PROYECTO DE GRADUACIN
PREVIO A LA OBTENCIN DEL TTULO DE
ANALISTA Y PROGRAMADOR DE SISTEMAS
TEMA
Implementacin de un Sistema de Gestin de Seguridad de la Informacin usando la
norma ISO27000 sobre un sitio de comercio electrnico para una nueva institucin
bancaria aplicando los dominios de control ISO27002:2005 y utilizando la
metodologa Magerit
AUTORES
Marcel Eduardo Len Lafebr
Evelyn Anabell Mota Orrala
Joffre Manuel Navarrete Zambrano
DIRECTOR
Ing. Vctor Muoz Chachapoya
AO
2011
AGRADECIMIENTO
Agradecemos a Dios por habernos permitido llegar a este punto en nuestra vida
estudiantil, a nuestras familias que con su apoyo incondicional supieron apoyarnos en
los momentos difciles, a nuestros maestros que da a da impartieron sus conocimientos
para enfrentarnos a un mejor maana y a nuestros compaeros por permitirnos
compartir gratos momentos en el transcurso nuestra carrera.
DEDICATORIA
DECLARACIN EXPRESA
RESUMEN
FECHA
REVISIN
OBSERVACIONES
02-Mayo-2011
Versin 1.0
Elaboracin de borrador
inicial del documento
16-Mayo-2011
Versin 1.1
Ordenar contenido de
captulos
22-Mayo-2011
Versin 1.2
06-Mayo-2011
Versin 1.3
1-Septiembre-2011
Versin 1.4
Correccin de formatos
NDICE GENERAL
CAPTULO 1: INTRODUCCIN
1.INTRODUCCIN....................................................................................................................................
1.1.ANTECEDENTES
1.2.OBJETIVOS
1.2.1. OBJETIVO GENERAL
1.2.2. OBJETIVOS ESPECFICOS
12
13
13
13
2.GENERALIDADES.................................................................................................................................
2.1.DEFINICIN DE CONCEPTOS
15
2.1.1.P.D.C.A.:
15
2.1.2.LA GESTIN POR PROCESOS
15
2.1.3.LA ISO
15
2.1.4.INFORMACIN
15
2.1.5.RECURSO O ACTIVO DE TECNOLOGA INFORMTICA Y
COMUNICACIONES (TIC)
15
2.1.6.POLTICA
15
2.1.7.DIRECTIVAS
15
2.1.8.ESTNDAR
15
2.1.9.PROCEDIMIENTO
15
2.1.10.ACTIVO
15
2.1.11.ANLISIS DE RIESGO
15
2.1.12.CONTROL
15
2.1.13.CRIPTOGRAFA
15
2.1.14.ELECTROTCNICA
15
2.1.15.EVALUACIN DE RIESGO
15
2.1.16.EVENTO DE SEGURIDAD DE LA INFORMACIN
15
2.1.17.GESTIN DE RIESGO
16
2.1.18.INCIDENTE DE SEGURIDAD DE LA INFORMACIN
16
2.1.19.LINEAMIENTO
16
2.1.20.MTRICA
16
2.1.21.RIESGO
16
2.1.22.TERCERA PERSONA
16
2.1.23.VULNERABILIDAD
16
2.2.DEFINICIN DE LA EMPRESA
16
2.2.1. PERFIL DE LA EMPRESA
16
2.2.2.ESQUEMA DE PROCESO
17
2.2.2.1.GESTIN DE PROYECTOS
18
2.2.2.2.DESARROLLO DE TRANSACCIONES
18
9
2.2.2.3.IMPLEMENTACIN EN PRODUCCIN
2.2.2.4.MANTENIMIENTO Y RESPALDO
2.2.2.5.OPERACIONES
2.2.3. PLATAFORMA DE LA BANCA VIRTUAL
18
18
18
18
20
20
20
4.POLTICA DE SEGURIDAD..................................................................................................................
4.1.OBJETIVO Y ALCANCE
22
4.2.MBITO DE APLICACIN
22
4.3.NORMATIVA
MARCO
(NORMATIVAS
SUPERIOR
DE
REFERENCIA)
22
4.4.DISPOSICIONES GENERALES Y TRANSITORIAS
22
4.5.ROLES Y RESPONSABILIDADES
22
4.6.POLTICA GENERAL DE SEGURIDAD DE LA INFORMACIN
23
4.6.1.PRINCIPALES DIRECTIVAS:
23
4.6.2.CLASIFICACIN Y CONTROL DE ACTIVOS DE INFORMACIN
23
4.6.3.ADMINISTRACIN DE RIESGOS DE SEGURIDAD
23
4.6.4.COMPETENCIA DEL PERSONAL EN MATERIA DE SEGURIDAD
DE LA INFORMACIN
23
4.6.5.SEGURIDAD FSICA Y DE ENTORNO
23
4.6.6.ADMINISTRACIN DE EQUIPAMIENTO, OPERACIONES Y
COMUNICACIONES
23
4.6.7.CONTROLES DE ACCESO
23
4.6.8.DESARROLLO Y MANTENIMIENTO DE SISTEMAS
23
4.6.9.ADMINISTRACIN DE LA CONTINUIDAD DEL NEGOCIO
23
5.ANLISIS Y GESTIN DE RIESGOS...................................................................................................
5.1.METODOLOGA
5.2.ANLISIS DE GESTIN DE RIESGO
5.3.IDENTIFICACIN DE ACTIVOS
5.4.VALORACIN DE ACTIVOS
5.5.INTERRELACIN DE LOS ACTIVOS
5.6.AMENAZAS
5.7.VALORACIN DEL IMPACTO
26
26
26
27
27
29
29
Capacidad de Operar............................................................29
5.8.CONTROLES
34
5.9.DETERMINACIN DEL RIESGO
35
10
35
37
42
43
43
43
43
43
43
44
44
44
45
45
45
45
45
45
46
46
47
47
47
47
47
49
49
49
49
49
49
50
50
50
50
50
50
50
50
50
50
5.12.10.2.DECLARACIN:
51
5.12.11.POLTICA DE USO DE PENDRIVES
52
5.12.11.1.OBJETIVO
52
5.12.11.2.GENERALIDADES
52
5.12.11.3.MOTIVO DE LA REGULACIN
52
5.12.11.4.POLTICAS
52
5.12.11.4.1.DRIVER USB DESHABILITADO
52
5.12.11.4.2.MONITOREO DE DRIVERS HABILITADOS
52
5.12.11.4.3.PASSWORD,
ENCRIPTACIN
Y
RESPALDO
DE
ARCHIVOS
52
5.12.11.4.4.CARPETAS COMPARTIDAS DE RED
52
5.12.11.4.5.PEN-DRIVE AUTORIZADO
52
5.12.11.5.ADVERTIR A USUARIOS
52
5.12.11.6.POLTICA DE INFORMACIN COMPARTIDA
53
5.12.11.6.1.RIESGOS
DE
COMPARTIR
DIRECTORIOS
Y/O
ARCHIVOS
53
5.12.11.6.2.SISTEMA DE DOCUMENTACIN
53
5.12.11.6.3.POLTICA DE CORREO ELECTRNICO E INTERNET
54
5.12.11.6.3.1.PROCEDIMIENTO
54
5.12.11.7.RECOMENDACIONES
54
5.12.11.7.1.CORREO ELECTRNICO
54
5.12.11.7.2. NAVEGACIN EN INTERNET
55
6.CONCLUSIONES Y RECOMENDACIONES........................................................................................
6.1.CONCLUSIONES
6.2.RECOMENDACIONES
57
58
12
13
NDICE DE ILUSTRACIONES
Figura
Figura
Figura
Figura
Figura
Figura
Figura
Figura
Figura
Figura
Figura
Figura
Figura
2-1: PDCA.................................................................................15
2-2: Esquema de Proceso.........................................................17
2-3: Gestin de Proyectos........................................................18
2-4: Desarrollo de Transacciones.............................................18
2-5: Implementacin en Produccin.........................................18
2-6: Mantenimiento y Respaldo...............................................18
2-7: Operaciones......................................................................18
2-8: Plataforma del Servicio Virtual..........................................18
1: Estructura Forest..................................................................61
2: Estructura de unidades organizativas..................................62
11: Autenticacin de usuarios................................................107
12: Sitio Web predeterminado...............................................108
13: Buscador de directorio.....................................................108
14
NDICE DE TABLAS
Tabla
Tabla
Tabla
Tabla
Tabla
Tabla
Tabla
Tabla
Tabla
Tabla
Tabla
Tabla
Tabla
Tabla
Tabla
Tabla
Tabla
Tabla
Tabla
Tabla
Tabla
Tabla
Tabla
Tabla
Tabla
Tabla
Tabla
Tabla
Tabla
Tabla
Tabla
Tabla
Tabla
Tabla
Tabla
Tabla
Tabla
Tabla
Tabla
Tabla
Tabla
Tabla
0-2:
0-3:
0-1:
0-1:
0-2:
0-3:
Derechos de Usuarios.......................................................105
Servicios...........................................................................105
Reduccin de los Componentes www...............................105
Permiso de Acceso a Directorios......................................106
Permiso de Acceso a Directorios......................................107
Configuracin del Registro de Windows...........................107
16
CAPTULO 1
INTRODUCCIN
Proyecto de Graduacin
1. INTRODUCCIN
1.1.
ANTECEDENTES
EDCOM
Pgina # 18
ESPOL
Proyecto de Graduacin
1.2.
1.2.1.
OBJETIVOS
OBJETIVO GENERAL
1.2.2.
OBJETIVOS ESPECFICOS
EDCOM
Pgina # 19
ESPOL
CAPTULO 2
GENERALIDADES
Proyecto de Graduacin
2. GENERALIDADES
2.1.
DEFINICIN DE CONCEPTOS
2.1.1.
P.D.C.A.:
2.1.2.
2.1.3.
LA ISO
2.1.4.
INFORMACIN
Pgina # 21
ESPOL
Proyecto de Graduacin
2.1.5.
Se considera recurso TIC a todos aquellos recursos tcnicos que almacenan, procesan o
transmiten informacin de la Entidad.
2.1.6.
POLTICA
2.1.7.
DIRECTIVAS
2.1.8.
ESTNDAR
Un estndar es una declaracin que provee una gua o lineamiento para concretar los
objetivos estipulados por las directivas e indicados por las polticas.
2.1.9.
PROCEDIMIENTO
2.1.10.
ACTIVO
Pgina # 22
ESPOL
Proyecto de Graduacin
ANLISIS DE RIESGO
2.1.12.
CONTROL
2.1.13.
CRIPTOGRAFA
2.1.14.
ELECTROTCNICA
2.1.15.
EVALUACIN DE RIESGO
2.1.16.
2.1.17.
GESTIN DE RIESGO
Pgina # 23
ESPOL
Proyecto de Graduacin
2.1.18.
2.1.19.
LINEAMIENTO
Descripcin que aclara Qu? y Cmo? se debera hacer, para lograr los objetivos
establecidos en las polticas.
Medios de procesamiento de la informacin: cualquier sistema, servicio o
infraestructura de procesamiento de la informacin, o los locales fsicos que los alojan.
2.1.20.
MTRICA
RIESGO
2.1.22.
TERCERA PERSONA
2.1.23.
VULNERABILIDAD
La debilidad de un activo o grupo de activos que puede ser explotada por una o ms
amenazas.
EDCOM
Pgina # 24
ESPOL
Proyecto de Graduacin
2.2.
DEFINICIN DE LA EMPRESA
2.2.1.
PERFIL DE LA EMPRESA
Como empresa del sector financiero, la entidad tiene como objeto: la captacin de
fondos de entidades pblicas, empresas del sector privado y los fondos de todos sus
clientes para ofrecer planes de financiamiento para los sectores productivos del pas
con el fin de dar, mantener y mejorar la economa de la nacin. Por ende necesita dar
servicios de calidad a nuestros clientes, para lo cual tiene su valor aadido del sitio
transaccional de banca virtual, que le permitir al cliente hacer un sin fin de
operaciones sin tener que ir a las diferentes centrales y sucursales del banco.
En la actualidad la institucin est presente en las 3 ms grandes ciudades del Ecuador,
estando as distribuidas:
Guayaquil Matriz
Quito
Sucursal 1
Cuenca Sucursal 2
La empresa al adquirir la banca virtual, ofrece a sus clientes (empresas y personas) la
disponibilidad del servicio 7 x 24.
La organizacin se mueve en un sector en el que la mejora continua es esencial para
mantener el nivel de competitividad que goza actualmente.
La constante innovacin tecnolgica le permite a la entidad financiera una mejora
continua en los procesos de negocio.
La forma de actuacin de la entidad financiera sigue las pautas del P.D.C.A. (planificar,
hacer, controlar y actuar), en consecuencia con una constante retroalimentacin sobre la
gestin de nuestros procesos.
El objetivo primordial de la poltica de calidad es la satisfaccin y fidelidad de nuestros
clientes.
La empresa considera prioritario a nivel interno:
La mejora de la competitividad de la empresa, dentro del mercado donde desarrolla su
actividad.
EDCOM
Pgina # 25
ESPOL
Proyecto de Graduacin
2.2.2.
ESQUEMA DE PROCESO
EDCOM
Pgina # 26
ESPOL
Proyecto de Graduacin
EDCOM
Pgina # 27
ESPOL
Proyecto de Graduacin
2.2.2.1.
GESTIN DE PROYECTOS
ENTRADA
SALIDA
* Necesidades
del cliente y
oportunidad de
negocio
* Anlisis de las
reas:
- Mercadeo y
Publicidad
- Productos
- Legal
- Financiero
-Tecnologa
* Recursos
disponibles
* Viabilidad
* Satisfaccin del
cliente y
rentabilidad
* Documentacin
del proyecto
* Registros del
proyecto
DESARROLLO DE TRANSACCIONES
ENTRADA
SALIDA
* Definiciones de CU
* Definiciones
tcnicas
* Nueva transaccin
de banca virtual
* Orden de proceso
para produccin,
respaldos y
procesos en lotes
Figura 2-4: Desarrollo de Transacciones
EDCOM
Pgina # 28
ESPOL
Proyecto de Graduacin
2.2.2.3.
IMPLEMENTACIN EN PRODUCCIN
ENTRADA
SALIDA
* Requerimiento de
* Nueva transaccin
pase a produccin
disponible para
* Documentacin de
clientes en banca
permisos de red a
virtual
terceros
Figura 2-5: Implementacin en Produccin
2.2.2.4.
MANTENIMIENTO Y RESPALDO
ENTRADA
SALIDA
* Documentacin de
base de datos
* Documentacin de
procesos batch
* Inclusin en
bitcora de
respaldos de
centro de cmputo
* Ejecucin de
procesos batch
EDCOM
Pgina # 29
ESPOL
Proyecto de Graduacin
2.2.2.5.
OPERACIONES
ENTRADA
SALIDA
* Inconvenientes
reportados por
clientes
* DWH
* Parches de la
transaccin
* Anlisis de
estadsticas
* Conciliaciones de
transacciones
* Cuadres contables
Figura 2-7: Operaciones
EDCOM
Pgina # 30
ESPOL
Proyecto de Graduacin
2.2.3.
EDCOM
Pgina # 31
ESPOL
CAPTULO 3
ALCANCE DEL PROYECTO
Proyecto de Graduacin
3.2.
Como empresa del sector financiero, la entidad tiene como objeto la captacin de
fondos de entidades pblicas, empresas del sector privado privado y los fondos de
todos sus clientes para ofrecer planes de financiamiento para los sectores productivos
del pas con el fin de dar mantener y mejorar la economa de la nacin. Por ende
necesita dar servicios de calidad a nuestros clientes, para lo cual tiene su valor aadido
del sitio transaccional de banca virtual, que le permitir al cliente hacer un sin fin de
operaciones sin tener que ir a las instalaciones de la oficina.
En la actualidad la institucin est presente en las 3 ms grandes ciudades del Ecuador,
estando as distribuidas:
Guayaquil Matriz
Quito Sucursal 1
Cuenca Sucursal 2
La empresa al adquirir la banca virtual, ofrece a sus clientes (empresas y personas) la
disponibilidad del servicio 7 x 24.
La organizacin se mueve en un sector en el que la mejora continua es esencial para
mantener el nivel de competitividad que goza actualmente.
La constante innovacin tecnolgica le permite a la entidad financiera una mejora
continua en los procesos de negocio.
La forma de actuacin de la entidad financiera sigue las pautas del P.D.C.A. (planificar,
hacer, controlar y actuar), en consecuencia con una constante retroalimentacin sobre la
EDCOM
Pgina # 33
ESPOL
Proyecto de Graduacin
3.3.
JUSTIFICACIN
Aspectos organizativos
Cumplimiento Legal
Telecomunicaciones y operaciones
Adquisicin, mantenimiento y desarrollo de software
Controles de Accesos
Gestin de Incidentes
Pgina # 34
ESPOL
CAPTULO 4
POLTICA Y OBJETIVOS
DE SEGURIDAD
Proyecto de Graduacin
4. POLTICA DE SEGURIDAD
4.1.
OBJETIVO Y ALCANCE
4.2.
MBITO DE APLICACIN
Tanto el Banco en su conjunto, como las personas y terceros que acceden, utilizan e
interactan con sus recursos informticos y de comunicaciones relacionados a los
servicios transaccionales virtuales, se encuentran alcanzados por esta Poltica y las
polticas derivadas, y por ende, son responsables de contribuir al logro y mantenimiento
de estos objetivos en su desempeo cotidiano.
Esta Poltica es de aplicacin para todo colaborador y/o terceros contratados por el
Banco que accedan y/o utilicen informacin y/o recursos de tecnologa informtica y
comunicaciones de la banca virtual.
4.3.
Esta Poltica General tiene como normativa la Norma ISO 27000:2000, todo estndar y
procedimiento de Banco se basan en las mejores prcticas y normas de seguridad como
NIST, NSA, PCI, CIS, Resolucin de la Junta Bancaria No. JB-2011-1851 entre otras.
Normativa Derogada
EDCOM
Pgina # 36
ESPOL
Proyecto de Graduacin
Ninguna.
Vigencia
Esta Poltica entrar en rigor a partir del 15 de Agosto del 2011.
4.4.
4.5.
ROLES Y RESPONSABILIDADES
Pgina # 37
responsabilidad de
Proyecto de Graduacin
la Informacin.
rea de Seguridad de la Informacin: ser la encargada
de gestionar la
4.6.
actividades.
Pgina # 38
ESPOL
Proyecto de Graduacin
4.6.1.
PRINCIPALES DIRECTIVAS:
4.6.2.
Pgina # 39
ESPOL
Proyecto de Graduacin
4.6.3.
Se evaluarn los riesgos a los que estn sometidos los activos TIC de Banco. El rea de
Seguridad de la Informacin en conjunto con el Propietario del recurso TIC,
establecern los riesgos que pueden afectar a dicho recurso, las implicancias de su
exposicin, modificacin o acceso no autorizado y cules son las medidas de
proteccin que se debern implementar de acuerdo con el anlisis de riesgo efectuado.
4.6.4.
4.6.5.
Se proteger adecuadamente todos los recursos TIC y las reas donde estos residen,
contra accesos no autorizados y dao intencional o no intencional, implementando
medidas de proteccin acorde con la clasificacin de criticidad, confidencialidad y
riesgo otorgada a cada recurso.
4.6.6.
Pgina # 40
ESPOL
Proyecto de Graduacin
4.6.7.
CONTROLES DE ACCESO
El acceso a los recursos TIC deber ser restringido de acuerdo con los requerimientos
de control establecidos por sus Propietarios y el rea de Seguridad de la Informacin,
bajo el criterio de la necesidad de conocer y el principio de mnimo privilegio. Dicho
acceso se asegurar a travs de procesos de autenticacin, autorizacin, monitoreo y
posterior auditora.
4.6.8.
4.6.9.
EDCOM
Pgina # 41
ESPOL
CAPTULO 5
ANLISIS Y GESTIN DE
RIESGO
Proyecto de Graduacin
METODOLOGA
la
5.2.
organizacin
certificacin o
Esta etapa proceder a puntuar los activos que posee el banco (Banca Virtual) y en base
aquello a puntuar las amenazas, salvaguardas, estimar los riesgos y el impacto que
dichas amenazas producen sobre cada uno de los activos.
interrelacin y
Pgina # 43
ESPOL
de la
de
Proyecto de Graduacin
5.3.
IDENTIFICACIN DE ACTIVOS
Transacciones de
banca virtual
DESCRIPCIN
CARACTERSTICAS
CANTIDAD
del da
del banco
Transaccin a travs de
Transferencias cuentas
propias
cuentas
de
la
del da
institucin
Transacciones a travs de la
Transferencias terceros
mismo banco, otros
bancos SPI, directo e
internacionales
Pago de tarjetas de
crdito propias
crdito de la institucin
Pago de tarjetas de
Transacciones a travs de la
crdito de terceros
del da
realizar pagos a
internacionales.
tarjetas de
EDCOM
Pgina # 44
ESPOL
Proyecto de Graduacin
del extranjero.
de crdito
del da
crdito
Servicios de consulta y
pago
de
servicios
pblicos en lnea y
base local
cancelar
los
del da
de
central de crdito
total
de
sus
deudas
registrados en la central de
del da
Servicios
de
Servicios
Informacin
de
Internet
que
sirven
para
en la internet
Microsoft
Exchange
Server
Internet
Information
Service 7
hardware y software de un
Servidor
equipo
Edicin Estndar
Motor de Base de
Software
Datos
creacin y el funcionamiento
EDCOM
Operativo
que
permite
la
Pgina # 45
ESPOL
Proyecto de Graduacin
de la base de datos
Software
para
programas
que
evitar
alteren
el
Mc-Afee
pcs y
servidores,
que
puedan
espiar
Profesional
licencias
las
actividades de un equipo de la
organizacin
Servidores virtualizados
Servidores
BD
con
procesadores
de 8 Gb y 1 Tb de disco
duro con SO Windows
2003 Server.
Servidores
Windows
FE
Servidores virtualizados
pginas
con
el
servicio
de
de 8 Gb y 1 Tb de disco
funcionamiento de la banca
virtual
2003 Server.
Servidores Unix BD
datos
principales
en
ambiente Sybase
Estaciones de trabajo
(Operadores de centro
banco
de
HP
PN:583967001 DL-380
20
De
redes e Infraestructura,
dependiendo
Pgina # 46
ESPOL
G7 E5640
Ghz en adelante
de
fsico
GX620 Pentium 4 de 3
Ingenieros
EDCOM
Servidor
cmputo,
Administradores
procesadores
Gb
de
las
Proyecto de Graduacin
actividades
Desarrolladores)
80 Gb en disco duro
software
que
permite la administracin de
Cortafuegos
del
Banco
proveedores
de
servicios
Uno para administrar la
comunicacin entre las
otras redes internas del
Banco
de
clientes
datos
de
de
banca
Repositorio de informacin de
de clientes de la banca
virtual alojada en el
virtual
STOREBBSRV.
Base
Base
de
datos
transaccional de banca
virtual
Repositorio de informacin de
las transacciones realizadas
por los clientes en banca
virtual
SqlServer
transaccionalidad
de
de
en
el
STOREBBSRV.
maestros de cuentas y
Repositorio
tarjetas de crdito y
maestros de cuentas de
dbito
ahorros,
de
cuentas
Base
Sybase
de
corrientes,
tarjetas de crdito y
EDCOM
Pgina # 47
ESPOL
Proyecto de Graduacin
dbito, alojadas en el
servidor central HP.
Base transaccional de
Repositorio de informacin de
movimientos
cuentas
de
Base
Sybase
transacciones
de
de
clientes alojada en el
Base
Sybase
histrico
de
de
movimientos de clientes
alojada en el servidor
Bases histricas
Repositorios de informacin
central HP.
Base
SqlServer
de
histrico
de
transaccionalidad
de
en
el
STOREBBSRV.
Respaldos en cinta
Red Local
Respaldos de informacin de
las bases de datos
Sistema de comunicaciones
Dividida en subredes
de:
cmputo de la institucin
Desarrollo de sistemas
Pre-produccin
Produccin interna y
DMZ
Empleados
EDCOM
Pgina # 48
ESPOL
que
no
Proyecto de Graduacin
pertenecen a tecnologa
administrados por 20
switch de comunicacin
Ubicado en el centro de
la ciudad, en un edificio
de 5 pisos con sistema
central de climatizacin
y
Espacio
Edificio Matriz
fsico
donde
acceso
restringido
controlado
con
seguridad
la institucin y en el que se
(guardias de seguridad
encuentra
y empleados de reas
el
Centro
de
cmputo principal
fsica
restringidas)
seguridad
electrnica
(controles biomtricos:
torniquetes, lectores de
huellas
dactilares
tarjetas de acceso)
Centro alterno
el
Centro
de
cmputo de contingencia de la
institucin
de la ciudad, con un
espacio fsico de 20 m2
y
sistema
de
climatizacin y acceso
restringido.
Operadores de centro
Ingenieros y Analistas
de
en la institucin y desempean
de Sistemas encargados
funciones
del
cmputo,
Ingenieros
Administradores
de
redes e Infraestructura,
que
estn
correcto
funcionamiento,
de la banca virtual
desarrollo
Desarrolladores
EDCOM
de
transacciones
Pgina # 49
ESPOL
nuevas
y
el
20
Proyecto de Graduacin
mantenimiento de los
componentes
de
la
banca virtual
5.4.
VALORACIN DE ACTIVOS
Las valoraciones para escala cualitativa de Activos sern las siguientes de acuerdo a la
utilidad y servicio de cada una.
Muy Alta
Alta
Media
Baja
Muy Baja-
EDCOM
MB
MA
A
M
B
Pgina # 50
ESPOL
Proyecto de Graduacin
Activo
Disponibilidad
Confidencialida
d e Integridad
Valoracin
promedio
MA
MA
MA
MA
MA
Servicios de Informacin de
Internet
MA
MA
MA
MA
MA
MA
Antivirus y antiespas
MA
MA
Servidores Windows BD
MA
MA
Servidores Windows FE
MA
MA
Servidores Unix BD
MA
MA
Estaciones de trabajo
Cortafuegos
MA
MA
MA
MA
MA
MA
MA
MA
MA
MA
MA
Base
transaccional
movimientos de cuentas
MA
MA
MA
MA
MA
Respaldos en cinta
MA
MA
Red Local
Edificio Matriz
MA
MA
Centro alterno
MA
MA
MA
MA
Tabla 5-2: Valoracin de Activos
MA
Bases histricas
Empleados
5.5.
de
Para el cuadro de las relaciones y dependencias entre los activos se utilizar una nueva
columna con el fin de identificar por abreviaturas los activos.
EDCOM
Pgina # 51
ESPOL
Proyecto de Graduacin
Activo
Abreviatura
TRX_BV
Mensajera electrnica
MSG
IIS
SO
M_BD
Antivirus y antiespas
ANT
Servidores Windows BD
SW_BD
Servidores Windows FE
SW_FE
Servidores Unix BD
SU_BD
Estaciones de trabajo
PCS
Cortafuegos
FRW
BD_CBV
virtual
Base de datos transaccional de banca
BD_TBV
virtual
Base de datos de los maestros de
BD_MAE
BD_MOV
cuentas
Bases histricas
BD_HIS
Respaldos en cinta
BACKUP
Red Local
LAN
Edificio Matriz
EDIF.
Centro alterno
ALT
Empleados
RRHH
TRX_BV
MSG
EDCOM
X
X
Pgina # 52
ESPOL
RRHHRRHH
TRX_BV
MSG
IIS
SO
M_BD
ANT
SW_BD
SW_FE
SU_BD
PCS
FRW
BD_CBV
BD_TBV
BD_MAE
BD_MOV
BD_HIS
BACKUP
LAN
EDIF.
ALTALT
Proyecto de Graduacin
IIS
SO
M_BD
ANT
SW_BD
SW_FE
SU_BD
PCS
FRW
BD_CBV
BD_TBV
X
X
X
X
X
X
X
X
X
X
BD_MAE
BD_MOV
BD_HIS
BACKUP
LAN
EDIF.
ALT
RRHH
X
X
EDCOM
Pgina # 53
ESPOL
Proyecto de Graduacin
5.6.
AMENAZAS
AMENAZAS
Inconvenientes en produccin
Acuerdos legales
Mensajera electrnica
Cdigo malicioso
Paso de virus
Falla de software
Falla de hardware
Virus
Antivirus
Servidores Windows BD
Fallas de hardware
apagones de luz
intrusos
Servidores Windows FE
Fallas de hardware
apagones de luz
intrusos
Servidores Unix BD
Fallas de hardware
apagones de luz
intrusos
Virus
Falsificacin de identidades
acceso a informacin no debida
Cortafuegos
Virus
falla de software
falla de hardware
Robo de informacin
acceso a informacin no debida
EDCOM
Pgina # 54
ESPOL
Proyecto de Graduacin
Robo de informacin
acceso a informacin no debida
Robo de informacin
acceso a informacin no debida
Robo de informacin
acceso a informacin no debida
Bases histricas
Robo de informacin
acceso a informacin no debida
Respaldos en cinta
Extravos
Deterioros de las cintas fsicas
Red Local
Acceso no autorizado
Cada de la red por hardware
Edificio Matriz
Incendio o terremoto
Centro alterno
Incendio o terremoto
Extorsiones
clientes
por
informacin
de
5.7.
Las valoraciones de los impactos que causaren las amenazas identificadas para cada
uno de los activos sern las siguientes de acuerdo a la degradacin y violacin de
seguridad del servicio de cada una.
Muy Bajo
Bajo
Media
Alto
Muy Alto
1
2
3
4
5
Pgina # 55
ESPOL
Proyecto de Graduacin
Valoracin
Costo de Capacidad de
promedio
Reposicin
Operar del impacto
ACTIVOS
AMENAZAS
TRX_BV
Inconvenientes en
produccin
Acuerdos legales
Cdigo malicioso
Paso de virus
Falla de software
Falla de hardware
Virus
Espacio en disco
Caducidad de las
actualizaciones
Fallas de hardware
apagones de luz
Intrusos
Fallas de hardware
apagones de luz
Intrusos
Fallas de hardware
apagones de luz
Intrusos
Virus
Falsificacin de
identidades
acceso a informacin no
debida
Virus
falla de software
falla de hardware
Robo de informacin
MSG
IIS
SO
M_BD
ANT
SW_BD
SW_FE
SU_BD
PCS
FRW
BD_CBV
EDCOM
Pgina # 56
ESPOL
Proyecto de Graduacin
acceso a informacin no
debida
Robo de informacin
Robo de informacin
acceso a informacin no
debida
Extravos
Acceso no autorizado
LAN
EDIF.
Incendio o terremoto
ALT
Incendio o terremoto
RRHH
Extorsiones por
informacin de clientes
5.8.
CONTROLES
Ya que la base del funcionamiento del negocio de la entidad financiera radica en uso de
tecnologas y su principal proceso 7 x 24 son las transacciones disponibles para los
clientes en la banca virtual, nos fijaremos como meta trazada la de mantener en lnea y
funcionamiento los sistemas que permiten se realice este proceso. Las salvaguardadas
existentes son las siguientes:
EDCOM
Pgina # 57
ESPOL
Proyecto de Graduacin
ACTIVOS AMENAZAS
CONTROL
Cdigo
malicioso
MSG
SO
Cada del
servicio
Falla de
software
Falla de
hardware
Virus
Falla del
servicio
M_BD
Espacio en
Alertas de avisos de espacio en disco
disco
ANT
SW_BD
EDCOM
Caducidad de
Sistema de registro de compras de licencias, fechas y
las
caducidad de antivirus
actualizaciones
Fallas de
hardware
Servidores de contingencia
Pgina # 58
ESPOL
Proyecto de Graduacin
apagones de
UPS
luz
Intrusos
Fallas de
hardware
SW_FE
SU_BD
Intrusos
Fallas de
hardware
Servidores de contingencia
apagones de
UPS
luz
Virus
Falsificacin
UPS
de identidades
acceso a
informacin no Deteccin de comportamientos anormales
debida
Virus
FRW
Servidores de contingencia
apagones de
UPS
luz
Intrusos
PCS
falla de
software
falla de
hardware
Antivirus actualizados
Procedimiento de configuracin
Firewall de contingencia
Robo de
Sensores de usuarios de db conectados
informacin
BD_CBV
BD_TBV
EDCOM
acceso a
informacin no Asignacin de permisos por usuario
debida
Robo de Sensores de usuarios de db conectados
informacin
Pgina # 59
ESPOL
Proyecto de Graduacin
acceso a
informacin no Asignacin de permisos por usuario
debida
Robo de
Sensores de usuarios de db conectados
informacin
BD_MAE
acceso a
informacin no Asignacin de permisos por usuario
debida
Robo de
Sensores de usuarios de db conectados
informacin
BD_MOV
acceso a
informacin no Asignacin de permisos por usuario
debida
Robo de
Sensores de usuarios de db conectados
informacin
BD_HIS
acceso a
informacin no Asignacin de permisos por usuario
debida
Extravos
BACKUP
LAN
Respaldo en bitcora
Deterioros de
las cintas Temperatura adecuada
fsicas
Acceso no
autorizado
Cada de la red
Switches de contingencia
por hardware
EDIF.
Incendio o
terremoto
Poltica de desastres
ALT
Incendio o
terremoto
Poltica de desastres
RRHH
Extorsiones
por
Ingeniera Social
informacin de
clientes
Tabla 5-7: Controles
EDCOM
Pgina # 60
ESPOL
Proyecto de Graduacin
5.9.
5.9.1.
Para determinar las probabilidades con la que ocurra un evento que amenace la
integridad de los activos, vamos a utilizar la siguiente escala:
100 = muy frecuente a diario
10 = frecuente mensualmente
1 = normal una vez al ao
1/10 = poco frecuente cada varios aos
Cabe indicar que la tabla de frecuencias est basada en un anlisis estadstico.
ACTIVOS
AMENAZAS
FRECUENCIA
TRX_BV
Inconvenientes en
produccin
10
Acuerdos legales
Cdigo malicioso
100
Paso de virus
100
Falla de software
Falla de hardware
1/10
Virus
10
Espacio en disco
Caducidad de las
actualizaciones
10
Fallas de hardware
apagones de luz
Intrusos
100
Fallas de hardware
apagones de luz
Intrusos
100
Fallas de hardware
apagones de luz
Intrusos
100
Virus
10
Falsificacin de identidades
1/10
MSG
IIS
SO
M_BD
ANT
SW_BD
SW_FE
SU_BD
PCS
EDCOM
Pgina # 61
ESPOL
Proyecto de Graduacin
acceso a informacin no
debida
10
Virus
10
falla de software
falla de hardware
Robo de informacin
100
Acceso a informacin no
debida
10
Robo de informacin
100
Acceso a informacin no
debida
10
Robo de informacin
100
Acceso a informacin no
debida
10
Robo de informacin
100
Acceso a informacin no
debida
10
Robo de informacin
100
Acceso a informacin no
debida
10
Extravos
10
Acceso no autorizado
100
LAN
10
EDIF.
Incendio o terremoto
1/10
FRW
BD_CBV
BD_TBV
BD_MAE
BD_MOV
BD_HIS
BACKUP
ALT
RRHH
Incendio o terremoto
Extorsiones por
informacin de clientes
Tabla 5-8: Anlisis estadstico
EDCOM
Pgina # 62
ESPOL
1/10
1
Proyecto de Graduacin
Declaracin de Aplicabilidad
Fecha de actualizacin:
Leyenda (para los controles seleccionados y las razones para la seleccin de los controles)
2011 Junio 01
RL: Requerimientos legales, OC: obligaciones contractuales, RN/MP: requerimientos de negocio/mejores prcticas adoptadas, RER: resultados de evaluacin
de riesgos, TSE: hasta cierto punto
Controles
Actuales
Controles
Seleccionados y
Razones para
Seleccin
Observacione
s
(Justificacin
de exclusin)
R
L
Clusula
Sec.
5,1
Poltica de
Seguridad
5.1.1
5.1.2
O
C
RN/
MP
Observaciones (Vista
general de los objetivos de
implementacin)
RER
Objetivo de Control/Control
Poltica de Seguridad de la
Informacin
Documento de Poltica de
Seguridad de la Informacin
Revisin de Poltica de Seguridad
de la Informacin
Controles
existentes
Controles
existentes
EDCOM
Pgina # 63
ESPOL
Proyecto de Graduacin
6.1.1
6.1.2
6.1.3
6.1.4
Organizacin de
Seguridad de la
Informacin
Gestin de Activos
EDCOM
6.1.5
Gestin de Compromiso de
Seguridad de la Informacin
Coordinacin de Seguridad de la
Informacin
Asignacin de responsabilidades
de Seguridad de la Informacin
Proceso de autorizacin para
Instalaciones de Procesamiento de
Informacin
Acuerdos de Confidencialidad
6.1.6
Controles
existentes
6.2.2
6.2.3
Controles
existentes
Controles
existentes
Controles
existentes
Controles
existentes
Inventario de Activos
7.1.2
7.1.3
7,2
7.2.1
7.2.2
Controles
existentes
Pgina # 64
ESPOL
Proyecto de Graduacin
Informacin
Seguridad de
Recursos Humanos
Seguridad Fsica y
Ambiental
Controles
existentes
9.1.2
9.1.3
9.1.4
9.1.5
EDCOM
Controles
existentes
Controles
existentes
Controles
existentes
Controles
existentes
Pgina # 65
ESPOL
Proyecto de Graduacin
Comunicaciones y
Gestin de
Operaciones
Seguridad de Cableado
9.2.4
Mantenimiento de Equipos
9.2.5
9.2.6
9.2.7
Eliminacin de Propiedad
Procedimientos de Operaciones y
Responsabilidades
Procedimientos de Operaciones
10.1.1
Documentados
10.1.2 Gestin del Cambio
Controles
existentes
9.2.3
Controles
existentes
Controles
existentes
Controles
existentes
Procedimiento a implementar
para cuando se migran
equipos fsicos a virtualizados
10,1
EDCOM
Controles
existentes
Controles
existentes
Pgina # 66
ESPOL
Proyecto de Graduacin
10.2.2
10.2.3
10,3
10.3.1
10.3.2
10,4
Monitoreo y revisin de
proveedores
Gestin de cambios en
proveedores
Sistema de Planificacin y
Aceptacin
Capacidad de Gestin
Sistema de Aceptacin
Proteccin contra cdigo malicioso
y dispositivos mviles
Controles
existentes
10.4.2
Implementar encriptacin a
data sensible
Controles
existentes
Controles
existentes
Controles
existentes
Controles
existentes
Poltica de Monitoreo de
redes
EDCOM
Controles
existentes
Pgina # 67
ESPOL
Proyecto de Graduacin
Polticas y procedimientos de
intercambio de informacin
10.8.2 Acuerdos de Intercambio
10.8.3 Medios fsicos en trnsito
10.8.1
Controles
existentes
10.8.5
Controles
existentes
Controles
existentes
Sistemas de Informacin de
Negocio
10,9 Servicios de Comercio Electrnico
Poltica de Correo
electrnico e Internet.
Control para correos por
salida de exchange desde
mquinas de Desarrollo o
Preproduccin que solicitan
Permiso
Controles
existentes
Controles
existentes
10.10.
Registro de Auditora
1
Controles
existentes
10.10.
Uso del Sistema de Monitoreo
2
Poltica de atencin de
incidentes en produccin Poltica de manejo de
ambiente de preproduccin.
10,10 Monitoreo
EDCOM
Pgina # 68
ESPOL
Proyecto de Graduacin
10.10.
Administrador y Operador de Log
4
10.10.
Registro de Fallas
5
10.10.
Sincronizacin
6
Control de Acceso
11,1
Controles
existentes
Administracin de contraseas de
Usuarios
Revisin de derechos de acceso de
11.2.4
Usuarios
11,3 Responsabilidad de Usuarios
11.2.3
Controles
existentes
Controles
existentes
Controles
existentes
EDCOM
Controles
existentes
Pgina # 69
ESPOL
Proyecto de Graduacin
Diagnstico Remoto y
11.4.4 Configuracin de Proteccin de
Puertos
11,5
11.5.1
Controles
existentes
Controles
existentes
Controles
existentes
Controles
existentes
Controles
existentes
Controles
existentes
Controles
existentes
Se debe implementar o
mejorar los mecanismos de
acceso a la banca virtual por
nueva ley de fraudes
electrnicos vigente a partir
del 23 de Marzo/2011
Identificacin y Autenticacin de
Usuarios
11.5.3 Sistema de Gestin de Contraseas
11.5.2
EDCOM
Controles
existentes
Controles
existentes
Controles
existentes
Pgina # 70
ESPOL
Proyecto de Graduacin
Controles
existentes
Controles
existentes
11.6.1
Restriccin de Acceso de
Informacin
Controles
existentes
Adquisicin,
desarrollo y
mantenimiento de
sistemas
informticos
EDCOM
Requisitos de Seguridad de
Sistemas de Informacin
12.1.1 Anlisis y Especificaciones de
Requerimientos de Seguridad
Procedimiento aplicado a
medias, ya que existen
usuarios de desarrollo que en
sus aplicativos podran
solicitar acceso a produccin
y divulgar la informacin
12,1
Controles
existentes
Pgina # 71
Procedimiento netamente
tcnico, ya que el Ingeniero
de Procesos que prueba la
transaccin previo a salir a
produccin no hace todas las
validaciones necesarias.
ESPOL
Proyecto de Graduacin
12,2
Procesamiento Correcto en
Aplicaciones
Controles
existentes
Controles
existentes
Controles
existentes
Controles
existentes
Procedimiento netamente
tcnico, ya que el Ingeniero
de Procesos que prueba la
transaccin previo a salir a
produccin no hace todas las
validaciones necesarias.
Procedimiento netamente
tcnico, ya que el Ingeniero
de Procesos que prueba la
transaccin previo a salir a
produccin no hace todas las
validaciones necesarias.
12.3.1
12.3.2
12,4
12.4.1
12.4.2
EDCOM
Controles
existentes
Administracin de Claves
Seguridad de Sistema de Archivo
Control de Software Funcional
Proteccin de datos de prueba del
Sistema
Aplicado a informacin
sensible. Actualmente la
organizacin se encuentra en
el proceso de PCI para
enmascaramiento y
aislamientos de tarjetas de
dbito y crdito
Pgina # 72
ESPOL
Proyecto de Graduacin
12.4.3
12,5
12.5.1
12.5.2
12.5.3
Gestin de
Incidente de
Seguridad de l
Informacin
Debe
implementarse
poltica
Controles
existentes
Controles
existentes
Controles
existentes
El rea de Monitoreo de
Seguridad Informtica se
encarga de esta tarea
12,6
Gestin de vulnerabilidades
tcnicas
12.6.1
Control de vulnerabilidades
tcnicas
13,1
13.1.1
EDCOM
Pgina # 73
ESPOL
Proyecto de Graduacin
Gestin de
Continuidad del
Negocio
Cumplimiento
EDCOM
Aspectos de Seguridad de la
14,1 Informacin de la Gestin de
Continuidad de Negocio
Inclusin de Seguridad de la
Informacin en Gestin de
14.1.1
procesos de continuidad del
negocio
Continuidad del Negocio y
14.1.2
Evaluacin de Riesgos
Desarrollo e Implementacin de
14.1.3 planes de continuidad incluyendo
seguridad de la informacin
Marco de planificacin de la
14.1.4
continuidad del negocio
Pruebas, mantenimiento and re14.1.5 evaluacin de planes de
continuidad de negocio
Complimiento de Requisitos
Legales
Identificacin de legislaciones
15.1.1
aplicables
15.1.2 Derechos de Propiedad Intelectual
Controles
existentes
Controles
existentes
15,1
Controles
existentes
Controles
Pgina # 74
ESPOL
Proyecto de Graduacin
15.1.3
15.1.4
15.1.5
15.1.6
15,2
15.2.1
15.2.2
15,3
15.3.1
15.3.2
( DPI)
Proteccin de registros de la
organizacin
Proteccin de datos y privacidad
de informacin personal
Prevencin del uso indebido de las
instalaciones de proceso de
informacin
Regulacin de controles
criptogrficos
Estndares y tcnicas de
cumplimiento de Polticas de
Seguridad
Cumplimiento de polticas de
seguridad
Verificacin de cumplimientos
tcnicos
Consideraciones del Sistema de
Informacin de Auditora
Controles del sistema de
informacin de auditora
Proteccin de herramientas del
sistema de informacin de
auditora
existentes
Controles
existentes
EDCOM
Pgina # 75
ESPOL
Proyecto de Graduacin
Como resultado del anlisis de riesgos creemos que se deben implementar los
siguientes procedimientos y los cuales se describen al detalle en el siguiente captulo:
Poltica de manejo de ambiente de Preproduccin
Poltica del uso de Pendrives
Poltica de informacin compartida
Poltica de correo electrnico e internet
Poltica de Control de accesos
Poltica de Atencin de incidentes
Poltica de Monitoreo de Base de datos
Poltica de Monitoreo de Redes
Poltica de Monitoreo de Servidores
Control
Dominios de control de la
norma ISO27001
Objetivo
Ambiente de preproduccin
Desarrollo y
Probar las transacciones
mantenimiento de sistemas desarrolladas de la banca
virtual en un ambiente casi
como produccin para
minimizar los errores y dar
un servicio de calidad.
Uso de pendrives
Aspectos organizativos
para la seguridad
Evitar la fuga de
informacin de propiedad de
la institucin
Informacin
compartida
Aspectos organizativos
para la seguridad
Correo electrnico e
Internet
Gestin de
comunicaciones y
operaciones
Control de accesos
Atencin a incidentes
Desarrollo y
Procedimiento con el fin de
mantenimiento de sistemas atender alguna anormalidad
en produccin
Monitoreo de Base de
Desarrollo y
EDCOM
Pgina # 76
Proyecto de Graduacin
Datos
Monitoreo de Redes
Desarrollo y
Revisin y alertas del
mantenimiento de sistemas desempeo y accesos no
autorizados a las redes del
Banco.
Monitoreo de
Servidores
Desarrollo y
Revisin y alertas del
mantenimiento de sistemas desempeo y accesos no
autorizados a los servidores
de la institucin.
Tabla 5-10: Controles a Implementar
EDCOM
Pgina # 77
ESPOL
Proyecto de Graduacin
ATENCIN DE INCIDENTES
5.12.1.1.
OBJETIVO:
RESPONSABILIDADES:
Pgina # 78
ESPOL
Proyecto de Graduacin
mitigar problema.
Atencin y escalamiento en horario fuera de oficina:
Operador: 5 minutos
Jefe de Centro de Cmputo: 5 minutos
Grupo de solucin: 20 minutos.
Cambios entre nivel de alerta: 20 minutos.
5.12.1.3.
CLASIFICACIN DE ALERTAS
AMARILLA:
- Recurso degradado en 50%,
- Lentitud en tiempo de respuesta,
- ATM fuera de servicio,
- Irregularidad de HW/SW en equipos,
- Virus
- Otros
NARANJA:
-
ROJA:
-
5.12.1.4.
ESTADO DE EMERGENCIA
5.12.1.5.
NOTIFICACIONES:
EDCOM
Pgina # 79
responsable principal o
ESPOL
Proyecto de Graduacin
5.12.2.
EDCOM
Pgina # 80
ESPOL
Proyecto de Graduacin
5.12.2.1.
RESPONSABILIDADES:
EDCOM
Pgina # 81
ESPOL
Proyecto de Graduacin
5.12.3.
MONITOREO DE REDES
5.12.3.1.
OBJETIVO
5.12.3.2.
RESPONSABILIDADES:
5.12.3.3.
PROCEDIMIENTO:
Etapas:
1. Priorizacin de monitoreos a realizar.
2. Monitoreo y elaboracin de informe (incluye recomendaciones).
EDCOM
Pgina # 82
ESPOL
Proyecto de Graduacin
3.
MONITOREO DE SERVIDORES
5.12.4.1.
OBJETIVO
EDCOM
Pgina # 83
ESPOL
Proyecto de Graduacin
5.12.4.2.
RESPONSABILIDADES:
5.12.4.3.
1.
2.
3.
4.
5.
6.
PROCEDIMIENTO:
Novedades.
7. Elaboracin de informe a fin de mes y aprobacin del Subgerente de IDS.
EDCOM
Pgina # 84
ESPOL
Proyecto de Graduacin
5.12.5.
POLTICA DE MONITOREO
5.12.5.1.
OBJETIVO
Monitoreo
del
funcionamiento,
rendimiento,
mantenimiento
y
comportamiento de elementos de la infraestructura tecnolgica.
Todo servicio que se brinda debe ser monitoreado y revisado para garantizar su
funcionalidad.
Informes compartidos en file server, con acceso restringido. Definir responsable y
periodicidad de entrega.
Informes mensuales: Plazo de entrega hasta 5 das hbiles del mes siguiente.
5.12.5.2.
INFRAESTRUCTURA (IOS):
-
REDES:
Seguridad de correo
Navegacin y contenido (Internet).
5.12.5.3.
ARQUITECTURA:
5.12.5.4.
RESPONSABILIDADES:
Pgina # 85
ESPOL
Proyecto de Graduacin
Pgina # 86
ESPOL
Proyecto de Graduacin
los
cambios
generales
que
afectan
la
Pgina # 87
ESPOL
Proyecto de Graduacin
EDCOM
Pgina # 88
ESPOL
Proyecto de Graduacin
5.12.6.
OBJETIVO
5.12.6.2.
ALCANCE
5.12.6.3.
PERFILES DE USUARIOS
5.12.6.4.
POLTICA:
Pgina # 89
ESPOL
Proyecto de Graduacin
Todo permiso a los diferentes sistemas de bases de datos, sistemas operativos y acceso
fsico al centro de cmputo del Banco ser aprobado por Seguridad Informtica.
Seguridad Informtica autorizar permisos solamente a logines personalizados.
Los permisos sern asignados a travs de los formularios:
Bases de datos sybase
Bases de datos SQL
5.12.7.
EDCOM
Pgina # 90
ESPOL
Proyecto de Graduacin
ase
Cuentas
Tablas
Cuentas_his
cc_his_movimiento_ant,cc_his_disponible
_ant
Cuentas_acum
cc_his_movimiento_acum
Ahorros
Ahorros_his
ah_his_movimiento, ah_saldo_diario
Ahorros_acum
ah_his_movimiento_acum
Tabla 5-11: Tablas
Las tablas correspondientes de diferido para Banca Virtual solo sern autorizadas al
responsable del departamento, en el caso de ATMs se conceder slo al lder aplicativo.
Seguridad Informtica restringir el acceso en lnea a las bases acum y his por el
volumen o tamao de estas bases.
Los permisos de accesos a servidores NT y bases de datos SQL aprobados los
canalizar a travs de IDS para su ejecucin. Los permisos a usuarios aplicativos a
bases de datos solo se asignarn de lectura y de acceso a tablas, no se concede permiso
a ejecutables.
Se entregarn usuarios de login con el standard: GGonzaleR, de donde se escribe la
inicial del primer nombre, seis caracteres por el apellido y la inicial del segundo
apellido. El uso y custodia de la clave de acceso es de exclusiva responsabilidad del
usuario y no deber permitir que terceros accedan a ella.
Los accesos en produccin a usuarios aplicativos queda restringido al siguiente horario:
EDCOM
Pgina # 91
ESPOL
Proyecto de Graduacin
lunes a viernes estarn bloqueados de 10am a 5pm, los usuarios del grupo de
mantenimiento de 10am a 2pm. Los fines de semanas estarn bloqueados totalmente.
Estos bloqueos se harn automticamente. El levantamiento del bloqueo de fin de
semana se realizar los lunes 7H00.
Seguridad Informtica podr suspender o revocar las claves de acceso, sea por motivos
de mal uso de las aplicaciones bancarias, por sospecha de indebida utilizacin, no
compromiso de la seguridad tecnolgica o por otras circunstancias.
Los empleados que sean sorprendidos haciendo uso de claves no permitidas a su nivel
sern sancionados de acuerdo con las circunstancias. Esta conducta es causal de visto
bueno y podr determinar el despido.
5.12.8.
POLITCA DE CUENTA
USUARIO SA
5.12.8.2.
5.12.8.3.
APLICATICATIVOS/ACTUALIZACIONES
EDCOM
Pgina # 92
ESPOL
Proyecto de Graduacin
OPERADORES
OFICIAL DE SEGURIDAD
POLTICA DE PASSWORD
usuario
es
5.12.10.1.
POLTICAS:
Pgina # 93
ESPOL
Proyecto de Graduacin
2. Cualquier mal uso de este permiso para revisar las bases de datos o incumplimiento
del procedimiento de seguridad de datos, ser objeto de sanciones segn las
circunstancias. Esta conducta puede motivar el trmino de la relacin laboral.
3. La clave de acceso es personal e intransferible y debe ser cambiada cada 2 semanas
por el responsable de la misma.
4. Est terminantemente prohibido que empleados o externos no autorizados accesen
directamente a los datos, archivos o libreras para su lectura o modificacin.
Teniendo la responsabilidad absoluta la persona que suministre la clave de acceso
para que se incumpla esta disposicin.
5.12.10.2.
DECLARACIN:
Fecha: ________________________________________
Nombre: _______________________________________
Cargo: _________________________________________
Firma: _________________________________________
Login: _________________________________________
EDCOM
Pgina # 94
ESPOL
Proyecto de Graduacin
OBJETIVO
GENERALIDADES
MOTIVO DE LA REGULACIN
Realmente es bastante difcil controlar estos dispositivos por cuanto no tienen una
identificacin como nmero de serie, lo cual impide controlar su duplicacin o
identificar los dispositivos autorizados. Tampoco es posible mantener control de red
con unicenter sobre los puertos para el uso de estos dispositivos.
5.12.11.4.
POLTICAS
EDCOM
Pgina # 95
ESPOL
Proyecto de Graduacin
El usuario deber asegurarse de grabar sus archivos o data sensitiva con password. El
manejo y cuidado del password correr bajo responsabilidad del usuario final ver
Poltica de Identificacin de Usuarios y contraseas-.
Dependiendo del alto nivel de sensibilidad debe encriptar sus archivos.
En todos los casos deber sacar respaldos a medios externos.
5.12.11.4.4. CARPETAS COMPARTIDAS DE RED
El usuario deber colocar sus archivos o data sensitiva fuera de carpetas compartidas
con varios usuarios y deber analizar y restringir los casos innecesarios a compartir, ver
poltica de Informacin compartida.
5.12.11.4.5. PEN-DRIVE AUTORIZADO
Estn autorizados a usar Pen-drive los Gerentes de Area y Divisin y quienes estas
personas autoricen. Las personas autorizadas deben estar comunicadas a la Gerencia de
Computacin.
5.12.11.5.
ADVERTIR A USUARIOS
EDCOM
Pgina # 96
ESPOL
Proyecto de Graduacin
5.12.11.6.
Objetivos :
Pgina # 97
ESPOL
Proyecto de Graduacin
definicin y atencin.
Objetivo :
EDCOM
Pgina # 98
ESPOL
Proyecto de Graduacin
2.
3.
4.
Pgina # 99
ESPOL
Proyecto de Graduacin
5.12.11.7.
RECOMENDACIONES
EDCOM
Pgina # 100
ESPOL
Proyecto de Graduacin
EDCOM
Pgina # 101
ESPOL
Proyecto de Graduacin
Determine los usuarios para quines su mensaje debe ser ledo; no enve copias
de mensajes a otros usuarios innecesariamente.
Debe tener en cuenta el verdadero uso del correo, el mail no constituye una
herramienta para establecer temas de discusin.
Es importante recalcar que todos los mensajes que se envan son privados; para
el administrador de correos u otro usuario al que no est dirigido el mensaje es
imposible ver el contenido del mismo. Por lo tanto el mensaje perdido se
considera irrecuperable.
5.12.11.7.2.
Navegacin en Internet
La conexin a Internet que posee el Grupo Financiero Banco sirve para muchos
propsitos:
Esta conexin est dada por un canal dedicado de 256 K que proporciona nuestro ISP
(Internet Service Provider) que es la empresa Impsat. A travs de este canal fluye la
informacin resultante de conectarnos a sitios, que recibimos al hacer consultas, bajar
informacin o transferencia de archivos, la conexin de los clientes al servidor
transaccional, etc.
Considere que este canal o acceso a Internet como una herramienta de trabajo que el
banco proporciona, por lo tanto no haga un mal uso de ella.
Siendo prioritario para el Grupo Financiero Banco dar un excelente servicio a los
clientes del Internet Banking, es necesario que se haga un uso moderado de este canal,
tomando las siguientes consideraciones:
EDCOM
Pgina # 102
ESPOL
Proyecto de Graduacin
Los sitios a los que ud. accesa por internet son monitoreados y resumidos en informe a
su inmediato superior. En caso de mal uso de esta herramienta, se proceder a
establecer las sanciones respectivas.
EDCOM
Pgina # 103
ESPOL
CAPTULO 6
CONCLUSIONES
Y RECOMENDACIONES
Proyecto de Graduacin
6. CONCLUSIONES Y RECOMENDACIONES
Esta seccin presentar las conclusiones y recomendaciones surgidas durante la
elaboracin de este proyecto. Se presentar las conclusiones generales y posteriormente
se presentarn todas las recomendaciones aplicables al proyecto.
6.1.
CONCLUSIONES
EDCOM
Pgina # 105
ESPOL
Proyecto de Graduacin
6.2.
RECOMENDACIONES
EDCOM
Pgina # 106
ESPOL
ANEXOS
Proyecto de Graduacin
Fecha
25 abril
2011
Aprobacin Definitiva
Fecha
ASPECTOS GENERALES
OBJETIVOS
Definir las medidas necesarias para implementar el esquema de seguridad en el
ambiente Windows 2003 Server segn las polticas de Seguridad de la Informacin de
Banco.
MBITO DE APLICACIN
Todos los servidores del entorno de produccin de Banco que utilicen Windows 2003
Server como sistema operativo, ya sea en el caso de Controladores de Dominio,
servidores Miembros del dominio o servidores Stand-Alone.
NORMATIVA
MARCO
REFERENCIA)
(NORMATIVAS
SUPERIOR
DE
NORMATIVA DEROGADA
Ninguna.
VIGENCIA
Este estndar de configuracin entrar en rigor a partir del 1 de Noviembre de 2007.
EDCOM
Pgina # 108
ESPOL
Proyecto de Graduacin
ROLES Y RESPONSABILIDADES
REA DE SEGURIDAD DE INFORMACIN
Responsable de Seguridad de la Informacin: Tendr a su cargo el mantenimiento
del presente estndar, junto con las tareas de verificacin del cumplimiento del mismo.
GERENCIA DE SISTEMAS
Gerente de Sistemas: Deber garantizar que los funcionarios del rea de sistemas,
encargados de realizar la administracin de la plataforma Windows, implementen los
estndares de configuracin definidos en forma efectiva y oportuna.
Administradores y Operadores de plataforma Windows 2003: Sern encargados de
implementar el presente estndar, siguiendo los lineamientos y tareas mencionadas en
el mismo. Asimismo, debern informar al Gerente de Sistemas sobre las
configuraciones de seguridad que no puedan ser implementadas por restricciones
tcnicas y/o de negocio, las cuales debern quedar adecuadamente documentadas.
EDCOM
Pgina # 109
ESPOL
Proyecto de Graduacin
CONFIGURACIN
DE
SEGURIDAD
HARDWARE DE SERVIDORES
PARA
EL
OBJETIVO
Definir la configuracin de seguridad de los componentes de hardware de los
servidores de Banco que operarn con Windows 2003 como sistema operativo de
base.
ARRANQUE DE SISTEMAS
En la configuracin de hardware de los servidores deber especificarse como nica
unidad de arranque, el disco rgido donde se encuentre instalado el sistema operativo,
impidiendo de esta manera la inicializacin del mismo desde un disquete o CD.
CONEXIONES
PERIFRICOS
DISPOSITIVOS
DE
HARDWARE
Pgina # 110
ESPOL
Proyecto de Graduacin
CONEXIONES
PERFERICOS
DISPOSITIVOS
DE
HARDWARE
Se deber establecer una funcin principal por servidor, se deshabilitaran los servicios y
protocolos innecesarios e inseguros que no sean necesarios para la funcin del mismo
EDCOM
Pgina # 111
ESPOL
Proyecto de Graduacin
EDCOM
Pgina # 112
ESPOL
Proyecto de Graduacin
EDCOM
Pgina # 113
ESPOL
Proyecto de Graduacin
EDCOM
Pgina # 114
ESPOL
Proyecto de Graduacin
DE
Pgina # 115
ESPOL
Proyecto de Graduacin
File Replication Service (FRS): FRS es un servicio usado para replicar el contenido del
directorio SYSVOL, el cual incluye scripts de logon y logoff, Group Policy settings y
polticas del sistema para clientes W9x y WNT. FRS usa la topologa de sitios para
determinar la topologa de replicacin.
Distributed File System (DFS): Cuando una carpeta compartida tiene mltiples
localizaciones, un usuario ser direccionado a un servidor en su propio sitio, si existe,
reduciendo el trfico a travs de los vnculos.
EDCOM
Pgina # 116
ESPOL
Proyecto de Graduacin
Pgina # 117
ESPOL
Proyecto de Graduacin
Schema Master
Domain Naming Master
PDC Emulator
RID Master
Infraestructure Master
Global Catalog
Pgina # 118
ESPOL
Proyecto de Graduacin
Secure Updates. De esta forma las zonas de informacin sern guardadas, replicadas
y aseguradas en el esquema Active Directory y permitir que el servicio de DNS est
disponible a pesar de que exista algn problema en los vnculos de comunicaciones.
ACTUALIZACIONES DINMICAS
Las actualizaciones dinmicas de registros habilitan a los clientes de DNS a registrar su
nombre y direccin IP en forma automtica, al iniciar el equipo o cuando la direccin
IP cambia. Las actualizaciones dinmicas estarn habilitadas nicamente (de forma
segura), en aquellos servidores en los que las zonas sean Active Directory integrated.
TRANSFERENCIA DE ZONAS
Dado que la transferencia de zonas permite mover todos los registros de una zona
DNS particular entre servidores, las zonas de Forward Lookup y Reverse Lookup de
los dominios deben configurarse para que estas transferencias se efecten solamente a
servidores autorizados, entre los cuales se debern encontrar solamente los
controladores de dominio de Banco .En caso de ser necesaria la transferencia de zona
en servidores de DNS instalados como Stand-Alone, se deber analizar cada caso en
particular previo a especificar las direcciones IP de dichos servidores en la lista de
servidores habilitados.
CONFIGURACIN DE CLIENTES
Los clientes sern configurados manualmente, de manera que registren y utilicen los
servicios de los DNS designados.
Pgina # 119
ESPOL
Proyecto de Graduacin
bce.fin.ec
bkuxprod
.com
.corp
.fin.ec
creditreport.ec
des. .corp
ecuagiros.com
faxmaker.com
Pgina # 120
ESPOL
Proyecto de Graduacin
EDCOM
Pgina # 121
ESPOL
Proyecto de Graduacin
Figura 5: GPO
Nota: Cabe destacar que en la prctica tambin se podrn aplicar polticas para casos
particulares (tales como bloqueo de puertos USB, polticas de distribucin de software,
etc) a nivel de las unidades organizativas de tercer o cuarto nivel, siempre que las
mismas sean ms restrictivas que las polticas de los niveles superiores.
EDCOM
Pgina # 122
ESPOL
Proyecto de Graduacin
Pgina # 123
ESPOL
Proyecto de Graduacin
POLTICAS DE CUENTAS
A travs de la correcta configuracin y aplicacin de las polticas de cuentas se podrn
implementar las directivas de seguridad definidas por Banco para las contraseas
utilizadas por los usuarios.
Directiva
Poltica
Dominio
de Poltica
DC
de
Servidores
Miembro y
Stand-Alone
Enforce
history
3 passwords
3 passwords
Maximum
age
90 days
90 days
Minimum
age
1 days
1 days
Minimum
length
8 characters
8 characters
Enabled
Enabled
Disabled
Disabled
Pgina # 124
ESPOL
Proyecto de Graduacin
Directiva
Servidores
de
Poltica de DC
Dominio
Miembro
Stand-Alone
Not Defined
0 minutes
0 minutes
Para Stand-Alone:
Not Applicable
Not Defined
invalid
login 3
attempts
invalid
login
attempts
Para Stand-Alone:
0
invalid
login
attempts
Reset account lockout counter Not Defined
30 minutes
30 minutes
after
Para Stand-Alone:
0 minutes
Directiva
Enforce
Dominio
user
de
Servidores
Poltica de DC
Miembro
Stand-Alone
Not Defined
Not Defined
Not Defined
Not Defined
Not Defined
Not Defined
Not Defined
Not Defined
Not Defined
Not Defined
restrictions
Maximum
lifetime
service ticket
ticket
Maximum lifetime for user Not Defined
ticket renewal
clock
synchronization
Pgina # 125
ESPOL
Proyecto de Graduacin
DERECHOS DE USUARIOS
La posibilidad de definir los derechos de los usuarios en el sistema es un gran aporte a
la seguridad del esquema Active Directory. Los valores definidos por Banco para
implementar en servidores se detallan a continuacin:
Poltica
Directiva
Access
de
Dominio
this Not Defined
Poltica de DC
Servidores Miembro y
Stand-Alone
- Administrators
Se
debe
analizar
- Administradores
documentar
en
un
network
- IDS
anexo la configuracin
- Enterprise Admins
Administrators
Authenticated Users
Backup Operators
Power Users
Cuando se trate de un
servidor con IIS 6.0.
ASPNET
Iusr_Mquina
Iwam_Mquina
Cuando se trate de un
servidor con IIS 5.0 y
6.0.
Users
- No one
- No one
- Administrators
- No one
to domain (P)
- Administradores
operating system
- IDS
- Server operators
EDCOM
Pgina # 126
ESPOL
Proyecto de Graduacin
Adjust
- Administrators
- Administrators
- LOCAL SERVICE
- LOCAL SERVICE
- NETWORK SERVICE
NETWORK
SERVICE
Cuando se trate de un
servidor con IIS 6.0.
- Iwam_mquina
Allow
logon
on Not Defined
locally
- Administrators
- Administrators
- Administradores
- Power Users
- IDS
- Backup Opertors
- operador
Cuando se trate de un
servidor con IIS 6.0.
- IUSR_Mquina
2Allow
- Administrators
- Administrators
-Administrators
- Administrators
directories (P)
- Backup Operators
- Backup Operators
Bypass
- Administrators
- Administrators
- Authenticated Users
- Backup Operators
Through Terminal
Services (P)
checking
- Power Users
- Authenticated Users
Cuando se trate de un
servidor con IIS 6.0.
- IIS_WPG
4Change
- Administrators
- Administrators
system time(P)
- Local Service
- Local Service
- Administrators
- Administrators
- No one
- No one
- Administrators
- Administrators
objects (P)
- SERVICE
- SERVICE
- No one
- No one
(P)
6Create
object (P)
7Create
EDCOM
Pgina # 127
ESPOL
Proyecto de Graduacin
- Administrators
- Administrators
- SUPPORT_388945a0
- SUPPORT_388945a0
- Guests
- Guests
- Support_388945a0
- Support_388945a0
- No one
- No one
(P)
10Deny access to Not Defined
this computer from
the network (P)
* En la plantilla:
AseguramientoBas
e Plus sin Disco
w2k3-v10-IIS
solamente
se
incluya
Support_388945a0
12Deny logon as a Not Defined
service (P)
13Deny
locally(P)
- SUPPORT_388945a0
- Se pueden adicionar
ms
usuarios
que
puedan definirse.
Cuando se trate de un
servidor con IIS 6.0.
- ASPNET
14Deny
log
on Not Defined
- Guests
- Guests
Through Terminal
- Se pueden adicionar
Services(P)
ms
usuarios
que
puedan definirse.
15Enable computer Not Defined
- Administrators
- nadie
- Administrators
- Administrators
remote
system(P)
EDCOM
Pgina # 128
ESPOL
Proyecto de Graduacin
17Generate
Not Defined
security audits(P)
Impersonate
client
a Not Defined
after
- Local Service
- Local Service
- Network Service
- Network Service
- Administrators
- Administrators
- SERVICE
- SERVICE
authentication
Cuando se trate de un
servidor con IIS 6.0.
- ASPNET
- IIS_WPG
18Increase
Not Defined
- Administrators
- Administrators
- Administrators
- Administrators
- No one
- No one
scheduling
priority(P)
device drivers(P)
20Lock pages in Not Defined
memory(P)
* En la plantilla
AseguramientoBas
e Plus sin Disco
w2k3-v10SQL2000
se
por
Servidor.
Log on as a batch Not Defined
job
debe
analizar
en
un
anexo la configuracin
en funcin de cada rol.
Local Service
Cuando se trate de un
servidor con IIS 6.0.
ASPNET
IIS_WPG
Iusr_maquina
Iwam_maquina
EDCOM
Pgina # 129
ESPOL
Proyecto de Graduacin
Log on as a service
Not Defined
debe
analizar
en
un
anexo la configuracin
en funcin de cada rol.
Network Service
Cuando se trate de un
servidor con IIS 6.0.
- ASPNET
- Administrators
- Administrators
- Administradores
- Administradores
- IDS
- IDS
- Administrators
- Administrators
- Administrators
- Administrators
- Administrators
- Administrators
- Administrators
- Administrators
- Administrators
- No one
- Local Service
- Local Service
level token
- Network Service
- Network Service
performance (P)
26Remove
Not Defined
computer
from
Cuando se trate de un
servidor con IIS 6.0:
-Iwam_maquina
27Restore files and Not Defined
- Administrators
- Administrators
- Administrators
- Administrators
- No one
- No one
directories (P)
28Shut down the Not Defined
system (P)
29Synchronize
directory
Not Defined
service
data (P)
EDCOM
Pgina # 130
ESPOL
Proyecto de Graduacin
- Administrators
- Administrators
of files or other
objects (P)
EDCOM
Pgina # 131
ESPOL
Proyecto de Graduacin
DERECHOS DE USUARIOS
CUENTAS DE SERVICIO
ESPECIALES
ASIGNADOS
Grupo de cuentas
Derechos especiales
SQL Server
ADMIN_SQL
log on as a service
act as a part of the operating system
replace process level token
Adjust memory quotas for a process
logon as a batch job
Exchange Server
ADMIN_EXC
log on as a service
Back up files and directories
Servicios de Backup
ADMIN_BKP
Internet
Services
Information
ADMIN_IIS
EDCOM
Pgina # 132
ESPOL
Proyecto de Graduacin
OPCIONES DE SEGURIDAD
Las opciones de seguridad que debern aplicarse a los servidores principales de la
entidad se detallan a continuacin:
Directiva
Poltica
Dominio
de
Poltica de DC
Servidores
Miembro
y
Stand-Alone
1Accounts:
Administrator Not Defined
account status(P)
Enabled
Enabled
Para
standalone:
Not
Applicable
Disabled
Disabled
Para
standalone:
Not
Applicable
3Accounts:
Limit
local Not Defined
account use of blank
passwords to console logon
only (P)
Enabled
Enabled
Accounts:
Rename Not Defined
administrator account
XXXXXX
Not Defined
xxxxxx
Not Defined
Disabled
Disabled
Disabled
Disabled
Disabled
Disabled
Not Defined
Not Defined
EDCOM
Pgina # 133
ESPOL
Proyecto de Graduacin
Poltica de DC
Servidores
Miembro
y
Stand-Alone
Not Defined
Not Defined
Enabled
Enabled
11Devices:
Allowed
to Not Defined
format and eject removable
media (P)
Administrators
Power Users
Administrator
s
Enabled
Enabled
Enabled
Enabled
Enabled
Enabled
Directiva
Poltica
Dominio
de
15Devices: Unsigned driver Warn but allow Warn but allow Warn
but
installation behavior (P)
installation
installation
allow
installation
16DC:
Allow
server Not Defined
operators to schedule tasks
(P)
Disabled
Not Defined
Not Defined
Not Defined
18DC:
Refuse
machine Not Defined
account password changes
(P)
Disabled
Disabled
Disabled
Enabled
Enabled
Enabled
EDCOM
Pgina # 134
ESPOL
Proyecto de Graduacin
Poltica de DC
Servidores
Miembro
y
Stand-Alone
Enabled
Enabled
Disabled
Disabled
23Domain
member: Not Defined
Maximum machine account
password age (P)
Not Defined
Not Defined
Para
stand
alone: 0
Not Defined
Not Defined
Not Defined
Not Defined
Enabled
Enabled
Disabled
Disabled
El uso de este
sistema
est
restringido
solamente
a
personal
autorizado. Todo
otro uso del
mismo
ser
penado
de
acuerdo a las
polticas vigentes
de la Entidad.
Ante cualquier
El uso de este
sistema est
restringido
solamente a
personal
autorizado.
Todo otro uso
del
mismo
ser penado
de acuerdo a
las polticas
vigentes de la
Entidad. Ante
Directiva
Poltica
Dominio
de
EDCOM
Pgina # 135
ESPOL
Proyecto de Graduacin
Directiva
Poltica
Dominio
de
inconveniente
comunicarse con
Seguridad
Informtica.
Muchas gracias
Poltica de DC
inconveniente
comunicarse con
Seguridad
Informtica.
Muchas gracias
Servidores
Miembro
y
Stand-Alone
cualquier
inconveniente
comunicarse
con Seguridad
Informtica.
Muchas
gracias
Not Defined
2 logons
Para
Stand
Alone:0
7 das
7 das
Enabled
Enabled
Not Defined
Not Defined
Not Defined
Not Defined
Disabled
Disabled
Enabled
Enabled
Disabled
Disabled
EDCOM
Pgina # 136
ESPOL
Proyecto de Graduacin
Poltica de DC
Servidores
Miembro
y
Stand-Alone
15 minutos
15 minutos
Disabled
Disabled
Enabled
Enabled
Disabled
Enabled
Enabled
Disabled
Enabled
Enabled
Enabled
Enabled
Enabled
Enabled
46Network
Disabled
Disabled
Poltica
Dominio
Directiva
de
EDCOM
access:
ESPOL
Proyecto de Graduacin
Poltica de DC
Servidores
Miembro
y
Stand-Alone
Not Defined
vacio
System\CurrentC
ontrolSet\Control
\ProductOptions
System\CurrentC
ontrolSet\Control
\Server
Applications
Software\Micros
oft\Windows
NT\CurrentVersi
on
System\Curre
ntControlSet\
Control\Produ
ctOptions
System\Curre
ntControlSet\
Control\Serve
r Applications
Software\Mic
rosoft\Windo
ws
NT\CurrentVe
rsion
System\CurrentC
ontrolSet\Control
\Print\Printers
System\CurrentC
ontrolSet\Service
s\Eventlog
Software\Micros
oft\OLAP Server
Software\Micros
oft\Windows
NT\CurrentVersi
on\Print
Software\Micros
oft\Windows
NT\CurrentVersi
System\Curre
ntControlSet\
Control\Print\
Printers
System\Curre
ntControlSet\
Services\Even
tlog
Software\Mic
rosoft\OLAP
Server
Software\Mic
rosoft\Windo
ws
NT\CurrentVe
Directiva
Poltica
Dominio
de
EDCOM
Pgina # 138
ESPOL
Proyecto de Graduacin
Directiva
Poltica
Dominio
de
Poltica de DC
on\Windows
System\CurrentC
ontrolSet\Control
\ContentIndex
System\CurrentC
ontrolSet\Control
\Terminal Server
System\CurrentC
ontrolSet\Control
\Terminal
Server\UserConfi
g
System\CurrentC
ontrolSet\Control
\Terminal
Server\DefaultUs
erConfiguration
Software\Micros
oft\Windows
NT\CurrentVersi
on\Perflib
System\CurrentC
ontrolSet\Service
s\SysmonLog
EDCOM
Pgina # 139
Servidores
Miembro
y
Stand-Alone
rsion\Print
Software\Mic
rosoft\Windo
ws
NT\CurrentVe
rsion\Window
s
System\Curre
ntControlSet\
Control\Conte
ntIndex
System\Curre
ntControlSet\
Control\Termi
nal Server
System\Curre
ntControlSet\
Control\Termi
nal
Server\UserC
onfig
System\Curre
ntControlSet\
Control\Termi
nal
Server\Defaul
tUserConfigu
ration
Software\Mic
rosoft\Windo
ws
NT\CurrentVe
rsion\Perflib
System\Curre
ESPOL
Proyecto de Graduacin
Directiva
Poltica
Dominio
de
Poltica de DC
Servidores
Miembro
y
Stand-Alone
ntControlSet\
Services\Sys
monLog
Enabled
Enabled
Not Defined
Not Defined
Ninguno
.
Classic - Local
users
authenticate as
themselves
Classic
Local users
authenticate
as themselves
Disabled
Disabled1
Not Defined
Enabled
Send
NTLM Send NTLM
Response only
Response
only
Negotiate
Signing
Negotiate
Signing
57Network
security: Not Defined
Minimum session security
for NTLM SSP based
(including secure RPC)
clients (P)
Not Defined
No
Requirements
EDCOM
Pgina # 140
ESPOL
Proyecto de Graduacin
Poltica
Dominio
Directiva
de
Poltica de DC
Servidores
Miembro
y
Stand-Alone
58Network
security: Not Defined
Minimum session security
for NTLM SSP based
(including secure RPC)
servers (P)
Not Defined
No
Requirements
Disabled
Disabled
Disabled
...................................................
Disabled
Disabled
Disabled
Disabled
63System
cryptography: Not Defined
Force strong key protection
for user keys stored on the
computer (P)
Not Defined
Disabled
Object Creator
Object
Creator
Enabled
Enabled
67System
Strengthen
permissions
Enabled
Enabled
EDCOM
of
...................................................
ESPOL
Proyecto de Graduacin
Poltica de DC
Servidores
Miembro
y
Stand-Alone
No one
No one
System
settings:
Use Not Defined
Certificate
Rules
on
Windows Executables for
Software Restriction Policies
(P)
Not Defined
Disabled
Poltica
Dominio
Directiva
system
objects
Symbolic Links) (P)
de
(e.g.
Ruta
Servidores
Miembros
Ruta
Aseguramiento
Domain
Controllers
.fin.ec/Domai Aseguramiento
.fin.ec/Servidores/Servidore
n Controllers
Base Plus sin Disco s
Produccin/Servidores
w2k3-v10
Windows 2003/Servidores
de Aplicaciones/Aplicativos
.fin.ec/Servidores/Servidore
s
Produccin/Servidores
Windows 2003/Servidores
de
Aplicaciones/Aplicativos/Qu
ito
.fin.ec/Servidores/Servidore
EDCOM
Pgina # 142
ESPOL
Proyecto de Graduacin
s
Produccin/Servidores
Windows 2003/Servidores
de Aplicaciones/File Server
.fin.ec/Servidores/Servidore
s
Produccin/Servidores
Windows 2003/Servidores
de
Aplicaciones/File
Server/Quito
.fin.ec/Servidores/Servidore
s
Produccin/Servidores
Windows 2003/Servidores
de Base de Datos/SQL 2005
.fin.ec/Servidores/Servidore
s
Produccin/Servidores
Windows 2003/Servidores
de Base de Datos/SQL 2005
.fin.ec/Servidores/Servidore
s
Produccin/Servidores
Windows 2003/Servidores
Especiales
Aseguramiento
.fin.ec/Servidores/Servidore
Base Plus sin Disco s
Produccin/Servidores
w2k3-v10Windows 2003/Servidores
exchange
de Pginas/Exchange 2003
Server
Aseguramiento
.fin.ec/Servidores/Servidore
Base Plus sin Disco s
Produccin/Servidores
w2k3-v10-IIS
Windows 2003/Servidores
de Pginas/Servicios Web
Aseguramiento
.fin.ec/Servidores/Servidore
Base Plus sin Disco s
Produccin/Servidores
w2k3-v10-MSQ
Windows 2003/Servidores
de
Aplicaciones/Message
Queuing
Aseguramiento
.fin.ec/Servidores/Servidore
Base Plus sin Disco s
Produccin/Servidores
w2k3-v10Windows 2003/Servidores
EDCOM
Pgina # 143
ESPOL
Proyecto de Graduacin
SQL2000
EDCOM
Pgina # 144
ESPOL
Proyecto de Graduacin
Contenido
Printer name
Nombre de la Impresora
Share as
Location
Comment
Permiso
Administrators
Full Control
Print Operators
Full Control
Creator Owner
Manage
Documents
Users
Pgina # 145
ESPOL
Proyecto de Graduacin
Permiso
Administrators
Full Control
Disquetera
Impresoras
Unidad$
ADMIN$
PRINT$
NETLOGON
IPC$
Pgina # 146
ESPOL
Proyecto de Graduacin
ESTRUCTURA
ASIGNADOS
DE
DIRECTORIOS
PERMISOS
CONTROLADORES DE DOMINIO
Directorio
Archivos
%systemdrive%\
EDCOM
o Grupo
Permiso
Aplica
sobre
Administrators
Full Control
This
Replace
folder,
subfolder
s & Files
System
Full Control
This
Replace
folder,
subfolder
s & Files
Creator Owner
Full Control
Subfolde Replace
rs
&
Files
only
Pgina # 147
Modo
aplicarlos
de
ESPOL
Proyecto de Graduacin
Directorio
Archivos
o Grupo
Permiso
%systemdrive
%\boot.ini
%systemdrive
%\ntbootdd.sys
%systemdrive
%\ntdetect.com
Modo
aplicarlos
Replace
Administrators
Full Control
This
folder
only
Replace
System
Full Control
This
folder
only
Replace
This
folder
only
Replace
Administrators
Full Control
This
folder
only
Replace
System
Full Control
This
folder
only
Replace
This
folder
only
Replace
Administrators
Full Control
This
folder
only
Replace
System
Full Control
This
folder
only
Replace
This
folder
only
Replace
Pgina # 148
de
This
Replace
folder,
subfolder
s & Files
Authenticated
users
EDCOM
Aplica
sobre
ESPOL
Proyecto de Graduacin
Directorio
Archivos
%systemdrive
%\ntldr
%systemdrive
%\Program Files
%windir%
EDCOM
o Grupo
Permiso
Aplica
sobre
Modo
aplicarlos
Administrators
Full Control
This
folder
only
Replace
System
Full Control
This
folder
only
Replace
This
folder
only
Replace
Administrators
Full Control
This
Replace
folder,
subfolder
s & Files
System
Full Control
This
Replace
folder,
subfolder
s & Files
This
Replace
folder,
subfolder
s & Files
Creator Owner
Full Control
This
Replace
folder,
subfolder
s & Files
Authenticated
users
Administrators
Full Control
Pgina # 149
de
This
Replace
folder,
subfolder
s & Files
ESPOL
Proyecto de Graduacin
Directorio
Archivos
o Grupo
Permiso
Aplica
sobre
System
Full Control
This
Replace
folder,
subfolder
s & Files
Creator Owner
Full Control
This
Replace
folder,
subfolder
s & Files
%windir%\Ntds
%windir%\Repair
EDCOM
Modo
aplicarlos
This
Replace
folder,
subfolder
s & Files
Authenticated
users
Administrators
Full Control
This
Replace
folder,
subfolder
s & Files
System
Full Control
This
Replace
folder,
subfolder
s & Files
Administrators
Full Control
This
Replace
folder,
subfolder
s & Files
System
Full Control
This
Replace
folder,
subfolder
s & Files
Pgina # 150
de
ESPOL
Proyecto de Graduacin
Directorio
Archivos
o Grupo
%windir%\Security Administrators
System
Permiso
Aplica
sobre
Modo
aplicarlos
Full Control
This
Replace
folder,
subfolder
s & Files
Full Control
This
Replace
folder,
subfolder
s & Files
de
%windir\System32\ Administrators
Config
Full Control
This
Replace
folder,
subfolder
s & Files
System
Full Control
This
Replace
folder,
subfolder
s & Files
Creator Owner
Full Control
This
Replace
folder,
subfolder
s & Files
EDCOM
Pgina # 151
ESPOL
Proyecto de Graduacin
Directorio
Archivos
o Grupo
Permiso
Aplica
sobre
Full Control
This
Replace
folder,
subfolder
s & Files
Full Control
This
Replace
folder,
subfolder
s & Files
%windir
Printer Operators
%\System32\spool
Modify
This
Propagate
folder,
subfolder
s & Files
%windir%\Sysvol1 Administrators
Full Control
This
Replace
folder,
subfolder
s & Files
Creator Owner
Full Control
This
Replace
folder,
subfolder
s & Files
System
Full Control
This
Replace
folder,
subfolder
s & Files
%windir
Administrators
%\System32\dllcac
he
System
Modo
aplicarlos
de
automticamente permisos de read & execute para todos los grupos sobre los que
aplique una GPO.
EDCOM
Pgina # 152
ESPOL
Proyecto de Graduacin
Directorio
Archivos
o Grupo
Permiso
Aplica
sobre
%windir
Administrators
%\Sysvol\<Domain
>\Policies
Full Control
This
Replace
folder,
subfolder
s & Files
Creator Owner
Full Control
This
Replace
folder,
subfolder
s & Files
System
Full Control
This
Replace
folder,
subfolder
s & Files
Group
Policy Modify
Creator Owner
Modo
aplicarlos
de
This
Replace
folder,
subfolder
s & Files
Authenticated
users
Server Operators
Modify
This
Replace
folder,
subfolder
s & Files
Users
Read
This
Replace
folder,
subfolder
s & Files
EDCOM
Pgina # 153
ESPOL
Proyecto de Graduacin
%systemdrive
%\boot.ini
%systemdrive
%\ntdetect.com
%systemdrive
%\ntldr
%systemdrive
%\Program Files
EDCOM
o Grupo
Permiso
Aplica sobre
Administrators
Full Control
This
folder, Replace
subfolders
&
Files
System
Full Control
This
folder, Replace
subfolders
&
Files
Creator Owner
Full Control
Subfolders
Files only
Power Users
Modify
This
folder, Replace
subfolders
&
Files
Authenticated
users
Administrators
Full Control
System
Full Control
Power Users
Modify
Administrators
Full Control
System
Full Control
Power Users
Modify
Administrators
Full Control
System
Full Control
Power Users
Modify
Administrators
Full Control
This
folder, Replace
subfolders
&
Files
System
Full Control
This
folder, Replace
subfolders
&
Files
Power Users
Modify
This
folder, Replace
subfolders
&
Files
Creator Owner
Full Control
Subfolders
Files Only
Pgina # 154
Modo de
aplicarlos
& Replace
& Replace
ESPOL
Proyecto de Graduacin
Directorio
Archivos
%windir%
%windir%\Repair
o Grupo
Permiso
Aplica sobre
Authenticated
users
This
folder, Replace
subfolders
&
Files
Administrators
Full Control
This
folder, Replace
subfolders
&
Files
System
Full Control
This
folder, Replace
subfolders
&
Files
Creator Owner
Full Control
Subfolders
Files Only
Power Users
Modify
This
folder, Replace
subfolders
&
Files
Authenticated
users
This
folder, Replace
subfolders
&
Files
Administrators
Full Control
This
folder, Replace
subfolders
&
Files
System
Full Control
This
folder, Replace
subfolders
&
Files
Full Control
This
folder, Replace
subfolders
&
Files
System
Full Control
This
folder, Replace
subfolders
&
Files
Power Users
This
folder, Replace
subfolders
&
Files
Authenticated
users
This
folder, Replace
subfolders
&
Files
%windir%\Security Administrators
EDCOM
Pgina # 155
Modo de
aplicarlos
& Replace
ESPOL
Proyecto de Graduacin
Directorio
Archivos
o Grupo
Permiso
Aplica sobre
Full Control
This
folder, Replace
subfolders
&
Files
System
Full Control
This
folder, Replace
subfolders
&
Files
Creator Owner
Full Control
Subfolders
Files Only
Power Users
List
Contents
%windir
Administrators
%\System32\Config
%windir
Administrators
%\System32\dllcac
he
Modo de
aplicarlos
& Replace
Full Control
This
folder, Replace
subfolders
&
Files
Full Control
This
folder, Replace
subfolders
&
Files
%windir
Administrators
%\System32\spool
Full Control
This
folder, Replace
subfolders
&
Files
Creator Owner
Full Control
Subfolders
Files Only
System
Full Control
This
folder, Replace
subfolders
&
Files
Power Users
Modify
This
folder, Replace
subfolders
&
Files
Authenticated
users
This
folder, Replace
subfolders
&
Files
System
& Replace
EDCOM
Pgina # 156
ESPOL
Proyecto de Graduacin
ADMINISTRACIN DE RECURSOS
ALTA DE CUENTAS DE USUARIOS
El administrador del entorno Windows deber asignar a cada usuario de la red un nico
identificador de usuario en el dominio .fin.ec el cual ser de carcter personal. Dicho
identificador de usuario deber ser incluido en l o los grupos globales
correspondientes de acuerdo al rol de la persona que har uso del mismo.
Adicionalmente la cuenta deber ubicarse en la unidad organizativa de Usuarios
correspondiente al rea de negocios en la cual el usuario realizar sus tareas habituales.
Cada vez que se cree una cuenta de usuario se deber incluir la siguiente informacin:
ACCOUNT
Deber completarse de la siguiente manera:
Propiedad
User
name
Valor / Descripcin
logon La cuenta de usuario personal deber responder a la nomenclatura
estndar utilizada por Banco, tal como se detalla en la Poltica de
control de acceso de la Entidad (PC.POL.1.4).
El dominio de inicio de sesin del usuario deber ser @ .fin.ec
User
logon Ser identico al User logon name.
name
(PreWindows 2000) El dominio de inicio de sesin del usuario ser Matriz\
Logon Hours
Log On To
User
must Se seleccionar esta caracterstica para obligar al usuario a que
change
modifique la contrasea la prxima vez que ingrese a la red.
password at next
logon
User
cannot No se seleccionar esta opcin, permitiendo que el responsable de
change
la cuenta modifique la contrasea cuando lo considere necesario.
password
Password never No se seleccionar esta opcin para implementar el vencimiento
expires
de contrasea segn los valores generales.
Store password Determina si las contraseas de usuario pueden ser almacenadas
EDCOM
Pgina # 157
ESPOL
Proyecto de Graduacin
Propiedad
Valor / Descripcin
Smart Card is Solicita el uso de una Smart Card para permitir el inicio de sesin
required
for del usuario. Esta opcin debe estar deshabilitada.
interactive
logon
Account
trusted
delegation
Account
sensitive
cannot
delegated
Use
DES Permite el uso de encripcin DES de 56 bits en lugar de la
encryption types encripcin RC4 de 128 bits utilizada en la implementacin de
for this account Kerberos de Microsoft. Esta opcin est incluida para interoperar
con implementaciones de Kerberos en Unix mas viejas. Esta
opcin debe estar deshabilitada.
Do not require
Kerberos
preauthenticatio
n
Account expires
EDCOM
Pgina # 158
ESPOL
Proyecto de Graduacin
PASSWORD
Como contrasea inicial deber ingresarse una palabra combinada de ocho (8)
caracteres como mnimo, que estar formada por letras y nmeros.
GENERAL
Deber completarse con los datos descriptivos del usuario a saber: Nombre, Apellido,
Iniciales, Descripcin (cargo que ocupa, para aquellas cuentas pertenecientes a terceros
contratados, se agregar el indicativo (Externo)), Oficina Nmero de telfono, y
Direccin de e-mail.
ADDRESS
Deber completarse con los datos del lugar de trabajo donde el usuario efecta sus
tareas habituales, a saber: Calle, Nmero, Ciudad, Estado o Provincia, Cdigo postal y
pas.
PROFILE
Deber completarse de la siguiente manera:
Profile path
Logon script
Connect
Tabla 0-26: Profile
TELEPHONES
Completar con telfonos mviles, Fax, Pager, otras oficinas, etc.....
ORGANIZATION
Deber completarse de la siguiente manera:
EDCOM
Pgina # 159
ESPOL
Proyecto de Graduacin
Title
Department
Company
Compaa
EXCHANGE
Por Default debe tener deshabilitado en propiedades, caractersticas del Exchange:
Outlook
Mobile
Access
IMAP4
REMOTE CONTROL
Deber configurarse de manera que ningn usuario est habilitado para controlar u
observar remotamente ninguna sesin de usuario.
PROFILE
En general todos los usuarios deben crearse con el logon script run_block.vbs.
EDCOM
Pgina # 160
ESPOL
Proyecto de Graduacin
EXCHANGE
Deber configurarse de manera que ningn usuario est habilitado para tener acceso al
buzn de correo electrnico con un explorador Web, excepto los usuarios que tengan
blackberry autorizados por el Banco.
ACCOUNT
Deber completarse de la siguiente manera:
Propiedades
User
name
Valores / Descripcin
EDCOM
Pgina # 161
ESPOL
Proyecto de Graduacin
Propiedades
Valores / Descripcin
.fin.ec
User
logon Idem a User logon name.
name
(Pre- El dominio de inicio de sesin de la cuenta ser Matriz\
Windows 2000)
Logon Hours
Log On To
User
must Salvo que la funcionalidad de la cuenta especial lo permita,
change
esta opcin no deber activarse.
password at next
logon
User
cannot Se seleccionar esta opcin, permitiendo que solo el
change
administrador del entorno Windows modifique la contrasea
password
de la cuenta cuando lo considere necesario.
Password never Se seleccionar esta opcin para inhabilitar el vencimiento
expires
de contrasea segn los valores generales.
Store password Determina si las passwords de usuario pueden ser almacedas
using reversible usando un hash de dos direcciones. Almacenar passwords en
encription
este formato es similar a almacenarlas en texto plano por lo
que esta opcin debe estar desactivada.
Account
disabled
Smart Card is Solicita el uso de una Smart Card para permitir el inicio de
required
for sesin del usuario. Esta opcin debe estar deshabilitada.
interactive
logon
Account
trusted
delegation
EDCOM
ESPOL
Proyecto de Graduacin
Propiedades
Valores / Descripcin
desde un servidor de Exchange.
Esta opcin deber estar deshabilitada, salvo en los casos
especiales en los que el servicio lo requiera lo cual deber ser
analizado por el responsable de seguridad.
Account
sensitive
cannot
delegated
Use
DES Permite el uso de encripcin DES de 56 bits en lugar de la
encryption types encripcin RC4 de 128 bits utilizada en la implementacin de
for this account Kerberos de Microsoft. Esta opcin est includa para
interoperar con implementaciones de Kerberos sobre Unix
antiguas. Esta opcin debe estar deshabilitada.
Do not require
Kerberos
preauthenticatio
n
Account expires
PASSWORD
Como contrasea de las cuentas de servicio deber ingresarse una palabra combinada
de catorce (14) caracteres como mnimo, que estar formada por letras, nmeros y
caracteres especiales.
GENERAL
Debern completarse los siguientes campos:
Display Name
Description
EDCOM
Pgina # 163
ESPOL
Proyecto de Graduacin
REMOTE CONTROL
Ninguna cuenta de servicio estar habilitada para controlar u observar remotamente
ninguna sesin de usuario.
CONSIDERACIONES ADICIONALES
La cuenta Administrator deber ser renombrada y resguardada en sobre cerrado junto
con su contrasea.
Las cuentas Guest, TSInternetUser y Krbtgt debern inhabilitarse.
En los casos en que los servicios de Internet Information Services (IIS) no requieran el
uso del inicio de sesin annimo o en los Domain Controllers, las cuentas
IWAM_Server e IUSR_Server debern inhabilitarse.
ADMINISTRACIN DE GRUPOS
Grupos sensitivos creados en la instalacin (En proceso de depuracin por parte de
seguridad informtica y sistemasEn los controladores de dominio de Banco, los grupos
creados por defecto en la instalacin del sistema operativo debern estar asociados a los
EDCOM
Pgina # 164
ESPOL
Proyecto de Graduacin
siguientes usuarios:
Nombre
Grupo
del Alcance
Descripcin
Miembros
Grupo
del
Domain admin.
Global
Domain Users
Global
Usuarios
dominio
Domain Guests
Global
Usuarios Invitados.
Sin usuarios
Administrators
Local
Server
Operators
Local
Account
Operators
Local
Print Operators
Local
del
Back
Operators
Up Local
Everyone
Local
Users
Local
EDCOM
Pgina # 165
Usuarios
dominio
privilegios
especiales.
del
sin
ESPOL
Proyecto de Graduacin
Nombre
Grupo
Guests
del Alcance
Local
Power
Users Local
(Servidores
Miembro)
Descripcin
Miembros
Grupo
del
EDCOM
Pgina # 166
ESPOL
Proyecto de Graduacin
CONTROLADORES DE DOMINIO
Servicio
Modo
activacin
Automatic Updates(P)
Automtico
DHCP Server
Deshabilitado
Automtico
DNS Server(P)
Automtico
Event Log(P)
Automtico
File Replication(P)
Automtico
Intersite Messaging(P)
Automtico
Automtico
Net Logon(P)
Automtico
Automtico
Automtico
Windows Time(P)
Automtico
Deshabilitado
Fax
Deshabilitado
Deshabilitado
Deshabilitado
Deshabilitado
Telnet(P)
Deshabilitado
de
EDCOM
Pgina # 167
ESPOL
Proyecto de Graduacin
Modo
activacin
de
1Automatic Updates(P)
Automtico
Automtico
3Event Log(P)
Automtico
Automtico
5Windows Time(P)
Automtico
DHCP Server
Deshabilitado
Deshabilitado
7DNS Server(P)
Deshabilitado
Fax
Deshabilitado
Deshabilitado1
Deshabilitado2
8Intersite Messaging(P)
Deshabilitado3
* En la plantilla de AseguramientoBase
Plus sin Disco w2k3-v10-exchange est
como Not Defined.
9Kerberos Key Distribution Center(P)
Deshabilitado
Deshabilitado3
Telnet(P)
Deshabilitado
File Replication(P)
Manual
Net Logon(P)
Manual
En las plantillas la opcin queda con
Automtico.
Tabla 0-31: Member Servers y Stand Alone
1 Habilitar en servidores FTP
2 Habilitar en servidores IIS
3 Habilitar en servidores Exchange o SMTP
4 Habilitar en servidores Exchange
EDCOM
Pgina # 168
ESPOL
Proyecto de Graduacin
Para los servicios especficos deben tenerse en cuenta los diferentes estndares de
configuracin, segn las funcionalidades brindadas por los servidores.
Los servicios se encuentran tambin implementados en las plantillas de polticas
implementadas en el GPO de Active Directory y que se encuentran detalladas
anteriormente.
Nota: En el cuadro de servicios para Controladores de Dominio y Servidores
Miembro/Stand Alone existe una (P) que indica las opciones que estn implementadas
en la plantillas de poltica.
EDCOM
Pgina # 169
ESPOL
Proyecto de Graduacin
Joffre
20-Abril2011
PreliminarFecha
ASPECTOS GENERALES
OBJETIVO
Definir las medidas necesarias para implementar un ambiente seguro en los servidores
de base de datos Microsoft SQL Server 2008 de Banco.
MBITO DE APLICACIN
Todos los servidores de base de datos MS SQL Server 2008 de Banco.
Normativa Marco (Normativas Superior de Referencia)
PC.POL.1- Poltica General de Seguridad de la Informacin
Normativa Derogada
Ninguna.
Otras Normativas Asociadas
Ninguna.
Vigencia
Este Estndar de Configuracin entrar en vigencia a partir del mes de Agosto de 2011.
Disposiciones Generales y Transitorias
Este estndar de configuracin deber ser revisado anualmente por el rea de
Seguridad de la Informacin de Banco. Los resultados de la revisin, y los cambios que
se sucedan, sern reportados al Comit de Seguridad de la Informacin y comunicados
a los involucrados antes de ser implementados.
La falta de cumplimiento de las definiciones descriptas en el presente procedimiento,
estar sujeta a las sanciones disciplinarias que amerite cada caso.
EDCOM
Pgina # 170
ESPOL
Proyecto de Graduacin
ROLES Y RESPONSABILIDADES
rea de Seguridad de la Informacin:
Responsable de Seguridad de la Informacin: Tendr a su cargo el
mantenimiento del presente estndar, junto con las tareas de verificacin del
cumplimiento del mismo.
Gerente de Sistemas: Deber garantizar que los funcionarios del rea de
sistemas, encargados de realizar la administracin de los servidores de base de
datos MS SQL Server 2008, implementen los estndares de configuracin
definidos en forma efectiva y oportuna.
Administradores de plataforma MS SQL Server 2008: Sern encargados de
implementar el presente estndar, siguiendo los lineamientos y tareas
mencionadas en el mismo. Asimismo, debern informar al Gerente de Sistemas
sobre las configuraciones de seguridad que no puedan ser implementadas por
restricciones tcnicas y/o de negocio, las cuales debern quedar adecuadamente
documentadas.
EDCOM
Pgina # 171
ESPOL
Proyecto de Graduacin
CUENTA DE SERVICIO
Para los equipos Stand-Alone:
En caso que el servicio de MSSQL Server no requiera la conectividad o
utilizacin de otros recursos de la red (como ser link de bases de datos) deber
utilizar la cuenta local de sistema Local Service para inicializar los servicios
de la instancia. En caso contrario, se deber utilizar la cuenta Network
Service.
Para los equipos Miembros del Dominio:
Se deber asignar una cuenta de dominio con la nomenclatura
Admin_SQL_nnn, donde nnn es un nmero interno adecuado asignado por el
Responsable de Seguridad de la Informacin de la Entidad.
La misma deber ser incluida en los grupos de servicio de MSSQL (los cuales
se detallan en las siguientes secciones del presente documento) y ser
configurada como cuenta inicializadora de los servicios de SQL Server de la
instancia (a excepcin del servicio SQL Server VSS Writer, para el cual debern
mantenerse los permisos por defecto sobre la cuenta SYSTEM), segn se
muestra a continuacin:
La contrasea asignada a la cuenta de servicios utilizada deber poseer asignada una
contrasea compleja, con una contrasea de al menos 8 caracteres de longitud, y ser
almacenada en sobre cerrado, de acuerdo a lo establecido en el procedimiento de
administracin de usuarios de mximos privilegios de la Entidad.
Como complementos adicionales de seguridad, durante la instalacin de la instancia de
bases de datos, sern generados seis grupos especiales a nivel de sistema operativo.
Cada uno de los grupos mencionados se encuentra asociado a un servicio particular de
la instancia y poseen asociados los privilegios mnimos requeridos sobre el sistema
operativo para que estos funcionen de manera consistente. A continuacin se detallan
dichos grupos, con sus correspondientes privilegios asignados:
EDCOM
Pgina # 172
ESPOL
Proyecto de Graduacin
Servicio de
SQL Server
SQL Server
Grupo
Log on as a service
Log on as a batch job
Replace a process-level
token
Instancia renombrada (el nombre no Bypass traverse checking
es
por
defecto): Adjust memory quotas
SQLServerMSSQLUser$ComputerNa for a process
me$InstanceName
Permisos para iniciar el
servicio
SQL Server
Active Directory Helper
Permisos para iniciar el
servicio SQL Writer
Permisos para leer el
servicio de Event Log
Permisos para leer el
servicio
de
Remote
Procedure Call
Log on as a service
Log on as a batch job
Replace a process-level
token
Instancia renombrada (el nombre no Bypass traverse checking
es por defecto):
Adjust memory quotas
SQLServerSQLAgentUser$Computer for a process
Name$InstanceName
Analysis
Services
Log on as a service
Instancia
por
defecto:
Pgina # 173
Log on as a service
ESPOL
Proyecto de Graduacin
Servicio de
SQL Server
Grupo
SQLServerReportServerUser$Comput
erName$MSRS10.MSSQLSERVER
Instancia renombrada (el nombre no
es por defecto):
SQLServerReportServerUser$Comput
erName$MSRS10.InstanceName
Integration
Services
Log on as a service
Permisos para escribir en
el application event log.
Bypass traverse checking
Impersonate a client after
authentication
Full-text
Search
Log on as a service
Log on as a service
Ninguno(2)
Ninguno(2)
N/A
SQL Writer
Pgina # 174
ESPOL
Proyecto de Graduacin
Usuario/Grupo
Directorio
Auditoria
<drive>\MSSQL\AUDITORI
A
Copias de respaldo
<drive>\MSSQL\BACKUP
Datos
<drive>\MSSQL\DATA
Tabla 0-33: Directorios de Instalacin
Usuario/Grupo
Permisos
Administradores
Full Control
System
Full Control
SQLServerMSSQLUser$ComputerName$Instance
Name
Usuario/Grupo
Permisos
Administradores
Full Control
System
Full Control
SQLServerMSSQLUser$ComputerName$Instance
Name
Full Control
Pgina # 175
ESPOL
Proyecto de Graduacin
Todos los archivos del sistema operativo que contienen bases de datos deben ubicarse
en el directorio <drive>\MSSQL\DATA, tanto para los archivos primarios
(extensin .mdf), secundarios (extensin .ndf), y de log (extensin .ldf).
Los usuarios no debern poseer permisos sobre estos archivos, ya que SQL Server se
encarga de gestionar los accesos a travs de su propia seguridad. Por lo tanto, regirn
para este subdirectorio los mismos permisos mencionados para el directorio principal
de la base de datos.
Poltica de Contraseas
CUENTA DE ADMINISTRADOR
La contrasea de la cuenta del usuario administrador SA (System Administrator)
ser cambiada, deber poseer una longitud mnima de 8 caracteres y ser administrada
de acuerdo al Procedimiento de Administracin de Usuarios de Mximos Privilegios de
la Entidad.
Si bien la cuenta SA deber contar con las polticas de contraseas y cuentas de usuario
definidas en el estndar de la plataforma Windows 2000/2003, dicha cuenta deber
contar con la excepcin a la poltica de expiracin de contraseas, tal como se muestra
a continuacin:
MODO DE SEGURIDAD
El modo de autenticacin a utilizar para el acceso al servidor de base de datos es el
basado en SQL Server y Windows, tal como se muestra a continuacin:
EDCOM
Pgina # 176
ESPOL
Proyecto de Graduacin
LINKED SERVERS
Esta facilidad debe habilitarse slo en caso de ser requerida para asegurar la
funcionalidad de alguna aplicacin. En particular, no debe utilizarse para fines
administrativos.
Las opciones deben configurarse de la siguiente manera:
Data access: Habilitarse slo en caso de precisarse la ejecucin de consultas
contra el servidor remoto.
RPC: Debe estar inhabilitado.
RPC out: Habilitarse slo en caso de precisarse la ejecucin de stored
procedures en el servidor remoto.
Lazy Schema Validation: siempre debe estar en False
Distributor/Publisher: habilitarse solo en caso de querer publicar informacin
que sea accesible desde otros db-links.
Las opciones de seguridad deben configurarse de la siguiente manera:
Seguridad para usuarios no definidos especficamente: Debe seleccionarse la primera
opcin, a fin de denegar el acceso a usuarios no especificados.
Lista de usuarios: De acuerdo al esquema de permisos utilizado por la aplicacin, se
presentan las siguientes alternativas:
VNCULO USUARIO-USUARIO
El administrador de Base de Datos deber vincular, en una relacin de uno a uno, los
usuarios del servidor local, que necesiten acceso, con los usuarios del servidor remoto.
Pgina # 177
ESPOL
Proyecto de Graduacin
EDCOM
Pgina # 178
ESPOL
Proyecto de Graduacin
Pgina # 179
ESPOL
Proyecto de Graduacin
EDCOM
Pgina # 180
ESPOL
Proyecto de Graduacin
ESQUEMA DE ROLES
La responsabilidad de administracin de servidores SQL descansa exclusivamente
sobre las reas de Sistemas (sector de Ingeniera) y Seguridad de la Informacin de
Banco
Se identifican las siguientes funciones o roles de administracin a tener en cuenta:
Administrador de Base de Datos
Tiene a su cargo las siguientes tareas:
Creacin y mantenimiento de bases de datos
Generacin de copias de respaldo adicionales a las programadas
Restauracin de bases de datos
Administracin de alertas, tareas y operadores
Monitoreo y revisin de los servidores
Resolucin de problemas tcnicos y de mantenimiento del producto
Instalacin de actualizaciones.
Para cumplir esta funcin se requieren los privilegios de acceso del rol predefinido
System Administrator.
Debido al nivel de acceso que este perfil posee, deber ser auditada toda su actividad
(ref. Seccin Auditoria de Eventos del presente documento).
ADMINISTRADOR DE SEGURIDAD
Tiene a su cargo las tareas relacionadas con la administracin de logins, contraseas,
usuarios, y sus autorizaciones en las bases de datos. Para esto, precisar las
autorizaciones pertinentes por parte del Propietario de los Datos.
Para cumplir esta funcin se requieren los privilegios de acceso de los siguientes roles
predefinidos:
Security administrator (rol de servidor securityadmin)
db_accessadmin (rol de base de datos)
db_securityadmin (rol de base de datos)
Debido al nivel de acceso que este perfil posee, debe ser auditada toda su
actividad (ref. Seccin Auditora de Eventos del presente documento).
EDCOM
Pgina # 181
ESPOL
Proyecto de Graduacin
ADMINISTRACIN DE CONTRASEAS
A fin de posibilitar al Administrador de Seguridad la reasignacin de contraseas en
caso de solicitud por parte del responsable de la cuenta, debe modificarse el stored
procedure sp_password.
El procedimiento por defecto restringe el cambio de contraseas al titular de una
cuenta, y a los integrantes del rol sysadmin. La modificacin a incorporar consiste en
extender esta capacidad a miembros del rol securityadmin.
EDCOM
Pgina # 182
ESPOL
Proyecto de Graduacin
BASES DE DATOS
OBJETIVO
Definir pautas de seguridad para las bases de datos.
CRECIMIENTO DE ARCHIVOS
En caso de especificarse que el o los archivos que contienen la base de datos puedan
crecer automticamente, debe restringirse su tamao a un valor mximo a travs de la
opcin Restrict filegrowth, tanto para los datos, como para el log de transacciones.
Debe seleccionarse un valor adecuado para cada base de datos, en funcin al tamao
inicial del archivo y al espacio disponible en disco.
EDCOM
Pgina # 183
ESPOL
Proyecto de Graduacin
PAGE VERIFY
Esta opcin debe configurarse en CHECKSUM, a fin de permitir la deteccin
temprana de fallas durante operaciones de lectura/escritura.
ENCRYPTION ENABLED
En caso de el contenido de la base de datos deba ser encriptado (por ej. debido a
requerimientos regulatorios), se debern seguir los pasos detallados en la seccin
Encripcin de Datos del presente documento para su configuracin.
EDCOM
Pgina # 184
ESPOL
Proyecto de Graduacin
ENCRIPTACIN DE DATOS
OBJETIVO
Definir las consideraciones necesarias para la encripcin transparente de los datos en la
instancia (TDE de sus siglas en ingls Transparent Data Encryption).
Descripcin del funcionamiento de la encripcin transparente
El siguiente diagrama presenta la funcionalidad de TDE:
EDCOM
Pgina # 185
ESPOL
Proyecto de Graduacin
PASOS A SEGUIR
ENCRIPTACIN
PARA
GENERAR
LA
CLAVE
DE
Generar la clave maestra de encripcin. Para ello, ejecutar los siguientes comandos
SQL en el gestor de consultas, reemplazando las variables que contienen signos <>:
USE master;
GO
CREATE MASTER KEY ENCRYPTION BY PASSWORD = '<PasswordCompleja>';
GO
Generar el certificado del servidor. Para ello ejecutar los siguientes comandos SQL en
el gestor de consultas, reemplazando las variables que contienen signos <>:
CREATE CERTIFICATE <MiCertificadoDeServidor> WITH SUBJECT = '<Mi
Certificado>'
go
Seleccionar la base de datos (esquema) que se desea encriptar y generar la clave de
encripcin. Para ello ejecutar los siguientes comandos SQL en el gestor de consultas,
reemplazando las variables que contienen signos <>:
USE <BaseAplicacion>
GO
CREATE DATABASE ENCRYPTION KEY
WITH ALGORITHM = AES_128
ENCRYPTION BY SERVER CERTIFICATE <MiCertificadoDeServidor>
GO
Activar la encripcin en la base de datos. Para ello ejecutar los siguientes comandos
SQL en el gestor de consultas, reemplazando las variables que contienen signos <>:
ALTER DATABASE <BaseAplicacion>
SET ENCRYPTION ON
GO
EDCOM
Pgina # 186
ESPOL
Proyecto de Graduacin
EDCOM
Pgina # 187
ESPOL
Proyecto de Graduacin
EDCOM
Pgina # 188
ESPOL
Proyecto de Graduacin
ESTNDAR DE SEGURIDAD
INFORMATION SERVICES 7
PARA
INTERNET
OBJETIVO
Definir las medidas necesarias para implementar el esquema de seguridad en el
ambiente de servidores Web Microsoft Internet Information Services (IIS) versin 7,
segn la normativa de Seguridad de la Informacin.
mbito de Aplicacin
Todos los servidores Web de Banco que brinden servicio Web basado en Internet
Information Services 7 (IIS), los cuales pertenezcan al entorno de produccin de la
Entidad.
Normativa Marco (Normativas Superior de Referencia)
PC.POL.1 - Poltica General de Seguridad de la Informacin
Normativa Derogada
Ninguna.
Otras Normativas Asociadas
Ninguna.
Vigencia
Este estndar de configuracin entrar en vigencia a partir de Marzo de 2011.
Disposiciones Generales y Transitorias
Este estndar de configuracin deber ser revisado anualmente por el rea de
Seguridad Informtica de Banco. Los resultados de la revisin, y los cambios que se
sucedan, sern reportados al Comit de Seguridad de la Informacin y comunicados a
los involucrados antes de ser implementados.
La falta de cumplimiento de las definiciones descriptas en el presente estndar, estar
sujeta a las sanciones disciplinarias que amerite cada caso.
EDCOM
Pgina # 189
ESPOL
Proyecto de Graduacin
Roles y Responsabilidades
Seguridad Informtica:
Responsable de Seguridad Informtica: Tendr a su cargo el mantenimiento del
presente estndar, junto con las tareas de verificacin del cumplimiento del mismo.
Gerencia de Sistemas:
Gerente de Sistemas: Deber garantizar que los funcionarios del rea de sistemas,
encargados de realizar la administracin de los servidores Web, implementen los
estndares de configuracin definidos en forma efectiva y oportuna.
Administradores y Operadores de la plataforma: Sern encargados de implementar el
presente estndar, siguiendo los lineamientos y tareas mencionadas en el mismo.
Asimismo, debern informar al Gerente de Sistemas sobre las configuraciones de
seguridad que no puedan ser implementadas por restricciones tcnicas y/o de negocio,
las cuales debern quedar adecuadamente documentadas.
EDCOM
Pgina # 190
ESPOL
Proyecto de Graduacin
CONSIDERACIONES
OPERATIVO
GENERALES
DEL
SISTEMA
OBJETIVO
Definir las consideraciones de seguridad necesarias para el correcto funcionamiento de
la plataforma Microsoft Windows 2008 sobre la cual se encuentra instalado el servicio
Internet Information Services.
Seguridad a nivel de sistema operativo Windows 2008
Se deber configurar la plataforma Microsoft Windows 2008 de acuerdo a los
parmetros definidos en el Estndar de Seguridad para Microsoft Windows 2008 de
Banco.
Cuentas de usuario creadas por defecto en la instalacin
Durante la instalacin de IIS se crea por defecto una cuenta integrada, garantizada por
el sistema operativo para tener siempre un SID nico. El nombre real que es utilizado
para la nueva cuenta nunca ser localizado. Por ejemplo, independientemente del
idioma de Windows que se instala, el nombre de cuenta de IIS siempre ser IUSR. Esto
le indica a IIS utilizar la nueva cuenta integrada para todas las solicitudes de
autenticacin annima.
La cuenta IUSR sustituye a la cuenta IUSR_MachineName de IIS 6 (donde
MachineName es el nombre del equipo donde reside IIS). La cuenta
IUSR_MachineName seguir siendo creada y utilizada si se instala el servidor FTP 6
compatibles que se incluye en Windows Server 2008. Si no instala el servidor FTP que
se incluye con Windows Server 2008, esta cuenta no se crear.
Asimismo, esta versin de IIS utiliza varias cuentas de usuarios propias del sistema
operativo, estas son:
Local System: Esta cuenta tiene por defecto permisos de Full access. Es parte
del grupo de administradores locales con alto nivel de permisos de acceso. Si un
proceso de trabajo se ejecuta con la cuenta de usuario Local System, entonces
este proceso tendr acceso full al sistema.
Network Service: Esta cuenta de usuario negocia con otro sistema teniendo
credenciales de la cuenta de la computadora. Tiene menos permisos que Local
System sobre el sistema.
EDCOM
Pgina # 191
ESPOL
Proyecto de Graduacin
Local Service: Esta cuenta de usuario tiene menos privilegios que Network
Service y limita los permisos de usuario solo a la computadora local. La misma
es utilizada por procesos que no requieren acceso a servidores externos.
A fin de reforzar la seguridad del servicio Web, y segn corresponda, debern
implementarse las siguientes consideraciones de seguridad:
En caso de ser requerido el acceso annimo, dichas cuentas debern estar definidas a
nivel local en el equipo (No debern utilizarse cuentas de dominio), No deber
permitirse el cambio de las contraseas de las mismas y la contrasea No deber
expirar, segn se muestra en la siguiente figura:
Pgina # 192
ESPOL
Proyecto de Graduacin
Pgina # 193
ESPOL
Proyecto de Graduacin
DEFINICIN DE GRUPOS
Con el objetivo de organizar y administrar los usuarios relacionados al IIS y asignarle
privilegios a los mismos, se debern crear los siguientes grupos locales y se deber
relacionar a los mismos los usuarios indicados:
Grupo
Miembros
WebAdmins
IIS_IUSRS
Network Service
(Se crea por Local Service
defecto)
LocalSystem
Tabla 0-36: Definicin de Grupos
Por otra parte, la cuenta IUSR_NombreEquipo o IUSR deber quitarse del grupo
Guests.
DERECHOS DE USUARIOS
Finalmente, al grupo creado para las cuentas de servicio de IIS (IIS_IUSRS) y a las
cuentas de usuario de servicio, debern asignrsele los derechos de usuario que se
detallan a continuacin:
Derechos de Usuario
Permisos
EDCOM
Administrators
Users
Backup Operators
LOCAL
SERVICE
NETWORK
SERVICE
Administrators
Users
Pgina # 194
ESPOL
Proyecto de Graduacin
Backup Operators
Impersonate
a
authentication
client
after LOCAL
SERVICE
NETWORK
SERVICE
Administrators
IIS_IUSRS
SERVICE
Administrators
Backup
Operators
Performance
Log
Users
IIS_IUSRS
LOCAL
SERVICE
NETWORK
SERVICE
EDCOM
Pgina # 195
ESPOL
Proyecto de Graduacin
HTTP Habilitado
Deshabilitad
Permite que las impresoras sean
o
compartidas usando HTTP. Si no se
requiere esta caracterstica, debe
permanecer deshabilitado.
World Wide
Service
EDCOM
Pgina # 196
ESPOL
Proyecto de Graduacin
EDCOM
Pgina # 197
ESPOL
Proyecto de Graduacin
COMPONENTE FILESYSTEMOBJECT(FSO)
Este componente proporciona mtodos y propiedades para trabajar con unidades,
carpetas y ficheros. Si no se requiere utilizar estas caractersticas, se deber deshabilitar
este componente.
Para deshabilitar este componente:
Abrir la ventana del Command Prompt;
Localizar el directorio %windir%\system32;
Escribir regsvr32 scrrun.dll /u y presionar Enter. Aparecer el siguiente
archivo
de
configuracin
de
IIS
7.0
es
Dado que dicho archivo es sensitivo, se deber velar por la seguridad del mismo a
partir del cumplimiento de los siguientes lineamientos:
Se debern realizar copias de seguridad del mismo;
Solo los miembros del grupo Administradores y LocalSystem deben tener
permisos de acceso Full sobre este archivo.
Nota: El archivo se almacena
Windows\System32\inetsrv\config.
EDCOM
en
la
Pgina # 198
siguiente
ruta
%SystemDrive%\
ESPOL
Proyecto de Graduacin
Configuracin
Descripcin
%SystemDrive
Full Control
%\inetpub\temp\IIS
Temporary Compressed
Files
Acceso al
compresin
Directorio de publicacin
%windir
%\System32\Inetsrv\Met
NT
AUTHORITY\SYSTE
EDCOM
Pgina # 199
directorio
de
ESPOL
Proyecto de Graduacin
Ubicacin
Configuracin
Descripcin
aBase.xml
M: Full control
BUILTIN\Administrato
rs: Full control
WebAdmins: Modify
del IIS.
%windir
%\System32\Inetsrv\MB
Schema.xml
NT
AUTHORITY\SYSTE
M : Full control
BUILTIN\Administrato
rs : Full control
WebAdmins: Modify
%windir
%\System32\Inetsrv\Hist
ory
NT
AUTHORITY\SYSTE
M : Full control
BUILTIN\Administrato
rs : Full control
WebAdmins: Modify
%windir
%\System32\Inetsrv\Met
aBack
NT
AUTHORITY\SYSTE
M : Full control
BUILTIN\Administrato
rs : Full control
WebAdmins: Modify
EDCOM
Tipos de archivos
Permisos NTFS
Archivos CGI
(.exe, .dll, .cmd, .pl)
IIS_IUSRS (execute)
Administrators (full control)
System (full control)
WebAdmins (Modify)
Pgina # 200
ESPOL
Proyecto de Graduacin
Tipos de archivos
Permisos NTFS
Archivos de Script
(.asp)
IIS_IUSRS (execute)
Administrators (full control)
System (full control)
WebAdmins (Modify)
Archivos de Include
(.inc, .shtm, .shtml)
IIS_IUSRS (execute)
Administrators (full control)
System (full control)
WebAdmins (Modify)
IIS_IUSRS (read-only)
Administrators (full control)
System (full control)
WebAdmins (Modify)
Pgina # 201
ESPOL
Proyecto de Graduacin
EnableTraceMethod
Registry
Path:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Paramete
rs
AlwaysLogEvents
Registry Path: HKLM\System\CurrentControlSet\Services\WAS\Parameters
Data Type: REG_DWORD
Default Value: 0 (disabled)
Range: 0 1
Determina la grabacin de actividades errneas en el archivo log
EnableLogging
Registry Path: HKLM\SOFTWARE\Microsoft\WebManagement\Server
Data Type: REG_DWORD
Default Value: 1 (enabled)
Range: 0 1
Determina la grabacin de actividades exitosas en el archivo log
Tabla 0-42: Configuracin del Registro de Windows
Pgina # 202
ESPOL
Proyecto de Graduacin
OPCIN AUTENTICACIN
No se deber aplicar un esquema de autenticacin. A este nivel se deber utilizar el
esquema basado en accesos annimos nicamente.
Pgina # 203
ESPOL
Proyecto de Graduacin
EDCOM
Pgina # 204
ESPOL
Proyecto de Graduacin
Pgina # 205
ESPOL
Proyecto de Graduacin
usuarios finales no deben ser descriptivos y/o contener informacin de las plataformas
y versiones de software utilizadas.
Seleccionando la opcin de Error Pages podremos cambiar la configuracin de las
pginas por defecto que se presentan al usuario cada vez que ocurre un error en el
servicio Web. Las mismas debern ser establecidas de acuerdo a los criterios
mencionados anteriormente, evitando divulgar informacin alguna de la plataforma o
tipo de error. Por ejemplo se podr presentar la siguiente leyenda:
Se ha detectado un error en la aplicacin, por favor sepa disculpar las molestias
Los mensajes de error personalizados debern ser almacenados dentro de la nueva
ubicacin (diferente a la de sistema operativo) del sitio web por defecto y debern ser
comunes para todos los directorios virtuales del sitio web.
OPCIN LOGGING
En todos los servidores Web ser mandatario que la auditora se encuentre habilitada.
Para activar las pistas de auditora (LOGs) se debe tener habilitada esta opcin.
Se deber configurar un log por servidor en formato W3C. As mismo, en la lista
desplegable que se activa al hacer click en el botn Select Fields se debern
seleccionar los siguientes componentes.
Client IP Address
User Name
Service Name
Method
URI Stem
URI Query
Win32 Status
User Agent
Server IP Address
Server Port
Las opciones restantes debern quedar configuradas con los valores otorgados al
momento de la instalacin, como se muestra en la siguiente figura:
EDCOM
Pgina # 206
ESPOL
Proyecto de Graduacin
EDCOM
Pgina # 207
ESPOL
Proyecto de Graduacin
CONSIDERACIONES
SERVICIO WEB
AVANZADAS
DE
SEGURIDAD
DEL
Pgina # 208
ESPOL
Proyecto de Graduacin
EDCOM
Pgina # 209
ESPOL
Proyecto de Graduacin
OPCIN AUTHENTICATION
Con el objetivo de realizar un acceso seguro a los recursos del servidor Web, se deber
definir cul es el tipo de autenticacin que el mismo requerir soportar. En este aspecto
deber aplicarse alguna de las configuraciones que se presentan a continuacin
dependiendo del servicio que se est brindando:
ACCESO ANNIMO
A ser utilizado en casos donde no se requiera autenticacin para acceder a las pginas
publicadas, como en el caso de servidores pblicos o internos que utilicen controles de
acceso a nivel de formularios aplicativos.
Esta opcin podr ser seleccionada para servidores Web pblicos.
Acceso Restringido:
Autenticacin integrada con Windows: A ser utilizado en el caso de servidores Web que
soportan servicios internos, los cuales utilizan controles de acceso a archivos a partir de
listas de control de accesos NTFS.
En servidores pblicos deber evitarse la utilizacin de autenticacin integrada de
Windows, dado que la misma podra ser utilizada por un potencial atacante para
realizar ataques del tipo Fuerza Bruta.
EDCOM
Pgina # 210
ESPOL
Proyecto de Graduacin
El mismo que es habilitado cuando en los Servicios del Rol de IIS en la parte de
seguridad se habilita la opcin Ip and Domain Restrictions.
Los pasos para habilitar esta opcin son:
Abra el Administrador de IIS y navegue hasta el nivel que desee administrar.
En Features View, haga doble clic en IPv4 Address and Domain Restrictions.
EDCOM
Pgina # 211
ESPOL
Proyecto de Graduacin
Pgina # 212
ESPOL
Proyecto de Graduacin
CONSIDERACIONES
SERVICIO FTP
DE
SEGURIDAD
SOBRE
EL
Como parte de los servicios incluidos en el producto IIS 7 se incluye un servidor FTP
(File Transfer Protocolo) bsico, el cual presenta limitadas caractersticas de seguridad,
principalmente en relacin a la ausencia de mecanismos de encripcin del canal de
comunicaciones cliente servidor, y al pobre esquema de autenticacin brindado. Debido
a ello, se debern tomar en cuenta las siguientes consideraciones generales:
Siempre que sea posible se deber deshabilitar el servicio;
En caso de requerir el servicio FTP en servidores pblicos, se deber estudiar la
posibilidad de utilizar algn producto software alternativo que permita
implementar SFTP (FTP con encripcin SSL);
Ser recomendable configurar el servidor FTP de forma tal que se prohba la
escritura de archivos en el mismo;
En caso que sea necesario escribir archivos en el servidor, se deber crear un
directorio independiente en el cual se alojarn los nuevos documentos.
Sin embargo, en caso de ser requerido el servicio FTP provisto por el producto
IIS 7, el mismo deber ser configurado siguiendo los lineamientos presentados a
continuacin.
Cabe recalcar que para poder administrar este servicio se debe tener instalada la
compatibilidad con la consola administrativa de IIS 6.
Pgina # 213
ESPOL
Proyecto de Graduacin
concurrentes.
Tiempo de expiracin de las sesiones: Se deber establecer un tiempo menor a 30
minutos para la expiracin de sesiones inactivas. Preferentemente, y en caso de ser
factible, dicho valor deber estar definido en 10 minutos (600 segundos).
La siguiente figura muestra la configuracin discutida previamente:
Pgina # 214
ESPOL
Proyecto de Graduacin
Pgina # 215
ESPOL
Proyecto de Graduacin
SOLAPA DIRECTORY
SIRECTORIOS)
SECURITY
(SEGURIDAD
DE
EDCOM
Pgina # 216
ESPOL
Proyecto de Graduacin
CONSIDERACIONES
SERVICIO SMTP
DE
SEGURIDAD
SOBRE
EL
SOLAPA GENERAL
En esta solapa se muestran las opciones generales del servidor SMTP, como ser la
interfaz de red a travs de la cual atender las peticiones de los usuarios y las opciones
de auditora.
En esta seccin se debern configurar los siguientes aspectos:
Habilitar la auditoria. Para eso debe estar seleccionada la opcin de Enable
Logging;
Definir el tipo de LOG a generar, seleccionando el formato de LOGs con
formato W3C Extended Log File Format";
Establecer el tiempo mximo para desconexin de sesiones inactivas en 10
minutos;
Limitar el nmero de sesiones concurrentes de ser posible a 50 conexiones,
aunque dicho valor podr ser adaptado de acuerdo a los requerimientos del
servicio.
EDCOM
Pgina # 217
ESPOL
Proyecto de Graduacin
EDCOM
Pgina # 218
ESPOL
Proyecto de Graduacin
CONTROLES DE ACCESO
Las opciones de autenticacin de SMTP son similares a las presentadas para el servicio
HTTP.
Siempre que sea posible se deber evitar el acceso annimo debiendo seleccionarse
autenticacin Bsica con TLS o autenticacin integrada a Windows Windows
Security Package
CONTROL DE CONEXIONES
Se deben definir, en el caso que existan, restricciones de IP o Nombres de Dominio al
servidor SMTP, para mitigar el riesgo de acceso y utilizacin del servicio por parte de
personal no autorizado.
RESTRICCIONES DE RELAY
Se deber permitir el Relay nicamente a servidores preestablecidos, los cuales
debern ser listados en la seccin Relay Restrictions por direccin IP.
As mismo, la opcin Allow all computers which successfully authenticate to relay,
regardless of the list above, deber quedar deshabilitada.
EDCOM
Pgina # 219
ESPOL
Proyecto de Graduacin
EDCOM
Pgina # 220
ESPOL
Proyecto de Graduacin
DOCUMENTACIN DE REFERENCIA
Especificacin de servicios, grupos especiales y derechos de usuarios asignados
http://technet.microsoft.com/en-us/library/ms143504.aspx
Encripcin transparente de datos (TDE)
http://technet.microsoft.com/en-us/library/bb934049.aspx#Mtps_DropDownFilterText
Auditora de datos
http://technet.microsoft.com/en-us/library/cc280663.aspx
EDCOM
Pgina # 221
ESPOL