Professional Documents
Culture Documents
Miguel Angel
Perez Arbona
Raydel Miranda Gomez
Facultad 10
Universidad de las Ciencias Informaticas
Ciudad de la Habana, Cuba
10 de junio de 2008
Resumen
In this work we going to explain the Development of a Computer Security Plan that will enable us to protect computing resources and
solutions to possible contingencies. For the preparation of this Security Plan and the strict observance of everything contained within
it, are subject to review all property computing and communication occurring within the networks. This plan will cover all computer
technology installed in the company, as defined above.
The assets to protect are computer servers, PCs, network equipment and Holders Removable, all of them being vital for the
company.
The company, servers and desktop PCs are at different subnets.
The local servers are:
A Web server that hosts Web applications 5, has Debian as the same operating system and also stores the PostgreSQL
databases.
A server-based email postfix and courier-imap, which provides this service to the entire organization.
A proxy server to provide the navigation service.
There are 1 layer 2 switch of 10/100 Mbps.
There is no backup for the backup electrical faults before electricity.
There is a climate control system.
Employees have access to information, e-mail and other resources of the company through an Intranet.
All computers have Debian operating system.
There is a web portal which is accessible to customers from outside the company.
Most applications that are used in the company are developed by programmers from it and have their own authentication system, so
that passwords of users of these applications are stored in databases. Some of these applications are:
Repository of objects relating to electronic commerce.
Modules for e-commerce systems.
The PC containing any confidential information or unlimited are not recognized and there is no security measure with them. The
information contained in servers is confidential.
Indice
1. Problema
1.1. Alcance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.2. Caracterizaci
on . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.2.1. Sistema inform
atico . . . . . . . . . . . . . . . . . . . .
1.2.2. Aplicaciones en explotaci
on . . . . . . . . . . . . . . . .
1.2.3. Procesamiento de la informaci
on limitada y confidencial
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
2
2
2
2
2
2
2. Soluci
on
2.1. Identificaci
on activos inform
aticos
2.2. Evaluaci
on de activos inform
aticos
2.3. Amenaza contra activos . . . . . .
2.4. Estimaci
on de riesgos activos . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
3
3
3
3
4
3. An
alisis de riesgo
3.1. Tabla de contigencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5
5
4. Polticas
4.1. Lista de Polticas de Seguridad Inform
atica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.2. Clasificaci
on de la informaci
on . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6
6
6
7
7
7
7
7
7
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
1.
Problema
1.1.
Alcance
Para la confecci
on de este Plan de Seguridad y del estricto cumplimiento de todo lo contenido dentro de el, son objeto de an
alisis
todos los bienes inform
aticos y de comunicaci
on que se encuentran en las redes. Este plan abarcara todas las tecnologas inform
aticas
instaladas en la empresa, definidas anteriormente.
1.2.
Caracterizaci
on
1.2.1.
Sistema inform
atico
Aplicaciones en explotaci
on
La mayora de las aplicaciones que se utilizan en la empresa son desarrolladas por los programadores de la misma y cuentan con
su propio sistema de autenticaci
on, por lo que las contrase
nas de los usuarios de dichas aplicaciones se guardan en las bases de datos.
Algunas de esas aplicaciones son:
Repositorio de objetos relacionados con el comercio electronico.
M
odulos para sistemas de comercio electr
onico.
1.2.3.
Procesamiento de la informaci
on limitada y confidencial
2.
Soluci
on
2.1.
Identificaci
on activos inform
aticos
Tabla 1: Identificaci
on de activos inform
aticos.
No
1
2
3
4
5
6
7
8
9
2.2.
Descripci
on
Servidor de Aplicaciones Web
Servidor de Correo electr
onico (postfix y courier-imap)
Servidor como Proxy
Aplicaciones Web
Sistema Operativo Debian
Bases de Datos PostgreSQL
Switch Capa 2
Router CISCO
Personal
Cantidad
1
1
1
Tipo
HW
HW
HW
SW
SW
SW
HW
HW
PR
No Serie
Ubicacion
Lnea de Servidores
Lnea de Servidores
Lnea de Servidores
Lnea de Servidores
Lnea de Servidores
Lnea de Servidores
Lnea de Servidores
Nodo Central
Produccion
Evaluaci
on de activos inform
aticos
Tabla 2: Evaluaci
on de activos inform
aticos.
No
1
2
3
4
5
6
7
8
9
Dominio
D1
D1
D1
D1
D1
D1
D1
D2
D3
Func
7
9
8
9
7
8
9
5
6
Costo
8
6
8
9
7
7
9
5
6
Imagen
8
7
7
8
5
5
8
3
4
Conf
3
7
6
8
6
5
5
2
2
Int
3
9
6
9
6
5
7
2
2
Disp
9
9
9
9
8
8
7
2
5
Valor(i )
6.33
7.83
7.33
8.67
6.50
6.33
7.50
3.17
4.17
Dominios:
D1 : Lnea de Servidores.
D2 : Nodo Central.
D3 : Producci
on.
La Tabla 3 permite la realizaci
on de un an
alisis cruzado a partir de la identificacion de las amenazas que pueden actuar sobre el
sistema inform
atico y su incidencia sobre cada uno de los bienes informaticos que componen el mismo. En cada una de las filas de esta
tabla se relacionan las amenazas, numer
andolas consecutivamente para su posterior identificacion en la Tabla 4. Se abrir
a una columna
para cada bien inform
atico identificado en la Tabla 1, marcando con una cruz en la fila correspondiente a cada amenaza que incida
sobre el.
2.3.
Amenazas
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
Acceso no autorizado
Ataques internos
Ataques externos
Virus inform
aticos
Modificaci
on de la informaci
on
Destrucci
on de informaci
on
Divulgaci
on de informaci
on
Eludir los mecanismos de autenticaci
on o de control de acceso
Error de programaci
on
Fallos de aplicaciones
Fallo de energa electrica
Fallo de hardware
Hurto de activos y/o recursos
Inundaciones
Terremotos
Incendios
x
x
x
x
x
x
x
x
x
x
x
x
x
2
x
x
x
x
x
x
x
x
x
x
x
x
x
Activos(Generales)
3 4 5 6 7 8
x x x x x x
x x x x x x
x x
x x x x
x x x x
x x x x
x x x x
x x x x x
x x
x x x x x x
x x x
x x x x
x x x
x x x
x x x
x x x
x
x
x
A partir de las amenazas identificadas en la Tabla 3 se cuantifica el riesgo de que cada una de ellas se materialice sobre cada uno
de los bienes inform
aticos.
2.4.
Estimaci
on de riesgos activos
Tabla 4: Estimaci
on de riesgos sobre los activos.
No
1
2
3
4
5
6
7
8
9
Dom
D1
D1
D1
D1
D1
D1
D1
D2
D3
R1
0.4
0.3
0.2
0.1
0.2
0.2
0.2
0.2
0
R2
0.4
0.1
0.1
0.1
0.1
0.2
0.1
0.1
0
R3
0
0
0
0
0.1
0
0.1
0.10
0
R4
0.2
0.4
0.4
0.1
0.5
0.2
0
0
R5
0.2
0.5
0.5
0.5
0.1
0.5
0
0
0
R6
0.5
0.5
0.5
0.3
0.1
0.5
0
0
0
R7
0.1
0.1
0.1
0.3
0.1
0.5
0
0
0
R8
0
0
0
0.1
0.1
0.5
0.1
0.1
0
R9
0
0
0
0.5
0
0.1
0
0
0
R10
0.3
0.3
0.3
0.5
0.3
0.2
0
0
0
R11
0.9
0.9
0.9
0
0
0
0.1
0.1
0
R12
0.1
0.2
0.2
0
0.5
0
0.5
0.5
0
R13
0.1
0.1
0.1
0
0
0
0.5
0.5
0
R14
0.1
0.1
0.1
0
0
0
0.1
0.1
0.1
R15
0.1
0.1
0.1
0
0
0
0.1
0.1
0.1
R16
0.1
0.1
0.1
0
0
0
0.1
0.1
0.1
Ri
0.21
0.23
0.22
0.16
0.13
0.18
0.11
0.11
0.3
(i )
6.33
7.83
7.33
8.67
6.50
6.33
7.50
3.17
4.17
Ri *(i )
1.33
1.80
1.61
1.38
0.84
1.14
0.83
0.34
1.25
Calculo del riesgo por dominios (D1 : L. de Servidores, D2 : Nodo Central, D3 : Produccion) y el riesgo total de la empresa:
Pn
i=1 Ri i
R = P
8
i=1 i
P7
1,24 50,49
i=1 Ri i
R (D1 ) = P
= 1,08
=
8
5783
i=1 i
P1
0,11 3,17
i=1 Ri i
R (D2 ) = P
= 0,006
=
8
57,83
i=1 i
P1
0,3 4,17
i=1 Ri i
= 0,021
R (D3 ) = P
=
8
57,83
i=1 i
P8
10,52
i=1 Ri i
R = P
= 0,18
=
8
57,83
i=1 i
(1)
(2)
(3)
(4)
(5)
3.
3.1.
An
alisis de riesgo
Tabla de contigencias
Apoy
andose en la caracterizaci
on del entorno y seg
un el estudio realizado el equipamiento sera protegido contra las siguientes
contingencias:
1. Acceso no autorizado.
2. Ataques internos.
3. Ataques externos.
4. Virus inform
aticos.
5. Modificaci
on de la informaci
on.
6. Destrucci
on de informaci
on.
7. Divulgaci
on de informaci
on.
8. Eludir los mecanismos de autenticaci
on o de control de acceso.
9. Error de programaci
on.
10. Fallos de aplicaciones.
11. Fallo de energa electrica.
12. Fallo de hardware.
13. Hurto de activos y/o recursos.
14. Inundaciones.
15. Terremotos.
16. Incendios.
Una ves analizados los resultados podemos llegar a la conclusion de que el local de los servidores es mas propenso a los riesgos que
el nodo central y el departamento de producci
on y en sentido general la empresa tiene una baja probabilidad en los riesgos. Adem
as
podemos decir que los activos m
as importantes y el impacto para la empresa son:
Aplicaciones Web.
Servidor de Correo electr
onico (postfix y courier-imap).
Switch Capa 2.
4.
4.1.
Polticas
Lista de Polticas de Seguridad Inform
atica
1. El sistema Operativo, Componentes de Debian (postfix, courier-imap, etc.) y demas aplicaciones (PostgreSQL) deber
an estar
actualizados con la periodicidad requerida en cada caso.
2. Se deben tener registradas y controladas las PC que contienen cualquier tipo de informacion ilimitada o confidencial.
3. Se realizar
an auditoras, tanto internas como externas. Las auditoras internas se realizaran una vez al a
no y las externas, al
menos, cada dos a
nos.
4. Para la actualizaci
on de los servidores y estaciones de trabajo los administradores lo deberan configurar desde el Nodo Central.
El mismo se actualizar
a directo de Internet (en el caso de que se tenga) o en el modo offline desde otro punto de distribuci
on de
otra empresa o instituci
on con una periodicidad menor a un mes.
5. Para la instalaci
on y configuraci
on del sistema operativo, el responsable de Produccion de la empresa circulara un manual sencillo
donde se explique paso a paso el procedimiento a seguir. Los responsables por departamentos se encargaran de comprobar que
cada PC este debidamente actualizada.
6. Efectuar un ejercicio de an
alisis de riesgos inform
aticos, a traves del cual se valoren sus activos.
7. Se debe poner un responsable por cada
area que va a ser quien tenga la autoridad para tomar decisiones.
8. El responsable de Seguridad Inform
atica de la empresa circulara un manual sencillo donde se explique paso a paso el procedimiento
a seguir. Los responsables por area se encargar
an de comprobar que cada persona este cumpliendo debidamente con las polticas
de seguridad establecidas.
4.2.
Clasificaci
on de la informaci
on
La informaci
on que contienen los servidores es confidencial. A este tipo de informacion solo tendran acceso los administradores
de los servidores y el personal calificado para ello.
Las PC que contienen cualquier tipo de informaci
on ilimitada o confidencial.
5.
5.1.
1. Para la instalaci
on y configuraci
on del sistema operativo, el responsable de Seguridad Informatica de la empresa circular
a un
manual sencillo donde se explique paso a paso el procedimiento a seguir. Los responsables por departamentos se encargar
an de
comprobar que cada PC este debidamente actualizada.
2. Para la distribuci
on de las actualizaciones de Debian y sus componentes desde el servidor proxy de la empresa los administradores
deber
an configurar una poltica de grupo en el dominio para que los servidores y estaciones de trabajo se configuren de forma
autom
atica con la direcci
on del servidor proxy de la red as como el comportamiento que deben seguir ante una actualizaci
on
(descarga e instalaci
on con reinicio autom
atico, o descarga y posterior confirmacion para la instalacion de las mismas, etc.)
5.2.
Medios t
ecnicos
1. ToDo
5.3.
5.3.1.
L
ogicas
1. Identificaci
on de usuarios.
2. Autenticaci
on de usuarios.
3. Control de acceso a los activos y recursos.
4. Integridad de los ficheros y datos.
5. Auditora y alarmas.