ANNEEXXOO M44:: SEEJJEEMPPLLOO S UDDE … · anneexxoo m44:: seejjeempplloo s udde spprrocceeddiimiieennttos yy eessttÁÁnnddaarreess mmÁÁs ussaaddoos - modeelloo dddee nsseegguurriidaadd

AANNEEXXOO 44:: EEJJEEMMPPLLOOSS DDEE PPRROOCCEEDDIIMMIIEENNTTOOSS YY EESSTTÁÁNNDDAARREESS MMÁÁSS UUSSAADDOOSS - MMOODDEELLOO DDEE SSEEGGUURRIIDDAADD DDEE LLAA IINNFFOORRMMAACCIIÓÓNN PPAARRAA LLAA EESSTTRRAATTEEGGIIAA

DDEE GGOOBBIIEERRNNOO EENN LLÍÍNNEEAA

Coordinación de Operación y Desarrollo Programa Agenda de Conectividad

Estrategia de Gobierno en línea © República de Colombia - Derechos Reservados

Bogotá, D.C., Diciembre de 2010

Página 2 de 34

ANEXO 4: PROCEDIMIENTOS Y ESTÁNDARES BÁSICOS - MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA

ESTRATEGIA DE GOBIERNO EN LÍNEA

FFOORRMMAATTOO PPRREELLIIMMIINNAARR AALL DDOOCCUUMMEENNTTOO

Título: ANEXO 4: EJEMPLOS DE PROCEDIMIENTOS Y ESTÁNDARES MÁS USADOS - MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA

Fecha elaboración aaaa-mm-dd:

15/12/2010

Sumario: Este documento presenta ejemplos de procedimientos y estándares más usados para la implementación de políticas y normas de seguridad de la información

Palabras Claves: Procedimientos, estándares, políticas, Modelo de Seguridad de la Información, ejemplos

Formato: DOC Lenguaje: Castellano

Dependencia: Ministerio de Tecnologías de la Información y las Comunicaciones-Programa Agenda de Conectividad – Estrategia de Gobierno en línea – Área de Operación y Apropiación: Convenio CINTEL 108

Código:

GEL108_Modelo_Seguridad_Informacion

Versión: 1.0.0 Estado: Documento Final

Categoría:

Autor (es): CINTEL

Firmas:

Revisó:

Clara Teresa Martinez Rojas Gerente de Proyecto CINTEL

Diana Patricia Peña Paez Consultora de Operación Programa Agenda de Conectividad

Angélica Janneth Jaramillo Pinzón Consultora Desarrollo: Servicios de Gobierno en Línea Programa Agenda de Conectividad

Aprobó: Francy Johanna Pimiento Coordinadora de Operación y Desarrollo Programa Agenda de Conectividad

Información Adicional: No disponible

Ubicación:

Página 3 de 34



CCOONNTTRROOLL DDEE CCAAMMBBIIOOSS VERSIÓN FECHA No. SOLICITUD RESPONSABLE DESCRIPCIÓN

1.0.0 15/12/2010 Extracción de documento de Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea.

Página 4 de 34



TABLA DE CONTENIDO

1. INTRODUCCIÓN ............................................................................................................................................ 6

2. PROPÓSITO .................................................................................................................................................. 7

3. EJEMPLOS DE PROCEDIMIENTOS Y ESTÁNDARES MÁS USADOS DE SEGURIDAD DE LA INFORMACIÓN ............ 8

3.1. PROCEDIMIENTO DE BACKUP DE SERVIDORES ................................................................................................................... 8 3.1.1. ANEXO #X FORMATO DE BACKUPS ............................................................................................................................ 11 3.2. PROCEDIMIENTO DE RESTAURACIÓN DE ARCHIVOS .......................................................................................................... 12 3.2.1. ANEXO #X FORMATO PARA SOLICITAR LA RESTAURACIÓN DE BACKUPS ............................................................................ 13 3.3. PROCEDIMIENTO DE INSTALACIÓN INICIAL DE SISTEMAS Y SERVIDORES ................................................................................ 14 3.3.1. ANEXO #X FORMATO DE HARDENING ........................................................................................................................ 18 3.4. PROCEDIMIENTO DE DADO DE BAJA Y/O RECICLADO DE EQUIPOS ....................................................................................... 19 3.4.1. ANEXO #X DADA DE BAJA Y/O RECICLADO DE EQUIPOS ................................................................................................ 25 3.5. ESTÁNDAR PARA MANEJO DE CONTRASEÑAS (PASSWORDS) ............................................................................................... 26 3.6. ESTÁNDAR PARA ALMACENAMIENTO DE CONTRASEÑAS (PASSWORDS) ................................................................................ 29 3.7. ESTÁNDAR DE CONFIGURACIÓN DE PRIVILEGIOS DE USUARIOS Y ESTACIONES DE TRABAJO ....................................................... 31 3.8. ESTÁNDAR PARA CONTROLES DE SEGURIDAD EN REDES ..................................................................................................... 32 3.9. ESTÁNDAR PARA CAPACITACIÓN Y CONCIENTIZACIÓN DE USUARIOS .................................................................................... 33 3.10. ESTÁNDAR PARA AUTENTICACIÓN Y UTILIZACIÓN DE SERVICIOS DE DIRECTORIO ..................................................................... 34

Página 5 de 34



DERECHOS DE AUTOR

Todas las referencias a los documentos del Modelo de Seguridad de la Información con derechos reservados por parte del Ministerio de Tecnologías de la Información y las Comunicaciones, por medio del Programa Gobierno en línea.

Página 6 de 34



1. INTRODUCCIÓN

Como parte del proceso de implementación de políticas de seguridad de la información, en el marco del Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea, se hace necesario que las diferentes entidades planteen procedimientos que se deben cumplir al interior de las mismas. Este documento muestra unos ejemplos particulares de procedimientos y algunos estándares que pueden servir como referencia para que las entidades realicen la respectiva implementación, o para que generen sus procedimientos particulares a partir de las estructuras mostradas.

Página 7 de 34



2. PROPÓSITO

El propósito de este documento es ofrecer un conjunto de ejemplos de procedimientos y estándares más usados de seguridad de la información para las entidades que proveen servicios para la estrategia de Gobierno en Línea, con el fin de brindar una guía para la generación de procedimientos puntuales y un punto de partida para estructurar los existentes.

Página 8 de 34



3. EJEMPLOS DE PROCEDIMIENTOS Y ESTÁNDARES MÁS USADOS DE

SEGURIDAD DE LA INFORMACIÓN

Los procedimientos y estándares son específicos a las organizaciones y plataformas tecnológicas a las que se aplican. Por esta razón, a diferencia de las políticas que son generales, no es posible definirlos de forma específica y universal. Los capítulos de Procedimientos y Estándares presentados en este documento tienen por objeto, ilustrar algunos ejemplos de procedimientos y estándares generales como modelo a seguir. Los procedimientos y estándares presentados no pueden ser una referencia específica de lo que se debe hacer en una entidad del Estado, ya que los mismos deben desarrollarse e implementarse de acuerdo con las condiciones específicas de cada entidad.

3.1. Procedimiento de Backup de servidores

PROCEDIMIENTO DE BACKUP DE SERVIDORES

1. Objetivo: Garantizar copias de respaldo de los datos y archivos de configuración de los diferentes servidores tanto operativos como de aplicaciones de la entidad.

2. Alcance: Este procedimiento aplicará a los siguientes servidores: 1. File Server 2. Itanium. Bases de datos de SQL server de las aplicaciones xxxx 3. Firewall 4. Proxy 5. Desarrollo 6. Xxxxx

3. Responsables: Administrador de servidores, y en su reemplazo el Técnico Administrador de Servidores

4. Secuencia de Eventos: En las noches se deben ejecutar los SCRPITS apropiados, para generar los TARGZ en las máquinas UNIX y LINUX. También en las noches se deben generar las carpetas apropiadas conteniendo la información de las máquinas WINDOWS. En la mañana siguiente, se creará dentro la carpeta “Backups” del servidor de Copias de Seguridad, una subcarpeta que identifique plenamente el Backup a realizar .Ej. NNMMYYYYXXX, donde NN es el número del día (01-31), MM es el número del mes (01-12), YYYY es el año en formato de 4 dígitos (2001, 2017, etc) y XXX es el día de la semana (LUN, MAR. MIER, JUEV, VIER). Dentro de esta Subcarpeta se creará la siguiente estructura: NNMMYYYYXXX Una Subcarpeta para cada servidor al que se le hizo Backup, identificada por el nombre del servidor.

5. Aprobación: Ninguna

6. Prerrequisitos: Una cinta (o el medio que aplique) previamente formateada, o ya utilizada, y debidamente etiquetada, con la siguiente convención: XXXXX-YYYYY-ZZZZZ

Página 9 de 34



Donde: XXXXX representa …… YYYYY representa …… ZZZZZ representa ..… Si el medio de Backup es cinta, antes de iniciarse el Backup se debe garantizar la limpieza de las cabezas de grabación. Estas deben limpiarse cada 30 horas de operación. Rotación de 12 cartuchos 5 dias / 4 semanas / 3 meses

Hijo: se asignan x cantidad del medio para back-up total diario [Lun] Padre: se asignan x cantidad del medio para back-up total semanal [Vier]

Abuelo: se asignan x cantidad del medio para backup total mensual [Mes] Externos: Se saca una copia adicional el último día del mes y se rotan

Lu. Mar. Mié. Jue. Vie. Sáb. Dom

Medio: Lun Mar Mier Jue Vier 1 - -




Medio: Lun

(Mes 1 Mes 2)1 (Externo 1 Externo 2) 3

- - Vier 52 - -

1- Sobre el último día hábil del mes 2- Cuando hay un 5to. viernes en el mes 3- Medios que rotan con Almacenamiento Externo

El Backup en el disco del Servidor de Copias de Seguridad se debe haber creado la noche anterior.

7. Definiciones: Cuando se habla de medio se hace referencia a xxxxxx (ej. cintas DAT DDS4 de 36/72 GB).

8. Equipo Requerido: Servidor de Copias de Seguridad conectado a la RED y Unidad SCSI externa de Backup en medio (ej. cintas DAT de 36/72 GB). Medio (ej. cartucho de Backup DDS4 de 36/72 GB).

9. Advertencias: EJEMPLOS

1. No reutilizar la cinta de limpieza más de 40 veces 2. No reutilizar un cinta más de 150 veces 3. No esperar a que el LED de limpieza se encienda, limpiar las cabezas cada 30

horas de uso. 4. Siempre verificar cuánto tiempo tomó el Backup, ya que este parámetro es

vital para garantizar la limpieza de las cabezas. 5. Se debe verificar la terminación exitosa de TODO Backup 6. Almacenar las cintas fuera del centro de cómputo.

Página 10 de 34



7. Si es el momento adecuado, solicitar el servicio de cambio de cinta 8. Si un día de la semana es festivo, realizar el Backup el siguiente día hábil.

10. Precauciones: 1. Para garantizar el correcto desempeño del Servidor de Backups, no mantener

en él más de N copias. 2. Diligenciar el formato de Backups relacionado en el anexo # X. 3. Si el Backup no es verificado apropiadamente, repetir todo el proceso de

copia a la cinta. 4. Los días que aplique, el Backup de almacenamiento externo debe estar listo

de acuerdo a la hora de recogida previamente acordada.

11. Cuerpo del Procedimiento: A través de Scripts automatizados, genere en el servidor de Copias de Seguridad que utilicen la estructura de Backups mencionada en el paso 4, que incluya lo siguiente:

Servidor xxxxxx “yyyyyyyyyyy” X:\aaaaa\bbbbbb\ccccc X:\eeeee\ffffffff\gggggg

Servidor zzzzzz “wwwwww” Ejemplo

Todas las bases de datos de SQL (ruta de las bases de datos SQL) Todas las bases de datos de OLAP Directorio z:\ggggg Directorio z:\ffffff

Servidor File Server “fileserver” Copia se seguridad de las bases de datos: Xxxxxxxxx Yyyyyyyyyy Zzzzzzzzz Copia de los documentos “xxxxx” de los discos: Y:\ bbbbbbb Z:\ eeeeeee Estado del Sistema Ejemplo Directorio Activo Archivos de Inicio Base de Datos del registro de clases COM+ Registro Volumen del Sistema

Servidor zzzzzzzz “wwwww” Base de datos xxxxxxx (ruta de la base de datos)

Página 11 de 34



Servidor Correo Administrativo Interno (Exchange) “Correo” Ejemplo

PATH de buzones >> TEKHNE

Servidor WEB “xxxxxxx” (rutas de las carpetas)

Servidor DATOS

Bases de Datos: (ruta de las bases de datos) Lista de las bases de datos (rutas de otras carpetas)

Servidor aplicación xxxxxx

Base de Datos: (ruta de base de datos de la aplicación xxxxx) Nombre de base de datos (rutas de otras carpetas)

Servidor Firewall Ejemplo

/root Servidor Proxy Ejemplo

/etc/squid A continuación copie en el medio de Backup (ej. grabe en una cinta) de acuerdo a la política de rotación establecida en el paso 6 la carpeta generada. Verifique la copia Diligencie el Formato de Backups (Anexo X)

3.1.1. Anexo #X Formato de Backups

Nombre Cargo Tipo Fecha Cinta

ID

Hora de

Inicio

Hora de Finalización

Backup Verificado

Horas acumuladas

Firma

Página 12 de 34



3.2. Procedimiento de restauración de archivos

PROCEDIMIENTO DE RESTAURACIÓN DE ARCHIVOS

1. Objetivo: Permitir de forma segura y controlada la recuperación de archivos de Backup a los sistemas y datos en producción.

2. Alcance: Este procedimiento aplicará a los siguientes servidores: Ejemplo

1. File Server 2. Itanium. Bases de datos de SQL server de las aplicaciones xxxx 3. Firewall 4. Proxy 5. Desarrollo 6. Xxxxx

3. Responsables: Ejemplo Administrador de servidores, y en su reemplazo el Técnico Administrador de Servidores.

4. Secuencia de Eventos: Reciba debidamente autorizado y diligenciado el formato del Anexo # X. Proceda a realizar la restauración sobre la carpeta apropiada.

5. Aprobación: Ejemplo Director del Departamento solicitante y Director de Sistemas e Informática. De acuerdo al formato del Anexo # X

6. Prerrequisitos: Anexo # X diligenciado y autorizado

7. Definiciones: xxxxxxx

8. Equipo Requerido: Ejemplo Servidor de Copias de Seguridad conectado a la RED y Unidad SCSI externa de Backup en cintas DAT de 36/72 GB. Cartucho de Backup DDS4 de 36/72 GB.

9. Advertencias: Si la restauración es de datos de un sistema de información, éste debe estar fuera de línea antes de iniciar el proceso.

10. Precauciones: Nunca restaurar datos o archivos de un sistema de información en línea.

11. Cuerpo del Procedimiento: Insertar el medio apropiado, elejir los archivos y/o carpetas apropiados, verificar con el Anexo # X en la mano, que la selección sea la correcta y luego iniciar el proceso. Una vez finalizado, verificar que los datos restaurados coincidan con los del medio, registrar fecha y hora de finalización en el Anexo # X. Firmar con VoBo el Anexo # X. Si la verificación de los archivos falla, repetir el proceso, si falla más de tres (3) veces, restaurar un backup anterior e informar tanto a las instancias pertinente (ej. Dirección de Sistemas de Información, Dirección del Departamento solicitante). Registrar el evento en el Anexo # X.

Página 13 de 34



3.2.1. Anexo #X Formato para solicitar la restauración de Backups

Ejemplo

SOLICITUD MONTAJE DE ARCHIVOS DE BACKUP

Datos del Solicitante Nombre y apellidos: Departamento al que pertenece:

Datos de la solicitud Motivo para remontar los datos: Archivos o Carpetas a Remontar: Observaciones:

Fecha de Solicitud : ___/___/_____

VBo.:______________ Director del Departamento

Fecha de Montaje : ___/___/_____

VBo.:______________ Director Sistemas e Informática

Página 14 de 34



3.3. Procedimiento de instalación inicial de sistemas y servidores

PROCEDIMIENTO DE INSTALACIÓN INICIAL DE SISTEMAS Y SERVIDORES

1. Objetivo: Desarrollar un proceso para implementación de nuevos sistemas que permita que estos arranquen seguros en producción. Por lo general las organizaciones que carecen de este proceso cometen el error de llevar a producción sistemas que no están correctamente parchados, que tienen aplicaciones, usuarios o procesos que no son requeridos, los mismos que se convierten en un alto riesgo de seguridad para las organizaciones.

2. Alcance: Cada sistema nuevo que se ponga en producción, debe seguir una serie de pasos importantes y críticos que permitan reducir el riesgo de compromiso, aligeren el proceso de administración de los mismos a futuro y permitan a la organización el cumplimiento de la norma o normas adoptadas en forma continua. Se debe recordar que para el cumplimiento dichas normas, el proceso deberá estar respaldado con los procedimientos adecuados y se deberá generar la documentación necesaria sin la cual el sistema no será aprobado en un proceso de auditoría. (Estándares de configuración, plantilla de revisión, entregables, etc.)

3. Responsables: Ejemplo Administrador de servidores, y en su reemplazo el Técnico Administrador de Servidores

4. Secuencia de Eventos:

Página 15 de 34



5. Aprobación: (aquí se debe describir la aprobación que aplique a la entidad)

6. Prerrequisitos: Sistema nuevo o reinstalado antes de entrar a producción

7. Definiciones: Hardening El proceso de Hardening se usa para asegurar un sistema reduciendo su potencial de ser vulnerado. Por la naturaleza de operación, mientras más funciones cumplen

Página 16 de 34



los sistemas, aumenta su potencial de compromiso y su número de vulnerabilidades. Esto explica que los estándares de seguridad (ISO27001, entre otros) soliciten claramente que los sistemas solo cumplan una función (máximo dos si esto es justificado) y que en los mismos se reduzcan los posibles vectores de ataque al remover todas las funciones (aplicativos, programas, etc.), servicios (demonios, puertos, etc.) y usuarios (administradores, superusuarios, regulares, etc) que no sean específicamente requeridos por la función. El Hardening de los sistemas por lo general es específico para cada plataforma y para esto se debe contar con plantillas y documentación generada por los proveedores o fabricantes de los sistemas. Sin embargo, el Hardening de los mismos en su base, es un proceso genérico y puede instituirse y debe implementarse para los que requieren realizar el cumplimiento de distintas normas de seguridad.

8. Equipo Requerido: Sistema nuevo o reinstalado antes de entrar a producción.

9. Advertencias: 1. Realizar pruebas de funcionalidad antes de poner el equipo en producción. 2. Los dueños de las aplicaciones deben dar su aprobación 3. Los usuarios de las aplicaciones deben dar su aprobación

10. Precauciones: 1. Nunca realizar este procedimiento sobre servidores vivos..... 2. Si el equipo ya está en producción planear una ventana de mantenimiento y

realizar un Backup completo 3. Siempre realizar pruebas

11. Cuerpo del Procedimiento: Instalación Inicial del sistema: En el servidor "nuevo", realizar la instalación del sistema operativo a utilizar, recordando que desde el inicio deberá considerara el cambio de contraseñas y configuraciones de fábrica (requerido por las normas), cualquier cambio debe documentarse en una Hoja de Vida del servidor. Remover el software innecesario: Luego de terminar con la instalación del sistema operativo, el primer paso es remover cualquier software que se haya instalado en el sistema (como parte de un paquete predeterminado) y que no sea requerido para la función única del mismo. Ejemplo: En un servidor de archivos no va a requerir un servicio Web o un controlador de dominio un programa de oficina (Word, Excel, Acrobat Reader), como norma general si no lo requiere no debe existir. Remover o deshabilitar los usuarios innecesarios: Los sistemas operativos por lo general configuran usuarios de distintos tipos, si estos no son requeridos deben ser eliminados, si no pueden ser eliminados se deben inactivar (por ejemplo usuario "invitado"). Adicionalmente, es recomendable renombrar usuarios como el Administrador. Recordar siempre cambiar las contraseñas establecidas en la configuración predeterminada Remover o deshabilitar los servicios innecesarios: De la misma forma, se debe remover todo servicio innecesario del sistema si éste no es explícitamente requerido por la función del servidor. Si no es posible removerlos,

Página 17 de 34



se deben deshabilitar, pero es necesario recordar que siempre permanece latente el riesgo de que sean activados por error o como parte de un ataque. Aplicar todos los parches necesarios al sistema operativo: Realizados los pasos anteriores, es momento de aplicar todos los parches de seguridad y de sistema que ha publicado el fabricante. Adicionalmente en este momento es cuando se pueden aplicar los procesos de Hardening recomendados por los fabricantes del sistema, los mismos que contemplaran varias tareas adicionales a las ya mencionadas. Instalar aplicaciones requeridas: Una vez que el sistema base ya está instalado y endurecido, es el momento de instalar los aplicativos y funciones de terceros en el sistema. En este caso se deben considerar los pasos anteriores como un subproceso de Hardening, removiendo todos las funcionalidades no requeridas por la aplicación, cambiando las configuraciones y contraseñas de fabrica y aplicando recomendaciones de Hardening del fabricante (Ej. Instalación de Oracle) Aplicar los parches a las aplicaciones: Realizados estos pasos se deberá aplicar todos los parches de seguridad y de aplicación recomendados por el fabricante. Ejecutar aplicación de detección de vulnerabilidades: Este punto es muy importante ya que aun que se haya realizado a conciencia todos los pasos anteriores, una buena herramienta de identificación de vulnerabilidades nos ayudara a identificar problemas aun ocultos, los cuales deberán ser corregidos de forma apropiada y en los casos en los que no exista solución, se deberá contemplar, la implementación de controles adicionales. Este paso requerirá de documentación adicional y del establecimiento de una política de revisión de vulnerabilidades en forma trimestral. Certificar el sistema para los estándares de la entidad: En este punto, se deberán revisar las consideraciones referentes a los requerimientos de la organización, es necesario que se establezca una lista de revisión que contemple cada uno de los requerimientos de la norma o normas utilizadas o establecidas que afecten a los sistemas en producción. Ejemplo: Contraseñas de no menos de 10 caracteres, funciones adicionales eliminadas, configuración correcta del sistema de LOGS, monitorización de usuarios administradores, instalación de antivirus, etc. Entrada en producción: Por último con el sistema endurecido y certificado para entrar en producción se deberá entrar en el proceso de paso a producción tomando en cuenta las consideraciones respectivas que son parte de cualquier implementación. Diligencie el Formato de Hardening (Anexo X)

12. Referencias: Ejemplo A Process Checklist for System Hardening http://information-security-resources.com/2009/10/20/a-process-checklist-for-

http://information-security-resources.com/2009/10/20/a-process-checklist-for-system-hardening/

Página 18 de 34



system-hardening/

3.3.1. Anexo #X Formato de Hardening

Nombre Cargo Fecha Servidor Pruebas realizada

Dueño de la

aplicación aprueba

Usuario aprueba

Firma

http://information-security-resources.com/2009/10/20/a-process-checklist-for-system-hardening/

Página 19 de 34



3.4. Procedimiento de dado de baja y/o reciclado de equipos

PROCEDIMIENTO DE DADO DE BAJA Y/O RECICLADO DE EQUIPOS

1. Objetivo. Desarrollar un procedimiento que garantice que al dar de baja y/o reciclar un equipo de cómputo, la información previamente almacenada sea efectivamente destruida.

2. Alcance: Los equipos que se den de baja o se reciclen pueden contener información confidencial susceptible de ser recuperada por los nuevos propietarios. Esto aplica a computadores completos, discos duros, unidades de cinta y en general a cualquier medio de almacenamiento secundario. Antes de dar de baja un equipo o una parte, es responsabilidad de la dirección de sistemas garantizar que no hay información recuperable en dicha máquina o parte. En el Anexo a este procedimiento, se incluyen consideraciones sobre borrado de archivos y disposición de equipos.

3. Responsables: Ejemplo Administrador de servidores, y en su reemplazo el Técnico Administrador de Servidores, Soporte técnico, Almacén.

4. Secuencia de Eventos: 1. Determinar la necesidad de baja y/o reciclado del equipo 2. Considerar la aplicación de este procedimiento para equipos en préstamo o

reparación 3. Considerar la aplicación de este procedimiento para medios de

almacenamiento removibles. 4. Preservación de los datos originales si aplica 5. Destruir los datos en los equipos en cuestión.

5. Aprobación: Antiguo dueño del equipo y/o encargado de la baja o reciclado del equipo.

6. Prerrequisitos: Sistema a reciclar o dar de baja

7. Definiciones: Dar de baja un equipo: Sacar de producción, por daño, deterioro u obsolescencia tecnológica, un computador, disco duro y/o medio de almacenamiento removible. El equipo en cuestión, NO SERÁ utilizado más en la organización. El destino final es: La basura, o la venta (a un usuario o por chatarra) Reciclado de un equipo: El equipo en cuestión se ASIGNA a un usuario diferente, y permanece operativo dentro de la entidad.

8. Equipo Requerido: : Sistema a reciclar o dar de baja

9. Advertencias: 1. Obtenga aprobación del "dueño" del equipo 2. Realice Backup 3. En el caso de que el equipo en cuestión deba reemplazarse, asegúrese de

tener listo e instalado el "nuevo equipo" 4. Obtenga el visto bueno de la instancia adecuada (ej. encargada de activos

fijos)

10. Precauciones: 1. Pérdida de información valiosa puede presentarse si no se realiza un Backup

completo de la información en el equipo en cuestión 2. Este backup debe verificarse 3. Si se está reemplazando un equipo productivo, instale el nuevo equipo y

obtenga el visto bueno del dueño ANTES de destruir la información del

Página 20 de 34



equipo en cuestión

11. Determinación de dada de baja o reciclado de equipos El área autorizada, tomará la decisión de dar de baja y/o reciclar el equipo. Esto debe ser informado a la dirección de sistemas para que esta inicie el proceso de destrucción de datos asociado. Preservación de los datos originales De acuerdo con las políticas de preservación y retención de datos de la organización, se debe realizar un Backup de los discos duros y/o medios de almacenamiento del equipo en cuestión Medios removibles TODOS los medios removibles de los equipos en cuestión deben ser destruidos y/o borrados de forma segura, antes de su dada de baja y/o reciclaje. Tenga en cuenta el punto anterior, sobre la preservación de datos originales. Equipos en préstamo o en reparación Consideraciones similares deben tenerse en cuenta cada vez que un equipo sale de la entidad, ya sea con destino a reparaciones, mantenimiento y/o garantía, o como préstamo a un funcionario y/o entidad externa. Si existen equipos "comunales" (que se utilizan de forma sistemática por un grupo de usuarios) se deben definir políticas y procedimientos para asegurar que no se deje información confidencial en ellos, entre usuario y usuario. Consideraciones para la destrucción de datos en medios de almacenamiento El área autorizada, tomará la decisión de dar de baja y/o reciclar el equipo. Esto debe ser informado a la instancia correspondiente de gestión de tecnología (ej. dirección de sistemas) para que esta inicie el proceso de destrucción de datos asociado.

1. Recuerde que cuando borra datos de forma normal estos son enviados a la papelera de reciclaje o su equivalente. En realidad en ningún sistema operativo comercial actual, los datos son sobrescritos y/o eliminados de forma segura.

2. Aún si utiliza la estrategia de no enviar a la papelera con SHIFT SUPR (para Windows), lo único que hace es borrar la entrada principal de la tabla de archivos, pero los datos todavía siguen en el disco INTACTOS. Cuando borramos un archivo, en realidad lo que hacemos es indicarle al sistema operativo que lo marque como borrado y que su espacio en el disco pase a ser reutilizable, los datos en realidad continúan en el disco en su forma original.

3. De la misma forma, formatear un disco no siempre borra los datos. Con el fin de hacer la operación lo más breve posible, en muchas ocasiones sólo se rescriben las cabeceras de los sectores del disco.

4. Si los datos son altamente sensibles y usted desea borrar archivos o grupos de archivos, SOBREESCRIBA LOS ARCHIVOS. Utilice una herramienta que recorra el archivo (físicamente y sector por sector) y escriba ceros o blancos ENCIMA DE EL. Una herramienta gratis que realiza esta labor es PGP (ver Anexo)

5. Si va a dar de baja un disco duro, o va a vender o desechar el computador completo, la única alternativa es realizar un FORMATEO FÍSICO del disco duro. No es igual al Format de DOS (aún con /U) o a formatearlo desde Windows.

Página 21 de 34



Implementación Diligencie el Formato de Dada de Baja y/o Reciclado de Equipos (Anexo 1)

12. Referencias: Ejemplo Herramientas y estrategias para borrado seguro de datos. Tomado de http://tecnologiaslibres.net/2009/02/17/borrado-correcto-de-la-informacion-contenida-en-los-discos-rigidos/ Limpieza total del disco – Todas las plataformas

Darik’s Boot and Nuke Una utilidad Open Source de disco de arranque (es decir: funciona en casi cualquier ordenador) soporta una amplia variedad de métodos de limpieza de disco y opera desde el interior de la RAM del ordenador, lo que le permite un borrado de disco a fondo.

Limpieza selectiva de archivos – Windows

Wipe File Aplicación portable que sobreescribe un espacio especifico de disco ocupado por el archivo que desea borrar y deja el resto del disco intacto.

DeleteOnClick Se integra con el menú contextual de Windows, agregando un “Borrar con seguridad” a la opción del menú del click derecho según norma del Departamento de Defensa 5220.22-M en la sobreescritura de archivos.

Eraser Además de la supresión de los archivos de forma segura, Eraser se puede programar para realizar sobreescritura en el espacio de disco vacío garantizando el borrado de archivos huérfanos fuera del alcance de Windows.

Limpieza selectiva de archivos – Mac OS X Permanent EraserAunque los usuarios de Mac han tenido la opción de

“vaciado seguro de basura”, basado en un método de múltiples pases del Departamento de Defensa de EE.UU, desde la versión OS 10.3, Permanent Eraser ofrece tranquilidad para los que necesitan más garantías.

Limpieza selectiva de archivos -Linux (Ubuntu)

Wipe Package de Ubuntu Unleashed Agrega una segura eliminación de múltiples pases a su archivo con el menú del click derecho, al igual que la mencionada DeleteOnClick en Windows.

El método de destrucción física del disco

Hay muchas formas de dañar físicamente un disco duro para asegurar los datos, desde una cuidadosa disección hasta darle de martillazos.

http://www.dban.org/

http://www.gaijin.at/dlwipefile.php

http://www.2brightsparks.com/onclick/doc.html

http://www.heidi.ie/node/14

http://www.edenwaith.com/products/permanent%20eraser/

http://www.ubuntu-unleashed.com/2008/01/securely-wipeerase-files-in-ubuntu.html

Página 22 de 34



El objetivo final es hacer que el disco quede inoperable o severamente fragmentado y dañado. Ciertos esfuerzos forenses pueden dar una gran cantidad de recursos para ensamblar la unidad en su conjunto. Pero la mejor protección de datos está en el tiempo que tomemos para destruirlos y dejarlos inoperables.Un taladro que atraviese el disco nos tomara unos pocos minutos, pero un buen trabajo con una sesión de 10 minutos con un martillo y unas tijeras pueden hacer maravillas, todo esfuerzo que se tome para destruirlo agregara un poco más de seguridad. Nunca se es demasiado cuidadoso con los datos. La cantidad de esfuerzo que se necesita para limpiar bien un disco o desmantelarlo por destrucción física no es nada en comparación con el tiempo y los dolores de cabeza que tendrá si sufre un robo de identidad o problemas de confidencialidad a causa de los datos que quedaron en el disco. Anexo Archivos Y PGP Una de las principales aplicaciones de PGP es el de encriptar nuestros ficheros y el borrado seguro de los mismos. Encriptar ficheros es necesario tanto para almacenarlos en nuestro PC como para enviar ficheros adjuntos en nuestros correos. La opción más sencilla para encriptar (es válida para el resto de opciones) un fichero es hacerlo mediante el explorador de windows. Para ello nos situamos con el cursor encima del fichero o carpeta que queramos encriptar (o firmar, verificar, desencriptar ...) y pulsando sobre él con el botón derecho del ratón nos aparecerá un menú desplegable. Escogemos la opción PGP y en el menú que nos aparecerá elegimos la opción que queramos aplicar. En este caso vamos a encriptar un mensaje

Página 23 de 34



Una vez le seleccionamos la opción de encriptar, nos aparecerá un nuevo cuadro de dialogo para elegir la forma y la clave pública del destinatario. Las opciones son las siguientes: Text Output. Esta opción solo es necesaria para enviar ficheros adjuntos a un correo, en aras de compatibilidad con algunos clientes antiguos de correo Wipe Original. Al marcar está opción, cuando PGP genera el fichero cifrado, borra el original (de forma segura). Si no se marca, tendremos tanto el original como el cifrado Conventional Encryption. Con ésta opción lo que haremos es cifrar nuestro fichero. El fichero quedará protegido mediante una Frase Clave que nos pedirá que le indiquemos. Self Decrypting Archive. Esta opción genera el fichero cifrado de forma que pueda ser desencriptado directamente. Es muy útil para enviar ficheros a otras personas que no tienen PGP

Página 24 de 34



Cómo es un fichero que quiero guardar seguro en mi computador, yo voy a utilizar las opciones de Wipe Original y Conventional Encryption. Me aparece pues un nuevo cuadro de dialogo pidiéndome que le escriba una frase clave y que la confirme. Pulsamos OK y ya tenemos encriptado nuestro fichero

Como se puede comprobar, la extensión del fichero ha cambiado y ahora es necesario desencriptarlo para usarlo.

Página 25 de 34



Para desencriptar el fichero solo tenemos que pulsar dos veces sobre el y nos aparecerá un cuadro de dialogo preguntándonos por la frase clave (también se pueden seguir los pasos citados anteriormente pero en vez de las opciones de Encriptar, nos aparecerán las opciones para desencriptar. Otra funcionalidad muy interesante es la de borrado seguro de ficheros. Cuando normalmente eliminamos un fichero, este va a la papelera de reciclaje y posteriormente cuando vaciamos la papelera "en teoría" el fichero se borra. Pero eso no es así, realmente el fichero o partes de él siguen existiendo físicamente en el Disco Duro y con programas adecuados se pueden recuperar. PGP provee una funcionalidad (cada vez que hemos citado Wipe en éstos artículos) que hará que el contenido de nuestros ficheros no puedan ser recuperados. Siguiendo los pasos descritos anteriormente en éste anexo podremos realizar ésta operación (seleccionar fichero, botón derecho del ratón, Seleccionar PGP, Wipe)

3.4.1. Anexo #X Dada de Baja y/o Reciclado de Equipos

Nombre Cargo Fecha Equipos Backup

Verificado

Borrado TOTAL

de datos antiguos

Usuario anterior aprueba

recuperación de datos

Firma "dueño" de los datos

Visto bueno

Almacén

Página 26 de 34



3.5. Estándar para manejo de contraseñas (passwords)

Se debe tener en cuenta los siguientes consejos:

a. No utilizar contraseñas que sean palabras (aunque sean extranjeras), o nombres (el del usuario, personajes de ficción, miembros de la familia, mascotas, marcas, ciudades, lugares, u otro relacionado).

b. No usar contraseñas completamente numéricas con algún significado (teléfono, C.C., fecha de nacimiento, placa del automóvil, etc.).

c. Elegir una contraseña que mezcle caracteres alfabéticos (mayúsculas y minúsculas) y numéricos.

d. Deben ser largas, de 6 caracteres o más.

e. Tener contraseñas diferentes en máquinas diferentes. Es posible usar una contraseña base y ciertas variaciones lógicas de la misma para distintas máquinas.

f. Deben ser fáciles de recordar para no verse obligado a escribirlos. Algunos ejemplos son:

i. Combinar palabras cortas con algún número o carácter de puntuación: soy2_yo3

ii. Usar una sigla de alguna frase fácil de recordar: A rio Revuelto Ganancia de Pescadores

iii. Añadir un número al acrónimo para mayor seguridad: A9r7R5G3d1P

iv. hAnhOmc

v. Elegir una palabra sin sentido, aunque pronunciable: taChunda72, AtajulH, Wen2Mar.

vi. Realizar reemplazos de letras por signos o números: En Seguridad Más Vale Prevenir que \/Pq<.

Buenas Contraseñas

Una buena contraseña debe:

• Tener mayúsculas y minúsculas.

• Tener dígitos y/o símbolos de puntuación.

Página 27 de 34



• Es fácil de recordar y por eso no hay que escribirla.

• Tiene al menos 8 caracteres de largo, o 12 si es de servidores o equipos.

• Puede ser escrito (digitado) de forma rápida, de tal manera que nadie pueda seguir con la vista las teclas oprimidas.

Nunca

Utilice información personal en una contraseña.

1. Utilice palabras que estén en un diccionario o enciclopedia común.

2. Utilice su mismo nombre de usuario.

3. Utilice el nombre su colegio, universidad, iglesia, o alguna agremiación conocida.

4. Utilice el nombre o sigla de su entidad, ni nada relacionado con la misma

5. Utilice secuencias de teclas predecibles o encontradas en el teclado. Ej. 123456789, qwertyuiop, asdfghjklñ, abcdefghijk, etc.

6. Utilice secuencias de letras o caracteres únicos. Ej. 1111111, aaaaaaaa, BBBBBBB

7. Utilice secuencias alternadas de pocos caracteres. Ej. aSaSaS, aaAABBcc, 123aBC, etc.

8. Utilice alguna de las anteriores en relación con un familiar, esposa, hijos, etc.

9. Utilice alguna de las anteriores escrita al revés.

Reglas obligatorias para el manejo de contraseñas

Los sistemas operativos deben regular las siguientes características en la escogencia de contraseñas:

1. Mínimo 8 caracteres de longitud para estaciones de trabajo.

2. Mínimo 12 caracteres de longitud para servidores, equipos activos de red, dominios, etc.

3. Se deben cambiar cada 4 meses para estaciones de trabajo.

4. Se deben cambiar cada 2 meses para servidores, equipos activos de red, dominios, etc.

Página 28 de 34



5. No se pueden reutilizar antes de 6 cambios para estaciones de trabajo.

6. No se pueden reutilizar antes de 12 cambios para servidores, equipos activos de red, dominios, etc.

Página 29 de 34



3.6. Estándar para almacenamiento de contraseñas (passwords)

ALMACENAMIENTO DE CONTRASEÑAS DE MISIÓN CRÍTICA

Cada sistema, dominio, grupo de equipos activos de red, dispositivo de seguridad, control o calidad de servicio, o en general, cualquier máquina, grupo de máquinas, o colección de las mismas, debe tener un solo administrador supremo. De ser necesario accesos paralelos por parte de otros miembros de del grupo de gestión de tecnología, deben crearse cuentas alternas con privilegios limitados. El NO cumplir esta directriz, pone en riesgo todos los procesos de auditoría y control que generalmente se basan en el nombre de usuario.

Pero si existe un solo administrador supremo, los riesgos de perder la contraseña suprema en la eventualidad de un accidente, disputa, muerte, u olvido del mismo por parte de dicho administrador, son enormes, por esto se hace necesario el almacenamiento seguro de las contraseñas supremas.

Cada vez que el administrador supremo cambie la contraseña, ésta debe ser escrita en una hoja de papel, en caracteres de imprenta, distinguiendo de forma suficiente mayúsculas de minúsculas, símbolos de puntuación y caracteres no estándares. Introduciéndola en un sobre opaco que debe ser sellado y etiquetado, indicando qué contraseña es y a qué sistemas o equipos protege, y entregado al funcionario correspondientes (ej. Director de Infromática) para su almacenamiento en caja fuerte.

Tenga en cuenta las siguientes recomendaciones:

1. Limite el acceso de las contraseñas almacenadas en caja fuerte al funcionario correspondiente (ej. Director Informática) o a un grupo de mínimo dos (2) funcionarios de alto nivel. Siempre debe estar presente un miembro de auditoría (interna, o externa si existe y la interna no está disponible). El orden mencionado debe ser respetado, es decir, si se necesita de forma urgente una contraseña almacenada, el primero en optar por el acceso, es el funcionario de mayor nivel (ej. Director de Informática), debidamente acompañado de un miembro de auditoría; en segundo lugar está el funcionario de nivel inmediatamente inferior, por supuesto acompañado de un miembro de auditoría. El tercer lugar es para el grupo de funcionarios alterno. En este caso, si existe, es necesario que esté presente la auditoría externa.

2. Cada vez que la o las contraseñas supremas sean cambiadas, se debe actualizar el almacenado en la caja fuerte. Y debe ser destruido el anterior.

3. Si en algún momento se debe recuperar una contraseña almacenada en caja fuerte, el nuevo administrador supremo debe cambiarla de inmediato, y almacenar la nueva contraseña en la caja fuerte con el procedimiento antes mencionado.

4. TODAS las contraseñas necesarias para una recuperación total de la entidad, deben ser almacenados en caja fuerte siguiendo los pasos anteriores.

5. Pruebe el procedimiento de forma regular.

Página 30 de 34



6. Audite esporádicamente el cumplimiento del mismo.

Página 31 de 34



3.7. Estándar de configuración de privilegios de usuarios y estaciones de trabajo

El usuario de una estación de trabajo, no podrá:

1. Habilitar o deshabilitar programas instalados en la misma. Esto hace especial referencia al sistema antivirus.

2. Instalar o desinstalar programas. En la eventualidad de que el usuario necesite un programa diferente a los instalados por defecto en su computador, éste deberá solicitar este servicio a la instancia correspondiente (ej. Dirección de Informática). Esto aplica también a los programas de agendas digitales, sincronización con portátiles, dispositivos de MP3 (I-PODS), etc.

3. Solicitar la instalación de programas que reemplacen los acogidos como oficiales de la entidad, sin importar o no si estos son de dominio público o licencia libre (GPL, GNU). Por ejemplo: Un usuario nunca podrá solicitar la instalación de un cliente de correo Eudora en reemplazo de Outlook Express.

4. Cambiar su contraseña antes de haberse cumplido la vigencia de la misma especificada en el estándar de contraseñas. Si por un compromiso de seguridad el usuario necesita realizar este cambio antes de tiempo, debe solicitar a la instancia correspondiente (ej. Dirección de Informática) ayuda para realizar esta tarea.

5. Tener acceso al Setup de la máquina, para esto la instancia correspondiente (ej. Dirección de Informática) deberá realizar una apropiada administración de las contraseñas de acceso al Setup.

El usuario de una estación de trabajo, deberá contar con:

1. Actualización permanente (automática o manual) del programa de Antivirus.

2. Actualización permanente (automática o manual) de las actualizaciones de seguridad (parches y Service Packs)

3. Posibilidad de ubicar sus archivos coyunturales en un servidor corporativo de archivos, con el fin de garantizar un Backup de los mismos de forma automática y transparente para él. El espacio asignado (Disk Quota) en dicho servidor dependerá de las necesidades justificadas de cada usuario.

4. Acceso permanente a su carpeta personal dentro del servidor corporativo de archivos.

5. Atención permanente de la línea de Help Desk o el mecanismo de soporte existente en la entidad.

Página 32 de 34



3.8. Estándar para controles de seguridad en redes

Se debe implementar controles de seguridad para las redes, con el fin de garantizar una interconexión fácil y eficiente, a la vez que se proteja la información y los recursos computacionales de la entidad. Se debe implementar sistemas de defensa basados en capas, teniendo en cuenta las siguientes:

Perímetro (conexión a redes inseguras, típicamente Internet)

Acceso a servidores y servicios de red, con autenticación, autorización y contabilización (AAA)

Máquinas de Usuarios (login con nombre de usuario - UserName y contraseña)

Dentro de las tecnologías que deben considerarse se encuentran:

Tecnologías de Firewalls

Detectores / Preventores de Intrusos (IDS/IPS)

Acceso a dispositivos de red y plataformas compartidas

Implementación de Zonas Desmilitarizadas (DMZ´s) para servicios y servidores públicos

Redes inalámbricas aseguradas (con encripción fuerte y autenticación)

Página 33 de 34



3.9. Estándar para capacitación y concientización de usuarios

Las entidades deben promover la concientización y capacitación de sus usuarios en materia de Seguridad de la Información, en TODO lo relacionado con riesgos informáticos y medidas tendientes a minimizar dichos riesgos.

TODO aquel que se conecte a Internet DEBE saber qué riesgos inherentes se derivan de dicha conexión. La barrera más débil de cualquier sistema de seguridad es el usuario, por lo tanto es necesario que tanto los funcionarios del área de gestión de tecnología, como el personal de soporte, conozcan y promuevan las medidas básicas de concientización sobre riesgos informáticos, mientras le indican al usuario final las prevenciones a tener en cuenta. De ser posible, se debe implementar la trazabilidad de las acciones de los usuarios, con el fin de poder AUDITAR las mismas de acuerdo a la política corporativa. Hay que recordar que la auditoría es la única manera de saber que está pasando realmente, y poder tomar medidas correctivas a tiempo.

Algunas de las buenas prácticas que se deben seguir incluyen:

Bloquear las estaciones desatendidas

Cambios periódicos de contraseñas

Utilización de contraseñas adecuadas

NO compartir contraseñas

Política de escritorios limpios

Algunos temas sugeridos para concientización son:

Reporte de incidentes

El hecho de que hay auditoría implantada sobre las acciones de los usuarios

Compromisos legales y contractuales de confidencialidad y responsabilidad por parte del usuario.

La propiedad de la información

Requerimientos corporativos sobre contraseñas

Políticas de uso aceptable de Intenret y Correo, así como de los recursos computacionales.

Propiedad intelectual de creaciones, trabajos y desarrollos

Página 34 de 34



3.10. Estándar para autenticación y utilización de servicios de directorio

La utilización de autenticación para accesos a servicios de directorio y/o recursos compartidos es de carácter obligatorio. Con esta medida se busca garantizar la utilización de los recursos solo de acuerdo al perfil del usuario, y la NO REPUDIACIÓN de la utilización servicios y/o transacciones realizadas. También garantizan la posibilidad de monitoreo, trazabilidad y auditoría de las acciones de los usuarios de forma unívoca. El acceso a los sistemas coyunturales, de ser posible a TODOS los sistemas, debe protegerse de forma robusta, esto es incluyendo al menos dos de los siguientes métodos de autenticación:

1. Conocimiento: El usuario tiene conocimiento de algo (por ejemplo: una contraseña), ALGO QUE SABE

2. Posesión: El usuario posee un objeto (por ejemplo: una tarjeta o un Token), ALGO QUE TIENE

3. Característica: El usuario tiene una característica que puede ser verificada (por ejemplo: una de sus huellas dactilares) ALGO QUE ES

Documents

ANNEEXXOO M44:: SEEJJEEMPPLLOO S UDDE … · anneexxoo m44:: seejjeempplloo s udde spprrocceeddiimiieennttos yy eessttÁÁnnddaarreess mmÁÁs ussaaddoos - modeelloo dddee nsseegguurriidaadd