AUDITORIA DE SEGURIDAD CASO: PLATAFORMA TELEMÁTICA DE LA REDFEC – LUZ
David Rodolfo Bracho Rincón*
Universidad del Zulia - Venezuela
Correo electrónico: drbracho@luz.edu.ve
Neif Guzmán Silva Valero*
Universidad del Zulia - Venezuela
Correo electrónico: nsilva@luz.edu.ve , delphiii@hotmail.com
RESUMEN
La presente investigación evaluó la seguridad telemática que ofrece la red de voz, datos y video de la Facultad Experimental de Ciencias (FEC) de la Universidad del Zulia (LUZ). Se realizó una Auditoria de Seguridad al servicio Telemático, de Tipo Interna, sobre el área donde es administrado y distribuido el servicio principal de la RedFEC: el Edificio Grano de Oro. Se utilizó como punto de partida el Informe generado por la Unidad de Servicios Computacionales y Telemáticos de la FEC, que trata sobre la situación actual de la misma, comprendida para el período 2004 - 2006. La metodología utilizada fue la de Piattini y Del Peso, aplicando como instrumento de recolección, entrevistas estructuradas a los responsables de cada área física que tienen presencia en el Edificio Grano de Oro. Se aplicó el enfoque aportado por la norma ISO 17799 – 2005, abarcando los 10 dominios de control: Políticas de seguridad; Estructura organizativa; Clasificación y control de activos; Seguridad relacionada con el personal; Seguridad física y del entorno; Gestión de comunicaciones y operaciones; Control de accesos; Desarrollo y mantenimiento de sistemas; Gestión de continuidad de negocio; Conformidad. El instrumento de evaluación asoció los 10 dominios de control con las 8 zonas de servicios: Cumplimiento de normas y estándares; Sistemas operativos; Software; Comunicaciones y redes; Base de datos; Procesos; Aplicaciones; Física. Esta asociación fue una variante del modelo propuesto por Silva y Bracho, como metodología de selección de herramientas colaborativas. Los resultados obtenidos mostraron que la seguridad ofrecida sobre el cumplimiento de los distintos elementos a proteger de los servicios que son administrados desde y hacia el Edificio Grano de Oro fue del 75,14%. Finalmente se expuso un plan de acción que permite corregir y prevenir potenciales problemas en el corto, mediano y largo plazo.
Palabras Clave: Auditoria; Seguridad; Telemática; RedFEC; ISO 17799-2005
ABSTRACT
The present study evaluated the telematic safety that offers the voice, data and video network of the Experimental Faculty of Science (FEC) at the University of Zulia (LUZ). We performed an internal security auditory of the Telematic Service, on the area where it is managed and distributed the main service of RedFEC: Grano de Oro Building. A report generated by the unit of Computer Services and Telematics of the FEC was used as starting point, which focuses on the current status of the network, including the period from 2004 to 2006. The PIATTINI and DEL PESO methodology was used, applying as recollection tool, structured interviews with the heads of each area that have physical presence in Grano de Oro Building. An approach provided by ISO 17799-2005 was applied, covering 10 domains of control: Security policies, organizational structure, classification and control of assets; Security-related personnel; Physical and environmental security, management and communications operations; Access Control; Development and maintenance of systems; Management Business continuity; Compliance. The assessment tool partnered the 10 domains of control with 8 service areas: Compliance with regulations and standards; OS, Software, Communications and networking; Database; Processes; Applications; Physics. This association was a variant of the model proposed by BRACHO and SILVA, as a methodology for selecting collaborative tools. The results showed that the security offered based on the compliance of the different elements to protect the services that are administered from and to the Grano de Oro Building was 75.14%. Finally, a plan of action was exposed that enables to correct and prevent potential problems in the short, medium and long term.
Key words: Audit; Security; Telematics; RedFEC; ISO 17799-2005
*Unidad de Redes e Ingeniería Telemática. Departamento de Computación. Facultad
Experimental de Ciencias. Universidad del Zulia. Teléfono: (0261)-7597748. Fax: (0261)
7597735. Correo electrónico: drbracho@luz.edu.ve Maracaibo, Venezuela. 4001
Consejo Central de Pregrado. Vicerrectorado Académico. Universidad del Zulia. Teléfono:
(0261)-7596824. Fax: (0261) 7596825. Correo electrónico: nsilva@luz.edu.ve. Maracaibo,
Venezuela. 4001
INTRODUCCIÓN
La Universidad del Zulia, como institución de educación superior pública, inició
un proceso de adecuación tecnológico, específicamente en cuanto al servicio
telemático en el año 2001 con la consolidación de la RedLUZ, acercando a su
comunidad a ésta por medio de la puesta en marcha de servicios telemáticos
innovadores y de vanguardia dirigidos a atender la investigación, docencia,
extensión y administración a un público tan diverso como lo son: estudiantes,
personal docente y de investigación, administrativo, obrero y público en general.
La RedLUZ es la red de voz, datos y video que sirve a todo el campus
universitario de LUZ, conformadas por núcleos que sirven a zonas específica,
encontrándose la RedFEC como uno de esos núcleos y es a su vez quien provee de
servicio de datos, voz y video a la comunidad que hace vida en la Facultad
Experimental de Ciencias.
Según Acurero y Ferrer (2007) la RedFEC posee una topología tipo estrella
extendida cuyo nodo principal esta ubicado en TV-Educativa, el cual suministraseñal a los siguientes segmentos: Módulo 1, Módulo III y Grano de Oro; que a su
vez distribuyen a otros segmentos secundarios: Módulo II, Secretaría Docente,
FORGAD, Bienes, Bloque A1 y Bloque A2.
Los objetivos fundamentales de la RedFEC son:
• Brindar soporte a nivel de cómputo científico intensivo, comunicación y
procesamiento electrónico de textos e imágenes (estáticas y dinámicas), el
tratamiento analítico, numérico y/o simbólico de funciones y ecuaciones
matemáticas en general y el desarrollo de visualización gráfica de alta resolución.
• Incorporar nuevas tecnologías de "Software y Hardware" requeridas en Redes
de Computación.
• Persigue la formación del personal técnico apropiado para la gerencia y
administración de redes de computación con orientación científica.
Otros objetivos generales como son:
• Adecuar el buen funcionamiento de los mismos al cumplimiento de un marco
legal que regula el ámbito de las Tecnologías de Información, como lo son: Ley
Orgánica de Ciencia y Tecnología, Ley de Mensaje de Datos y Firmas Electrónicas,
Decreto Uso de Software Libre en la Administración Pública, Decreto 825.
• Integrar la plataforma a proyectos nacionales de VoIP, Internet2, gobierno
electrónico, entre otros.
Sin embargo, problemas propios y derivados inciden en la seguridad, eficiencia y
cumplimiento de los objetivos anteriormente mencionados. Entre los problemas
propios se cuenta con: áreas físicas no integradas a la RedLUZ, equipos obsoletos,
aplicaciones heterogéneas incompatibles, servicios telemáticos que consumen
demasiados recursos computacionales, migraciones y crecimiento no planificado,
son factores que han contribuido la exposición de la misma y entre los problemas
derivados se tiene: subordinación a una estructura superior administrativa (RedLUZ)
que limita la capacidad de respuesta ante situaciones de mantenimiento
planificados, no planificados y planes de contingencia.
Adicionalmente se cuenta con una serie de razones que fueron identificadas por
Acurero y Ferrer (2007):
• Áreas sin servicios que requieren de la distribución de la RedLUZ.
• La administración de los equipos activos de la RedFEC es responsabilidad del
personal de Telecomunicaciones adscrito a RedLUZ.
• Tener una visión distinta a las autorizadas por la Facultad Experimental de
Ciencias y de la Universidad del Zulia.
Buandes (2002) por su parte, expone otra serie de razones que pueden
catalogarse como de generales:
Síntoma de inseguridad orientado hacia la evaluación del nivel de riesgos
asumido.
• Síntoma de descoordinación y desorganización al no coincidir los objetivos
telemáticos e informáticos de la RedLUZ con los de la RedFEC.
• Estándares de productividad desviados sensiblemente de los promedios
conseguidos habitualmente.
• Síntoma de debilidad económico - financiero básicamente como consecuencia
de la ausencia total de un plan estratégico informático que contribuya a la
sustitución o adecuación oportuna de los equipos o software de la organización.
La realización de auditorias son muy comunes en organizaciones, empresas,
instituciones que desean conocer el cumplimiento de los objetivos estratégicos y
operacionales propuesto con la situación actual, así como medir si la función del
servicio telemático fue, es y será seguro, incluso desde el punto de vista de
rentabilidad.
La importancia que ha adquirido la RedFEC en los últimos años como
consecuencia de la cantidad de servicios que por ella transitan y la dependencia de
los usuarios de éstos, hace oportuno realizar una auditoria de seguridad telemática
que comprendió no sólo la evaluación de los equipos de cómputo y transmisión, de
un sistema o procedimiento específico, sino que evaluó los sistemas telemáticos en
general desde sus entradas, procedimientos, controles, archivos, obtención de
información y en especial de la seguridad que brinda, en el área de mayor
relevancia, como lo es el Edificio Grano de Oro.
Para el caso de auditoría a realizar a la RedFEC, resultó conveniente aplicar la
metodología de Piattini y Del Peso (2001), haciendo uso de la norma ISO 17799 –
2005 ya que ésta contempla de forma integral todos los elementos de la seguridad
relevantes dentro de una organización, la cual a su vez depende significativamente
del servicio telemáticos, utilizando como instrumento de evaluación una adaptación
de contenido en la metodología de Bracho y Silva (2007) y como instrumento de
recolección de datos la encuesta.
Finalmente, la estructuración de los aportes de este artículo está apoyada en
una revisión documental que permitió utilizar una metodología que utiliza un modelo
de métrica que consideró los factores particulares de la RedFEC. Este trabajo
concluye con una visión general sobre la seguridad en la RedFEC y del plan de
mejoras como instrumento de control gerencial y pretende convertirse en una guía
de referencia para desarrollo de nuevas auditorias, sirve de divulgación y
transferencia de conocimientos a través de la línea de investigación Gestión del
Riesgo Telemático.
AUDITORIA TELEMÁTICA
Dentro del ciclo de vida de los sistemas y servicios telemáticos, sobresalen los
procesos principales, los de la organización y los de soporte. Dentro de los procesos de soporte se encuentra la auditoría. A continuación se define y tipifica el tipo de
auditoria; la norma ISO 17799 – 2005, metodología, instrumento de evaluación y
modelos de encuestas.
1.- Definición y Tipo de Auditoria
Según Buandes (2002) la auditoria temática es el conjunto de técnicas,
actividades y procedimientos, destinados a analizar, evaluar, verificar y recomendar
en asuntos relativos a la planificación, control, eficacia, seguridad y adecuación del
servicio telemático en la empresa, por lo que comprende un examen metódico,
puntual y discontinuo del servicio telemático, con vistas a mejorar en cuanto a:
rentabilidad; seguridad y eficacia.
Martínez (2001) por su parte indica que la auditoria de seguridad telemática es
de tipo interna, ya que tiene como función principal la evaluación y revisión de los
sistemas y actividades que se dan en la organización desde el punto de vista de
“Control Gerencial”, verificando y comprobando que las directrices y políticas que
emanan de la dirección se están aplicando y de forma correcta.
La auditoria de seguridad telemática aplicada a la RedFEC es de tipo interna,
puesto que prevé revisar la función y el cumplimiento de las directrices que se
emanan desde la RedLUZ hacia la RedFEC y viceversa.
Martínez (2001) expresa que la seguridad de los sistemas de Información, se
define como la doctrina que trata de los riesgos informáticos – telemáticos,
entonces, la auditoría es una de las figuras involucradas en este proceso de
protección y preservación de la información y de sus medios de proceso y
transmisión.
Continúa Martínez (2001) diciendo que los niveles de seguridad informática en
una entidad es un objetivo a evaluar y está directamente relacionado con la calidad
y eficacia de un conjunto de acciones y medidas destinadas a proteger y preservar
la información de la entidad y sus medios de proceso.
Los elementos a considerar según MARTÍNEZ (2001) son:
• Amenaza: Una persona o cosa vista como posible fuente de peligro.
• Vulnerabilidad: La situación creada, por falta de uno o varios controles, con la que
amenaza pudiera acaecer.
• Riesgo: La probabilidad de que una amenaza llegue a acaecer por una
vulnerabilidad
• Exposición o impacto: La evaluación del efecto del riesgo.
Como elementos complementarios, PIATTINI y DEL PESO (2001) clasifica los
riesgos según la afectación que generan sobre los datos, siendo los siguientes:
errores de manipulación; fraudes intencionados; sabotajes; filtraciones; desastres naturales; accidentes generados por el entorno, y la forma de presentarse puede
ser: evitados, transferidos, reducirlos o asumirlos.
Por su parte, Echenique (2001) indica que se deben considerar la existencia de
cinco (5) factores que han permitido el incremento en lo crímenes por
computadoras:
• El aumento del número de personas que estudian computación o carreras
afines.
• El aumento del número de empleados que tienen acceso a los equipos de
computación.
• La facilidad del uso de los equipos de cómputo.
• El incremento en la concentración del número de aplicaciones y
consecuentemente, de la información.
• El incremento de redes y de las facilidades para utilizar las computadoras en
cualquier sitio y tiempo.
2.- Norma ISO 17799 - 2005
Según Alexander (2005) la norma ISO 17799 – 2005, está orientada a
establecer un sistema gerencial que permita minimizar el riesgo y proteger la
información en las empresas, de amenazas externas o internas.
Continua Alexander (2005) afirmando que la norma ISO 17799 – 2005, hace
énfasis particular en la información, ya que, esta es vista como un activo, que como
otros importantes activos del negocio, tiene valor para una empresa y
consecuentemente requiere ser protegida adecuadamente. Igualmente, procura
establecer mecanismos de seguridad de información, ya que se orienta a determinar
qué requiere ser protegido y por qué, de qué debe ser protegido y cómo protegerlo.
Por otra parte Villalón (2004) completa la información anteriormente
suministrada al indicar que la norma ISO 17799 – 2005, establece diez dominios de
control que cubren por completo la gestión de la seguridad de la Información.
• Política de seguridad: Dirige y brinda soporte a la gestión de la seguridad de la
información. Se mide a través de: documento de política y revisión y evaluación.
• Aspectos organizativos para la seguridad: Gestiona la seguridad de la
información dentro de la organización; mantiene la seguridad de los recursos de
tratamiento de la información y de los activos de información de la organización que
son accedidos por terceros; mantiene la seguridad de la información cuando la
responsabilidad de su tratamiento se ha externalizado a otra organización. Se mide
a través de: infraestructura de seguridad de información; seguridad en accesos de
terceras partes y externalización.
• Clasificación y control de activos: Mantiene una protección adecuada sobre
los activos de la organización; asegura un nivel de protección adecuado a los activos de información. Se mide a través de: responsabilidades sobre los activos y
clasificación de la información.
• Seguridad ligada al personal: Reduce los riesgos de errores humanos, robos,
fraudes o mal uso de las instalaciones y los servicios; asegura que los usuarios son
conscientes de las amenazas y riesgos en el ámbito de la seguridad de la
información, y que están preparados para sostener la política de seguridad de la
organización en el curso normal de su trabajo; minimiza los daños provocados por
incidencias de seguridad y por el mal funcionamiento, controlándolos y aprendiendo
de ellos. Se mide a través de: seguridad en la definición de los puestos de trabajo;
capacitación de los usuarios y respuesta ante incidentes de seguridad.
• Seguridad física y del entorno: Evita accesos no autorizados, daños e
interferencias contra los locales y la información de la organización; evita pérdidas,
daños o comprometer los activos así como la interrupción de las actividades de la
organización; Previene las exposiciones a riesgo o robos de información y de
recursos de tratamiento de información. Se mide a través de: áreas seguras;
seguridad de los equipos y controles generales.
• Gestión de comunicaciones y operaciones: Asegura la operación correcta y
segura de los recursos de tratamiento de información; minimiza el riesgo de fallos
en los sistemas; protege la integridad del software y de la información; mantiene la
integridad y la disponibilidad de los servicios de tratamiento de información y
comunicación; asegura la salvaguarda de la información en las redes y la protección
de su infraestructura de apoyo; evita daños a los activos e interrupciones de
actividades de la organización; previene la pérdida, modificación o mal uso de la
información intercambiada entre organizaciones. Se mide a través de:
procedimientos y responsabilidades; planificación del sistema; gestión de respaldos;
protección de código malicioso; gestión de redes; uso y seguridad de soportes e
Intercambios de información.
• Control de accesos: Controla los accesos a la información; evita accesos no
autorizados a los sistemas de información; evita el acceso de usuarios no
autorizados; Protege los servicios en red; evita accesos no autorizados a
ordenadores; evita el acceso no autorizado a la información contenida en los
Sistemas; detecta actividades no autorizadas; garantiza la seguridad de la
información cuando se usan dispositivos de informática móvil y teletrabajo. Se mide
a través de: requerimientos; gestión de acceso usuarios; responsabilidad usuarios;
control de acceso a la red; control de acceso al sistema operativo; control acceso a
aplicaciones; seguimiento de accesos y usos e Informática móvil y teletrabajo.
• Desarrollo y mantenimiento de sistemas: Asegura que la seguridad está
incluida dentro de los sistemas de información; evita pérdidas, modificaciones o mal
uso de los datos de usuario en las aplicaciones; protege la confidencialidad,
autenticidad e integridad de la información; asegura que los proyectos de
Tecnología de la Información y las actividades complementarias son llevadas a cabo
de una forma segura; mantiene la seguridad del software y la información de la aplicación del sistema. Se mide a través de: requerimientos de seguridad; seguridad
en aplicaciones; controles criptográficos; seguridad de ficheros sistema; seguridad
desarrollo y soporte.
• Gestión de continuidad del negocio: Respuesta a la interrupción de
actividades del negocio y protege los procesos críticos frente grandes fallos o
desastres. Se mide a través de: proceso de la gestión de continuidad; análisis de
impacto; plan de Contingencia (PNC); planificación PNC; pruebas y mantenimiento
PNC
• Conformidad con la legislación: Evita el incumplimiento de cualquier ley,
estatuto, regulación u obligación contractual y de cualquier requerimiento de
seguridad; garantiza la alineación de los sistemas con la política de seguridad de la
organización y con la normativa derivada de la misma; maximiza la efectividad y
minimizar la interferencia de o desde el proceso de auditoría de sistemas. Se mide a
través de: cumplimiento de los requerimientos legales; revisiones de la política de
seguridad y de conformidad técnica; consideraciones sobre la auditoría de sistemas.
De estos diez (10) dominios se derivan treinta y seis (36) objetivos de control
(resultados que se esperan alcanzar mediante la implementación de controles) y
ciento veintisiete (127) controles (prácticas, procedimientos o mecanismos que
reducen el nivel de riesgo).
3.- Metodología
Se utilizó la metodología de Piattini y Del Peso (2001) como enfoque genérico,
aplicando para ello la norma ISO 17799 – 2005 como parte de los elementos a ser
evaluados. Al mismo tiempo, se usó una adaptación del modelo de instrumento de
evaluación propuesto en la metodología de Bracho y Silva (2007) para la medición
de los valores. Se aplicaron como técnicas de recolección de información:
entrevistas estructuradas, revisión de documentos, entre otros.
El área objeto de estudio fue la seguridad y contándose únicamente con una (1)
sola área física auditada, la cual fue el Edificio Grano de Oro.
3.1.- Metodología de PIATTINI
La metodología de Piattini y Del Peso (2001), consiste en identificar la existencia
de unos controles establecidos o estandarizados, evaluando el riesgo potencial
existente como consecuencia de la ausencia de controles o deficiencia de los
sistemas. Estos riesgos deberán ser cuantificados y valorados, de forma tal que,
permitan determinar el nivel de fiabilidad que ofrece el sistema sobre la exactitud,
integridad y procesamiento de la información, para ello se aplica las técnicas de
control que deben minimizar e riesgo, orientadas a las entradas, procesos y salida.
Estás técnicas pueden ser: entrevistas, revisiones de documentos, evaluación de
riesgo y controles, pruebas de cumplimientos, entre otras. Seguidamente se deben
realizar pruebas, las cuales están orientadas a la obtención de evidencias, que deben validarse sobre la base de los siguientes propiedades: pertinencia,
fehaciente, verificable e interrelacionadas con otros resultados. Finalmente se
deben concluir los resultados sobre la base de los resultados obtenidos.
Piattini y Del Peso (2001), propone que todo sistema puede ser evaluado en
función de los siguientes componentes:
• Normas y estándares.
• Sistemas Operativos.
• Software.
• Comunicación y Redes.
• Base de Datos.
• Procesos.
• Aplicaciones.
• Física.
3.2.- Adaptación del Modelo de Instrumento de Evaluación de la Metodología
de Bracho
La adaptación contempló establecer una matriz para la cual las categorías en el
modelo original fueron adaptadas por los componentes que la metodología de
PIATTINI indica, e identificadas ahora como segmentos, quedando conformada la
matriz por ocho (8) segmentos. Los segmentos debieron ser ponderados en
importancia utilizando un máximo de cien (100) para distribuir entre ellos. Cada
segmento se dividió en subcategorías, tal cual como fue planteado en el modelo
original, sin embargo, fueron adaptadas por los diez (10) dominios de control,
identificados ahora como secciones. Las secciones fueron ponderadas sobre un
máximo de veinte (20) puntos para distribuir entre ellas.
Cada sección posee varios ítems que fueron valorados en un rango de cero (0)
puntos (ausencia total) a cinco (5) puntos (presencia absoluta). La suma total de los
puntajes correspondientes a los ítems de cada sección (a) se divide entre el valor
máximo posible a obtener en cada una de ella (b).
De esto se obtiene un valor proporcional entre 0 y 1 (c). Este resultado se
multiplica por el valor ponderado asignado a la sección (d). Luego, se calcula la
sumatoria de los valores (e) de cada sección y se divide entre el valor máximo
ponderado para las secciones veinte (20), de lo cual se obtiene (f). Seguidamente
se multiplica el valor (f) por el valor de ponderación de cada segmento, obteniendo
así el valor (g).
Para obtener el valor final se debió calcular el promedio aritmético entre los
valores (g) de cada segmento.
Tabla N°1 Instrumento de Evaluación
Fuente: Adaptación del Modelo de Instrumento de Evaluación de la
Metodología de Bracho y Silva (2007).
3.2.1.- Modelo de Entrevista Estructurada
A continuación se muestra el modelo de entrevistas aplicado por igual a todos
los segmentos, pero que evaluó únicamente las secciones 1 y 2.
Tabla Nº 2 Sección 1: Política de Seguridad de la Información – Subsección 1.1
Fuente: Elaboración Propia (2007).
Tabla Nº 3 Sección 1: Política de Seguridad de la Información – Subsección 1.2
Fuente: Adaptación Palacios (2005).
Tabla Nº 4 Sección 2: Estructura Organizativa – Subsección 2.1
Fuente: Adaptación Palacios (2005).
Tabla Nº 5 Sección 2: Estructura Organizativa – Subsección 2.2
Fuente: Adaptación Palacios (2005).
Tabla Nº 6 Sección 2: Estructura Organizativa – Subsección 2.3
Fuente: Adaptación Palacios (2005).
Tabla Nº 7 Activo según Nivel de Importancia
Fuente: Elaboración Propia (2007).
Tabla Nº 8 Identificación de Amenazas
Fuente: Adaptación PALACIOS (2005).
Tabla Nº 9 Detalle de la Importancia de cada Activo
Fuente: Adaptación Palacios (2005).
Tabla Nº 10 Contramedida
Fuente: Adaptación PALACIOS (2005) 4.- Resultado de la Evaluación del Edificio Grano de Oro
Tabla Nº 11 Ponderación de los Segmentos
Fuente: Metodología de Piattini y Del Peso (2001)
Tabla Nº 12 Ponderación de las secciones del segmento 1
Fuente: Metodología de Piattini y Del Peso (2001)
Tabla Nº 13 Ponderación de las secciones del segmento 2
Fuente: Metodología de Piattini y Del Peso (2001)
Tabla Nº 14 Ponderación de las secciones del segmento 3
Fuente: Metodología de Piattini y Del Peso (2001)
Tabla Nº 15 Ponderación de las secciones del segmento 4
Fuente: Metodología de Piattini y Del Peso (2001)
Tabla Nº 16 Ponderación de las secciones del segmento 5
Fuente: Metodología de Piattini y Del Peso (2001)
Tabla Nº 17 Ponderación de las secciones del segmento 6
Fuente: Metodología de Piattini y Del Peso (2001)
Tabla Nº 18 Ponderación de las secciones del segmento 7
Fuente: Metodología de Piattini y Del Peso (2001)
Tabla Nº 19 Ponderación de las secciones del segmento 8
Fuente: Metodología de Piattini y Del Peso (2001)
Tabla Nº 20 Resultados de las secciones por segmento
Luego de haber realizado el análisis detallado sobre los valores arrojado por
cada segmento, los resultados fueron los siguientes, aplicando la adaptación del
modelo de instrumento de evaluación de la metodología de Bracho y Silva (2007):
Segmento 1: Seguridad de Cumplimiento de Normas y Estándares. Ver Tabla
N°12 y Tabla N° 20 columna 1.
Porcentaje de Cumplimiento = (((3)*(96,50%)) + ((1)*(72,33%)) + ((2)*(90,00%)) +
((1)*(96,67%)) + ((1)*(96,67%)) + ((2)*(89,00%)) + ((3)*(97,00%)) +
((0)*(100,00%)) + ((3)*(96,00%)) + ((2)*(80,00%))) / 20 = 1652,17 / 20 = 82,60%.
Segmento 2: Seguridad de Sistema Operativo. Ver Tabla N° 13 y Tabla N°20
columna 2.
Porcentaje de Cumplimiento = (((0)*(83,50%)) + ((1)*(22,33%)) + ((2)*(85,00%)) +
((0)*(80,00%)) + ((0)*(83,33%)) + ((4)*(78,57%)) + ((5)*(79,00%)) +
((2)*(100,00%)) + ((3)*(72,00%)) + ((3)*(33,33%))) / 20 = 1417,60 / 20 = 70,88%.
Segmento 3: Seguridad de Software. Ver Tabla N°14 y Tabla N°20 columna 3.
Porcentaje de Cumplimiento = (((0)*(100,00%)) + ((1)*(39,00%)) + ((2)*(100,00%))
+ ((1)*(80,00%)) + ((3)*(83,33%)) + ((4)*(78,57%)) + ((2)*(79,00%)) +
((0)*(100,00%)) + ((4)*(72,00%)) + ((3)*(33,33%))) / 20 = 1429,26 / 20 = 71,46%.
Segmento 4: Seguridad de Comunicaciones y Redes. Ver Tabla N° 15 y Tabla
N°20 columna 4.
Porcentaje de Cumplimiento = (((1)*(83,50%)) + ((1)*(22,33%)) + ((1)*(85,00%)) +
((2)*(100,00%)) + ((3)*(83,33%)) + ((4)*(69,28%)) + ((3)*(60,00%)) +
((1)*(80,00%)) + ((2)*(100,00%)) + ((2)*(66,67%))) / 20 = 1511,28 / 20 = 75,56%.
Segmento 5: Seguridad de Base de Datos. Ver Tabla N° 16 y Tabla N°20
columna 5.
Porcentaje de Cumplimiento = (((1)*(83,50%)) + ((0)*(22,33%)) + ((3)*(85,00%)) +
((3)*(80,00%)) + ((4)*(83,33%)) + ((2)*(65,71%)) + ((2)*(90,25%)) +
((0)*(100,00%)) + ((2)*(76,00%)) + ((3)*(33,33%))) / 20 = 1475,73 / 20 = 73,78%.
Segmento 6: Seguridad de Procesos. Ver Tabla N° 17 y Tabla N°20 columna 6.
Porcentaje de Cumplimiento = (((1)*(83,50%)) + ((1)*(22,33%)) + ((2)*(85,00%)) +
((1)*(74,00%)) + ((1)*(75,00%)) + ((2)*(87,00%)) + ((6)*(94,28%)) + ((2)*(80,00%))
+ ((2)*(80,00%)) + ((2)*(66,67%))) / 20 = 1617,85 / 20 = 80,89%.
Segmento 7: Seguridad de Aplicaciones. Ver Tabla N ° 18 y Tabla N°20 columna
7.
Porcentaje de Cumplimiento = (((0)*(83,50%)) + ((0)*(22,33%)) + ((4)*(58,50%)) +
((2)*(89,00%)) + ((0)*(58,33%)) + ((3)*(75,00%)) + ((1)*(91,25%)) +
((6)*(100,00%)) + ((2)*(20,00%)) + ((2)*(33,33%))) / 20 = 1434,91 / 20 = 71,74%.
Segmento 8: Seguridad de Física. Ver Tabla Nº19 y Tabla Nº20 columna 8.
Porcentaje de Cumplimiento = (((2)*(83,50%)) + ((2)*(36,67%)) + ((2)*(80,00%)) +
((3)*(91,33%)) + ((1)*(88,33%)) + ((0)*(70,00%)) + ((3)*(20,00%)) +
((1)*(100,00%)) + ((3)*(80,00%)) + ((3)*(90,00%))) / 20 = 1432,04 / 20 = 71,60%.
Una vez obtenido el resultado de cada segmento es necesario mostrar el
resultado del área en cuestión, ver Tabla Nº 9 y resultado anteriores arrojados por
segmento.
Porcentaje de Cumplimiento = (((20)*(82,60%)) + ((5)*(70,88%)) +
((5)*(71,46%)) + ((20)*(75,56%)) + ((5)*(73,78%)) + ((5)*(80,89%)) +
((15)*(71,74%)) + ((25)*(71,60%))) / 100 = 7514,35 / 100 = 75,14%.
CONCLUSIONES
El Edificio Grano de Oro, correspondiente al área auditada de la RedFEC
presenta a nivel general sólidos argumentos que permiten asegurar que existe un
cumplimiento de las disposiciones a nivel administrativo y operativo en lo que
compete a la seguridad del servicio telemático, superando los promedios
establecidos, tal y como se muestra en el gráfico Nº 1.
Gráfico N°1 Seguridad del Edifico Grano de Oro
Fuente: Elaboración Propia (2008).
De igual forma, el Gráfico Nº 1 muestra que no existen segmentos de
atención urgente pero ello no debe ser garantía absoluta que no se pueda
vulnerar la seguridad del Edificio Grano de Oro, lo cual obliga a realizar
mantenimientos periódicos que aseguran que las vulnerabilidades sean pocas y
conocidas.
Plan de Acción: que comprende acciones a corto, mediano y largo plazo.
Acciones a Corto Plazo:
• Diseñar, ejecutar y revisar el Plan de Contingencia.
• Mejorar los mecanismos de seguridad física de las instalaciones a través de
protecciones físicas (ubicación del centro de proceso, servidores, terminales,
portátiles; diseño, estructura, construcción y distribución de edificios; amenazas
de fuego; controles de detección basados en horario; contenido de carteras,
bolsos, cajas; protección de soportes magnéticos y ópticos) y protecciones
lógicas (biometría; contraseñas; controles existentes para evitar y detectar
caballos de Troya; no cesión, uso individual y responsable de cada usuario;
sistemas de identificación únicos).
• Incorporar sistemas de controles de accesos a las áreas físicas y sistemas de
vigilancia bajo circuito cerrado remoto.
• Solicitar y conocer los resultados de las auditorías que permitan evaluar la
mejora en situaciones globales y específicas del servicio y seguridad de la
RedFEC, además de la redacción de los procedimientos de control en el área de
seguridad lógica; la aprobación de nuevos sistemas de gestión, la evaluación de
los riesgos de los sistemas de información y las pruebas del plan de continuidad
del negocio.
• Conocer los procesos y empresas que fungen como externas que están
autorizadas para prestar servicios en la RedFEC, para que los costos propuesto
para los servicios sea razonable, los mecanismos de seguridad está
especificados en el contrato, los servicios contratados están basados en un
análisis de las necesidades del negocio y el acceso de la auditoría a la RedFEC
esté permitido conforme al contrato.
• Solicitar los permisos respectivos para adquirir una licencia académica con
Microsoft y Symantec que garantice la actualización de los productos de software
operativos, escritorio y antivirus presente en la ReFEC ó migrar de forma
inmediata toda la plataforma operativa a software libre que no dejen abiertas
vulnerabilidades como consecuencia de actualizaciones no realizadas para dar
cumplimiento al decreto con rango de Ley del uso de Software Libre en
Administración Pública Nº 3390.
• Utilizar el portal para difundir noticias sobre tips de seguridad que mantengan
a los usuarios informados y alertas.
• Realizar evaluaciones al servicio realizado por RedLUZ, Departamento de
Telecomunicaciones de LUZ, Centro de Computación y a las empresas externas.
• Revisar la bitácora (log) de todos los accesos a la información personal.
• Definir contraseñas iniciales y sucesivas, modo y vías de distribución; longitud
mínima y composición de caracteres; vigencia; control para no asignar las “X”
últimas; números de intentos; cifrado; cambio de las contraseñas iniciales.
• Definir contraseñas separada para las transacciones sensitivas, utilizando
claves de acceso de los usuarios robustas de 16 bits, con períodos de renovación
de tres (3) meses como mínimo a seis (6) como máximo.
• Activar las reglas de acceso al personal autorizado.
• Programar acceso al sistema, sobre la base de horas hábiles, personal activo,
entre otros.
• Registrar las actividades del usuario y de acceso a la comunicación de datos.
• Controlar todo lo posible sobre la seguridad de acceso, característica adscrita
al atributo de funcionalidad de calidad del software.
• Participar con el Centro de Computación, Departamento de
Telecomunicaciones de LUZ y RedLUZ la aprobación de la política de seguridad,
pruebas del software y equipos de comunicaciones a nivel de seguridad de
acceso del atributo de funcionalidad de calidad.
• Revisar los informes de disponibilidad del sistema, de coste-beneficio, de
tiempo de respuesta, de utilización de bases de datos.
• Evaluar la validez de los casos en que se hayan efectuado cambios de
contraseña, de la arquitectura de la aplicación cliente/servidor, de la arquitectura
y el diseño de la red y de la protección de los cortafuegos y los servidores Proxy.
• Revisar el registro de las actividades del usuario, de acceso a la
comunicación de datos.
• Verificar la autorización de usuario a nivel de campo, cambio de los archivos
de datos.
• Denegar el acceso máximo no autorizado si se revelara una contraseña.
• Restrigir los derechos de acceso a usuario estarían restringidos por los
parámetros adicionales de seguridad.
• Aumentar la carga de trabajo del administrador de seguridad.
• Utilizar sistemas de generación de electricidad que garantice la
autosuficiencia de los equipos principales ante la interrupción temporal del
servicio eléctrico externo.
• Llevar al día un inventario actualizado de los equipos telemáticos que están
bajo administración de la RedFEC.
• Realizar los respaldos de la data corporativa que es competencia de la
RedFEC y tenerlos distribuidos en varias localidades.
• Escanear los archivos adjuntos de correo electrónico en el servidor de correo.
• Establecer mecanismos de monitoreo consolidados y centralizados de todas
las áreas adscritas a la RedFEC de forma oportuna.
• Solicitar a RedLUZ y al Departamento de Telecomunicaciones administración
conjunta del nodo principal de la RedLUZ.
• Contar con llaves que permitan acceder al sitio físico para monitorear el buen
estado y protección de los equipos que allí reposan.
Acciones a Mediano Plazo:
• Revisar y actualizar las políticas de la RedFEC.
• Solicitar a la RedLUZ, Departamento de Telecomunicaciones de LUZ y Centro
de Computación mayor participación en los procesos de administración y gestión
del servicio telemático.
• Aplicar estándares para procesos específicos como los ISO 9126, ISO 9000 –
1, ISO 9000 – 2, ISO 9000 – 3, ISO 9000 – 4, ISO 8732, ISO 27001, ISO 14764,
ISO 15504, ISO 15288, ISO 14598, IEEE 12207.
• Continuar con los procesos de formación del personal técnico de la RedFEC.
• Incoporar a los usuarios a los procesos de formación técnicos básicos
telemáticos para disminuir el margen de error producto del desconocimiento o
ingenuidad.
• Conocer oportunamente de parte del Centro de Computación de los procesos,
procedimientos y mecanismos de seguridad incorporados en los distintos
productos de software para contribuir con desarrollos locales en la RedFEC que
sean homogéneos con los institucionales.
• Establecer modelos de calidad, métricas y ciclo de vida que permitan
determinar los recursos computacionales exigidos para cada aplicación en
desarrollo y uso, así como determinar oportunamente el momento de vida del
software (introductorio, desarrollo, madurez y obsolescencia), de forma tal que
sea posible conocer hasta donde soporta un producto informático nuevos
servicios y cuando debe sacarse de uso.
• Desarrollar en conjunto con RedLUZ, Centro de Computación y Departamento
de Telecomunicaciones de LUZ el Plan Maestro de Soporte a en cual se debe especificar: los distintos tipos de mantenimiento a ejecutar, pretende ser una guía
para la planificación, ejecución, control, revisión, evaluación y cierre del PMS,
provee un marco formal para que planes genéricos y específicos de
mantenimiento, puedan ser ejecutados, evaluados y adaptados, provee el entorno
conceptual, terminología y procesos para la aplicación consistente de la
tecnología (herramientas, técnicas y métodos) al Mantenimiento del Software
(MS), define las actividades y tareas del MS, y provee requerimientos para la
planificación del mantenimiento y es aplicable a situaciones de mantenimiento
internas de una organización o a situaciones con dos organizaciones
involucradas.
• Aprobar las actividades del DBA y segregación de funciones.
• Revisar los registros de acceso y actividades y del uso de las herramientas de
bases de datos.
• Aplicar las siguientes leyes: Ley Orgánica de Ciencia y Tecnología, Ley de
Mensaje de Datos y Firmas Electrónicas, Decreto Uso de Software Libre en la
Administración Pública, Decreto 825, entre otros, así como, los proyectos
nacionales de VoIP, Internet2, gobierno electrónico, entre otros.
• Conocer la percepción que los usuarios tienen de la RedFEC y del servicio
telemático.
• Restaurar sistemas a partir de copias limpias.
• Deshabilitar las unidades de diskettes y puertos USB vía BIOS.
• Realizar escaneo en línea con definiciones actualizadas de virus.
Acciones a Largo Plazo:
• Las dispuestas como situación ideal según la norma ISO 17799 – 2005, que
apliquen y que no hayan sido remendadas en acciones de corto y mediano plazo.
REFERENCIAS BIBLIOGRÁFICAS
ALEXANDER, Alberto (2005). Implantación del ISO 27001:2005. Sistemas de
Gestión de Seguridad de Información. Obtenido el 07 de febrero de 2007 en
http://www.centrum.pucp.edu.pe/excelencia/ensayos/ISO270012005_ysuImpl
antacion.pdf
ACURERO, Alfredo y FERRER Eugenio (2007). Informe Situación Actual REDFEC
2004 al 2006. Universidad del Zulia – Facultad Experimental de Ciencias
- REDFEC. 3, 9 – 10.
BRACHO, David y SILVA Neif (2007). Las herramientas colaborativas y
publicación de contenidos en ambientes Web: Claves del éxito en la Herencia
del Conocimiento trabajo presentado en la VI Conferencia Iberoamericana de
Sistemas, Cibernética e Informática (CISCI), Julio, Orlando, Estados Unidos.
BUANDES, Gabriel (2002). Auditoría Informática. Ingeniería del Software III.
Universidad de les Illes Balears. Obtenido el 3 de marzo de 2007 en
http://dmi.uib.es/~bbuades/auditoria/index.htm
ECHENIQUE, José (2001). 2. Auditoría Informática. 194.
MARTÍNEZ, Antonio (2001). Introducción a la Auditoría de los S.I. Auditoría y
Seguridad Informática. Universidad de Castilla - La Mancha. Obtenido el 09
de febrero de 2007 en http://alarcos.inf-cr.uclm.es/doc/Auditoria/auditoria.htm
PALACIOS, Rafael y SIERRA José y JARAUTA, Javier (2005). Seguridad
Informática: Capítulo 2: Análisis de Riesgo. Obtenido el 10 de abril de 2007 en
http://www.iit.upcomillas.es/palacios/seguridad/.
PIATTINI, Mario y DEL PESO, Emilio (2001). Seguridad de Sistemas de
Información: Parte 2ª. Introducción. Obtenido el 23 de febrero de 2007 en
http://alarcos.inf-cr.uclm.es/doc/Auditoria/index.htm.
VILLALÓN, Antonio (2004). Código de Buenas Prácticas de Seguridad UNEISO/
IEC 17799. El Sistema de Gestión de la Seguridad de la Información
Obtenido el 19 de febrero de 2007 en
http://www.criptored.upm.es/guiateoria/gt_m209d.htm
Refbacks
- No hay Refbacks actualmente.