DANNY ALEJANDRO GARZÓN ARISTIZABALrepository.udistrital.edu.co/bitstream/11349/2424/1... ·...
-
Upload
phungtuong -
Category
Documents
-
view
223 -
download
0
Transcript of DANNY ALEJANDRO GARZÓN ARISTIZABALrepository.udistrital.edu.co/bitstream/11349/2424/1... ·...
CREACIÓN, IMPLEMENTACION Y EVALUACIÓN DE LA POLÍTICA DESEGURIDAD DE BASE DE DATOS PARA LOS AMBIENTES DE PRODUCCIÓNDEL INSTITUTO COLOMBIANO PARA LA EVALUACIÓN DE LA EDUCACIÓN
"ICFES"
DANNY ALEJANDRO GARZÓN ARISTIZABAL
UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS
FACULTAD DE INGENIERÍA
INGENIERÍA DE SISTEMAS
BOGOTÁ D.C.
2015
CREACIÓN, IMPLEMENTACION Y EVALUACIÓN DE LA POLÍTICA DESEGURIDAD DE BASE DE DATOS PARA LOS AMBIENTES DE PRODUCCIÓNDEL INSTITUTO COLOMBIANO PARA LA EVALUACIÓN DE LA EDUCACIÓN
"ICFES"
DANNY ALEJANDRO GARZÓN ARISTIZABAL
CÓD. 20061020028
Documento de tesis presentado como modalidad de trabajo de grado para optar altítulo de ingeniero de sistemas.
Director:PhD. CARLOS ENRIQUE MONTENEGRO MARIN
UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS
PROYECTO CURRICULAR DE INGENIERÍA DE SISTEMAS BOGOTÁ D.C.
INGENIERÍA DE SISTEMAS
BOGOTÁ D.C.
2015
NOTA DE ACEPTACIÓN
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
DIRECTOR DE TESIS
__________________________________
JURADO
AGRADECIMIENTOS
En primer lugar quiero agradecer a mi familia, que siempre estuvo a mi lado cada
segundo apoyando e incentivando para que todo saliera bien durante el desarrollo
de esta tesis.
A los compañeros y compañeras del Instituto Colombiano para la evaluación de la
educación superior "ICFES". En especial a mi directora externa Erika Villamizar y
a mis compañeros de la universidad, que siempre aportaron con su conocimiento
en aquellos momentos que fue necesario preguntar. En especial a Freddy Orozco
quien siempre estuvo allí para aconsejarme y ayudarme a encontrar soluciones a
los problemas.
A los profesores del proyecto curricular de ingeniería de sistemas, en especial a mi
director de tesis Carlos Montenegro por creer y brindarme su apoyo en este
proyecto.
Y a todas esas personas que de alguna forma influyeron, aportaron e hicieron que
este sueño fuese realidad.
CONTENIDO
pág.
AGRADECIMIENTOS ............................................................................................. 4LISTA DE ILUSTRACIONES................................................................................... 7LISTA DE TABLAS.................................................................................................. 8INTRODUCCIÓN .................................................................................................. 101. PLANTEAMIENTO DEL PROBLEMA ............................................................ 112. JUSTIFICACIÓN ............................................................................................ 133. OBJETIVOS ................................................................................................... 15
3.1 Objetivo General ..................................................................................... 153.2 Objetivos Específicos.............................................................................. 15
4. ALCANCES Y LIMITACIONES ...................................................................... 164.1 Alcances ................................................................................................. 164.2 limitaciones ............................................................................................. 17
5. MARCO TEÓRICO ........................................................................................ 185.1 Norma ISO 27001 ................................................................................... 185.2 Seguridad en base de datos ................................................................... 195.3 Arquitectura de bases de datos .............................................................. 205.4 Oracle ..................................................................................................... 20
5.4.1 Arquitectura De Oracle ...................................................................... 205.5 SQL Injection .......................................................................................... 225.6 Imperva SecureSphere Database........................................................... 23
6. METODOLOGÍA ............................................................................................ 266.1 Planear.................................................................................................... 276.2 Hacer ...................................................................................................... 276.3 Verificar................................................................................................... 286.4 Actuar...................................................................................................... 28
7. CREACIÓN DE LA POLITICA........................................................................ 307.1 Fase 1: Planear....................................................................................... 30
7.1.1 Definición del objetivo y alcance de la política................................... 307.2 Fase 2: Hacer ......................................................................................... 31
7.2.1 Levantamiento del Inventario de Activos ........................................... 317.2.2 Activos de Información ...................................................................... 32
7.2.2.1 Activos asociados con la Información ......................................... 357.2.3 Análisis de riesgos, amenazas y vulnerabilidades............................. 38
7.2.3.1 Identificación de las amenazas ................................................... 397.2.3.2 Identificación de las vulnerabilidades. ......................................... 43
7.2.4 Establecimiento de controles para mitigar los riesgos amenazas yvulnerabilidades ............................................................................................. 44
7.3 Fase 3: Verificar ...................................................................................... 567.3.1 Establecer la medición de la eficacia de los controles....................... 567.3.2 Definición de los procedimientos, estándares, normas y políticas deuso que sustentan la política. ......................................................................... 597.3.3 Desarrollo de un plan de auditoria ..................................................... 63
7.4 Fase 4: Actuar......................................................................................... 647.4.1 Afinamiento a la definición de la política............................................ 647.4.2 Campaña de divulgación de la política .............................................. 64
8. CONCLUSIONES .......................................................................................... 68REFERENCIAS..................................................................................................... 69ANEXO A. Política de Seguridad de Bases de Datos ........................................... 71
LISTA DE ILUSTRACIONES
pág
Ilustración 1. Cantidad de empresas que han certificado el cumplimiento de lanorma ISO 27001 en los años 2007-2012 [6]........................................................ 19
Ilustración 2. Esquema de arquitectura de Oracle [7].......................................... 21
Ilustración 3. Topología de conexión del firewall de base de datos IMPERVA en elICFES [8]............................................................................................................... 24
Ilustración 4. Imagen de la campaña de divulgación de la política de base dedatos, acerca de los incidentes de seguridad........................................................ 66
8
LISTA DE TABLAS
pág
Tabla 1. Clasificación de los tipos de activos de información y relacionados con lainformación............................................................................................................ 32
Tabla 2. Clasificación de los tipos de activos de información y relacionados con lainformación............................................................................................................ 32
Tabla 3. Definición de los responsables de la información. .................................. 33
Tabla 4. Definiciones para determinar la criticidad de los activos respecto a laconfidencialidad, integridad y disponibilidad.......................................................... 34
Tabla 5. Organización de los objetos de la base de datos por su función dentro dela operación del instituto........................................................................................ 35
Tabla 6. Organización de los objetos de la base de datos por su función dentro dela operación del instituto........................................................................................ 36
Tabla 7. Activos relacionados con la información de tipo software. ...................... 36
Tabla 8. Activos relacionados con la información de tipo servicios....................... 37
Tabla 9. Activos relacionados con la información de tipo personas. ..................... 37
Tabla 10. Activos relacionados con la información de tipo otros........................... 38
Tabla 11. Amenazas por errores y fallos no intencionados. ................................. 41
Tabla 12. Amenazas relacionadas con ataques intencionados. ........................... 43
Tabla 13. Vulnerabilidades de los activos asociados con las bases de datos. ..... 44
Tabla 14. Controles incluidos en la definición de la política y su relación con lasamenazas que busca mitigar................................................................................. 50
Tabla 15. Controles incluidos en la definición de la política y su relación con lasvulnerabilidades que busca mitigar. ...................................................................... 51
Tabla 16. Controles incluidos en el firewall para mitigar las amenazas al interiordel data center....................................................................................................... 53
9
Tabla 17. Controles incluidos en el firewall para mitigar las vulnerabilidades alinterior del data center........................................................................................... 53
Tabla 18. Controles incluidos en el firewall para mitigar las amenazasprovenientes de conexiones externas al data center. ........................................... 55
Tabla 19. Controles incluidos en el firewall para mitigar las vulnerabilidadesprovenientes de conexiones externas al data center. ........................................... 55
Tabla 20. Medición de la eficacia de los controles implementados para mitigar laamenaza de abuso de privilegios de acceso......................................................... 58
10
INTRODUCCIÓN
El Instituto Colombiano para la Evaluación de la Educación "ICFES", es una
entidad especializada en ofrecer servicios de evaluación de la educación en todos
sus niveles, y en particular apoya al Ministerio de Educación Nacional en la
realización de los exámenes de Estado y en adelantar investigaciones sobre los
factores que inciden en la calidad educativa, para ofrecer información pertinente y
oportuna para contribuir al mejoramiento de la calidad de la educación.
El Instituto tiene bajo su responsabilidad realizar y evaluar los Exámenes de
estado de la educación Media (Saber 11°) y Superior (Saber Pro). También está al
frente de la evaluación periódica de la educación Básica (Saber 3°, 5°y 9°); y de la
participación, a nombre de Colombia, en las evaluaciones internacionales y
estudios comparativos regionales [1].
Por la naturaleza de sus actividades la información es el principal activo para el
instituto; lo que pone como eje central de las actividades las bases de datos, la
forma en que estas son gestionadas y la información allí contenida. Por este
motivo además de la obligación de cumplir la normatividad vigente de la protección
de datos personales. Ley Estatutaria 1581 de 2012. El ICFES ha descubierto la
necesidad de fortalecer la seguridad de las bases de datos, los sistemas que la
gestionan, los entornos de desarrollo que realizan transacciones sobre ella y los
usuarios que las acceden.
El presente documento está elaborado de conformidad con las normas IEEE para
trabajos escritos [2].
11
1. PLANTEAMIENTO DEL PROBLEMA
El instituto colombiano para la evaluación de la educación. ICFES cuenta
actualmente con un servidor en el cual se encuentran alojadas dos bases de datos
en ambientes separados. "Interactivo" y "Prisma" en estas bases de datos se
almacena la información de los resultados y los registros de las personas que han
presentado o están inscritos para presentar los exámenes de las pruebas: saber
3°, 5°, 9°, Pre-Saber 11°, saber 11°, validación del bachillerato, Saber Pro,
Concursos docentes, Policía Nacional y Evaluaciones internacionales.
Actualmente la información almacenada en la base de datos "Interactivo" cuenta
con registros de las pruebas que fueron realizadas desde el año 1978 hasta el
segundo semestre del año 2004. Año a partir del cual se empezaron a almacenar
los nuevos registros en la nueva base de datos "Prisma" hasta el segundo
semestre del 2014.
La información almacenada en la base de datos "interactivo" se ha venido
migrando a la base de datos "Prisma". Y el objetivo es migrar toda la información a
esta base de datos. Para la base de datos "interactivo" existe una política de
seguridad. Sin embargo para la nueva base de datos "Prisma" no se tiene
definida una política de seguridad.
Debido a que la base de datos Prisma y los sistemas que la gestionan permiten el
manejo de la información del ICFES y la información es uno de los principales
activos para el instituto es fundamental gestionar dicha información de manera
eficiente, efectiva y segura. Por esta razón se debe crear e implementar una
política de seguridad para las Bases de datos del ambiente Prisma que asegure
mantener la integridad, confidencialidad y disponibilidad de los sistemas. Para
cumplir con estos objetivos se definen los aspectos más importantes que deberá
contemplar dicha política:
12
Seguridad de la plataforma de las Bases de datos, Seguridad de los usuarios de la
base de datos, Seguridad de las contraseñas de las bases de datos, Seguridad de
las conexiones a las bases de datos, Integridad de las bases de datos, Auditoria
de las Bases de datos.
Otro aspecto de seguridad a tener en cuenta es que este servidor de base de
datos se encuentra en un data center externo a la entidad; lo cual implica riesgos
de fuga de información debido a que la empresa que provee el servicio de
instalaciones tiene las credenciales del usuario administrador de la base de datos.
Para apoyar con el cumplimiento y seguimiento de la política de seguridad de la
base de datos se ha adquirido una herramienta (Firewall perimetral de la base de
datos) llamada IMPERVA SecureSphere Database. Con la cual se busca
implementar y hacer seguimiento a las medidas de seguridad planteadas en la
definición de la política. Para mitigar las diferentes vulnerabilidades.
13
2. JUSTIFICACIÓN
Las bases de datos del instituto colombiano para la evaluación de la educación
ICFES almacenan datos sensibles como se define en la ley estatutaria 1581 de
2012 en la cual se entiende por datos sensibles aquellos que afectan la intimidad
del Titular o cuyo uso indebido puede generar su discriminación, tales como
aquellos que revelen el origen racial o étnico, la orientación política, las
convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones
sociales, de derechos humanos o que promueva intereses de cualquier partido
político o que garanticen los derechos y garantías de partidos políticos de
oposición así como los datos relativos a la salud, a la vida sexual y los datos
biométricos [3]. Para los cuales la ley exige que bajo ninguna circunstancia
pueden ser revelados. Además almacenan información acerca de puntajes de
varias asignaturas en diferentes niveles de educación, resultados de pruebas para
habilidades especificas, clasificación de instituciones educativas de todos los
niveles en Colombia, resultados de concursos docentes, resultados de exámenes
de la Policía Nacional e información acerca de la validación del bachillerato.
Información que hace que las bases de datos sean atractivas para cualquier
atacante.
Un servicio con deficiencias de seguridad puede resultar en un ataque que
consiga una denegación de servicio, que se cambie la página web de la compañía
o que se obtenga un control total de la red interna, es decir, una amenaza para
todos los clientes de la misma. Se pueden encontrar numerosos ejemplos de ello.
No es que no exista abundante documentación anterior al 2011, pero quizá dicho
año ha sido especialmente significativo en lo que se refiere a la popularización de
ataques dirigidos contra grandes compañías y entidades más allá del afán de lucro
o de obtención de “reputación” habitual entre los hackers “buenos”. Grupos
heterogéneos como Anonymous o Lulzsec consiguieron evitar los controles de
14
seguridad existentes en compañías y entidades de talla mundial, publicando
posteriormente los datos obtenidos [4].
Debido a la importancia de la información almacenada en las bases de datos del
ICFES este debe cumplir ciertos estándares de seguridad de la información como
el cumplimiento de la norma ISO 27001. Norma en la cual el ICFES busca obtener
una certificación de cumplimiento.
Para obtener esta certificación el instituto deberá implementar una serie de
políticas. Entre ellas una de seguridad de bases de datos; que contenga
procedimientos y controles a los cuales se les pueda hacer un seguimiento de
cumplimiento.
15
3. OBJETIVOS
3.1 Objetivo General
Crear, implementar y evaluar la política de seguridad de base de datos para el
ambiente Productivo del Instituto Colombiano para la Evaluación de la Educación
"ICFES".
3.2 Objetivos Específicos
Crear una política de seguridad que permita definir la correcta utilización de las
bases de datos del ambiente productivo del ICFES, estableciendo los
lineamientos de seguridad sobre la información que almacena el instituto.
Definir los procedimientos y protocolos que se deben seguir para el uso seguro
de las bases de datos del ambiente productivo.
Implementar la política de seguridad de base de datos del ambiente productivo
del ICFES apoyada por la herramienta IMPERVA Secure Sphere Database.
Configurar controles en el firewall de base de datos para realizar el
seguimiento y cumplimiento de la política de base de datos.
Verificar que los controles implementados en IMPERVA apoyen el
cumplimiento de la política de base de datos.
16
4. ALCANCES Y LIMITACIONES
4.1 Alcances
La finalidad del proyecto es definir una política de seguridad para las bases de
datos productivas del ICFES y realizar el seguimiento de la misma. Esta política
aplicará para el servidor de la base de datos productiva "Prisma" alojada en un
data center externo al instituto, los sistemas que la gestionan, los entornos de
desarrollo que realizan transacciones sobre ella y los usuarios activos en el
sistema gestor de base de datos Oracle 11g.
Para el desarrollo de este proyecto se deben realizar los siguientes entregables:
Documento con la definición de los alcances y objetivos de la política.
Documento con la clasificación de los activos de información de la base de
datos "Prisma".
Documento del inventario de la infraestructura que soporta la base de datos
"Prisma".
Documento con la descripción de los riesgos, amenazas y vulnerabilidades
asociados a los activos de información y la infraestructura que soporta la base
de datos "Prisma".
Documento con la descripción de los controles para mitigar los riesgos
amenazas y vulnerabilidades.
Documento que recopile la medición de la eficacia de los controles.
Documento con la definición de los procedimientos y normas que sustentan la
política.
Documento donde se describa un plan de auditoría para la política.
Documento final con la definición de la política con los ajustes sugeridos
después de la auditoria.
17
4.2 limitaciones
El tiempo dispuesto para la ejecución del proyecto es de 13 semanas de trabajo
(520 horas, calculadas a razón de 8 horas diarias de lunes a viernes) y no podrá
extenderse, debido a que es necesario tener la política afinada cuando se termine
el proceso de migración a la base de datos "Prisma" y los controles de seguridad
deben estar funcionando adecuadamente.
Otra limitación es el acceso físico al servidor de datos debido a que se encuentra
alojado en un data Center externo al instituto y la administración depende
exclusivamente del personal que éste disponga para dicho fin.
18
5. MARCO TEÓRICO
5.1 Norma ISO 27001
ISO 27001 es una norma internacional emitida por la Organización Internacional
de Normalización (ISO) y describe cómo gestionar la seguridad de la información
en una empresa. Esta norma puede ser implementada en cualquier tipo de
organización, con o sin fines de lucro, privada o pública, pequeña o grande. Está
redactada por los mejores especialistas del mundo en el tema y proporciona una
metodología para implementar la gestión de la seguridad de la información en una
organización. También permite que una empresa sea certificada; esto significa que
una entidad de certificación independiente confirma que la seguridad de la
información ha sido implementada en esa organización en cumplimiento con la
norma ISO 27001[5].
ISO 27001 se ha convertido en la principal norma a nivel mundial para la
seguridad de la información y muchas empresas han certificado su cumplimiento;
en la ilustración 1 se puede ver la cantidad de certificados en los últimos años [6]:
19
Ilustración 1. Cantidad de empresas que han certificado el cumplimiento de la
norma ISO 27001 en los años 2007-2012 [6].
5.2 Seguridad en base de datos
Las bases de datos están en todas partes. Es así de simple, son el almacén de la
información de uso diario para prácticamente todo. Almacenan datos bancarios,
médicos, el censo de la población, antecedentes penales y los datos de la
declaración de la renta. No hay ninguna organización o empresa que no haga uso
de un modo u otro de una base de datos, por lo que está claro que son una pieza
clave y jugosa para cualquier atacante, ante la que cualquier medida de protección
es poca. Esto no sería un gran problema si nuestras bases de datos se
encontraran guardadas en una caja de seguridad en un lugar desconocido, pero
entonces tampoco serían muy útiles. Las bases de datos forman parte de un
ecosistema desde el cual se permite el acceso a la información que contienen a
ciertos usuarios. Dentro de este ecosistema casi siempre encontramos un
aplicativo web, en la práctica la totalidad de servicios web utilizan de un modo u
otro una base de datos. Es por ello que ambos mundos están íntimamente
interrelacionados y por lo que cuando pensamos en seguridad no podemos
considerar dichos elementos como aislados [4].
20
5.3 Arquitectura de bases de datos
Existe un principio que formula que la base de datos más segura es la que mejor
se conoce. La elección debe ser un compromiso entre necesidad y funcionalidad
que ofrece cada arquitectura, y una vez hecha la elección entre la oferta del
mercado, estudiar en profundidad la misma para lograr un nivel óptimo de
seguridad [4].
Para el caso de las bases de datos del ICFES están diseñadas y gestionadas
bajo una arquitectura Oracle.
5.4 Oracle
Probablemente, Oracle es la base de datos más conocida y popular del mundo.
Una muestra de su popularidad es que se encuentra presente en 98 de las 100
industrias incluidas en el top 100 de Fortune. Fue uno de los primeros vendedores
del mercado y se ejecuta en una gran cantidad de plataformas, esto proporciona
un muy buen producto, lo que explica su popularidad. Sin embargo, ha tenido un
historial de problemas relacionado con la gran cantidad de funcionalidades que
proporciona. En especial, inyección de PL/SQL (el lenguaje de scripting
proporcionado por el producto) y desbordamientos de búfer en distintas partes de
código han sido algunos de los principales problemas históricos de este producto
[4].
5.4.1 Arquitectura De Oracle
Aunque la arquitectura específica para cada una de las versiones de Oracle es
distinta, existen una serie de conceptos que constituyen el esqueleto de una base
de datos Oracle heredados desde la versión 7 hasta las más recientes. esto
incluye la versión 11g [4], que es la versión que soporta las base de datos del
"ICFES" actualmente.
21
Ilustración 2. Esquema de arquitectura de Oracle [7].
En la ilustración 2. Se observan los participantes en una base de datos Oracle
como se definen en [7].
Proceso de usuario: Se conecta al servidor para interactuar con la base de
datos.
Proceso del servidor: Escucha los procesos de usuario y realiza las peticiones
a una instancia de la base de datos.
PGA (program global area): Memoria reservada para un proceso de usuario.
Se libera al morir la sesión.
Instancia: Conjunto de procesos tanto lógicos como de control para acceder a
los datos en sí, almacenados en ficheros físicos. Accede a una y sólo una base
de datos. Dentro de la instancia hay una serie de subprocesos como se
detallan en [7]:
SMON (system monitor): Recupera la instancia al arrancar la base de datos.
PMON (process monitor): Monitoriza los procesos de usuario y libera los recursos
que ocupan los mismos cuando acaban.
22
DBWR (database writer): Escribe los datos físicamente en los ficheros de logs de
redo cuando es necesario liberar dichos buffers de la instancia.
LGWR (LoG WRiter) nombrado a partir de la versión 7 como ARCH (archiver):
Una vez los archivos de logs de redo están llenos, escribe los datos en los
archivos correspondientes para liberar espacio.
CKPT (checkpoint process): Cada vez que se vacían los buffers y se escriben en
ficheros de logs, se produce un checkpoint. Este proceso es el encargado de
coordinar todas las operaciones correspondientes a dicho evento y guardar la
coherencia de la base de datos mediante la escritura de los datos en todos sus
archivos correspondientes y asegurando que las operaciones han tenido éxito.
RECO (recover): Elimina y limpia cualquier dato incoherente resultante de una
transacción distribuida fallida. Este proceso se incluye en la versión de Oracle 10g.
5.5 SQL Injection
Este es el tipo de ataque más común y popular hacia las bases de datos. Mediante
la inyección SQL un atacante podría realizar entre otras cosas las siguientes
acciones contra el sistema como se mencionan en [4].
Descubrimiento de información (information disclosure): Las técnicas de
inyección SQL pueden permitir a un atacante modificar consultas para acceder
a registros y/o objetos de la base de datos a los que inicialmente no tenía
acceso.
Elevación de privilegios: Todos los sistemas de autenticación que utilicen
credenciales almacenados en motores de bases de datos hacen que una
vulnerabilidad de inyección SQL pueda permitir a un atacante acceder a los
identificadores de usuarios más privilegiados y cambiarse las credenciales.
23
Denegación de servicio: La modificación de comandos SQL puede llevar a la
ejecución de acciones destructivas como el borrado de datos, objetos o la
parada de servicios con comandos de parada y arranque de los sistemas.
Asimismo, se pueden inyectar comandos que generen un alto cómputo en el
motor de base de datos que haga que el servicio no responda en tiempos útiles
a los usuarios legales.
Suplantación de usuarios: Al poder acceder al sistema de credenciales, es
posible que un atacante obtenga las credenciales de otro usuario y realice
acciones con la identidad robada o “spoofeada” a otro usuario.
5.6 Imperva SecureSphere Database
Es una solución que apoya la seguridad de las Bases de datos y brinda protección
a los datos sensibles. Permite visualizar la traza completa de los datos, Alerta o
bloquea ataques y solicitudes de acceso anormales en tiempo real. Restringe las
vulnerabilidades y derechos de acceso. permite la auditoria para hacer
seguimiento a los controles implementados y para cumplir con las políticas de
seguridad establecidas dentro de la organización [8].
Esta herramienta aporta unas características especiales que permite mejorar la
seguridad de las bases de datos las cuales se describen a continuación:
Detecta las vulnerabilidades del software comercial que gestiona las bases de
datos basado en la investigación del Imperva ADC.1 crea parches virtuales
para las vulnerabilidades detectadas reduciendo la ventana de exposición
Identifica los derechos de los usuarios excesivos e inactivos a los datos
sensibles
1Es una base de datos en la cual se almacena información acerca de la vulnerabilidades conocidasdel software comercial que permite la gestión de bases de datos como ORACLE, MYSQL,POSTGRES entre otros.
24
Acelera la respuesta a incidentes y la investigación forense con análisis
avanzados
Permite demostrar el cumplimiento normativo a través de procesos
automatizados, análisis y presentación de informes.
Esta solución consiste en instalar dos dispositivos entre los servidores de datos y
el switch que comunica los servidores con la red. El primer dispositivo es una
puerta de enlace (Gateway X2500) donde se realiza el monitoreo de la base de
datos. y el segundo es un dispositivo de administración centralizada. (Appliance
M150 MX). El cual cuenta con dos interfaces de manejo, de las cuales una de
ellas está dispuesta para la administración de la plataforma en la red LAN y la otra
interfaz se utiliza para el intercambio de gran cantidad de información de auditoría
y control entre los dispositivos. Estos dispositivos han sido instalados en modo
puente (Bridge mode), como se observa en la ilustración 3; Todo el tráfico pasa a
través del gateway, el cual lo monitorea y bloquea las conexiones maliciosas
descartando paquetes (Dropping) [8].
Ilustración 3. Topología de conexión del firewall de base de datos IMPERVA en el
ICFES [8].
25
El manejo de la herramienta IMPERVA SecureSphere Database se puede hacer
mediante la Interfaz gráfica de usuario: Se accede a ella a través de un socket2
especifico. y puede ser visualizada en cualquier navegador web. Esta interfaz
ofrece una visibilidad total del uso de la información, de las vulnerabilidades y de
los derechos de acceso.
2Combinación de una dirección IP y un puerto.
26
6. METODOLOGÍA
El proyecto al estar enfocado en apoyar el cumplimiento de un estándar de
seguridad propuesto por la Organización internacional para la estandarización
"ISO". Seguirá la metodología propuesta por esta organización para la
implementación de sistemas de gestión que permita llevar a cabo un plan de
mejora continua sobre el sistema. Esta metodología consiste en enfocar el
proyecto en un ciclo de vida PHVA.
El ciclo de vida de un proyecto es la serie de fases por las que atraviesa un
proyecto desde su inicio hasta su cierre. Las fases son generalmente secuenciales
y sus nombres y números se determinan en función de las necesidades de gestión
y control de la organización u organizaciones que participan en el proyecto, la
naturaleza propia del proyecto y su área de aplicación. Las fases se pueden dividir
por objetivos funcionales o parciales, resultados o entregables intermedios, hitos
específicos dentro del alcance global del trabajo o disponibilidad financiera. Las
fases son generalmente acotadas en el tiempo, con un inicio y un final o punto de
control. Un ciclo de vida se puede documentar dentro de una metodología. Se
puede determinar o conformar el ciclo de vida del proyecto sobre la base de los
aspectos únicos de la organización, de la industria o de la tecnología empleada
[9].
El ciclo de vida PHVA se basa en el circulo PDCA en ingles "Plan, do, check, act"
esto es, planificar, hacer, verificar, actuar. constituye una de las principales
herramientas de mejoramiento continuo en las organizaciones, utilizada
ampliamente por los sistemas de gestión de la calidad (SGC) con el propósito de
permitirle a las empresas una mejora integral de la competitividad, de los
productos ofrecidos, mejorado permanentemente la calidad, también le facilita
tener una mayor participación en el mercado. Por su dinamismo puede ser
utilizado en todos los procesos de la organización y por su simple aplicación, que
27
si se hace de una forma adecuada, aporta en la realización de actividades de
forma organizada y eficaz [10].
Para este proyecto se definen una serie de actividades para cada una de las
etapas del ciclo de vida sustentadas por unos entregables como recomienda el
pmbok [9]. Estos entregables se detallan en cada una de las etapas a
continuación.
6.1 Planear
En esta etapa se definirán los objetivos y los alcances de la política y como
lograrlos. se organizaran grupos de trabajo con los usuarios del Sistema gestor de
base de datos y se tendrán encuentra sus opiniones. Para finalizar esta etapa se
realizara un documento a manera de entregable que recopile dichas definiciones.
6.2 Hacer
Es la etapa de ejecución para lograr los objetivos propuestos en la etapa anterior.
para ello se realizaran los siguientes entregables:
levantamiento del Inventario de Activos de Información: es un documento
donde se especifica la clasificación de la información (pública, privada y
sensible) almacenada en la base de datos.
levantamiento del Inventario de la infraestructura que soporta la base de datos:
este documento contendrá la información de toda la infraestructura física
utilizada para la gestión de las bases de datos productivas del instituto
Análisis de riesgos, amenazas y vulnerabilidades: Para este entregable se
tendrán en cuenta los dos anteriores. en base en los cuales se hará un análisis
de los riesgos, las amenazas y las vulnerabilidades de seguridad a los cuales
está expuesto el sistema.
28
Establecimiento de controles para mitigar los riesgos amenazas y
vulnerabilidades: a partir del entregable anterior se definirán una serie de
controles para mitigar los hallazgos encontrados. y se configuraran aquellos
que sean pertinentes en el firewall de base de datos.
6.3 Verificar
Establecer la medición de la eficacia de los controles: Para cada uno de los
controles establecidos en la etapa anterior se debe definir una forma de medir
su eficacia y realizar un seguimiento
Definición de los procedimientos y normas que sustentan la política: Una vez
comprobada la eficacia de estos controles se deben documentar bajo un
procedimiento o norma para asegurar su difusión y cumplimiento dentro del
instituto
Desarrollo de un plan de auditoría: el ultimo entregable de esta etapa deberá
ser un plan de auditoría interna de la política para verificar su funcionamiento y
cumplimiento
6.4 Actuar
Para la etapa final del ciclo de vida del proyecto se debe realizar un análisis del
documento entregado de la auditoría interna y con base en este realizar el
afinamiento de los controles, normas o procedimientos y generar los siguientes
entregables.
Realizar afinamiento a la definición de la política: Con base en los hallazgos
expuestos por la auditoría interna se deben realizar las correcciones
pertinentes
29
Realizar campaña de divulgación de la política. Para la actividad final de esta
etapa se debe desarrollar la socialización y divulgación de la política entre los
funcionarios que interactúan con el sistema gestor de base de datos y se debe
generar un documento a manera de entregable con las opiniones más
relevantes.
30
7. CREACIÓN DE LA POLITICA
7.1 Fase 1: Planear
7.1.1 Definición del objetivo y alcance de la política
Teniendo en cuenta que la norma ISO 27001 define la seguridad de la información
como: "la preservación de la confidencialidad (asegurando que sólo quienes estén
autorizados pueden acceder a la información), integridad (asegurando que la
información y sus métodos de proceso son exactos y completos) y disponibilidad
(asegurando que los usuarios autorizados tienen acceso a la información y a sus
activos asociados cuando lo requieran)"[6].
El objetivo general de la política de base de datos establece que se mantengan
dichos criterios. Definiendo además que está política aplicara exclusivamente a la
base de datos de producción debido a la importancia de los datos que allí son
almacenados. Quedando establecido el objetivo general así: "Definir el correcto
uso de la base de datos del ambiente de producción, del Instituto Colombiano para
la evaluación de la educación "ICFES", estableciendo los lineamientos de
seguridad sobre dicha base de datos para asegurar que se mantenga la
integridad, confidencialidad y disponibilidad de la información allí almacenada"
[11].
Se limita y especifica la aplicación de esta política estableciendo el siguiente
alcance: "Esta política aplica para el servidor de la base de datos productiva
"Prisma" alojada en un data center externo al instituto, la infraestructura que
soporta la conectividad del servidor con la red del ICFES, los sistemas que la
gestionan, los entornos de desarrollo que realizan transacciones sobre ella y los
usuarios activos en el sistema gestor de base de datos Oracle." [11].
31
7.2 Fase 2: Hacer
7.2.1 Levantamiento del Inventario de Activos
La norma ISO 27001 establece en su dominio número siete la forma correcta de
gestionar los activos de información implementando cinco controles agrupados en
dos objetivos de control así [6]:
Responsabilidad sobre los activos
Inventario de activos.
Propiedad de los activos.
Uso aceptable de los activos.
Clasificación de la información
Directrices de clasificación.
Etiquetado y manipulado de la información.
Por esto se establecen las definiciones particulares para el caso del ICFES para la
correcta clasificación de los activos, información y responsabilidades y así evitar
confusiones por parte de los funcionarios. En la tabla 1 se presentan las
definiciones de los tipos de activos de información o relacionados con la
información.
32
Tabla 1. Clasificación de los tipos de activos de información y relacionados con la
información.
7.2.2 Activos de Información
Para la clasificación de la información se tendrá en cuenta los criterios descritos
en la tabla 2
Tabla 2. Clasificación de los tipos de activos de información y relacionados con la
información.
33
Para nombrar los responsables de los activos de información o relacionados con la
información se tendrá en cuenta las definiciones descritas en la tabla 3
Tabla 3. Definición de los responsables de la información.
Además de asociar los activos de información con las definiciones antes descritas,
se debe establecer un nivel de criticidad para cada activo respecto a la
confidencialidad, integridad y disponibilidad. Dicha criticidad será asignada
teniendo en cuenta las definiciones presentadas en la tabla 4.
ConfidencialidadCriterio Descripción Explicación
A Alto El conocimiento o divulgación no autorizada de la información quegestiona este activo impacta negativamente a los ciudadanos
M MedioEl conocimiento o divulgación no autorizada de la información quegestiona este activo impacta negativamente al menos un procesomisional del ICFES.
B BajoEl conocimiento o divulgación no autorizada de la información quegestiona este activo impacta negativamente a al menos un proceso deapoyo del ICFES
MB Muy Bajo El conocimiento o divulgación no autorizada de la información quegestiona este activo no impacta negativamente al ICFES
34
IntegridadCriterio Descripción Explicación
A Alto La pérdida de exactitud y estado completo del activo impactanegativamente la prestación del servicio a los ciudadanos
M Medio La pérdida de exactitud y estado completo del activo impactanegativamente a al menos un proceso misional del ICFES.
B Bajo La pérdida de exactitud y estado completo del activo impactanegativamente a al menos un proceso de apoyo del ICFES
MB Muy Bajo La pérdida de exactitud y estado completo del activo no impactanegativamente al ICFES
DisponibilidadCriterio Descripción Explicación
A AltoLa falta o no disponibilidad del activo de información impactanegativamente la prestación del servicio a los ciudadanos o impactanegativamente al ICFES
M Medio La falta o no disponibilidad del activo de información impactanegativamente a al menos uno de los procesos misionales del ICFES
B Bajo La falta o no disponibilidad del activo de información impactanegativamente a al menos un proceso de apoyo del ICFES.
MB Muy Bajo La falta o no disponibilidad del activo de información no impactanegativamente al ICFES
Tabla 4. Definiciones para determinar la criticidad de los activos respecto a la
confidencialidad, integridad y disponibilidad.
Basándose en estas definiciones se realiza el inventario de activos de información
y activos asociados con la información, relacionados con la base de datos
productiva del ICFES.
Para facilitar el análisis y mantenimiento de los activos estos se agrupan por su
naturaleza y función dentro de los procesos del instituto. Para el caso de los
activos de Información de la base de datos los objetos se agrupan en diferentes
esquemas como se muestra en la tabla 5.
Activo deinformación
Tipo deInformación Propietario Custodio Confidencialidad Integridad Disponibilidad
Esquemas coninformaciónpersonal
Nopublicable
Administradorde la base dedatos delICFES
SubdireccióndeInformación A A A
Esquemas coninformación de
Nopublicable
Administradorde la base de
Subdirecciónde M A A
35
Activo deinformación
Tipo deInformación Propietario Custodio Confidencialidad Integridad Disponibilidad
la logística delas pruebas
datos delICFES
Información
Esquemas deresultados
Semiprivada Administradorde la base dedatos delICFES
SubdireccióndeInformación M A A
Tabla 5. Organización de los objetos de la base de datos por su función dentro de
la operación del instituto.
7.2.2.1 Activos asociados con la Información
Teniendo en cuenta las definiciones de la tabla 1 los activos relacionados con la
información de la base de datos productiva de tipo hardware quedan agrupados
como se muestra en la tabla 6.
Activos relacionadoscon la Informaciónde tipo Hardware
Propietario Custodio Confidencialidad Integridad Disponibilidad
Servidores Dirección detecnología
ProveedorData Center A A A
Dispositivos delfirewall de base dedatos
Subdireccióndeinformación
ProveedorData Center A A M
Switch Dirección detecnología
ProveedorData Center A A A
Elementos deconexión entre losdispositivos de red
Dirección detecnología
ProveedorData Center A A A
Equipos de computoterminalesdestinados para laadministración de labase de datos enLevel 3
ProveedorData Center
ProveedorData Center
A A A
Equipos de computoterminalesdestinados para laadministración de labase de datos en elICFES
Subdireccióndeinformación
Subdireccióndeinformación A A A
36
Activos relacionadoscon la Informaciónde tipo Hardware
Propietario Custodio Confidencialidad Integridad Disponibilidad
Equipos de computode usuarios deDesarrollo
Subdireccióndeinformación
Subdireccióndeinformación
A A A
Equipos de computode usuarios deSoporte yMantenimiento delas BD
Subdireccióndeinformación
Subdireccióndeinformación A A A
Elementos dealmacenamiento deBackup de la basede datos
ProveedorData Center
ProveedorData Center A A M
Tabla 6. Organización de los objetos de la base de datos por su función dentro de
la operación del instituto.
Los activos relacionados con la información de tipo software quedan definidos
como se muestra en la tabla 7.
Activos relacionadoscon la Información de
tipo SoftwarePropietario Custodio Confidencialidad Integridad Disponibilidad
Ambientes dedesarrollo para Oracle:SQL Developer, SQLplus y Toad
Direccióndetecnología
Subdireccióndeinformación A A M
Imperva (Interfazgrafica de usuario )
Direccióndetecnología
Subdireccióndeinformación
A A M
sistema operativoservidor de bases dedatos AIX
Direccióndetecnología
ProveedorData Center A A A
Oracle Database 11gEnterprise Edition(servidor)
Direccióndetecnología
ProveedorData Center A A A
Oracle Database 11gEnterprise Edition(Cliente)
Direccióndetecnología
Dirección detecnología A A M
Tabla 7. Activos relacionados con la información de tipo software.
37
Los activos relacionados con la información de tipo servicios quedan definidos
como se muestra en la tabla 8.
Activos relacionados conla Información de tipo
ServiciosPropietario Custodio Confidencialidad Integridad Disponibilidad
Aplicaciones para losciudadanos desarrolladaspor el "ICFES"
Dirección deinformación
Dirección deinformación A A A
Tabla 8. Activos relacionados con la información de tipo servicios.
Los activos relacionados con la información de tipo personas quedan definidos
como se muestra en la tabla 9
Activos relacionadoscon la Información de
tipo personasPropietario Custodio Confidencialidad Integridad Disponibilidad
Administradoresexternos de las Basesde datos
ProveedorDataCenter
ProveedorData Center A A A
Administradoresinternos de las Basesde datos
Direccióndetecnología
Subdireccióndeinformación
A A A
Administradores de laseguridad de las Basesde Datos
Direccióndetecnología
Subdireccióndeinformación
A A M
Usuarios de Consulta Direccióndetecnología
Subdireccióndetecnología
A M M
Usuarios deDesarrollo
Direccióndetecnología
Subdirecciónde desarrollodeaplicaciones
A M M
Usuarios de Soporte yMantenimiento de lasBD a nivel de datos
Direccióndetecnología
Subdireccióndeinformación
A A M
Personal de Soporte yMantenimiento de lasBD a nivel deinfraestructura
ProveedorDataCenter
ProveedorData Center
A M M
Tabla 9. Activos relacionados con la información de tipo personas.
38
Para las aplicaciones desarrolladas por el ICFES, que usan los ciudadanos para
acceder a la información de la base de datos productiva a través de la internet. Se
crean diferentes usuarios (Uno por cada aplicación) dentro de la base de datos,
con los permisos y privilegios necesarios para que la aplicación cumpla con los
requerimientos establecidos. Estos usuarios no cumplen con las definiciones de la
tabla 1, para ser catalogados como personas o servicios. Por esta razón serán
catalogados como una activo relacionado con la información en la categoría de
otros.
Activo relacionadocon la información Propietario Custodio Confidencialidad Integridad Disponibilidad
Usuarios de tipoAplicación
Dirección detecnología
Subdireccióndeinformación
A M M
Tabla 10. Activos relacionados con la información de tipo otros.
7.2.3 Análisis de riesgos, amenazas y vulnerabilidades
Para realizar el análisis de los riesgos amenazas y vulnerabilidades relacionados
con los activos de información y activos relacionados con la información de la base
de datos productiva. tendremos en cuenta las definiciones de la norma ISO 27000
[12] así:
Amenaza: Causa potencial de un incidente no deseado, que puede provocar
daños a un sistema o a la organización.
Vulnerabilidad: Debilidad de un activo o control que puede ser explotada por una
o más amenazas.
Riesgo: Posibilidad de que una amenaza concreta pueda explotar una
vulnerabilidad para causar una pérdida o daño en un activo de información. Suele
39
considerarse como una combinación de la probabilidad de un evento y sus
consecuencias.
Para identificar las amenazas que aplican a los activos relacionados con la base
de datos productiva del icfes se toma como base la lista de amenazas descritas en
la Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información
"MAGERIT" [13]. Publicada por el ministerio de hacienda y administraciones
publicas de España.
7.2.3.1 Identificación de las amenazas
Las amenazas expuestas en la metodología MAGERIT se clasifican en 6
diferentes categorías. Para la identificación de las amenazas a la base de datos no
se tendrán en cuenta las categorías de desastres naturales y de origen industrial
ya que estas están cubiertas por la política general de seguridad de la información
del ICFES[14]. Ni la categoría de nuevas amenazas XML ya que estas no se
relacionan directamente con la base de datos. Las amenazas identificadas en la
categoría de errores y fallos no intencionados se muestran a continuación en la
tabla 11.
Amenaza DescripciónErrores de los usuarios Equivocaciones de las personas cuando usan los
servicios, datos, etc.Errores del administrador Equivocaciones de personas con responsabilidades de
instalación y operaciónErrores de monitorización(log)
Inadecuado registro de actividades: falta de registros,registros incompletos, registros incorrectamentefechados, registros incorrectamente atribuidos
Errores de configuración Introducción de datos de configuración erróneos.Prácticamente todos los activos dependen de suconfiguración y ésta de la diligencia del administrador:privilegios de acceso, flujos de actividades, registro deactividad, encaminamiento, etc.
Deficiencias en laorganización
Cuando no está claro quién tiene que hacerexactamente qué y cuándo, incluyendo tomar medidassobre los activos o informar a la jerarquía de gestión.Acciones descoordinadas, errores por omisión, etc.
40
Amenaza DescripciónErrores de [re-]encaminamiento
Envío de información a través de un sistema o una redusando, accidentalmente, una ruta incorrecta que lleve lainformación a donde o por donde no es debido; puedetratarse de mensajes entre personas, entre procesos oentre unos y otros. Es particularmente destacable elcaso de que el error de encaminamiento suponga unerror de entrega, acabando la información en manos dequien no se espera.
Errores de secuencia Alteración accidental del orden de los mensajestransmitidos.
Escapes de información La información llega accidentalmente al conocimiento depersonas que no deberían tener conocimiento de ella,sin que la información en sí misma se vea alterada.
Alteración accidental de lainformación
Alteración accidental de la información. Esta amenazasólo se identifica sobre datos en general, pues cuando lainformación está en algún soporte informático, hayamenazas específicas.
Destrucción de información Pérdida accidental de información. Esta amenaza sólose identifica sobre datos en general, pues cuando lainformación está en algún soporte informático, hayamenazas específicas.
Fugas de información Revelación por indiscreción. Incontinencia verbal,medios electrónicos, soporte papel, etc.
Vulnerabilidades de losprogramas (software)
Defectos en el código que dan pie a una operacióndefectuosa sin intención por parte del usuario pero conconsecuencias sobre la integridad de los datos o lacapacidad misma de operar.
Errores de mantenimiento /actualización de programas(software)
Defectos en los procedimientos o controles deactualización del código que permiten que siganutilizándose programas con defectos conocidos yreparados por el fabricante.
Errores de mantenimiento /actualización de equipos(hardware)
Defectos en los procedimientos o controles deactualización de los equipos que permiten que siganutilizándose más allá del tiempo nominal de uso.
Caída del sistema poragotamiento de recursos
La carencia de recursos suficientes provoca la caída delsistema cuando la carga de trabajo es desmesurada.
Pérdida de equipos La pérdida de equipos provoca directamente la carenciade un medio para prestar los servicios, es decir unaindisponibilidad. Se puede perder todo tipo deequipamiento, siendo la pérdida de equipos y soportesde información los más habituales. En el caso deequipos que hospedan datos, además se puede sufriruna fuga de información.
41
Amenaza DescripciónIndisponibilidad del personal Ausencia accidental del puesto de trabajo: enfermedad,
alteraciones del orden público, guerra bacteriológica, ...
Tabla 11. Amenazas por errores y fallos no intencionados.
Las amenazas relacionadas con ataques intencionados se detallan en la tabla 12.
Amenaza DescripciónManipulación de losregistros de actividad(log)
Cualquier alteración a los registros de actividades
Manipulación de laconfiguración
Prácticamente todos los activos dependen de su configuracióny ésta de la diligencia del administrador: privilegios de acceso,flujos de actividades, registro de actividad, encaminamiento,etc.
Suplantación de laidentidad del usuario
Cuando un atacante consigue hacerse pasar por un usuarioautorizado, disfruta de los privilegios de este para sus finespropios. Esta amenaza puede ser perpetrada por personalinterno, por personas ajenas a la Organización o por personalcontratado temporalmente.
Abuso de privilegios deacceso
Cada usuario disfruta de un nivel de privilegios para undeterminado propósito; cuando un usuario abusa de su nivelde privilegios para realizar tareas que no son de sucompetencia, hay problemas
Uso no previsto Utilización de los recursos del sistema para fines no previstos,típicamente de interés personal: juegos, consultas personalesen Internet, bases de datos personales, programaspersonales, almacenamiento de datos personales, etc.
[Re-]encaminamientode mensajes
Envío de información a un destino incorrecto a través de unsistema o una red, que llevan la información a donde o pordonde no es debido; puede tratarse de mensajes entrepersonas, entre procesos o entre unos y otros. Un atacantepuede forzar un mensaje para circular a través de un nododeterminado de la red donde puede ser interceptado. Esparticularmente destacable el caso de que el ataque deencaminamiento lleve a una entrega fraudulenta, acabando lainformación en manos de quien no debe.
Alteración de secuencia Alteración del orden de los mensajes transmitidos. Con ánimode que el nuevo orden altere el significado del conjunto demensajes, perjudicando a la integridad de los datos afectados.
Acceso no autorizado El atacante consigue acceder a los recursos del sistema sintener autorización para ello, típicamente aprovechando un fallodel sistema de identificación y autorización.
42
Amenaza DescripciónAnálisis de tráfico El atacante, sin necesidad de entrar a analizar el contenido de
las comunicaciones, es capaz de extraer conclusiones a partirdel análisis del origen, destino, volumen y frecuencia de losintercambios. A veces se denomina “monitorización de tráfico”.
Repudio Negación a posteriori de actuaciones o compromisosadquiridos en el pasado. Repudio de origen: negación de serel remitente u origen de un mensaje o comunicación. Repudiode recepción: negación de haber recibido un mensaje ocomunicación. Repudio de entrega: negación de haberrecibido un mensaje para su entrega a otro.
Interceptación deinformación (escucha)
El atacante llega a tener acceso a información que no lecorresponde, sin que la información en sí misma se veaalterada.
Modificación deliberadade la información
Alteración intencional de la información, con ánimo de obtenerun beneficio o causar un perjuicio.
Destrucción deinformación
Eliminación intencional de información, con ánimo de obtenerun beneficio o causar un perjuicio.
Divulgación deinformación
Revelación de información.
Manipulación deprogramas
Alteración intencionada del funcionamiento de los programas,persiguiendo un beneficio indirecto cuando una personaautorizada lo utiliza.
Manipulación de losequipos
Alteración intencionada del funcionamiento de los programas,persiguiendo un beneficio indirecto cuando una personaautorizada lo utiliza.
Denegación de servicio La carencia de recursos suficientes provoca la caída delsistema cuando la carga de trabajo es desmesurada.
Robo La sustracción de equipamiento provoca directamente lacarencia de un medio para prestar los servicios, es decir unaindisponibilidad. El robo puede afectar a todo tipo deequipamiento, siendo el robo de equipos y el robo de soportesde información los más habituales. El robo puede realizarlopersonal interno, personas ajenas a la Organización opersonas contratadas de forma temporal, lo que establecediferentes grados de facilidad para acceder al objeto sustraídoy diferentes consecuencias. En el caso de equipos quehospedan datos, además se puede sufrir una fuga deinformación.
Ataque destructivo Vandalismo, terrorismo, acción militar, ... Esta amenaza puedeser perpetrada por personal interno, por personas ajenas a laOrganización o por personas contratadas de forma temporal.
Ocupación enemiga Cuando los locales han sido invadidos y se carece de controlsobre los propios medios de trabajo.
43
Amenaza DescripciónIndisponibilidad delpersonal
Ausencia deliberada del puesto de trabajo: como huelgas,absentismo laboral, bajas no justificadas, bloqueo de losaccesos, …
Extorsión Presión que, mediante amenazas, se ejerce sobre alguienpara obligarle a obrar en determinado sentido.
Ingeniería social(picaresca)
Abuso de la buena fe de las personas para que realicenactividades que interesan a un tercero.
Tabla 12. Amenazas relacionadas con ataques intencionados.
7.2.3.2 Identificación de las vulnerabilidades.
Para identificar las vulnerabilidades de la base de datos, debido a que no se han
establecido controles solo se tendrán en cuenta las debilidades de los activos
identificadas mediante entrevistas a los administradores y usuarios de la bases de
datos. Las vulnerabilidades identificadas de relacionan en la tabla 13, junto con
una descripción.
Vulnerabilidad DescripciónConexión a la base de datos através de los puertos por defecto
Las conexiones a la base de datos se realizan através de los puertos por defecto de Oracle
Puertos en desuso habilitados Los puertos que no se usan para conectarse a labase de datos no están bloqueados
Perfiles con contraseñas débiles ytiempos de vida muy largos
Los usuarios de base de datos tienencontraseñas débiles y para algunas de ellas noestá definido un tiempo de caducidad
Características de base de datosinnecesariamente habilitadas
La instalación de la base de datos se hizo conpaquetes que no son utilizados
la sentencia CREATE LIBRARY noestá siendo auditada
La sentencia create library usada para crear unesquema asociado con una biblioteca compartidadel sistema operativo. Este esquema puede serllamado a través de sentencia pl/SQL
el modo NOLOGGING estáhabilitado para algunos objetos
Los objetos creados en modo LOGGING (pordefecto) registran en redo todos los cambios(transacciones) que se le fueron aplicando. Estosirve para recuperar, ante una caída abrupta dela base de datos
Aplicaciones que se conectan a labase de datos vulnerables ainyecciones SQL
Algunas aplicaciones desarrolladas al interior delinstituto son vulnerables a inyecciones de códigoSQL y están expuestas en internet
44
Vulnerabilidad DescripciónPaquetes restringidos conprivilegios de acceso publico
A algunos paquetes restringidos les fueronotorgados privilegios de acceso público entreellos: UTL_FILE, UTL_SMTP, UTL_TCP,UTL_HTTP,
Los Redo Logs no tienenredundancia
Se recomienda que todos los redo logs esténmirror on-line y que existan al menos 2 grupos deredo log
El trafico al interior del data centerno está siendo auditado
Al estar ubicados los servidores en un datacenter externo al instituto se podría hacer unaconexión directa desde allí y este tráfico no seríaauditado por el firewall
Permisos y privilegios excesivospara los usuarios de base de datoscon que se conectan algunasaplicaciones
Al ser desarrolladas las aplicaciones se lesotorgan permisos excesivos sobre objetos de lasbases de datos que luego no son revocados
Tabla 13. Vulnerabilidades de los activos asociados con las bases de datos.
Para disminuir los riesgos asociados a las amenazas y vulnerabilidades descritas
en las tablas 11, 12 y 13 se deben definir e implementar una serie de controles.
7.2.4 Establecimiento de controles para mitigar los riesgos amenazas yvulnerabilidades
Un solo control puede mitigar una o varias amenazas y/o vulnerabilidades, de esta
forma se pueden relacionar los controles con las amenazas o vulnerabilidades
que se pretenden mitigar. De acuerdo a los recursos destinados por el ICFES para
mejorar la seguridad de la base de datos, se pueden establecer dos tipos de
controles:
1. Controles que pueden ser definidos en la política de seguridad de la basede datos productiva: Estos controles corresponden a lineamientos que deben
seguir los usuarios de la base de datos para minimizar la exposición a las
amenazas y vulnerabilidades expuestas en la sección 7.2.3. para mejorar la
seguridad. Estos controles y su relación con las amenazas que pretende mitigar se
presentan a continuación en la tabla 14.
45
Amenaza Control
Abuso deprivilegios deacceso
Asegurar que todos los usuarios de la base de datos cuenten con elmínimo de permisos y privilegios necesarios para cumplir con sus laboresdentro del instituto.Crear un ambiente de preproducción para que los usuarios de desarrollo(Analistas SQL, Arquitectos de datos, etc.) puedan trabajar en él y no enel de producción directamente. Se debe definir el procedimiento decreación del ambiente de preproducciónÚnicamente el administrador interno podrá ejecutar los scripts realizadospor los usuarios de desarrollo, una vez que estos hayan sido ejecutadospor parte de cada usuario exitosamente en un ambiente depreproducción, desarrollo o pruebas.Asegurar que solo existan usuarios de base de datos para las personasidentificadas como activos de tipo personas y solo cuenten con permisosde consulta. Además de no usar ninguna configuración por defecto(puertos, usuarios, contraseñas...)Al otorgar los permisos y privilegios a los usuarios con los que seconectaran las aplicaciones a la base de datos, debe asegurar que seanlos estrictamente necesarios para que la aplicación cumpla únicamente elobjeto para el cual fue desarrollada. Mínimo de permisos y privilegiosComprobar con una periodicidad al menos trimestral, que la lista deusuarios de la base de datos corresponda con los permisos y privilegiosque realmente deben estar autorizados.
Acceso noautorizado
Toda clave cumplirá unas normas mínimas de seguridad, siguiendo laPolítica de uso de contraseñas existente.
Alteraciónaccidental delainformación
Crear un ambiente de preproducción para que los usuarios de desarrollo(Analistas SQL, Arquitectos de datos, etc.) puedan trabajar en él y no enel de producción directamente. Se debe definir el procedimiento decreación del ambiente de preproducción
Análisis detráfico
Realizar el monitoreo del desempeño de la base de datos y la gestión delas transacciones al menos tres veces por día y reportar cualquieranomalía encontrada inmediatamente.
Resolver cualquier incidente o fallo relacionado con el sistema operativoy el sistema gestor de base de datos en el servidor, en el menor tiempoposible según sea el incidente.
Ataquedestructivo
Realizar las copias de seguridad de los servidores, y en ningún caso delos computadores personales. Esto implica que la información debesiempre mantenerse en el servidor de datos.
Caída delsistema poragotamientode recursos
Asegurar la disponibilidad, confidencialidad e integridad del sistemaoperativo y del sistema gestor de base de datos en el servidor.
46
Amenaza Control
Deficienciasen laorganización
Es obligación de todo el personal del ICFES. notificar al responsable deseguridad cualquier otra incidencia, de naturaleza no técnica, que atenteo pueda atentar contra la seguridad de la información de la base dedatos. El conocimiento y la no notificación de una incidencia por parte deun usuario será considerada como una falta del mismo contra laseguridad de la base de datos por parte de éste
Establecer un encargado jurídicamente de la seguridad de la base dedatos y de las medidas establecidas en la políticaestablecer un encargado de notificar al ministerio de comercio, industria yturismo las bases de datos creadas mediante orden de la dirección detecnología (decreto 886 de 2014).
Implantar las medidas descritas en el Procedimiento de Registro deincidencias de seguridad de la Información, existente en el instituto yque debe estar a disposición de todos los usuarios y administrador con elfin de que se registre, cualquier incidencia que pueda suponer un peligropara la seguridad de la base de datos.
Coordinar y controlar las medidas definidas en la política y concientizar alos responsables del cumplimiento de la política.Adoptar las medidas necesarias para que el personal obligado a cumplirlo expuesto la política, conozca las normas que afectan el desarrollo desus funciones.
Destinar el personal especifico para la puesta en marcha de las medidasde seguridad, colaborar con el propietario de la información y apoyar elcumplimiento de la política.
Mantener actualizada la política siempre que se produzcan cambiosrelevantes en la base de datos o en la organización de la misma.Adecuar en todo momento el contenido de la política a las disposicionesvigentes en materia de seguridad de datos, y asegurar que el nuevodocumento llegue a todo el personal relacionado.
Mantener siempre actualizados los controles de seguridad e implementarnuevos controles cuando sea requerido.Analizar con periodicidad al menos trimestral las incidencias registradas,para independientemente de las medidas particulares que se hayanadoptado en el momento que se produjeron, adoptar las medidascorrectoras que limiten esas incidencias en el futuro relacionadas con labase de datos.Documentar los resultados de las auditorías.
Denegaciónde servicio
Al menos una vez al trimestre realizaran un mantenimiento preventivo delos activos asociados con la información de tipo hardware.
47
Amenaza Control
Destruccióndeinformación
Aquellos medios que sean reutilizables, y que hayan contenido copias dedatos deberán ser borrados físicamente antes de su reutilización, deforma que los datos que contenían no sean recuperables.Aquellos medios que no sean reutilizables, y que hayan contenido copiasde datos deberán ser entregados al encargado de la seguridad de lainformación para su destrucción física, se debe definir el Procedimientode destrucción de soportes con información de la base de datos.
Divulgacióndeinformación
Los soportes que contengan datos deberán estar almacenados enlugares a los que sólo tengan acceso personas autorizadas.Cualquier movimiento total o parcial de datos, ya sea en soporte físico otransferencia telemática, fuera de las instalaciones del ICFES deberá serautorizada expresamente por el dueño de la información yconsentimiento del subdirector de información.
Errores de[re-]encaminamiento
Impedir el acceso de personas no autorizadas al conocimiento deinformación, en cuya gestión, tramitación o custodia participe.El propietario de la información y quienes intervengan en cualquier fasedel tratamiento de los datos privados y semiprivados están obligados alsecreto profesional respecto de los mismos y al deber de guardarlos,obligaciones que subsistirán aun después de finalizar sus relaciones conla entidad.
Queda prohibido extraer información de la base de datos que contengadatos públicos, privados o semiprivados ya existentes, o crear una copiade la información aprovechando los datos ya existentes, sin laautorización del propietario.
Errores de losusuarios
Crear un ambiente de preproducción para que los usuarios de desarrollo(Analistas SQL, Arquitectos de datos, etc.) puedan trabajar en él y no enel de producción directamente. Se debe definir el procedimiento decreación del ambiente de preproducciónCrear tablas de auditoría que permitan establecer la trazabilidad de loscambios sobre los datos de los activos de información de la base dedatos productiva.
Al menos cada año, se realizará una auditoría, externa o interna quedictamine el correcto cumplimiento y la adecuación de las medidas de lapolítica de seguridad, identificando las deficiencias y proponiendo lasmedidas correctivas necesarias. Los informes de auditoría seránanalizados por el responsable de seguridad, quien propondrá aladministrador de la base de datos las medidas correctorascorrespondientes.
Errores demantenimiento /actualización
Mantener la disponibilidad, confidencialidad e integridad de los activosasociados con la información de tipo hardware de la base de datos ysolucionar cualquier incidente relacionado con ellos en el menor tiempoposible.
48
Amenaza Controlde equipos(hardware)
Al menos una vez a la semana revisar el correcto funcionamiento de losactivos asociados con la información de tipo hardware teniendo encuenta que cumplan con la disponibilidad, confidencialidad e integridad.Dar respuesta a las fallas que surjan con los activos asociados con lainformación de tipo hardware en el menor tiempo posible según sea eltipo de fallo.
Determinar las amenazas vulnerabilidades y riesgos asociados a la basede datos y establecer controles para mitigarlos
Errores demantenimiento /actualizaciónde programas(software)
Realizar las actualizaciones de los activos relacionados con lainformación de tipo software de acuerdo a una revisión conjunta con eladministrador de seguridad.
Determinar las amenazas vulnerabilidades y riesgos asociados a la basede datos y establecer controles para mitigarlos
Al menos una vez por trimestre revisar, conjuntamente con eladministrador interno, que todos los activos relacionados con lainformación de tipo software estén actualizados a la última versión segúnrecomendaciones de los fabricantes.
Errores demonitorización (log)
Los soportes que contengan datos, bien como consecuencia deoperaciones propias de trabajo, o bien como consecuencia de procesosperiódicos de respaldo o cualquier otra operación esporádica, deberánestar claramente identificados con una etiqueta externa que indique dequé se trata, qué tipo de datos contiene, proceso que los ha originado yfecha de creación. Los tipos de soportes permitidos son.• Hojas impresas. Los soportes impresos deben contar en la primera hojacon los datos requeridos en la etiqueta• Dispositivos de almacenamiento óptico. CD (Compact Disc) / DVD(Digital Versatile Disc) / Blu-ray Disc (BD)• Pendrives. Memoria USB y cualquier otro tipo de pendrive: Si lasuperficie del pendrive no es lo suficientemente grande deberá seridentificado con un código y relacionar la información que contiene en unarchivo que debe ser guardado en la subdirección de información.
Errores desecuencia
Monitorear el desempeño de la base de datos y la correcta gestión de lastransacciones del sistema gestor de base de datos.
Escapes deinformación
Guardar la debida reserva sobre los datos a los que hayan tenido accesoen razón a su puesto de trabajo u otra circunstancia.
Escapes deinformación
Queda prohibido utilizar archivos con datos personales que el ICFES nohaya autorizado.
Fugas deinformación
Guardar la debida reserva sobre los datos a los que hayan tenido accesoen razón a su puesto de trabajo u otra circunstancia.
49
Amenaza ControlRegistrar la entrada y salida de los correos electrónicos o transferenciade datos de carácter personal por red, de forma que se pueda siempreidentificar su origen, tipo de datos, formato, fecha y hora del envío ydestinatario de los mismos.Solicitar autorización al administrador de la base de datos siempre que serequiera crear copias de la información de la base de datos.
Solicitar autorización al administrador de la base de datos siempre que sedeba entregar información de la base de datos a terceros.No se podrá bajo ninguna circunstancia mantener copias de lainformación de la base de datos en computadores de escritorio ni mediosexternos.
Indisponibilidad delpersonal
Solamente para aquellos casos excepcionales en los que sea necesariocontinuar con las funciones que realizaba la persona ausente (debido auna baja o ausencia temporal no prevista), será el subdirector o directorde área, el que podrá solicitar al administrador de base de datos accesoa sus objetos y datos, dentro de la base de datos dejando constancia deello por medio de correo electrónico o escrito.
Interceptación deinformación(escucha)
Es obligación de todo el personal del ICFES. notificar cualquier incidenciaque afecte a la seguridad de la información, o presunción/sospecha de lamisma, que se produzca en la base de datos y recopilar toda lainformación posible para optimizar el procedimiento de detección delproblema.Aquellos medios que no sean reutilizables, y que hayan contenido copiasde datos deberán ser entregados al encargado de la seguridad de lainformación para su destrucción física, definir el Procedimiento dedestrucción de soportes con información de la base de datos.
Manipulaciónde losequipos
Mantener la disponibilidad, confidencialidad e integridad de los activosasociados con la información de tipo hardware de la base de datos ysolucionar cualquier incidente relacionado con ellos en el menor tiempoposible.
Modificacióndeliberada delainformación
Aquellos medios que no sean reutilizables, y que hayan contenido copiasde datos deberán ser entregados al encargado de la seguridad de lainformación para su destrucción física, definir el Procedimiento dedestrucción de soportes con información de la base de datos.Cuando los datos deban ser enviados fuera de las instalaciones delICFES, bien sea mediante un soporte físico de grabación de datos o biensea mediante correo electrónico, deberán ser cifrados de forma que sólopuedan ser leídos e interpretados por el destinatario.
Ocupaciónenemiga
Realizar las copias de seguridad de los servidores, y en ningún caso delos computadores personales. Esto implica que la información debesiempre mantenerse en el servidor de datos.
Pérdida deequipos
Realizar las copias de seguridad de los servidores, y en ningún caso delos computadores personales. Esto implica que la información debesiempre mantenerse en el servidor de datos.
50
Amenaza Control
RepudioRevisar que los scripts que realicen los usuarios de desarrollo obedezcana acciones propias del desarrollo de su trabajo y no atenten contra laseguridad de la base de datos.
Robo
Realizar las copias de seguridad de los servidores, y en ningún caso delos computadores personales. Esto implica que la información debesiempre mantenerse en el servidor de datos.Asegurar que la base de datos ofrezca redundancia para alojar susarchivos en caso de falla del almacenamiento primario, como por ejemploDisk Mirroring, SAN, etc.
Suplantaciónde laidentidad delusuario
Cada usuario será responsable de la confidencialidad de su contraseñay, en caso de que la misma sea conocida fortuita o fraudulentamente porpersonas no autorizadas, deberá notificarlo al personal de seguridad dela información como incidente de seguridad por mesa de ayuda y solicitarque esta sea cambiada por el administrador de base de datos
Uso noprevisto
Garantizar que la utilización de los servidores que contienen las bases dedatos son de función específica. No se permite dar otros usos a estosservidores.Realizar únicamente las consultas a la base de datos que seanestrictamente necesarias para cumplir con el objeto del desarrollo de susactividades en el instituto.Realizar únicamente las consultas a la base de datos que seanestrictamente necesarias para desarrollar los scripts que cumplan conlas actividades objeto de trabajo.
Vulnerabilidades de losprogramas(software)
Crear un ambiente de preproducción para que los usuarios de desarrollo(Analistas SQL, Arquitectos de datos, etc.) puedan trabajar en él y no enel de producción directamente. Se debe definir el procedimiento decreación del ambiente de preproducción
Vulnerabilidades de losprogramas(software)
Determinar las amenazas vulnerabilidades y riesgos asociados a la basede datos y establecer controles para mitigarlos
Tabla 14. Controles incluidos en la definición de la política y su relación con lasamenazas que busca mitigar.
Los controles definidos en la política para mitigar las vulnerabilidades de la base
de datos se relacionan en la tabla 15.
51
Vulnerabilidad ControlLos Redo Logs no tienenredundancia
Realizar las copias de seguridad de los servidores, y enningún caso de los computadores personales. Esto implicaque la información debe siempre mantenerse en elservidor de datos.
Características de base dedatos innecesariamentehabilitadas
Asegurar que toda plataforma en las que se encuentreinstalada la base de datos, tenga los servicios noesenciales deshabilitados y/o desinstalados,endurecimiento de sistema operativo y puertos en desusodeshabilitados.
la sentencia CREATELIBRARY no está siendoauditada
Crear un ambiente de preproducción para que los usuariosde desarrollo (Analistas SQL, Arquitectos de datos, etc.)puedan trabajar en él y no en el de produccióndirectamente. Se debe definir el procedimiento decreación del ambiente de preproducción
Paquetes restringidos conprivilegios de accesopublico
Crear un ambiente de preproducción para que los usuariosde desarrollo (Analistas SQL, Arquitectos de datos, etc.)puedan trabajar en él y no en el de produccióndirectamente. Se debe definir el procedimiento decreación del ambiente de preproducción
Conexión a la base dedatos a través de lospuertos por defecto
Asegurar que solo existan usuarios de base de datos paralas personas identificadas como activos de tipo personas ysolo cuenten con permisos de consulta. Además de nousar ninguna configuración por defecto (puertos, usuarios,contraseñas...)
Características de base dedatos innecesariamentehabilitadas
Asegurar que solo existan usuarios de base de datos paralas personas identificadas como activos de tipo personas ysolo cuenten con permisos de consulta. Además de nousar ninguna configuración por defecto (puertos, usuarios,contraseñas...)
el modo NOLOGGING estáhabilitado para algunosobjetos
Asegurar que solo existan usuarios de base de datos paralas personas identificadas como activos de tipo personas ysolo cuenten con permisos de consulta. Además de nousar ninguna configuración por defecto (puertos, usuarios,contraseñas...)
Aplicaciones que seconectan a la base de datosvulnerables a inyeccionesSQL
Al otorgar los permisos y privilegios a los usuarios con losque se conectaran las aplicaciones a la base de datos,debe asegurar que sean los estrictamente necesarios paraque la aplicación cumpla únicamente el objeto para el cualfue desarrollada.
Tabla 15. Controles incluidos en la definición de la política y su relación con lasvulnerabilidades que busca mitigar.
La definición de una política de seguridad debe ser independiente de las
herramientas tecnológicas que una organización tenga a disposición para mejorar
52
los niveles de seguridad ya que las políticas tienen como misión servir para dirigir
y dar soporte a la gestión de la seguridad de la información de acuerdo con los
objetivos establecidos, la legislación y regulaciones existentes además de brindar
un marco normativo para dar un buen uso a un recurso tecnológico como lo
menciona la guía para la elaboración del marco normativo de un sistema de
gestión de seguridad de la información [15]. Es por esto que los controles
implementados en el firewall de base de datos servirán para reforzar la seguridad
y tratar de llevar índices de medición pero no serán incluidos en la definición del
documento de la política.
2. Controles que pueden ser implementados en el firewall de base de datos:Estos controles corresponden a reglas que se pueden definir en el firewall de base
de datos para minimizar la exposición de la base de datos a amenazas y
vulnerabilidades y mejorar su seguridad. Debido a la topología de conexión del
firewall de base de datos IMPERVA en el ICFES mostrada en la ilustración 3.
Existen dos ventanas de exposición a amenazas. La primera corresponde a las
amenazas originadas desde las conexiones que se realizan desde cualquier punto
de internet hacia los servidores de datos (Conexiones que pasan por el firewall) y
la segunda las conexiones que realizan los administradores de base de datos
externos (administradores del data center) directamente a los servidores de datos.
Para ello el firewall Imperva ofrece una funcionalidad adicional, que se trata de la
instalación de un agente en el sistema operativo del servidor de datos que
funciona como una extensión del firewall y se administra desde la misma interfaz
grafica de usuario una vez instalado. Este agente puede realizar monitoreo y
bloqueo de transacciones del tráfico interno al servidor de datos al igual que
bloqueo de puertos. En la tabla 16 se describen los controles implementados para
mitigar las amenazas que pueden provenir de las conexiones realizadas al interior
del data center directamente al servidor de datos.
53
Amenaza ControlErrores de los usuarios (Externos)
Realizar la instalación de un agenteen el servidor de la base de datosproductiva que se usa para bloquearpuertos de conexión en desuso ymonitorear el tráfico interno a losservidores de datos desde el datacenter
Errores del administrador (Externos)Errores de monitorización (log) (Externos)Errores de configuración (Externos)Escapes de información (Externos)Alteración accidental de la información(Externos)Destrucción de información (Externos)Fugas de información (Externos)Manipulación de los registros de actividad (log)(Externos)Manipulación de la configuración (Externos)Abuso de privilegios de acceso (Externos)Uso no previsto (Externos)Acceso no autorizado (Externos)Repudio (Externos)Modificación deliberada de la información(Externos)Destrucción de información (Externos)Extorsión (Externos)
Tabla 16. Controles incluidos en el firewall para mitigar las amenazas al interiordel data center.
Dentro de las vulnerabilidades identificadas en la sección 7.2.3.2 existen algunas
que pueden ser mitigadas con la instalación del agente en el servidor como se
detallan en la tabla 17.
Vulnerabilidades ControlPuertos en desuso habilitados Realizar la instalación de un agente en el servidor de la
base de datos productiva que se usa para bloquearpuertos de conexión en desuso y monitorear el tráficointerno a los servidores de datos desde el data center
El trafico al interior del datacenter no está siendo auditado
Tabla 17. Controles incluidos en el firewall para mitigar las vulnerabilidades alinterior del data center.
54
Para ayudar a mitigar las amenazas y vulnerabilidades provenientes de
conexiones externas al data center (usuarios de base de datos del ICFES y
usuarios de conexión de las aplicaciones desarrolladas por el Instituto) se
configuran una serie de reglas en el firewall como se muestra en la tabla 18.
Amenaza ControlErrores del administrador
Establecer una regla en el firewall para auditar lasoperaciones de los administradores de base de datosinternos.
Errores de monitorización (log)Errores de configuraciónEscapes de informaciónAlteración accidental de la informaciónDestrucción de informaciónFugas de informaciónManipulación de los registros deactividad (log)Manipulación de la configuraciónAbuso de privilegios de accesoUso no previstoAcceso no autorizadoRepudioModificación deliberada de lainformaciónDestrucción de informaciónExtorsiónIngeniería social (picaresca)Suplantación de la identidad delusuario
Establecer una regla en el firewall que permitaúnicamente conexiones a los usuarios de la base dedatos desde los equipos destinados a estos usuarios(teniendo en cuenta direcciones Ip y Mac)
Alteración accidental de la información Establecer una regla en el firewall que bloquee todasaquellas operaciones de los usuarios de base dedatos con que se conectan la aplicaciones, que nocumplan con el objeto para el cual fuerondesarrolladas
Vulnerabilidades de los programas(software)Manipulación de programasErrores de los usuarios
Establecer una regla en el firewall que permitaúnicamente las operaciones de tipo "Select" sobre lastablas de auditoria
Errores del administradorErrores de monitorización (log)Alteración accidental de la informaciónDestrucción de información
55
Amenaza ControlManipulación de los registros deactividad (log)Abuso de privilegios de accesoAlteración de secuenciaRepudioModificación deliberada de lainformaciónDestrucción de informaciónIngeniería social (picaresca)Errores de los usuarios
Establecer una regla en el firewall para auditar lasoperaciones de los siguientes tipos de usuarios de labase de datos: administradores de la seguridad de lasbases de datos, usuarios de consulta, usuarios dedesarrollo, usuarios de soporte y mantenimiento de lasBD a nivel de datos.
Errores de monitorización (log)Fugas de informaciónSuplantación de la identidad delusuarioAbuso de privilegios de accesoUso no previstoRepudioDivulgación de informaciónExtorsiónIngeniería social (picaresca)
Tabla 18. Controles incluidos en el firewall para mitigar las amenazasprovenientes de conexiones externas al data center.
Finalmente se implementa un control en el firewall para ayudar a mitigar las
vulnerabilidades relacionadas con la base de datos productiva identificadas al
interior de la organización como se especifica en la tabla 19.
Vulnerabilidades ControlAplicaciones que se conectan a la basede datos vulnerables a inyecciones SQL
Creación de una regla en el firewall parabloquear todas las operaciones de losusuarios de base de datos con los que seconectan las aplicaciones que nocorrespondan con el objeto para el que fueroncreadas
Permisos y privilegios excesivos paralos usuarios de base de datos con quese conectan algunas aplicaciones
Tabla 19. Controles incluidos en el firewall para mitigar las vulnerabilidadesprovenientes de conexiones externas al data center.
56
7.3 Fase 3: Verificar
7.3.1 Establecer la medición de la eficacia de los controles
Es necesario considerar como medir el desempeño de los controles
implementados para mejorar la seguridad de la base de datos productiva y así
realizar la gestión correspondiente en la búsqueda de mejores resultados. Para
esto se propone como método de toma de decisiones el análisis de decisiones con
múltiples criterios "MCDA" [16]. Como hay un cierto número de controles por cada
amenaza o vulnerabilidad a estos se les debe asignar un nivel de importancia (con
lo cual la suma de las prioridades de los controles por amenaza o vulnerabilidad
debe ser igual a uno), para realizar el análisis se recurrirá a la función de valor
como método más empleado del "MCDA". En la aplicación de la función de valor
se establecen dos criterios por control (estimación del nivel de cumplimento y
facilidad de implementación) y se les debe asigna una calificación entre 0 y 1. El
total por criterio de evaluación será el producto entre la Importancia del control
respecto a la amenaza/vulnerabilidad y la calificación dada al criterio. En la tabla
20, se muestra a manera de ejemplo la medición de la eficacia de los controles
implementados en la definición de la política para mitigar la vulnerabilidad de
abuso de privilegios de acceso.
57
Amenaza ControlImportancia del
control respecto a laamenaza /
vulnerabilidad
Estimacióndel nivel de
cumplimentototal
1Facilidad de
implementacióntotal
2
Abuso deprivilegiosde acceso
Asegurar que todos los usuarios de labase de datos cuenten con el mínimode permisos y privilegios necesariospara cumplir con sus labores dentrodel instituto.
0,3 1 0,3 0,7 0,21
Crear un ambiente de preproducciónpara que los usuarios de desarrollo(Analistas SQL, Arquitectos de datos,etc.) puedan trabajar en él y no en elde producción directamente. Se debedefinir el procedimiento de creacióndel ambiente de preproducción
0,2 1 0,2 0,8 0,16
Únicamente el administrador internopodrá ejecutar los scripts realizadospor los usuarios de desarrollo, una vezque estos hayan sido ejecutados porparte de cada usuario exitosamente enun ambiente de preproducción,desarrollo o pruebas.
0,2 1 0,2 0,7 0,14
Asegurar que solo existan usuarios debase de datos para las personasidentificadas como activos de tipopersonas y solo cuenten con permisosde consulta. Además de no usarninguna configuración por defecto(puertos, usuarios, contraseñas...)
0,1 1 0,1 0,4 0,04
Al otorgar los permisos y privilegios alos usuarios con los que se conectaranlas aplicaciones a la base de datos,debe asegurar que sean los
0,1 1 0,1 0,2 0,02
58
Amenaza ControlImportancia del
control respecto a laamenaza /
vulnerabilidad
Estimacióndel nivel de
cumplimentototal
1Facilidad de
implementacióntotal
2
estrictamente necesarios para que laaplicación cumpla únicamente elobjeto para el cual fue desarrollada.Mínimo de permisos y privilegios
Comprobar con una periodicidad almenos trimestral, que la lista deusuarios de la base de datoscorresponda con los permisos yprivilegios que realmente deben estarautorizados.
0,1 1 0,1 0,9 0,09
Sumatoria 1 1 0,66
Tabla 20. Medición de la eficacia de los controles implementados para mitigar la amenaza de abuso deprivilegios de acceso.
Esta evaluación de los controles deberá hacerse trimestralmente, con el fin de llevar un histórico de la evaluación
de los controles y que sirva de herramienta para la toma de decisiones en cuanto a la gestión e implementación
de nuevos controles.
59
7.3.2 Definición de los procedimientos, estándares, normas y políticas deuso que sustentan la política.
Una política de seguridad establece el marco normativo a seguir para mejorar los
niveles de seguridad. Sin embargo para la creación de este marco pueden surgir
diferentes documentos como: políticas de uso, normas, estándares y
procedimientos. Formalmente no existe una definición jerárquica y es común que
estos documentos sean confundidos entre sí. Aunque no existe una obligación
formal para dividir la política en estos documentos, esta segmentación puede
permitir establecer políticas y normas generales con menor frecuencia de cambio,
mientras que los estándares, procedimientos e instructivos pueden modificarse por
el responsable. También, en algunas organizaciones las políticas y las normas son
aprobadas por la junta directiva, mientras que los estándares, procedimientos e
Instructivos son aprobados por el oficial de seguridad, lo cual permite mayor
flexibilidad [15]. Por esta razón en la política de seguridad de la base de datos
productiva se definen estos documentos como los describe la guía para la
elaboración del marco normativo de un sistema de gestión de la seguridad de la
información desarrollada por Firma-e [15] así:
Política de seguridad: Debe definir Los objetivos (lo que hay que lograr), las
estrategias (cómo lograr esos objetivos) y las directrices para lograr los
objetivos. Se pueden definir para cada nivel de la organización y para cada
área o departamento.
Las normas de seguridad definen qué hay que proteger y los niveles de
protección deseados. El conjunto de todas las normas de seguridad debe
cubrir la protección de todos los entornos de los sistemas de información de la
organización. Establecen un conjunto de expectativas y requisitos que deben
ser alcanzados para poder satisfacer y cumplir cada uno de los objetivos de
seguridad establecidos en la política.
60
Basándose en la política o las normas de seguridad, y dependiendo del ámbito
de aplicación, el área responsable de garantizar la seguridad de un activo
deberá crear los procedimientos de seguridad en los que describirá de forma
concreta cómo proteger lo definido en las normas y las personas o grupos
responsables de la implantación, mantenimiento y seguimiento de su nivel de
cumplimiento. Son guías que especifican el cómo, dónde y cuándo realizar
tareas específicas.
También podrán existir, como desarrollo de la propia política de seguridad o de
cualquiera de las normas existentes, las políticas de uso que establecen las
normas de comportamiento que deben cumplir los usuarios en el uso de los
sistemas de información. Estos documentos destinados a usuario final
resumirán y trasladarán los requisitos de seguridad a contemplar en la
utilización o uso de determinadas tecnologías o servicios de manera concisa y
fácilmente comprensible.
Esta segmentación de la política se realiza dentro del mismo documento
incluyendo como anexos las políticas de uso y los procedimientos y especificando
dentro de la política las normas, quedando definida de la siguiente forma:
1. Objetivo. Definido en la sección 7.1.1 de este proyecto.
2. Alcance. Definido en la sección 7.1.1 de este proyecto.
3. Definiciones. En esta parte de la política se presentan las definiciones de los
conceptos más relevantes de manera concisa para que sean fácilmente
comprensibles por las personas involucradas. Estos conceptos han sido descritos
previamente al realizar el levantamiento del inventario de activos.
4. Responsables del cumplimiento. Aquí se define el personal del instituto que
debe acatar y cumplir las normas establecidas en la política y que fueron
previamente identificados como activos relacionados con la información de tipo
personas.
61
5. Normas de seguridad. Aquí se definen las reglas inquebrantables que deberá
cumplir el personal identificado como responsable del cumplimiento y se hace una
definición de sus funciones respecto a la seguridad de la base de datos.
5.1. Funciones y obligaciones. Se establecen las funciones y obligaciones del
personal dividiéndolo en diferentes roles de acuerdo a su relación con la base de
datos.
5.1.1. Todo el Personal. Se definen las funciones y obligaciones respecto a la
seguridad de la base de datos independientemente de su rol y se dividen en 4
aspectos generales así:
5.1.1.1. Confidencialidad de la Información.
5.1.1.2. Salvaguarda y protección de las contraseñas personales.
5.1.1.3. Gestión de Incidencias.
5.1.1.4. Gestión de soportes.
Luego se describen las funciones y obligaciones especificas para cada uno de los
roles identificados de la siguiente forma:
5.1.2. Administradores externos de las bases de datos.
5.1.3. Usuarios externos de soporte y mantenimiento de la bases de datos anivel de infraestructura.
5.1.4. Administrador interno de las bases de datos.
5.1.5. Administradores de la seguridad de las bases de datos.
5.1.6. Usuarios de Consulta.
5.1.7. Usuarios de desarrollo de las base de datos.
62
La política debe establecer las sanciones aplicables en caso de incumplimiento de
la política por cualquier persona de la siguiente forma:
6. Incumplimiento. Se estipulan las acciones que se tomarán en primera
instancia al comprobar el incumplimiento de la política por parte de cualquier
persona y se describen algunos ejemplos de incumplimiento. La definición de este
apartado se realizó como el resultado de una serie de reuniones con la dirección
de tecnología del ICFES y la oficina asesora jurídica.
7. Referencias. Se incluyen las referencias de los documentos base utilizados
para el desarrollo de la política además de algunas normas y leyes jurídicas que
se buscan cumplir con esta política.
Como anexos se incluyen una política de uso y tres procedimientos de seguridad a
los que se hace referencia dentro de la política.
El Anexo A. Política de uso de contraseñas. Es una política de uso elaborada
previamente para definir la normatividad del correcto uso de las contraseñas.
El Anexo B. Procedimiento de destrucción de soportes con información de labase de datos. Es un procedimiento de seguridad propuesto a raíz de la creación
de la política de seguridad de la base de datos donde se identificaron unas
amenazas y vulnerabilidades relacionadas con el manejo que se tenía en el
instituto con los soportes de la información.
Anexo C. Procedimiento de creación del ambiente de preproducción. Este
procedimiento también fue propuesto a raíz de la identificación de unas amenazas
y vulnerabilidades relacionadas con la metodología utilizada en el instituto para las
modificaciones tanto de los objetos como de los datos de la base de datos. Se
evidenció que no existía un control sobre los cambios que realizaban los usuarios
de desarrollo sobre la base de datos de producción. Además que todos estos
usuarios tenían permisos tanto de modificación de datos como de objetos. Por
63
esta razón se propuso la creación de un ambiente de preproducción, para que los
usuarios de desarrollo pudieran realizar sus actividades sin poner en riesgo la
integridad, confidencialidad y disponibilidad de la base de datos productiva y una
vez confirmado el correcto funcionamiento de los scripts elaborados pudieran ser
enviados al administrador interno para que él los ejecute en el ambiente de
producción.
Anexo D: Procedimiento de registro de incidencias de seguridad de laInformación. El procedimiento que se debe seguir para registrar incidencias de
seguridad de la información de cualquier tipio, existía previamente en el instituto
como parte del sistema de gestión de calidad, este procedimiento contempla los
incidentes relacionados con la seguridad de las bases de datos y cualquier
sistema informático, por esta razón se incluyó en la política de seguridad de la
base de datos productiva además para evitar tener duplicidad en procedimientos
que puedan confundir a los usuarios.
7.3.3 Desarrollo de un plan de auditoria
Como último paso de esta fase del proyecto se estableció desarrollar un plan de
auditoría para la política de seguridad de la base de datos. Un plan de auditoría
como lo define la norma ISO 9000:2005 Es el documento de trabajo detallado que
se constituye en la guía para la ejecución de los programas de auditoría interna a
desarrollar, por la oficina de control interno o quien haga sus veces quien
desarrolla las funciones de elaboración, ejecución, evaluación y seguimiento
significativos que se realicen durante el ejercicio deberán ser conocidas y
aprobadas por el comité [17]. Sin embargo realizar un plan de auditoría para cada
una de las políticas de seguridad establecidas implicaría un gran esfuerzo en
cuanto a la planeación y ejecución de las auditorias debido al gran numero de
políticas de seguridad que existen y podrían existir dentro del instituto. Por esto se
estableció un plan de auditoría para la seguridad de la información. Donde se
contempla realizar una auditoría anual a las definiciones de las políticas de
64
seguridad incluida la de la base de datos productiva y dos auditorías anuales de
seguimiento al cumplimiento de la misma por parte del personal [18]. Estas
auditorías serán llevadas a cabo por el líder de seguridad de la información del
ICFES quien desarrollara el papel de auditor líder y el acompañamiento de un
delegado de la oficina de control interno del instituto.
7.4 Fase 4: Actuar
7.4.1 Afinamiento a la definición de la política
Como resultado de la auditoría interna realizada a las definiciones de la política de
seguridad [18], por parte de la líder de la seguridad de la información MSc. Erika
Liliana Villamizar con el acompañamiento de un representante de la oficina de
control interno se hicieron las siguientes recomendaciones:
Incluir dentro de las referencias de la política todas las leyes y normas
constitucionales con las que se relaciona la política
Establecer claramente las sanciones que podrían sufrir los funcionarios por el
incumplimiento de la política después de la clara descripción de las funciones y
obligaciones dependiendo su rol
Alinear la política con la norma ISO 27001 para su fácil integración con un
sistema de gestión de seguridad de la información en su eventual
implementación.
Las recomendaciones fueron acatadas y se incluyeron en la versión final de la
política que se incluye como anexo en el presente documento.
7.4.2 Campaña de divulgación de la política
Para dar a conocer los lineamientos descritos en la política de la base de datos e
incentivar al personal que interactúa con la base de datos productiva a cumplirla,
se realizó la creación de una campaña de seguridad de la información enfocada a
65
mejorar la seguridad de las base de datos productivas por parte de sus usuarios.
Para el desarrollo de esta campaña se contó con la ayuda de la oficina de
información del instituto colombiano para la evaluación de la educación "ICFES".
Quienes fueron los encargados de ejecutar dicha campaña teniendo en cuenta los
siguientes aspectos más relevantes:
Dar a conocer al personal las definiciones de: Incidente de seguridad, Activo de
Información, política de seguridad, riesgos y amenazas relacionados con la
base de datos. Para esto la oficina desarrollo una campaña de expectativa
enviando imágenes informativas con la descripción de los conceptos
mencionados a través del correo institucional al personal que interactúa con la
base de datos productiva. La ilustración 4 es un ejemplo de una de estas
imágenes donde se da la definición de que es un incidente de seguridad y
como podría afectar al ICFES.
66
Ilustración 4. Imagen de la campaña de divulgación de la política de base de
datos, acerca de los incidentes de seguridad.
67
Divulgar la política de seguridad de la base de datos productiva. Para dar a
conocer las funciones, responsabilidades y sanciones descritas en la política
de seguridad de la base de datos productiva a los usuarios. Se realizó una
charla de asistencia obligatoria para todo el personal del instituto que
interactúa con la base de datos productiva donde se explicó el nuevo
procedimiento para realizar modificaciones a los objetos y los datos y se
explicaron cada una de las funciones responsabilidades y sanciones que
deben cumplir los usuarios de las bases de datos dependiendo de su rol.
Publicar la política de seguridad de la base de datos productiva en un lugar de
fácil acceso para los usuarios y darles a conocer su ubicación. Para cumplir
con esto la política fue publicada en la intranet del "ICFES" y se envió un
correo electrónico a todos los usuarios de la base de datos productiva con la
descripción de su ubicación en la intranet y el enlace para acceder a ella.
68
8. CONCLUSIONES
Para facilitar la actualización y mantenimiento de cualquier política de
seguridad es necesario diferenciar claramente las políticas de las normas
estándares y procedimientos en su definición.
Las políticas de seguridad pueden apoyarse en herramientas tecnológicas sin
embargo las definiciones de la política debe ser independientes de ellas.
El uso de firewalls dedicados como IMPERVA Secure Sphere Database,
permite implementar controles de seguridad adicionales a las base de datos
ayudando a mitigar las amenazas y vulnerabilidades a las que se encuentra
expuesta.
La identificación de los activos de información relacionados con la base de
datos y su correcta clasificación, permite una más fácil identificación de las
amenazas y vulnerabilidades que los afectan.
Se deben incluir en las políticas de seguridad las definiciones especificas a las
que hace referencia para evitar ambigüedades y confusiones para los
responsables del cumplimiento.
La concientización del personal de una organización sobre la importancia de la
seguridad de la información es fundamental para reducir los incidentes
relacionados con ella
69
REFERENCIAS
[1]. Instituto Colombiano Para La Evaluación De La Educación, ICFES Institucional[En línea]. Colombia, 2014 Disponible en www.icfes.gov.co.
[2]. IEEE, "Estilo de Referencias IEEE". Institute of Electrical and ElectronicsEngineers, México 2015.
[3]. Congreso de Colombia, Ley Estatutaria 1581 de 2012 [En línea]. 17 deOctubre de 2012. Disponible en http://www.alcaldiabogota.gov.co/sisjur/norma.
[4]. A. Cebrián, J. María, y otros, "Seguridad en bases de datos", Barcelona:Eureca Media, SL, 2012. pp. 55-70.
[5]. International Organization for Standardization, ISO [En línea]. 2015 Disponibleen www.iso.org.
[6]. Information security management, ISO 27001 [En línea]. 1 de Marzo de 2013Disponible en www.iso.org.
[7]. Oracle, "Database Concepts Guide 2014" [En línea]. 2015 Disponible enhttp://docs.oracle.com/cd/E25054_01/server.1111/e25789/process.
[8]. I2 Seguridad en Sistemas, "Informe de implementación final de IMPERVA,"ICFES., Bogotá, Septiembre de 2013.
[9]. Project Management Institute, "Pmbok", Newtown Square, PA : PMI, 2013.
[10]. Walton, Mary, "The Deming Management Method". New York : The BerkleyPublishing Group, 1988.
[11]. Instituto Colombiano Para La Evaluación De La Educación, ICFES "Políticade seguridad de base de datos", Bogotá: 2015.
[12]. Instituto Colombiano de Normas Técnicas y Certificación, ICONTEC, "NormaTécnica colombiana ISO/IEC 27000", Bogotá: ICONTEC, 2013
70
[13]. Ministerio de administraciones públicas, "Metodología de Análisis y Gestiónde Riesgos de los Sistemas de Información. MAGERIT Libro II - Catálogo deElementos", España: 2012.
[14]. Instituto Colombiano Para La Evaluación De La Educación, ICFES "Políticageneral seguridad de la información ICFES", Bogotá: 2014
[15] Firma-e, Javier Cao Avellaneda, "Guía para la elaboración del marconormativo de un sistema de gestión de la seguridad de la información(SGSI)", España: 2007.
[16] Carlos Ormella Meyer y Asociados. "Métricas de Seguridad de la Informacióny Gestión del Desempeño con el Balanced Scorecard"
[17] International Organization for Standardization, ISO "Quality managementsystems ISO 9000:2005"
[18] Instituto Colombiano Para La Evaluación De La Educación, ICFES "Plan deauditorías 2015", Bogotá:2015
[19]. W. Deming, "Calidad, Productividad y Competitividad: la salida de la crisis,"Madrid : Ediciones Díaz de Santos, 1989.
[20]. Oracle, "Oracle Database Security Guide 2014" [En línea]. Enero de 2014Disponible en http://docs.oracle.com/cd/B28359_01/network.111/b28531.pdf
[21]. Open Web Application Security Project, "OWASP" [En línea]. 2015 Disponibleen www.owasp.org.
[22]. ICONTEC, "Norma Técnica Colombiana NTC-ISO-IEC 27001".Bogotá: ICONTEC, 2013.
1
Revisó Erika LilianaVillamizar
Aprobó Erika LilianaVillamizar
FechaAplicación
Julio 27 de 2015
Información del documento
Versión Fecha Elaborado por: Razón de la actualización1 17/06/2015 Danny Garzón
Pasante Ingenieríade sistemas-ICFES
Creación
2 27/07/2015 Danny Garzón Actualización
2
Política de Seguridad de Bases de Datos
ContenidoInformación del documento ..................................................................................... 1Política de Seguridad de Bases de Datos ............................................................... 21. Objetivo............................................................................................................ 32. Alcance ............................................................................................................ 33. Definiciones...................................................................................................... 34. Responsables del cumplimiento....................................................................... 45. Normas de seguridad....................................................................................... 5
5.1. Funciones y obligaciones ........................................................................... 55.1.1. Todo el Personal.................................................................................. 5
5.1.1.1. Confidencialidad de la Información ............................................... 55.1.1.2. Salvaguarda y protección de las contraseñas personales ............ 55.1.1.3. Gestión de Incidencias.................................................................. 65.1.1.4. Gestión de soportes ...................................................................... 6
5.1.2. Administradores externos de las Bases de datos ................................ 75.1.3. Usuarios externos de soporte y mantenimiento de la bases de datos anivel de infraestructura ..................................................................................... 85.1.4. Administrador interno de las Bases de datos ...................................... 85.1.5. Administradores de la seguridad de las Bases de Datos:.................. 105.1.6. Usuarios de Consulta ........................................................................ 115.1.7. Usuarios de desarrollo de las base de datos..................................... 11
6. Incumplimiento ............................................................................................... 117. Referencias.................................................................................................... 12ANEXOS ............................................................................................................... 13
Anexo A. Política de uso de contraseñas .......................................................... 14Anexo B. Procedimiento de destrucción de soportes con información de la basede datos. ............................................................................................................ 20Anexo C. Procedimiento de creación del ambiente de preproducción............... 22Anexo D: Procedimiento de registro de incidencias de seguridad de laInformación ........................................................................................................ 24
3
1. ObjetivoDefinir el correcto uso de la base de datos del ambiente de producción "Prisma",del Instituto Colombiano para la evaluación de la educación "ICFES",estableciendo los lineamientos de seguridad sobre dicha base de datos paraasegurar que se mantenga la integridad, confidencialidad y disponibilidad de lainformación allí almacenada.
2. AlcanceEsta política aplica para el servidor de la base de datos productiva "Prisma"alojada en un data center externo al instituto, la infraestructura que soporta laconectividad del servidor con la red del ICFES, los sistemas que la gestionan, losentornos de desarrollo que realizan transacciones sobre ella y los usuarios activosen el sistema gestor de base de datos Oracle.
3. DefinicionesActivo de Información: Se refiere a cualquier tipo de información almacenada enalgún medio (físico o electrónico) que tenga valor para la organización.
Activo relacionado con la información: Se refiere a cualquier elementorelacionado con el tratamiento de la información (Hardware, software, personas...)que tenga valor para la organización.
Propietario: Corresponde a una parte designada de la institución, un cargo,proceso, o grupo de trabajo que tiene la responsabilidad de definir:• Quiénes tienen acceso y qué pueden hacer con la información (modificar, leer,procesar, entre otros).• Cuáles son los requisitos para que la información se salvaguarde ante accesosno autorizados, modificación, pérdida de la confidencialidad o destruccióndeliberada.• Qué se hace con la información una vez ya no sea requerida.
Custodio: Es una parte designada de la entidad, un cargo, proceso, o grupo detrabajo encargado de administrar los componentes tecnológicos donde seencuentra la información; además se encarga de hacer efectivos los controles de
4
seguridad administrativos que el propietario de la información haya definido, talescomo el manejo de archivos, el uso de copias y la eliminación.
Los datos personales pueden ser:
Dato Público: Son públicos, entre otros, los datos contenidos en documentospúblicos, sentencias judiciales debidamente ejecutoriadas que no estén sometidosa reserva y los relativos al estado civil de las personas.
Dato Semiprivado: Es semiprivado el dato que no tiene naturaleza íntima,reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo asu titular sino a cierto sector o grupo de personas o a la sociedad en general,como el dato financiero y crediticio de actividad comercial o de servicios.
Dato Privado: Es el dato que por su naturaleza íntima o reservada sólo esrelevante para el titular.
4. Responsables del cumplimientoLa definición de perfiles que a continuación se describe responde a la necesidadde implantar en el ICFES una política de seguridad que abarque los activos deinformación y los activos relacionados con la información de la base de datosproductiva.
El personal que debe cumplir esta normativa queda clasificado en las siguientescategorías:
Administradores externos de las base de datos: Personas designadas porla empresa que provea el servicio de data center para la administración de labase de datos. Quienes serán los custodios de la información.
Usuarios externos de soporte y mantenimiento de la bases de datos anivel de infraestructura: Personas designadas por la empresa que provea elservicio de data center para brindar soporte a la infraestructura de la base dedatos.
Administrador interno de la bases de datos: Persona designada por elICFES para la administración de la base de datos. Quien será el propietario dela información.
Administradores de la seguridad de la bases de datos: Personasdesignadas por el ICFES para la administración de la seguridad de la base dedatos.
5
Usuarios de Consulta: Personas designadas por el ICFES para realizarconsultas a las tablas de la base de datos productiva.
Usuarios de desarrollo de las base de datos: Personas designadas por elICFES para realizar labores de desarrollo en la base de datos (creación,borrado y modificación de objetos y/o datos).
5. Normas de seguridad.A continuación se definen las reglas inquebrantables y las funciones yobligaciones relacionadas con la seguridad de la base de datos productiva paratodas las personas que interactúan de alguna forma con ella.
5.1.Funciones y obligaciones
5.1.1. Todo el PersonalTodo el personal que interactúa con la base de datos productiva está obligado aconocer la presente política y aplicarla.Las funciones y obligaciones que afectan a todo el personal son:
5.1.1.1. Confidencialidad de la Información1. Guardar la debida reserva sobre los datos a los que hayan tenido acceso en
razón a su puesto de trabajo u otra circunstancia.2. Impedir el acceso de personas no autorizadas al conocimiento de información,
en cuya gestión, tramitación o custodia participe.3. El propietario de la información y quienes intervengan en cualquier fase del
tratamiento de los datos privados y semiprivados están obligados al secretoprofesional respecto de los mismos y al deber de guardarlos, obligaciones quesubsistirán aun después de finalizar sus relaciones con la entidad.
4. Queda prohibido extraer información de la base de datos que contenga datospúblicos, privados o semiprivados ya existentes, o crear una copia de lainformación aprovechando los datos ya existentes, sin la autorización delpropietario.
5. Queda prohibido utilizar archivos con datos personales que el ICFES no hayaautorizado.
5.1.1.2. Salvaguarda y protección de las contraseñas personales1. Cada usuario será responsable de la confidencialidad de su contraseña y, en
caso de que la misma sea conocida fortuita o fraudulentamente por personasno autorizadas, deberá notificarlo al personal de seguridad de la información
6
como incidente de seguridad por mesa de ayuda y solicitar que esta seacambiada por el administrador de base de datos.
2. Solamente para aquellos casos excepcionales en los que sea necesariocontinuar con las funciones que realizaba una persona ausente (debido a unabaja o ausencia temporal no prevista), será el subdirector o director de área, elque podrá solicitar al administrador de base de datos acceso a sus objetos ydatos, dentro de la base de datos dejando constancia de ello por medio decorreo electrónico o escrito.
Toda clave cumplirá unas normas mínimas, según detalla el Anexo A, Política deuso de contraseñas.
5.1.1.3. Gestión de Incidencias1. Es obligación de todo el personal del ICFES. notificar cualquier incidencia que
afecte a la seguridad de la información, o presunción/sospecha de la misma,que se produzca en la base de datos y recopilar toda la información posiblepara optimizar el procedimiento de detección del problema.
2. Es obligación de todo el personal del ICFES. notificar al responsable deseguridad cualquier otra incidencia, de naturaleza no técnica, que atente opueda atentar contra la seguridad de la información de la base de datos. Elconocimiento y la no notificación de una incidencia por parte de un usuario seráconsiderada como una falta del mismo contra la seguridad de la base de datospor parte de éste.
5.1.1.4. Gestión de soportes1. Los soportes que contengan datos, bien como consecuencia de operaciones
propias de trabajo, o bien como consecuencia de procesos periódicos derespaldo o cualquier otra operación esporádica, deberán estar claramenteidentificados con una etiqueta externa que indique de qué se trata, qué tipo dedatos contiene, proceso que los ha originado y fecha de creación. Los tipos desoportes permitidos son.
Hojas impresas. Los soportes impresos deben contar en la primera hoja conlos datos requeridos en la etiqueta
Dispositivos de almacenamiento óptico. CD (Compact Disc) / DVD (Digital VersatileDisc) / Blu-ray Disc (BD)
Pendrives. Memoria USB y cualquier otro tipo de pendrive: Si la superficie delpendrive no es lo suficientemente grande deberá ser identificado con un código yrelacionar la información que contiene en un archivo que debe ser guardado en lasubdirección de información.
7
2. Aquellos medios que sean reutilizables, y que hayan contenido copias de datosdeberán ser borrados físicamente antes de su reutilización, de forma que losdatos que contenían no sean recuperables.
3. Aquellos medios que no sean reutilizables, y que hayan contenido copias dedatos deberán ser entregados al encargado de la seguridad de la informaciónpara su destrucción física de acuerdo al procedimiento descrito en el Anexo B,Procedimiento de destrucción de soportes con información de la base dedatos.
4. Los soportes que contengan datos deberán estar almacenados en lugares alos que sólo tengan acceso personas autorizadas.
5. Cualquier movimiento total o parcial de datos, ya sea en soporte físico otransferencia telemática, fuera de las instalaciones del ICFES deberá serautorizada expresamente por el dueño de la información y consentimiento delsubdirector de información.
6. Cuando los datos deban ser enviados fuera de las instalaciones del ICFES,bien sea mediante un soporte físico de grabación de datos o bien sea mediantecorreo electrónico, deberán ser cifrados de forma que sólo puedan ser leídos einterpretados por el destinatario.
5.1.2. Administradores externos de las bases de datos
Funciones:1. Monitorear el desempeño de la base de datos y la correcta gestión de las
transacciones del sistema gestor de base de datos.2. Asegurar la disponibilidad, confidencialidad e integridad del sistema operativo y
del sistema gestor de base de datos en el servidor.
Obligaciones:1. Realizar las copias de seguridad de los servidores, y en ningún caso de los
computadores personales. Esto implica que la información debe siempremantenerse en el servidor de datos.
2. Realizar el monitoreo del desempeño de la base de datos y la gestión de lastransacciones al menos tres veces por día y reportar cualquier anomalíaencontrada, al administrador interno inmediatamente.
3. Resolver cualquier incidente o fallo relacionado con el sistema operativo y elsistema gestor de base de datos en el servidor, en el menor tiempo posiblesegún sea el incidente.
8
4. Asegurar que toda plataforma en las que se encuentre instalada la base dedatos, tenga los servicios no esenciales deshabilitados y/o desinstalados,endurecimiento de sistema operativo y puertos en desuso deshabilitados.
5. Asegurar que la base de datos ofrezca redundancia para alojar sus archivos encaso de falla del almacenamiento primario, como por ejemplo Disk Mirroring,SAN, etc.
6. Garantizar que la utilización de los servidores que contienen las bases dedatos son de función específica. No se permite dar otros usos a estosservidores.
5.1.3. Usuarios externos de soporte y mantenimiento de la bases dedatos a nivel de infraestructura
Funciones:1. Mantener la disponibilidad, confidencialidad e integridad de los activos
asociados con la información de tipo hardware de la base de datos y solucionarcualquier incidente relacionado con ellos en el menor tiempo posible.
Obligaciones:1. Al menos una vez a la semana revisaran el correcto funcionamiento de los
activos asociados con la información de tipo hardware teniendo en cuenta quecumplan con la disponibilidad, confidencialidad e integridad.
2. Al menos una vez al trimestre realizaran un mantenimiento preventivo de losactivos asociados con la información de tipo hardware.
3. Dar respuesta a las fallas que surjan con los activos asociados con lainformación de tipo hardware en el menor tiempo posible según sea el tipo defallo.
5.1.4. Administrador interno de las Bases de datos
Funciones:1. Es el encargado jurídicamente de la seguridad de la base de datos y de las
medidas establecidas en el presente documento, implantará las medidas deseguridad establecidas en él.
2. Crear un ambiente de preproducción para que los usuarios de desarrollo(Analistas SQL, Arquitectos de datos, etc.) puedan trabajar en él y no en el deproducción directamente como se describe en el Anexo C, Procedimiento decreación del ambiente de preproducción.
9
3. Asegurar que todos los usuarios de la base de datos cuenten con el mínimode permisos y privilegios necesarios para cumplir con sus labores dentro delinstituto.
Obligaciones:1. Revisar que los scripts que realicen los usuarios de desarrollo obedezcan a
acciones propias del desarrollo de su trabajo y no atenten contra la seguridadde la base de datos.
2. Ejecutar los scripts realizados por los usuarios de desarrollo una vez que estoshayan sido ejecutados por parte de cada usuario exitosamente en un ambientede preproducción, desarrollo o pruebas.
3. Asegurar que solo los usuarios descritos en el numeral 4 del presentedocumento tengan acceso a la base de datos y solo puedan consultarla.Además de no usar ninguna configuración por defecto (puertos, usuarios,contraseñas...)
4. Al otorgar los permisos y privilegios a los usuarios con los que se conectaranlas aplicaciones a la base de datos, debe asegurar que sean los estrictamentenecesarios para que la aplicación cumpla únicamente el objeto para el cual fuedesarrollada.
5. Notificar al ministerio de comercio, industria y turismo las bases de datoscreadas mediante orden de la dirección de tecnología (decreto 886 de 2014).
6. Implantar las medidas necesarias, según el Anexo D, Procedimiento deRegistro de incidencias de seguridad de la Información, que estarán adisposición de todos los usuarios y administrador de BD con el fin de que seregistre, cualquier incidencia que pueda suponer un peligro para la seguridadde la base de datos.
7. Comprobar con una periodicidad al menos trimestral, que la lista de usuariosde la base de datos corresponda con los permisos y privilegios que realmentedeben estar autorizados.
8. Realizar las actualizaciones de los activos relacionados con la información detipo software de acuerdo a una revisión conjunta con el administrador deseguridad.
9. Crear tablas de auditoría que permitan establecer la trazabilidad de loscambios sobre los datos de los activos de información de la base de datosproductiva.
10
5.1.5. Administradores de la seguridad de las Bases de Datos
Funciones:1. Coordinar y controlar las medidas definidas en el documento, sirviendo al
mismo tiempo de enlace entre los responsables del cumplimiento de la política.2. Adoptar las medidas necesarias para que el personal obligado a cumplir lo
expuesto en este documento, conozca las normas que afectan el desarrollo desus funciones.
Obligaciones:1. Coordinar la puesta en marcha de las medidas de seguridad, colaborar con el
propietario de la información y apoyar en el cumplimiento del documento.2. Mantener actualizado el presente documento siempre que se produzcan
cambios relevantes en la base de datos o en la organización de la misma.3. Adecuar en todo momento el contenido del documento a las disposiciones
vigentes en materia de seguridad de datos, y asegurar que el nuevodocumento llegara a todo el personal relacionado.
4. Determinar las amenazas vulnerabilidades y riesgos asociados a la base dedatos y establecer controles para mitigarlos
5. Mantener siempre actualizados los controles de seguridad e implementarnuevos controles cuando sea requerido.
6. Analizar con periodicidad al menos trimestral las incidencias registradas, paraindependientemente de las medidas particulares que se hayan adoptado en elmomento que se produjeron, adoptar las medidas correctoras que limiten esasincidencias en el futuro relacionadas con la base de datos.
7. Al menos una vez por trimestre revisar, conjuntamente con el administradorinterno, que todos los activos relacionados con la información de tipo softwareestén actualizados a la última versión según recomendaciones de losfabricantes.
8. Al menos una vez al año, cooperar con una auditoría, externa o interna quedictamine el correcto cumplimiento y la adecuación de las medidas delpresente documento de seguridad, identificando las deficiencias y proponiendolas medidas correctivas necesarias. Los informes de auditoría serán analizadospor el responsable de seguridad, quien propondrá al administrador de la basede datos las medidas correctoras correspondientes.
9. Documentar los resultados de las auditorías.10.Crear un control que permita registrar la entrada y salida de los correos
electrónicos o transferencia de documentos con datos de carácter personal por
11
red, de forma que se pueda siempre identificar su origen, tipo de datos,formato, fecha y hora del envío y destinatario de los mismos.
5.1.6. Usuarios de Consulta
Funciones:1. Realizar únicamente las consultas a la base de datos que sean estrictamente
necesarias para cumplir con el objeto del desarrollo de sus actividades en elinstituto.
Obligaciones:1. Solicitar autorización al administrador de la base de datos siempre que
requieran crear copias de la información de la base de datos.2. Solicitar autorización al administrador de la base de datos siempre que deban
entregar información de la base de datos a terceros.3. No podrán bajo ninguna circunstancia mantener copias de la información de la
base de datos en sus computadores de escritorio ni medios externos.
5.1.7. Usuarios de desarrollo de las base de datosFunciones:1. Realizar únicamente las consultas a la base de datos que sean estrictamente
necesarias para desarrollar los scripts para cumplir con las actividades objetode su trabajo.
Obligaciones:1. Solicitar autorización al administrador de la base de datos siempre que
requieran crear copias de la información de la base de datos.2. Solicitar autorización al administrador de la base de datos siempre que deban
entregar información de la base de datos a terceros.3. No podrán bajo ninguna circunstancia mantener copias de la información de la
base de datos en sus computadores de escritorio ni medios externos.
6. Incumplimiento
Esta política, es de obligatorio cumplimiento, por lo tanto debe ser cumplida portodos los funcionarios, contratistas, entes reguladores, socios de negocios yterceros, que interactúen con la base de datos productiva.
12
Incumplimiento significa toda conducta de cualquier miembro que no respete lapolítica. Entre los ejemplos de incumplimiento se incluyen, sin limitarse a ellos:
a) Los funcionarios que sean negligentes en la aplicación de medidas deseguridad.
b) Una acción o inacción por parte de un funcionario que contribuye a laviolación de las normas orientadas al buen uso de la información de labase de datos.
c) Un funcionario que no notifica o resuelve inmediatamente los problemasde seguridad de la información que sean detectados.
d) Los funcionarios que no tomen las medidas correspondientes ante unaqueja o un incidente de seguridad.
Cualquier violación de esta política y procedimientos de seguridad esconsiderado como falta disciplinaria por incumplimiento de las obligaciones ydeberes del funcionario, y se llevará a cabo el respectivo proceso deinvestigación, atendiendo las circunstancias particulares de cada caso.
Los empleados temporales y de terceros que estén involucrados en incidentesde incumplimiento pueden ver terminado su contrato de acuerdo con lascondiciones que en él se hayan establecido.
7. Referencias
[1] ISO 27001:2005. Sistemas de gestión de Seguridad en la Información-Requerimientos.
[2] ISO/IEC 133351:2004. Tecnología de la información – Técnicas de seguridad –Gestión de seguridad en tecnología de información y comunicaciones – Parte 1:Conceptos y modelos para la gestión de seguridad en la tecnología de la información ycomunicaciones .
[3] ISO/IEC TR 18044:2004.Tecnología de la información – Técnicas de seguridad –Gestión de incidentes en la seguridad de la información .
[4] Firma-e, Javier Cao Avellaneda. Guía para la elaboración del marco normativo de unsistema de gestión de la seguridad de la información (SGSI). 29 de noviembre de 2007.
14
Anexo A. Política de uso de contraseñas
ICFES
POLITICA DE CONTRASEÑAS“SEGURIDAD DE LA INFORMACION”
Revisó Subdirección deDesarrollo deAplicacionesSubdirección deInformación
16
INFORMACIÓN DEL DOCUMENTO
Versión Fecha[dd/mm/yy]
Elaborado por: Razón de la actualización
1 06/07/2011Yanid Parra
Contratista Seguridadde la Información
Creación del documento
2 12/07/2011Yanid Parra
Contratista Seguridadde la Información
Ajustes a los comentarios delICFES
17
CONTENIDO1. OBJETIVO ...................................................................................................................................... 182. ALCANCE ....................................................................................................................................... 183 POLITICAS..................................................................................................................................... 184 responsabilidades ....................................................................................................................... 19
18
1. OBJETIVOEstablecer los lineamientos para que el usuario defina contraseñas que no seanfácilmente vulnerables y lograr así un control de acceso seguro y efectivo a losrecursos informáticos del ICFES.
2. ALCANCEEsta política aplica a las contraseñas para el acceso a los recursos informáticospor parte de los miembros del ICFES tales como: servicio de correo, redcorporativa, aplicaciones, sistemas de administración, Internet, Intranet y demássistemas de información.
3. POLITICASLas contraseñas son uno de los controles más utilizados para el acceso seguro alos recursos informáticos. La seguridad en el acceso depende de la fortaleza delas contraseñas, entre más simples sean, mayor será la probabilidad de que sevulneren. Por esta razón todos los miembros deben aportar de manera individuala la protección de la información del ICFES, comprometiéndose a seguir lasdirectrices que se indican a continuación:
Las contraseñas son de uso personal e intransferible, no se debencompartir con ninguna persona. Todas las contraseñas deberán sertratadas como información confidencial.
Ningún usuario podrá acceder un sistema utilizando la cuenta o contraseñade otro usuario. Los usuarios deben velar porque sus claves o contraseñassean obligadas a cambiar periódicamente.
Nunca deberán ser escritas en papeles.
No deberán ser guardadas en línea usando las opciones deautocompletado y agentes de manejo de contraseñas que ofrece el sistemaoperativo.
Las contraseñas no deben ser guardadas en ningún sistema computarizadosin cifrado.
Los usuarios son responsables de las transacciones que se realicen consus contraseñas.
Se deben seguir las siguientes reglas para la creación de una contraseña:o La longitud mínima deberá ser de 8 caracteres.o La contraseña debe contener caracteres alternando mayúsculas y
minúsculas, caracteres especiales, y números.
19
o No se podrán reutilizar hasta 6 contraseñas ya empleadasanteriormente.
o La contraseña se debe cambiar por lo menos cada 2 meses.o No pueden ser palabras completas, ni en español, ni en cualquier
otro idioma, ni palabras de uso común, tales como: temporal,Colombia, ICFES2011, etc.
o Debe ser fácil de recordar, pero difícil de adivinar.o No deben estar basadas en información personal, ni de trabajo, no
se deben usar nombres de familiares, fechas, etc.4. Responsabilidades Todo usuario debe mantener la confidencialidad de las contraseñas bajo su
responsabilidad.
Mantener controlado el acceso a su computador, previniendo que tercerosinstalen software o hardware que guarde las contraseñas digitadas.
Es responsabilidad de los usuarios cambiar las contraseñasinmediatamente si se sospecha que se han sido conocido por cualquier otrapersona, y además deben notificar el incidente a través de la mesa deayuda.