexión, se debe limitar el periodo de tiempo en el cual se aceptan conexiones desde una terminal. 

Objetivo: evitar el acceso no autorizado a los sistemas operativos

Se recomienda utilizar medios de seguridad para restringir el acceso de usuarios no autorizados a los sistemas operativos. Tales medios deberían tener la capacidad para:

• autenticar usuarios autorizados, de acuerdo con una politica definida de control de acceso;
• registrar intentos exitosos y fallidos de autenticación del sistema;
• registrar el uso de privilegios especiales del sistema;
• emitir alarmas cuando se violan las políticas de seguridad del sistema;
• suministrar medios adecuados para la autenticación:
• cuando sea apropiado, restringir el tiempo de conexión de los usuarios.

Planificación y aceptación del sistema

• Minimizar el riesgo de fallos en los sistemas.


• Se requiere una planificación y preparación avanzadas para garantizar la adecuada capacidad y recursos con objeto de mantener la disponibilidad de los sistemas requerida. 
Deberían realizarse proyecciones de los requisitos de capacidad en el futuro para reducir el riesgo de sobrecarga de los sistemas.
Se deberían establecer, documentar y probar, antes de su aceptación, los requisitos operacionales de los nuevos sistemas.


• Adopte procesos estructurados de planificación de capacidad TI, desarrollo seguro, pruebas de seguridad, etc., usando estándares aceptados como ISO 20000 (ITIL) donde sea posible. 
Defina e imponga estándares de seguridad básica (mínimos aceptables) para todas las plataformas de sistemas operativos, usando las recomendaciones de seguridad de CIS, NIST, NSA y fabricantes de sistemas operativos y, por supuesto, sus propias políticas de seguridad de la información.


• Porcentaje de cambios de riesgo bajo, medio, alto y de emergencia. Número y tendencia de cambios revertidos y rechazados frente a cambios exitosos. 
Porcentaje de sistemas (a) que deberían cumplir con estándares de seguridad básica o similares y (b) cuya conformidad con dichos estándares ha sido comprobada mediante benchmarking o pruebas.














 

Gestión de incidentes en la seguridad de la información

La comunicación es fundamental en todo proceso. Por lo tanto, se debe trabajar con reportes de los eventos y debilidades de la seguridad de la información, asegurando una comunicación tal que permita que se realice una acción correctiva oportuna, llevando la información a través de los canales gerenciales apropiados lo más rápidamente posible. De la misma manera se debe contar con reportes de las debilidades en la seguridad, requiriendo que todos los empleados, contratistas y terceros de los sistemas y servicios de información tomen nota de y reporten cualquier debilidad de seguridad observada o sospechada en el sistema o los servicios.

Asegurar que se aplique un enfoque consistente y efectivo a la gestión de los incidentes en la seguridad de la información es elemental.

Aprender de los errores es sabio. Por ello, se deben establecer mecanismos para permitir cuantificar y monitorear los tipos, volúmenes y costos de los incidentes en la seguridad de la información, siempre con la idea de no volver a cometer los errores que ya se cometieron, y mejor aún, aprender de los errores que ya otros cometieron.

A la hora de recolectar evidencia, cuando una acción de seguimiento contra una persona u organización después de un incidente en la seguridad de la información involucra una acción legal (ya sea civil o criminal); se debe recolectar, mantener y presentar evidencia para cumplir con las reglas de evidencia establecidas en la(s) jurisdicción(es) relevante(s).

Gestión de la continuidad del negocio

Las consecuencias de los desastres, fallas en la seguridad, pérdida del servicio y la disponibilidad del servicio debieran estar sujetas a un análisis del impacto comercial. Se deben desarrollar e implementar planes para la continuidad del negocio para asegurar la reanudación oportuna de las operaciones esenciales. La seguridad de la información debiera ser una parte integral del proceso general de continuidad del negocio, y otros procesos gerenciales dentro de la organización.

Se debe contar con planes de continuidad del negocio que incluyan la seguridad de la información. Estos planes no deben ser estáticos, sino que deben ser actualizados y ser sometidos a pruebas, mantenimiento y reevaluación.

Junto a la gestión de riesgos, debe aparecer la identificación de eventos que pueden causar interrupciones a los procesos comerciales, junto con la probabilidad y el impacto de dichas interrupciones y sus consecuencias para la seguridad de la información. Por supuesto se requieren planes alternativos y de acción ante tales eventos, asegurando siempre la protección e integridad de la información y tratando de poner el negocio en su estado de operación normal a la mayor brevedad posible.

Adquisición; desarrollo y mantenimiento de los sistemas de información

Contemplar aspectos de seguridad es requerido al adquirir equipos y sistemas, o al desarrollarlos. No solamente se debe considerar la calidad y el precio, sino que la seguridad que ofrecen.

Debe existir una validación adecuada de los datos de entrada y de salida, controlando el procesamiento interno en las aplicaciones, y la integridad de los mensajes.

La gestión de claves debe ser tal que ofrezca soporte al uso de técnicas criptográficas en la organización, utilizando técnicas seguras.

Garantizar la seguridad de los archivos del sistema es fundamental, por lo que se debe controlar el acceso a los archivos del sistema y el código fuente del programa, y los proyectos de tecnologías de información y las actividades de soporte se deben realizar de manera segura.

Deben establecerse procedimientos para el control de la instalación del software en los sistemas operacionales. Con esto por ejemplo se evita el riesgo de realizar instalaciones ilegales o sin las respectivas licencias.

Se debe restringir el acceso al código fuente para evitar robos, alteraciones, o la aplicación de ingeniería inversa por parte de personas no autorizadas, o para evitar en general cualquier tipo de daño a la propiedad de código fuente con que se cuente.

La seguridad en los procesos de desarrollo y soporte debe considerar procedimientos de control de cambios, revisiones técnicas de aplicaciones tras efectuar cambios en el sistema operativo y también restricciones a los cambios en los paquetes de software. No se tiene que permitir la fuga ni la filtración de información no requerida.

Contar con un control de las vulnerabilidades técnicas ayudará a tratar los riesgos de una mejor manera.

Control de acceso

En primer lugar, se debe contar con una política de control de acceso. Todo acceso no autorizado debe ser evitado y se deben minimizar al máximo las probabilidades de que eso suceda. Todo esto se controla mediante registro de usuarios, gestión de privilegios, autenticación mediante usuarios y contraseñas, etc.

Aparte de la autenticación correspondiente, los usuarios deben asegurar que el equipo desatendido tenga la protección apropiada, como por ejemplo la activación automática de un protector de pantalla después de cierto tiempo de inactividad, el cual permanezca impidiendo el acceso hasta que se introduzca una contraseña conocida por quien estaba autorizado para utilizar la máquina desatendida.

Son necesarios controles de acceso a la red, al sistema operativo, a las aplicaciones y a la información. Para todo esto deben existir registros y bitácoras de acceso.

Deben también existir políticas que contemplen adecuadamente aspectos de comunicación móvil, redes inalámbricas, control de acceso a ordenadores portátiles, y teletrabajo, en caso que los empleados de la empresa ejecuten su trabajo fuera de las instalaciones de la organización.

Gestión de comunicaciones y operaciones

El objetivo de esto es asegurar la operación correcta y segura de los medios de procesamiento de la información.

En primer lugar, es necesario que los procedimientos de operación estén bien documentados, pues no basta con tener las ideas en la mente de los administradores, sino que se deben plasmar en documentos que por supuesto estén autorizados por la gerencia.

Otro aspecto fundamental es la gestión de cambios. Un cambio relevante no se debe hacer jamás sin documentarlo, además de la necesidad de hacerlo bajo la autorización pertinente y luego de un estudio y análisis de los beneficios que traerá dicho cambio.

Se debe tener cuidado que nadie pueda tener acceso, modificar o utilizar los activos sin autorización o detección. Para ello debe haber una bitácora de accesos, con las respectivas horas y tiempos de acceso, etc.

Es completamente necesario tener un nivel de separación entre los ambientes de desarrollo, de prueba y de operación, para evitar problemas operacionales.

Si la organización se dedica a vender servicios, debe implementar y mantener el nivel apropiado de seguridad de la información y la entrega del servicio en línea con los acuerdos de entrega de servicios de terceros.

A la hora de aceptar un nuevo sistema, se debe tener especial cuidado, verificando primeramente las capacidades y contando con evaluadores capacitados para determinar la calidad o falta de calidad de un sistema nuevo a implementar. Se tienen que establecer criterios de aceptación de los sistemas de información, actualizaciones o versiones nuevas, y se deben realizar pruebas adecuadas a los sistemas durante su desarrollo y antes de su aceptación.

La protección contra el código malicioso y descargable debe servir para proteger la integridad del software y la integración con los sistemas y tecnologías con que ya se cuenta. Se deben también tener controles de detección, prevención y recuperación para proteger contra códigos maliciosos, por ejemplo antivirus actualizados y respaldos de información. De hecho, los respaldos de información son vitales y deben realizarse con una frecuencia razonable, pues de lo contrario, pueden existir pérdidas de información de gran impacto negativo.

En cuanto a las redes, es necesario asegurar la protección de la información que se transmite y la protección de la infraestructura de soporte. Los servicios de red tienen que ser igualmente seguros, especialmente considerando cómo la tendencia de los últimos años se encamina cada vez más a basar todas las tecnologías de la información a ambientes en red para transmitir y compartir la información efectivamente. Los sistemas tienen que estar muy bien documentados, detalle a detalle, incluyendo por supuesto la arquitectura de red con la que se cuenta.

Se tienen que establecer políticas, procedimientos y controles de intercambio formales para proteger el intercambio de información a través del uso de todos los tipos de medios de comunicación. Además de las medidas directas para proteger el adecuado intercambio de información, se le debe recordar al personal el tomar las precauciones adecuadas, como no revelar información confidencial al realizar una llamada telefónica para evitar ser escuchado o interceptado por personas alrededor suyo, intervención de teléfonos, personas en el otro lado de la línea (en el lado del receptor), etc. Igualmente para los mensajes electrónicos se deben tomar medidas adecuadas, para evitar así cualquier tipo de problema que afecte la seguridad de la información.

Cuando se haga uso del comercio electrónico, debe haber una eficiente protección cuando se pasa a través de redes públicas, para protegerse de la actividad fraudulenta, divulgación no autorizada, modificación, entro otros.

Debe haber un continuo monitoreo para detectar actividades de procesamiento de información no autorizadas. Las auditorías son también necesarias.

Las fallas deben ser inmediatamente corregidas, pero también registradas y analizadas para que sirvan en la toma de decisiones y para realizar acciones necesarias.

Los relojes de todos los sistemas de procesamiento de información relevantes dentro de una organización o dominio de seguridad deben estar sincronizados con una fuente que proporcione la hora exacta acordada. Asimismo, todo acceso a la información debe ser controlado.

Seguridad ligada a los recursos humanos

El objetivo de esto es asegurar que los empleados, contratistas y terceros entiendan sus responsabilidades, y sean idóneos para los roles para los cuales son considerados, reduciendo el riesgo de robo, fraude y mal uso de los medios. Es necesario definir claramente los roles y responsabilidades de cada empleado. Todo esto no debe ser simplemente mediante acuerdos verbales, sino que se debe plasmar en el contrato de trabajo. También deben existir capacitaciones periódicas para concientizar y proporcionar formación y procesos disciplinarios relacionados a la seguridad y responsabilidad de los recursos humanos en este ámbito.

También se deben especificar las responsabilidades cuando se da el cese del empleo o cambio de puesto de trabajo, para que la persona no se vaya simplemente y deje a la organización afectada de alguna manera en materia de seguridad.

Seguridad física y ambiental

La seguridad física y ambiental se divide en áreas seguras y seguridad de los equipos. Respecto a las áreas seguras, se refiere a un perímetro de seguridad física que cuente con barreras o límites tales como paredes, rejas de entrada controladas por tarjetas o recepcionistas, y medidas de esa naturaleza para proteger las áreas que contienen información y medios de procesamiento de información.

Se debe también contar con controles físicos de entrada, tales como puertas con llave, etc. Además de eso, es necesario considerar la seguridad física con respecto a amenazas externas y de origen ambiental, como incendios (para los cuales deben haber extintores adecuados y en los lugares convenientes), terremotos, huracanes, inundaciones, atentados terroristas, etc. Deben también haber áreas de acceso público de carga y descarga, parqueos, áreas de visita, entre otros. Si hay gradas, deben ser seguras y con las medidas respectivas como antideslizantes y barras de apoyo sobre la pared para sujetarse.

En cuanto a la seguridad ambiental, se debe controlar la temperatura adecuada para los equipos, seguridad del cableado, mantenimiento de equipos, etc. Para todo esto se requerirá de los servicios de técnicos o ingenieros especializados en el cuidado y mantenimiento de cada uno de los equipos, así como en la inmediata reparación de los mismos cuando sea necesario. La ubicación de los equipos también debe ser adecuada y de tal manera que evite riesgos. Por ejemplo si algún equipo se debe estar trasladando con frecuencia, quizá sea mejor dejarlo en la primera planta, en vez de dejarlo en la última planta de un edificio, pues el traslado podría aumentar los riesgos de que se caiga y dañe, especialmente si no se cuenta con un ascensor. Se debe igualmente verificar y controlar el tiempo de vida útil de los equipos para que trabajen en condiciones óptimas.

Gestión de comunicaciones y operaciones

El objetivo de esto es asegurar la operación correcta y segura de los medios de procesamiento de la información.

En primer lugar, es necesario que los procedimientos de operación estén bien documentados, pues no basta con tener las ideas en la mente de los administradores, sino que se deben plasmar en documentos que por supuesto estén autorizados por la gerencia.

Otro aspecto fundamental es la gestión de cambios. Un cambio relevante no se debe hacer jamás sin documentarlo, además de la necesidad de hacerlo bajo la autorización pertinente y luego de un estudio y análisis de los beneficios que traerá dicho cambio.

Se debe tener cuidado que nadie pueda tener acceso, modificar o utilizar los activos sin autorización o detección. Para ello debe haber una bitácora de accesos, con las respectivas horas y tiempos de acceso, etc.

Es completamente necesario tener un nivel de separación entre los ambientes de desarrollo, de prueba y de operación, para evitar problemas operacionales.

Si la organización se dedica a vender servicios, debe implementar y mantener el nivel apropiado de seguridad de la información y la entrega del servicio en línea con los acuerdos de entrega de servicios de terceros.

A la hora de aceptar un nuevo sistema, se debe tener especial cuidado, verificando primeramente las capacidades y contando con evaluadores capacitados para determinar la calidad o falta de calidad de un sistema nuevo a implementar. Se tienen que establecer criterios de aceptación de los sistemas de información, actualizaciones o versiones nuevas, y se deben realizar pruebas adecuadas a los sistemas durante su desarrollo y antes de su aceptación.

La protección contra el código malicioso y descargable debe servir para proteger la integridad del software y la integración con los sistemas y tecnologías con que ya se cuenta. Se deben también tener controles de detección, prevención y recuperación para proteger contra códigos maliciosos, por ejemplo antivirus actualizados y respaldos de información. De hecho, los respaldos de información son vitales y deben realizarse con una frecuencia razonable, pues de lo contrario, pueden existir pérdidas de información de gran impacto negativo.

En cuanto a las redes, es necesario asegurar la protección de la información que se transmite y la protección de la infraestructura de soporte. Los servicios de red tienen que ser igualmente seguros, especialmente considerando cómo la tendencia de los últimos años se encamina cada vez más a basar todas las tecnologías de la información a ambientes en red para transmitir y compartir la información efectivamente. Los sistemas tienen que estar muy bien documentados, detalle a detalle, incluyendo por supuesto la arquitectura de red con la que se cuenta.

Se tienen que establecer políticas, procedimientos y controles de intercambio formales para proteger el intercambio de información a través del uso de todos los tipos de medios de comunicación. Además de las medidas directas para proteger el adecuado intercambio de información, se le debe recordar al personal el tomar las precauciones adecuadas, como no revelar información confidencial al realizar una llamada telefónica para evitar ser escuchado o interceptado por personas alrededor suyo, intervención de teléfonos, personas en el otro lado de la línea (en el lado del receptor), etc. Igualmente para los mensajes electrónicos se deben tomar medidas adecuadas, para evitar así cualquier tipo de problema que afecte la seguridad de la información.

Cuando se haga uso del comercio electrónico, debe haber una eficiente protección cuando se pasa a través de redes públicas, para protegerse de la actividad fraudulenta, divulgación no autorizada, modificación, entro otros.

Debe haber un continuo monitoreo para detectar actividades de procesamiento de información no autorizadas. Las auditorías son también necesarias.

Las fallas deben ser inmediatamente corregidas, pero también registradas y analizadas para que sirvan en la toma de decisiones y para realizar acciones necesarias.

Los relojes de todos los sistemas de procesamiento de información relevantes dentro de una organización o dominio de seguridad deben estar sincronizados con una fuente que proporcione la hora exacta acordada. Asimismo, todo acceso a la información debe ser controlado.