Seguridad Informatica

Elaboracion de un Plan de Seguridad Informatica

Marianne Castillo Amoros
Mireldis Garca del Valle
Felix Alejandro Prieto Carratala

Miguel Angel
Perez Arbona
Raydel Miranda Gomez
Facultad 10
Universidad de las Ciencias Informaticas
Ciudad de la Habana, Cuba
10 de junio de 2008

Resumen
In this work we going to explain the Development of a Computer Security Plan that will enable us to protect computing resources and
solutions to possible contingencies. For the preparation of this Security Plan and the strict observance of everything contained within
it, are subject to review all property computing and communication occurring within the networks. This plan will cover all computer
technology installed in the company, as defined above.
The assets to protect are computer servers, PCs, network equipment and Holders Removable, all of them being vital for the
company.
The company, servers and desktop PCs are at different subnets.
The local servers are:
A Web server that hosts Web applications 5, has Debian as the same operating system and also stores the PostgreSQL
databases.
A server-based email postfix and courier-imap, which provides this service to the entire organization.
A proxy server to provide the navigation service.
There are 1 layer 2 switch of 10/100 Mbps.
There is no backup for the backup electrical faults before electricity.
There is a climate control system.
Employees have access to information, e-mail and other resources of the company through an Intranet.
All computers have Debian operating system.
There is a web portal which is accessible to customers from outside the company.
Most applications that are used in the company are developed by programmers from it and have their own authentication system, so
that passwords of users of these applications are stored in databases. Some of these applications are:
Repository of objects relating to electronic commerce.
Modules for e-commerce systems.
The PC containing any confidential information or unlimited are not recognized and there is no security measure with them. The
information contained in servers is confidential.

Indice
1. Problema
1.1. Alcance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.2. Caracterizaci
on . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.2.1. Sistema inform
atico . . . . . . . . . . . . . . . . . . . .
1.2.2. Aplicaciones en explotaci
on . . . . . . . . . . . . . . . .
1.2.3. Procesamiento de la informaci
on limitada y confidencial

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

2
2
2
2
2
2

2. Soluci
on
2.1. Identificaci
on activos inform
aticos
2.2. Evaluaci
on de activos inform
aticos
2.3. Amenaza contra activos . . . . . .
2.4. Estimaci
on de riesgos activos . . .

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

3
3
3
3
4

3. An
alisis de riesgo
3.1. Tabla de contigencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

5
5

4. Polticas
4.1. Lista de Polticas de Seguridad Inform
atica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.2. Clasificaci
on de la informaci
on . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

6
6
6

5. Sistema de Seguridad Inform

atica
5.1. Medios humanos . . . . . . . . . . . . . . . . . . . .
5.2. Medios tecnicos . . . . . . . . . . . . . . . . . . . . .
5.3. Medidas y Procedimientos de Seguridad Inform
atica
5.3.1. Proteccion fsica . . . . . . . . . . . . . . . .
5.3.2. L
ogicas . . . . . . . . . . . . . . . . . . . . .

7
7
7
7
7
7

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.
.

.
.
.
.

.
.
.
.
.

.
.
.
.

.
.
.
.
.

.
.
.
.

.
.
.
.
.

.
.
.
.

.
.
.
.
.

.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

1.

Problema

1.1.

Alcance

Para la confecci
on de este Plan de Seguridad y del estricto cumplimiento de todo lo contenido dentro de el, son objeto de an
alisis
todos los bienes inform
aticos y de comunicaci
on que se encuentran en las redes. Este plan abarcara todas las tecnologas inform
aticas
instaladas en la empresa, definidas anteriormente.

1.2.

Caracterizaci
on

1.2.1.

Sistema inform
atico

Los bienes inform

aticos a proteger son Servidores, PC, Equipamiento de la Red y Soportes Removibles, siendo todos ellos de vital
importancia para la empresa.
En la empresa, los servidores y las PC de escritorio se encuentran en distintas subredes.
En el local de los servidores, existen:
Un servidor Web que alberga 5 aplicaciones Web, el mismo tiene como sistema operativo Debian y alberga adem
as las bases
de datos en PostgreSQL.
Un servidor de correo electr
onico basado en postfix y courier-imap, que brinda este servicio a toda la organizaci
on.
Un servidor como proxy para brindar el servicio de navegacion.
Se cuenta con 1 switch capa 2 de 10/100 Mbps.
No existe un backup para el respaldo electrico ante fallas de electricidad.
Se cuenta con un sistema de climatizaci
on.
Los empleados acceden a la informaci
on, correo electronico y otros recursos de la empresa a traves de una Intranet.
Todas las PC tienen sistema operativo Debian.
Se cuenta con un portal Web al cual pueden acceder los clientes desde el exterior de la empresa.
La conexi
on con el Nodo Central se hace a traves de un Router CISCO. La conexion a Internet se hace a traves del Nodo Central.
1.2.2.

Aplicaciones en explotaci
on

La mayora de las aplicaciones que se utilizan en la empresa son desarrolladas por los programadores de la misma y cuentan con
su propio sistema de autenticaci
on, por lo que las contrase
nas de los usuarios de dichas aplicaciones se guardan en las bases de datos.
Algunas de esas aplicaciones son:
Repositorio de objetos relacionados con el comercio electronico.
M
odulos para sistemas de comercio electr
onico.
1.2.3.

Procesamiento de la informaci
on limitada y confidencial

Las PC que contienen cualquier tipo de informaci

on ilimitada o confidencial no se tienen reconocidas y no existe ninguna medida
de seguridad con las mismas. La informaci
on que contienen los servidores es confidencial.

2.

Soluci
on

2.1.

Identificaci
on activos inform
aticos

Tabla 1: Identificaci
on de activos inform
aticos.
No
1
2
3
4
5
6
7
8
9

2.2.

Descripci
on
Servidor de Aplicaciones Web
Servidor de Correo electr
onico (postfix y courier-imap)
Servidor como Proxy
Aplicaciones Web
Sistema Operativo Debian
Bases de Datos PostgreSQL
Switch Capa 2
Router CISCO
Personal

Cantidad
1
1
1

Tipo
HW
HW
HW
SW
SW
SW
HW
HW
PR

No Serie

Ubicacion
Lnea de Servidores
Lnea de Servidores
Lnea de Servidores
Lnea de Servidores
Lnea de Servidores
Lnea de Servidores
Lnea de Servidores
Nodo Central
Produccion

Evaluaci
on de activos inform
aticos

Tabla 2: Evaluaci
on de activos inform
aticos.
No
1
2
3
4
5
6
7
8
9

Dominio
D1
D1
D1
D1
D1
D1
D1
D2
D3

Func
7
9
8
9
7
8
9
5
6

Costo
8
6
8
9
7
7
9
5
6

Imagen
8
7
7
8
5
5
8
3
4

Conf
3
7
6
8
6
5
5
2
2

Int
3
9
6
9
6
5
7
2
2

Disp
9
9
9
9
8
8
7
2
5

Valor(i )
6.33
7.83
7.33
8.67
6.50
6.33
7.50
3.17
4.17

Dominios:
D1 : Lnea de Servidores.
D2 : Nodo Central.
D3 : Producci
on.
La Tabla 3 permite la realizaci
on de un an
alisis cruzado a partir de la identificacion de las amenazas que pueden actuar sobre el
sistema inform
atico y su incidencia sobre cada uno de los bienes informaticos que componen el mismo. En cada una de las filas de esta
tabla se relacionan las amenazas, numer
andolas consecutivamente para su posterior identificacion en la Tabla 4. Se abrir
a una columna
para cada bien inform
atico identificado en la Tabla 1, marcando con una cruz en la fila correspondiente a cada amenaza que incida
sobre el.

2.3.

Amenaza contra activos

Tabla 3: Amenaza contra activos.

No

Amenazas

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

Acceso no autorizado
Ataques internos
Ataques externos
Virus inform
aticos
Modificaci
on de la informaci
on
Destrucci
on de informaci
on
Divulgaci
on de informaci
on
Eludir los mecanismos de autenticaci
on o de control de acceso
Error de programaci
on
Fallos de aplicaciones
Fallo de energa electrica
Fallo de hardware
Hurto de activos y/o recursos
Inundaciones
Terremotos
Incendios

x
x

x
x
x
x

x
x
x
x
x
x
x

2
x
x

x
x
x
x

x
x
x
x
x
x
x

Activos(Generales)
3 4 5 6 7 8
x x x x x x
x x x x x x
x x
x x x x
x x x x
x x x x
x x x x
x x x x x
x x
x x x x x x
x x x
x x x x
x x x
x x x
x x x
x x x

x
x
x

A partir de las amenazas identificadas en la Tabla 3 se cuantifica el riesgo de que cada una de ellas se materialice sobre cada uno
de los bienes inform
aticos.

2.4.

Estimaci
on de riesgos activos

Tabla 4: Estimaci
on de riesgos sobre los activos.
No
1
2
3
4
5
6
7
8
9

Dom
D1
D1
D1
D1
D1
D1
D1
D2
D3

R1
0.4
0.3
0.2
0.1
0.2
0.2
0.2
0.2
0

R2
0.4
0.1
0.1
0.1
0.1
0.2
0.1
0.1
0

R3
0
0
0
0
0.1
0
0.1
0.10
0

R4
0.2
0.4
0.4
0.1
0.5
0.2
0
0

R5
0.2
0.5
0.5
0.5
0.1
0.5
0
0
0

R6
0.5
0.5
0.5
0.3
0.1
0.5
0
0
0

R7
0.1
0.1
0.1
0.3
0.1
0.5
0
0
0

R8
0
0
0
0.1
0.1
0.5
0.1
0.1
0

R9
0
0
0
0.5
0
0.1
0
0
0

R10
0.3
0.3
0.3
0.5
0.3
0.2
0
0
0

R11
0.9
0.9
0.9
0
0
0
0.1
0.1
0

R12
0.1
0.2
0.2
0
0.5
0
0.5
0.5
0

R13
0.1
0.1
0.1
0
0
0
0.5
0.5
0

R14
0.1
0.1
0.1
0
0
0
0.1
0.1
0.1

R15
0.1
0.1
0.1
0
0
0
0.1
0.1
0.1

R16
0.1
0.1
0.1
0
0
0
0.1
0.1
0.1

Ri
0.21
0.23
0.22
0.16
0.13
0.18
0.11
0.11
0.3

(i )
6.33
7.83
7.33
8.67
6.50
6.33
7.50
3.17
4.17

Ri *(i )
1.33
1.80
1.61
1.38
0.84
1.14
0.83
0.34
1.25

Calculo del riesgo por dominios (D1 : L. de Servidores, D2 : Nodo Central, D3 : Produccion) y el riesgo total de la empresa:
Pn
i=1 Ri i
R = P
8
i=1 i
P7
1,24 50,49
i=1 Ri i
R (D1 ) = P
= 1,08
=
8
5783
i=1 i
P1
0,11 3,17
i=1 Ri i
R (D2 ) = P
= 0,006
=
8
57,83
i=1 i
P1
0,3 4,17
i=1 Ri i
= 0,021
R (D3 ) = P
=
8
57,83

i=1 i
P8
10,52
i=1 Ri i
R = P
= 0,18
=
8
57,83
i=1 i

(1)

(2)

(3)

(4)

(5)

3.
3.1.

An
alisis de riesgo
Tabla de contigencias

Apoy
andose en la caracterizaci
on del entorno y seg
un el estudio realizado el equipamiento sera protegido contra las siguientes
contingencias:
1. Acceso no autorizado.
2. Ataques internos.
3. Ataques externos.
4. Virus inform
aticos.
5. Modificaci
on de la informaci
on.
6. Destrucci
on de informaci
on.
7. Divulgaci
on de informaci
on.
8. Eludir los mecanismos de autenticaci
on o de control de acceso.
9. Error de programaci
on.
10. Fallos de aplicaciones.
11. Fallo de energa electrica.
12. Fallo de hardware.
13. Hurto de activos y/o recursos.
14. Inundaciones.
15. Terremotos.
16. Incendios.
Una ves analizados los resultados podemos llegar a la conclusion de que el local de los servidores es mas propenso a los riesgos que
el nodo central y el departamento de producci
on y en sentido general la empresa tiene una baja probabilidad en los riesgos. Adem
as
podemos decir que los activos m
as importantes y el impacto para la empresa son:
Aplicaciones Web.
Servidor de Correo electr
onico (postfix y courier-imap).
Switch Capa 2.

4.
4.1.

Polticas
Lista de Polticas de Seguridad Inform
atica

1. El sistema Operativo, Componentes de Debian (postfix, courier-imap, etc.) y demas aplicaciones (PostgreSQL) deber
an estar
actualizados con la periodicidad requerida en cada caso.
2. Se deben tener registradas y controladas las PC que contienen cualquier tipo de informacion ilimitada o confidencial.
3. Se realizar
an auditoras, tanto internas como externas. Las auditoras internas se realizaran una vez al a
no y las externas, al
menos, cada dos a
nos.
4. Para la actualizaci
on de los servidores y estaciones de trabajo los administradores lo deberan configurar desde el Nodo Central.
El mismo se actualizar
a directo de Internet (en el caso de que se tenga) o en el modo offline desde otro punto de distribuci
on de
otra empresa o instituci
on con una periodicidad menor a un mes.
5. Para la instalaci
on y configuraci
on del sistema operativo, el responsable de Produccion de la empresa circulara un manual sencillo
donde se explique paso a paso el procedimiento a seguir. Los responsables por departamentos se encargaran de comprobar que
cada PC este debidamente actualizada.
6. Efectuar un ejercicio de an
alisis de riesgos inform
aticos, a traves del cual se valoren sus activos.
7. Se debe poner un responsable por cada
area que va a ser quien tenga la autoridad para tomar decisiones.
8. El responsable de Seguridad Inform
atica de la empresa circulara un manual sencillo donde se explique paso a paso el procedimiento
a seguir. Los responsables por area se encargar
an de comprobar que cada persona este cumpliendo debidamente con las polticas
de seguridad establecidas.

4.2.

Clasificaci
on de la informaci
on
La informaci
on que contienen los servidores es confidencial. A este tipo de informacion solo tendran acceso los administradores
de los servidores y el personal calificado para ello.
Las PC que contienen cualquier tipo de informaci
on ilimitada o confidencial.

5.
5.1.

Sistema de Seguridad Inform

atica
Medios humanos

1. Para la instalaci
on y configuraci
on del sistema operativo, el responsable de Seguridad Informatica de la empresa circular
a un
manual sencillo donde se explique paso a paso el procedimiento a seguir. Los responsables por departamentos se encargar
an de
comprobar que cada PC este debidamente actualizada.
2. Para la distribuci
on de las actualizaciones de Debian y sus componentes desde el servidor proxy de la empresa los administradores
deber
an configurar una poltica de grupo en el dominio para que los servidores y estaciones de trabajo se configuren de forma
autom
atica con la direcci
on del servidor proxy de la red as como el comportamiento que deben seguir ante una actualizaci
on
(descarga e instalaci
on con reinicio autom
atico, o descarga y posterior confirmacion para la instalacion de las mismas, etc.)

5.2.

Medios t
ecnicos

1. ToDo

5.3.
5.3.1.

Medidas y Procedimientos de Seguridad Inform

atica
Proteccion fsica

1. Inundaciones (Riadas): adecuada ubicaci

on de los equipos, en edificios alejados de zonas potencialmente peligrosas (Cercanas de
barrancos, torrenteras). En todo caso estos sistemas conviene situarlos en plantas altas. Poner a salvo los mas crticos antes de
que la inundaci
on los alcance.
2. Inundaciones internas: no deben pasar conducciones de agua por los techos ni paredes, debe haber desag
ues en el suelo real, el
cual debe presentar una inclinaci
on hacia estos, existen detectores de humedad, que situados en el suelo real podran avisar de la
inundaci
on. Adem
as, se recomienda tapar con pl
asticos los equipos cuando no se usen (sobre todo los PCs).
3. Fuegos: los sistemas de detecci
on/extinci
on de incendios son de sobra conocidos. En la actualidad, el elemento extintor m
as usado
es el hal
on, gas anticataltico de la reacci
on qumica que produce el fuego y que en peque
na proporcion no es inmediatamente
t
oxico.
4. Cadas de tensi
on: en este epgrafe se consideran tanto las cadas propiamente dichas (cortes de mas de pocos milisegundos),
microcortes, transitorios, etc. Lo m
as eficaz contra estas anomalas del suministro es un sistema de alimentacion ininterrumpida
(SAI) en lnea. Caso de que la interrupci
on sea superior al tiempo de autonoma del SAI se precisa de un equipo electr
ogeno, o
de otra lnea de suministro de una segunda compa
na electrica, que permita mantener la continuidad del servicio.
5. Calor: la protecci
on pasa por la instalaci
on de alarmas que se disparan caso de subir o bajar la temperatura de la sala por encima
o debajo de los lmites permitidos.
6. Interferencias electromagneticas: la soluci
on
optima es el apantallamiento de la sala de ordenadores y en el caso de terminales
el uso de aquellos con certificaci
on TEMPEST. Para las lneas de comunicacion (las mas expuestas) el uso exclusivo de las
apantalladas o, m
as seguro todava, fibra
optica.
7. Atentados: su prevenci
on se consigue mediante estrictos controles de acceso a las areas del ordenador y su entorno. En el caso de
costosas o crticas instalaciones, los sistemas biometricos (mejor se debera decir bioantropometricos) son de gran fiabilidad. Entre
estos se deben citar: reconocimiento de las huellas digitales, del patron de las venas del fondo de ojo, de la forma de la mano, de
la voz,... Estos sistemas, en conjunci
on con la tarjeta inteligente, se estan mostrando de gran eficacia. Ademas, se pueden instalar
equipos de reconocimiento de materiales que entran en las instalaciones.
8. Hurtos: el problema actual m
as grave lo constituyen los ordenadores personales, cuya facil portabilidad presenta un gran riesgo.
Existen ya sistemas de anclaje muy efectivos y otros, que en conjuncion con arcos en las salidas, permiten prevenir esta amenaza.
5.3.2.

L
ogicas

1. Identificaci
on de usuarios.
2. Autenticaci
on de usuarios.
3. Control de acceso a los activos y recursos.
4. Integridad de los ficheros y datos.
5. Auditora y alarmas.