Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
Universidad Nacional Autónoma de México Ingeniería en Computación Universidad Nacional Autónoma de México Facultad de Ingeniería Ingeniería en Computación Facultad de Ingeniería . L. Alejandra Camarillo Sandoval R. Pilar Camarillo Sandoval Griselda Hernández Hernández Asesora de tesis: M.C. Ma. Jaquelina López Barrientos México, D.F. Abril 2006 UNAM – Dirección General de Bibliotecas Tesis Digitales Restricciones de uso DERECHOS RESERVADOS © PROHIBIDA SU REPRODUCCIÓN TOTAL O PARCIAL Todo el material contenido en esta tesis esta protegido por la Ley Federal del Derecho de Autor (LFDA) de los Estados Unidos Mexicanos (México). El uso de imágenes, fragmentos de videos, y demás material que sea objeto de protección de los derechos de autor, será exclusivamente para fines educativos e informativos y deberá citar la fuente donde la obtuvo mencionando el autor o autores. Cualquier uso distinto como el lucro, reproducción, edición o modificación, será perseguido y sancionado por el respectivo titular de los Derechos de Autor. 2.1 GURIDICA PUNTOS C A P Í T U L O 1 ► DEFINICIÓN DEL PROBLEMA ► HIPÓTESIS ► JUSTIFICACIÓN ► OBJETIVOS Alcances PUNTOS C A P Í T U L O 2 ► SEGURIDAD NFORMÁTICA ► RIESGOS ► CRIPTOLOGÍA ► ALGORITMOS DE ENCRIPCIÓN ► SERVICIOS DE SEGURIDAD ► NIVELES Y MODELOS DE SEGURIDAD ► ESQUEMA DE SEGURIDAD Conceptos de Seguridad PUNTOS C A P Í T U L O 3 ► INTRODUCCIÓN DEL CAPP ► DESCRIPCIÓN DE SYSCAP ► ENTORNO DE SEGURIDAD DE SYSCAP Esquema de Seguridad de SISCAP PUNTOS C A P Í T U L O 4 ► DEFINICIÓN DE LOS SERVICIOS DE SEGURIDAD PARA SYSCAP ► DEFINICIÓN DE MECANISMOS DE SEGURIDAD PARA SYSCAP ► DISEÑO DE LOS MÓDULOS DE AUTENTICACIÓN Y CONTROL DE ACCESO ► REGLAS DEL NEGOCIO QUE SE DERIVAN DE LAS POLÍTICAS ESTABLECIDAS Servicios de Autenticación y Control de Acceso para SYSCAP PUNTOS C A P Í T U L O 5 ► CÓDIGO DE LAS CLASES IMPLEMENTADAS PARA LOS SERVICIOS DE AUTENTICACIÓN Y CONTROL DE ACCESO ► CÓDIGO PARA EL REPORTE DE LA BITÁCORA ► MATRIZ DE PRUEBAS LAS POLÍTICAS ESTABLECIDAS Implementación y Pruebas PUNTOS ► DICCICIONARIO DE DATOS ► GLOSARIO LAS POLÍTICAS ESTABLECIDAS Anexos Índice Introducción………………………………………………………………………………........... I 1. Alcances……………………………………………………………………………………….. 1 1.1 Definición del problema.……………………………………………………………….... 2 1.2 Hipótesis…………………………………………………………………………………... 2 1.3 Justificación……………………………………………………………………………….. 2 1.4 Objetivos…………………………………………………………………………………... 4 2. Conceptos de seguridad…………………………………………………………………….. 5 2.1 Seguridad informática…………………………………………………………………… 6 2.2 Riesgos……………………………………………………………………………………. 6 2.3 Criptología………………………………………………………………………………… 6 2.3.1 Algoritmos de encripción…………………………………………………………. 8 2.4 Servicios de seguridad…………………………………………………………………... 10 2.5 Niveles y modelos de seguridad……………………………………………………….. 11 2.6 Esquemas de seguridad………………………………………………………………… 16 3. Esquema de seguridad de SYSCAP……………………………………………………….. 17 3.1 Introducción del CAPP…………………………………………………………………... 18 3.1.1 Identificación del CAPP…………………………………………………………… 18 3.1.2 Panorama general del CAPP…………………………………………………….. 18 3.2 Descripción de SYSCAP………………………………………………………………… 18 3.2.1 Contexto de SYSCAP…………………………………………………………….. 18 3.2.2 Definición de SYSCAP……………………………………………………………. 20 3.2.3 Diagrama conceptual……………………………………………………………… 21 3.2.4 Estado actual de SYSCAP……………………………………………………….. 22 3.2.5 Diagrama de procesos……………………………………………………………. 23 3.2.6 Arquitectura de la aplicación……………………………………………………... 23 3.3 Entorno de seguridad de SYSCAP…………………………………………………….. 25 3.3.1 Evaluación de riesgos…………………………………………………………….. 25 3.3.1.1 Caracterización del sistema……………………………………………... 27 3.3.1.2 Identificación de amenazas……………………………………………… 27 3.3.1.3 Identificación de vulnerabilidades………………………………………. 28 3.3.1.4 Determinación probabilística……………………………………………. 29 3.3.1.5 Análisis de impacto y determinación de riesgos………………………. 29 3.3.1.6 Análisis de control………………………………………………………… 31 3.3.2 Hipótesis……………………………………………………………………………. 32 3.3.3 Políticas de seguridad…………………………………………………………….. 32 3.3.3.1 Políticas de seguridad de SYSCAP…………………………………….. 34 4. Servicios de Autenticación y Control de Acceso para SYSCAP……………………... 36 4.1 Definición de los servicios de seguridad para SYSCAP………………………… 37 4.2 Definición de mecanismos de seguridad………………………………………….. 41 4.3 Definición de mecanismos de seguridad para SYSCAP………………………... 42 4.3.1 Contexto teórico de los mecanismos a utilizar en SYSCAP……………... 42 4.4 Diseño de los módulos de Autenticación y Control de Acceso……………………... 45 4.4.1 Casos de uso………………………………………………………….................. 46 4.4.2 Diagrama integral de clases……………………………………………………... 53 4.4.3 Diagrama de secuencia…………………………………………………………... 54 4.4.4 Diagrama de estados……………………………………………………………... 57 4.4.5 Diagrama entidad relación……………………………………………………….. 59 4.5 Reglas del negocio que se derivan de las políticas establecidas………………….. 60 5. Implementación y pruebas de los módulos de Autenticación y Control de Acceso…... 61 5.1 Código fuente…………………………………………………………………………….. 62 5.2 Código del reporte de la bitácora de seguridad….…………………………………… 91 5.3 Matriz de pruebas………………………………………………………………….......... 92 Conclusiones…………………………………………………………………………………...... 96 Anexos……………………………………………………………………………………………. 99 Anexo 1............................................................................................................................. 100 Anexo 2............................................................................................................................. 105 Glosario Bibliografía Índice de Figuras 1. Alcances…………………………………………………………………………………………. 1 1.1 Principales abusos y ataques informáticos……………………………………………... 3 1.2 Abuso de privilegio de empleados………………………………………………………. 3 2. Conceptos de seguridad……………………………………………………………………….. 5 2.1 Criptosistema………………………………………………………………………………. 7 2.2 Servicios de seguridad……………………………………………………………………. 10 2.3 Condición de lectura y escritura en el modelo de Bell y La Padula………………….. 14 3. Esquema de seguridad de SYSCAP…………………………………………………………. 17 3.1 Organigrama de las áreas involucradas………………………………………………… 19 3.2 Diagrama conceptual……………………………………………………………………… 21 3.3 Diagrama de procesos……………………………………………………………………. 23 3.4 Arquitectura cliente/servidor……………………………………………………………… 24 3.5 Diagrama de flujo para la evaluación de riesgos………………………………………. 26 4. Servicios de Autenticación y Control de Acceso para SYSCAP…………………………... 36 4.1 Diagrama conceptual de seguridad……………………………………………………… 37 4.2 Diagrama de flujo general de los usuarios de SYSCAP………………………………. 38 4.3 Esquema propuesto……………………………………………………………………….. 39 4.4 Aspectos de Software visibles para el usuario y su correspondientediagrama de flujo………………………………………………………………………………………….. 40 4.5 Modelo RBAC……………………………………………………………………………… 45 4.6 Diagrama de caso de uso del registro de usuarios……………………………………. 47 4.7 Diagrama de flujo del curso normal de los eventos del caso de uso del registro de Usuarios……………………………………………………………………………………... 48 4.8 Diagrama de caso de uso de entrada al sistema………………………………………. 49 4.9 Diagrama de flujo del curso normal de los eventos del módulo de Autenticación..... 50 4.10 Diagrama de flujo del curso normal de los eventos del módulo de Autorización...... 51 4.11 Diagrama de flujo del curso normal de los eventos de la Lista de Control de Acceso……………………………………………………………………………………... 52 4.12 Diagrama integral de clases……………………………………………………………... 54 4.13 Diagrama de secuencia para la generación de firma digital…………………………. 55 4.14 Diagrama de secuencia para la generación del usuario……………………………… 55 4.15 Diagrama de secuencia para la Autenticación y el Control de Acceso……………... 56 4.16 Diagrama de estados…………………………………………………………………….. 58 4.17 Diagrama Entidad Relación……………………………………………………………… 59 5. Implementación y Pruebas de los módulos de Autenticación y Control de Acceso…….. 61 Índice de Tablas 1. Alcances…………………………………………………………………………………………. 1 2. Conceptos de seguridad……………………………………………………………………….. 5 3. Esquema de seguridad de SYSCAP…………………………………………………………. 17 3.1 Responsabilidades del personal…………………………………………………………. 20 3.2 Componentes de software y hardware del servidor…………………………………… 24 3.3 Componentes de software del cliente…………………………………………………… 24 3.4 Identificación de amenazas………………………………………………………………. 28 3.5 Identificación de vulnerabilidades……………………………………………………….. 28 3.6 Valores cuantitativos y cualitativos del impacto………………………………………... 29 3.7 Nivel de riesgo……………………………………………………………………………... 30 3.8 Controles a implementar………………………………………………………………….. 31 4. Servicios de Autenticación y Control de Acceso para SYSCAP…………………………... 36 5. Implementación y pruebas de los módulos de Autenticación y Control de Acceso……... 61 i Introducción En la actualidad, el uso de computadoras personales y de redes se ha vuelto una actividad cotidiana, esto se ve claramente ejemplificado en el hogar, la escuela, el trabajo, etc., donde se ha incrementado su uso de manera masiva para el manejo de la información, si a esta última le agregamos el valor que ha adquirido en un mundo globalizado en donde el hecho de poder obtenerla, proveerla, compartirla, procesarla e interactuar con ella en el tiempo adecuado desde cualquier dispositivo y en cualquier parte del mundo, podemos concluir que es imprescindible contar con mecanismos de seguridad que permitan proteger de posibles amenazas que pongan en riesgo a los sistemas y a la información que estos manejan. Una fuente de amenaza, es definida como cualquier circunstancia o evento con potencial para causar daño a un sistema. Las fuentes de amenaza comunes pueden ser naturales, humanas y ambientales: Amenazas Naturales: Terremotos, inundaciones, tornados, derrumbamientos, avalanchas, tormentas eléctricas y otros eventos similares. Amenazas Humanas: Eventos que sean permitidos o causados por seres humanos, tales como actos no intencionales (introducir datos sin darse cuenta) o acciones deliberadas (ataques a redes, carga de software malicioso, acceso no autorizado a información confidencial, etc.). Amenazas Ambientales: falla de potencia a largo plazo, contaminación, químicos, fugas de líquidos. Amenazas de Hardware: Son aquellos ataques a los elementos físicos a un equipo de cómputo como: CPUs, terminales, cableado, medios de almacenamiento secundarios o tarjetas de red. Amenazas de Software: Son ataques a programas lógicos que hacen funcionar al Hardware, tanto Sistemas Operativo como aplicaciones. Para que los sistemas puedan hacer frente a las amenazas, definidas anteriormente, existe la Seguridad Informática, la cual abarca la Seguridad Aplicativa, la Seguridad de Base de Datos, la Seguridad de Redes, la Seguridad de Sistema Operativo y la Seguridad Física, de entre todas ellas este trabajo se centra en la Seguridad Aplicativa ya que se encarga de la definición e implementación de los servicios de seguridad que necesita un sistema informático. La Seguridad Aplicativa define seis servicios Confidencialidad, Integridad, Disponibilidad, No Repudio, Autenticación y Control de Acceso. Todos los días las empresas (principalmente financieras) tienen que enfrentar miles de riesgos, al principio se consideraba que eran externas, pero con el paso del tiempo se han ido percatando de que también el peligro es interno, y lo más crítico es que se han ido generando nuevas formas de ataque que provocan pérdidas considerables de dinero en cuestión de minutos, por lo que se requiere contar con medios de seguridad que protejan de manera proactiva los valores de las empresas, basándose en especificaciones adecuadas a las necesidades de protección de cada organización. ii De acuerdo con expertos en el área de Seguridad Informática1, más del 70% de los ataques a los recursos informáticos se realiza por el personal interno, debido a que éste conoce los procesos, metodologías y tiene acceso a la información sensible de su empresa, es decir, a todos aquellos datos cuya pérdida puede afectar el buen funcionamiento de la organización. En este contexto se encuentra el sistema informático SYSCAP, que por el número y características de los roles involucrados, y la cantidad e importancia de la información que maneja, requiere estar protegido contra estos posibles ataques. SYSCAP es un sistema de Gestión de una Red de Consultores e Instructores encargados de proporcionar a las empresas, empresarios y dirigentes de PyME’s, la información necesaria para mejorar sus procesos de negocio, lo cual implica que el tipo de información es de naturaleza variada y especializada, SYSCAP administra la operación de los programas de Capacitación y Asistencia Técnica que se ofrecen a las PyME’s a nivel Nacional; así como a la red de Instructores y Consultores que participan en estos programas. Así, el presente trabajo se enfoca en la implementación de un sistema de seguridad para el sistema SYSCAP, en el cual el manejo correcto de la información es de vital importancia para su buen funcionamiento. Para definir los servicios de seguridad que se requieren en el sistema, es importante seguir una metodología que nos garantice que se cubran los objetivos de seguridad de la organización. La metodología debe dar por resultado la definición de políticas de seguridad que marquen las pautas para definir los mecanismos adecuados para implementar dichos servicios. De manera que para desarrollar el sistema en cuestión en el capítulo 1 se establecen los alcances de este trabajo, en donde se plantea la definición del problema a resolver, la hipótesis, la justificación y los objetivos del trabajo. En el capítulo 2 se definen los conceptos teóricos sobre seguridad informática que se utilizan; y el capítulo 3 contiene el análisis del sistema que arroja su dominio e identifica los requerimientos del mismo. El diseño del sistema se incluye en el capítulo 4 en donde se presenta la estructura de datos, la arquitectura del software y las representaciones de interfaz con el fin de evaluar su calidad antes de comenzar con la codificación. Cabe mencionar que para el desarrollo del sistema de seguridad se utiliza el modelo Lineal Secuencial, también conocido como ciclo de vida básico, el cual comprende las siguientes etapas: Análisis de los requerimientos del software, Diseño, Generación de código, Pruebas y Mantenimiento. El capítulo 5 contiene el código fuente y la matriz de pruebas del sistemade seguridad de “SYSCAP”. Por último se enuncian las conclusiones del trabajo y se anexa el diccionario de datos. 1 http://ciberhabitat.gob.mx/museo/cerquita/redes/seguridad/intro.htm Alcances 2 C A P Í T U L O 1 1.1 DEFINICIÓN DEL PROBLEMA SYSCAP es un sistema de Gestión de una Red de Consultores e Instructores encargados de proporcionar a las empresas, empresarios y dirigentes de PyME’s la información necesaria para mejorar sus procesos de negocio, lo cual implica que el tipo de información es de naturaleza variada y especializada, SYSCAP administra la operación de los programas de Capacitación y Asistencia Técnica que se ofrecen a las PyME’s a nivel Nacional; así como a la red de Instructores y Consultores que participan en estos programas. Los Objetivos del sistema son: Adecuar los procesos a los roles que interactuarán con el sistema. Optimizar la administración y control de los eventos asignados a los diferentes programas de Capacitación y Asistencia Técnica; y su consecuente seguimiento a metas. Establecer comunicación permanente con las áreas involucradas. Explotar la información para identificar necesidades de capacitación y consultoría. Estandarizar los mecanismos de seguridad de la aplicación. El presente trabajo se enfoca a resolver la carencia de mecanismos adecuados que proporcionen los servicios de seguridad requeridos por el sistema SYSCAP, mediante el análisis de sus requerimientos de seguridad, tomando en cuenta el ambiente en el que está inmerso y por ende las amenazas a las que está sujeto. 1.2 HIPÓTESIS El sistema de Gestión SYSCAP, requiere de los servicios de Autenticación y Control de Acceso. Para determinar lo anterior, nos basaremos en el estándar sp 800-301, del cual también se determinarán las Políticas de Seguridad y las características que deben de cumplir los mecanismos que proporcionarán los servicios de Autenticación y Control de Acceso. 1.3 JUSTIFICACIÓN El Instituto de Seguridad de Computadoras (CSI), creado en los Estados Unidos hace cinco años, anunció recientemente los resultados de su quinto estudio anual denominado “Estudio de Seguridad y Delitos Informáticos” realizado a un total de 273 Instituciones principalmente grandes Corporaciones y Agencias del Gobierno. El 71% de los encuestados descubrieron acceso no autorizado por personas dentro de la empresa2. 1 Estándar emitido por NIST National Institute of Standards Technology Alcances 3 C A P Í T U L O 1 Basado en contestaciones de 643 practicantes de seguridad de computadoras en corporaciones americanas, agencias gubernamentales, instituciones financieras, instituciones médicas y universidades, los hallazgos del “Estudio de Seguridad y Delitos Informáticos” confirman que la amenaza del crimen por computadoras y otras violaciones de seguridad de información continúan constantes, como se muestra en la Figura 1.1. Figura 1.1. Principales abusos y ataques informáticos Como se puede observar en la Figuras 1.2 de acuerdo a las estadísticas del Instituto de Seguridad Computacional del FBI, cada año se incrementa el porcentaje de abuso por parte de los empleados, como también las intrusiones desde fuera de la organización. Figura 1.2. Abuso de privilegio de empleados De acuerdo con expertos en el área de Seguridad Informática2, más del 70% de los ataques a los recursos informáticos se realizan por personal con conocimiento, esto es el personal interno de la organización, debido a que éste conoce los procesos, metodologías y tiene acceso a la información sensible de su empresa, es decir, a todos aquellos datos cuya pérdida y/o modificación puede afectar el buen funcionamiento de la organización. 2 http://ciberhabitat.gob.mx/museo/cerquita/redes/seguridad/intro.htm Alcances 4 C A P Í T U L O 1 En este contexto se encuentra el sistema informático SYSCAP, que por el número y características de los roles involucrados, y la cantidad e importancia de la información que maneja, requiere de servicios de seguridad para protegerse contra estos posibles ataques. 1.4 OBJETIVOS Realizar un análisis de los riesgos a SYSCAP para poder determinar los requerimientos de seguridad del mismo. Los pasos a seguir en este análisis están basados en el estándar de NIST sp 800-30 y son los siguientes: o Caracterización del Sistema o Identificación de Amenazas o Identificación de Vulnerabilidades o Determinación Probabilística o Análisis de Impacto o Determinación de Riesgos o Análisis de Control Definir un conjunto de políticas de seguridad. A partir de los resultados obtenidos en el análisis de riesgos: o Se determina las políticas de seguridad a seguir. o Se identifican los servicios de seguridad a implementar. Seleccionar un mecanismo basado en las políticas de seguridad definidas, para ello: o Se realiza una investigación de las herramientas de seguridad para seleccionar las adecuadas. o Se eligen los mecanismos a implementar. Con este trabajo se obtiene un sistema de seguridad informática que implemente los servicios de seguridad que requieran los usuarios de SYSCAP. 2 http://ciberhabitat.gob.mx/museo/cerquita/redes/seguridad/intro.htm Conceptos de seguridad 6 C A P Í T U L O 2 2.1 SEGURIDAD INFORMÁTICA Podemos definir a la Seguridad Informática como el conjunto de estrategias que tratan de garantizar los servicios de seguridad de la información a los equipos y sistemas informáticos tanto individuales, como conectados a una red. 2.2 RIESGOS Definimos los riesgos como: RIESGOS = Vulnerabilidades + Amenazas Vulnerabilidades: Son defectos o debilidades en los procedimientos de seguridad del sistema, diseño, implementación, o controles internos que podrían ser ejercidos (disparados accidentalmente o explotados intencionalmente) y resultan una infracción en la seguridad o una violación de la política de seguridad del sistema. Amenazas: Son situaciones o métodos externos al sistema, que pueden ser lanzados para la explotación intencional o accidental de una vulnerabilidad. En el área de informática, existen varios tipos de ataques, estos se entienden como la realización de una amenaza tales como: ataque de virus, códigos maliciosos, gusanos, caballos de Troya, etc. Es por la existencia de un número importante de riesgos, que la infraestructura de red y los recursos informáticos de una organización deben estar protegidos bajo un esquema de seguridad que reduzca los niveles de vulnerabilidad y permita una eficiente administración de los riesgos. 2.3 CRIPTOLOGÍA La Criptología es el estudio de la Criptografía y Criptoanálisis. La Criptografía es el arte o ciencia de escribir en caracteres secretos o cifrados utilizando técnicas matemáticas. Se define como el estudio de la encripción y descifrado, codificando datos que solamente pueden ser descifrados por individuos específicos. Un sistema que sirve para la encripción y descifrado de datos es conocido como criptosistema o sistema criptográfico (figura 2.1). Estos usualmente involucran un algoritmo que combina los datos originales “texto plano” con una o mas claves que son números o cadenas de caracteres conocidos solamente por el emisor y/oreceptor. La salida se conoce como texto cifrado. Conceptos de seguridad 7 C A P Í T U L O 2 Figura 2.1. Criptosistema El criptoanálisis es el arte de descriptar comunicaciones encriptadas sin conocer las claves apropiadas. Hay muchas técnicas de criptoanálisis, unas de las más importantes son descritas a continuación: Solo el texto cifrado: Es la situación en donde el atacante no conoce nada acerca del contenido del mensaje, y debe trabajar con el texto cifrado solamente. En la práctica es frecuente hacer adivinanzas acerca del texto plano, ya que muchos tipos de mensajes tienen fijo los formatos de los encabezados. Cada documento comienza de manera muy predecible. Esta técnica no sirve mucho contra los cifrados modernos. Texto plano conocido: El atacante conoce o puede adivinar el texto plano por algunas partes del texto cifrado. La tarea es descriptar el resto de los bloques del texto cifrado utilizando esta información. Esto puede ser hecho determinando la clave utilizada para encriptar el dato o vía algún shortcut. Hombre en medio: Este ataque es relevante para la comunicación criptográfica y los protocolos de intercambio de claves. La idea es que cuando las dos partes, A y B están intercambiando claves a través de una comunicación segura (por ejemplo, utilizando Diffie - Hellman) un adversario se coloque entre A y B en la línea de comunicación. El adversario entonces intercepta las señales que se envían A y B, y realiza un intercambio de claves con A y B separadamente. Entonces el adversario puede descriptar cualquier comunicación de A con la clave que compartió con A, y reenviar la comunicación a B, encriptándola nuevamente con la clave que compartió con B. Ahora A y B pensarán que ellos están comunicándose de una manera segura, pero en realidad el adversario lo esta escuchando todo. La manera usual de prevenir este tipo de ataque es utilizar criptosistemas de clave pública capaces de proporcionar firmas digitales, ya que no es posible falsificar estas firmas sin el conocimiento de la clave privada. Correlación: La clave secreta y la salida del criptosistema son las principales fuente de información para el criptoanálisis. En los casos más simples, la información de la clave secreta es directamente arrojada por el criptosistema. Los casos mas complicados requieren el estudio de la correlación (básicamente cualquier relación que pudiera ser esperada basándose en el azar solamente) ente la información observada con relación al criptosistema y la información clave adivinada. Conceptos de seguridad 8 C A P Í T U L O 2 Por ejemplo en los ataques lineales contra cifrado de bloque los criptoanalistas estudian el texto plano conocido y el texto cifrado observado. Adivinando algunos de los bits del criptosistema, el analista determina la correlación entre el texto plano y el texto cifrado. Esto puede tener muchas variaciones. 2.3.1 ALGORITMOS DE ENCRIPCIÓN Hay dos grupos de algoritmos de encripción basados en claves: Algoritmos de clave simétrica y Algoritmo de clave asimétrica o de clave pública. Algoritmos Simétricos Son aquellos que ocupan la misma clave para la encripción y descifrado de los datos. Estos a su vez pueden ser divididos en cifrado por bloques y cifrado por cadena. El cifrado por bloques transforma un fragmento de texto plano de tamaño fijo en texto cifrado que tiene la misma longitud. El cifrado de bloque iterado, encripta un bloque de texto plano utilizando un proceso con varias etapas (vueltas). En cada etapa el mismo proceso es aplicado a los datos utilizando una sub-clave. El cifrado por cadena también divide el texto plano en unidades, estas generalmente son de un bit. Este tipo de cifrados es mucho más rápido que el de bloque. El cifrado por cadena genera lo que se conoce como keystream, una secuencia de bits la cual es utilizada como clave. La keystream puede generarse de dos formas: 1) Que sea independiente del texto plano y el texto cifrado. Esta forma se conoce como cifrado de trama síncrono. 2) Que dependa de los datos y de su encripción. Esto es llamado autosincronizado. Algunos de los algoritmos simétricos son: DES (Data Encryption Standard-Estándar de Encripción de Datos): Fue originalmente desarrollado por IBM bajo el nombre de LUCIFER, la NSA (Agencia de Seguridad Nacional) y el Instituto Nacional de Estándares y Tecnología juegan un rol fundamental en la etapa final del desarrollo del DES. Este es un algoritmo de bloque. Utiliza una clave de 64 bits de los cuales ocho se usan para la corrección de errores (paridad). Esto supone un tamaño de 56 bits. El algoritmo consiste en una permutación independiente de los datos de entrada, seguida por una cifra dependiente de los datos de entrada, seguida por lo contrario de la permutación original. Triple-DES: Basado en DES, encripta un bloque de datos tres veces con tres claves diferentes. Se ha propuesto como una alternativa al DES y su uso se incrementa día con día, pues se ha hablado mucho acerca de la posibilidad de violar el DES con facilidad y rapidez. RC2: Es un algoritmo original de RSA Data Security INC, es una cifra de bloque de 64 bits con una clave de longitud variable. Es mucho más rápido que DES. Conceptos de seguridad 9 C A P Í T U L O 2 RC4: Fue publicado en Usenet en 1994. Utiliza una clave de longitud variable. Genera un flujo de claves a partir de la cifra en el que hace un XOR con el texto plano para generar el texto cifrado. Al igual que RC2 es mucho más rápido que DES. AES: DES fue el estándar de cifrado que se propuso, sin embargo, por los requerimientos actuales de seguridad, se buscó un algoritmo más robusto, pero por la estructura de DES cambiar la longitud de la clave era más complicado que diseñar un algoritmo nuevo, por tanto los americanos sacaron a concurso el nuevo estándar de cifrado (AES), tras analizar los algoritmos presentados (entre ellos Serpent y Rijndael) se decidió elegir Rijndael como el nuevo Estándar de Cifrado Americano (AES. American Encryption Standard). El algoritmo soporta distintas longitudes de clave, además de poder ser fácilmente implementado por hardware y gran tener rendimiento. Algoritmos Asimétricos Son también llamados algoritmos de clave pública. Estos realizan mayor número de cálculos que los algoritmos de clave simétrica. Estos algoritmos utilizan un par de claves: 1) clave pública, la cual puede ser publicada en la web, permitiendo que cualquier persona pueda encriptar información con ella y 2) clave privada, es conocida únicamente por el propietario de las claves y solamente utilizando esta es posible descifrar la información que fue encriptada utilizando la clave pública. La seguridad proporcionada por estos algoritmos esta basada en la secrecía de la clave privada. A continuación se presentan algunos algoritmos de clave pública: RSA: Nombrado en honor de Rivest, Shamir y Adelman, sus diseñadores. Es un algoritmo de clave pública que soporta una longitud de clave variable, así como tamaño variable del bloque de texto a encriptar. El bloque de texto simple debe ser más pequeño que la longitud de la clave. La longitud común de la clave es 512 bits. Algoritmo de Diffie-Hellman: Se utiliza como algoritmo de intercambio de claves en el que se genera e intercambia de modo seguro una clave secreta, de tal manera que ambas partes pueden participar en una determinada sesión encriptada. DSA: Digital Signature Algorithm (Algoritmo de firma digital), desarrollado por NIST con base en el llamado algoritmo "El Gamal". El esquema de firma usa el mismo tipo de claves que Diffie-Hellman,y puede crear firmas más rápido que RSA. Emplea claves que van de 512 a 1024 bits. Generalmente, los algoritmos simétricos son mucho más rápidos de ejecutar que los asimétricos. En la práctica se usan juntos de tal manera que los algoritmos de clave pública son utilizados para encriptar una clave que es generada aleatoriamente, y la clave aleatoria es utilizada para encriptar el mensaje actual utilizando un algoritmo simétrico. Esto es llamado algunas veces encripción híbrida. Conceptos de seguridad 10 2.4 SERVICIOS DE SEGURIDAD Para poder hacer frente a las amenazas hacia la seguridad del sistema, se definen seis servicios (Fig. 2.2.) que proporcionan la seguridad en el proceso de datos y en la transferencia de información de una organización. Estos servicios hacen uso de uno o varios mecanismos de seguridad. ConfidencialidadAutenticación No Repudio Disponibilidad Integridad Control de Acceso C A P Í T U L O 2 Fig. 2.2. Servicios de seguridad Confidencialidad: Requiere que la información sea accesible únicamente por las entidades autorizadas. Para asegurar la confidencialidad se utilizan herramientas de cifrado de datos, así como transmisores de ruido que va junto con la información. Integridad: Requiere que la información sólo pueda ser modificada por las entidades autorizadas. La modificación incluye escritura, cambio, borrado, creación y reactuación de los mensajes transmitidos. Para mantener la integridad de datos, se aplican algoritmos para verificar las direcciones de origen y destino. Disponibilidad: Requiere que el usuario o proceso tenga acceso a los datos, a la aplicación o a otro recurso cuando espera tenerlo. Para mantener la disponibilidad se debe contar con una buena administración de recursos y personal. Autenticación: Requiere una identificación correcta del origen del mensaje, asegurando que el usuario o proceso es quien dice ser. La autenticación siempre está compuesta por dos pasos; la identificación del usuario o proceso que entrará al sistema y que debería ser desconocido, y la verificación. Durante el paso de identificación, el usuario o proceso presenta un identificador al sistema de seguridad. Los identificadores deberían ser asignados con cuidado ya que las entidades autenticadas son la base para otros procesos, tal como el servicio de Control de Acceso. Durante el paso de verificación, el sistema genera información de autenticación que confirma la relación entre el usuario o proceso y el identificador. Para asegurar la autenticación se propone la implementación del mecanismo de Firma Digital o bien de Certificados Digitales. Control de Acceso: Implica proporcionar un mecanismo para limitar el acceso de los usuarios o procesos, con base en su identidad, a los recursos e información con valor. Su identidad también puede asociarse con un conjunto de niveles de clasificación, privilegios, permisos o funciones que se pueden usar para proporcionar una toma de decisiones de Control de Acceso más minuciosa. Conceptos de seguridad 11 C A P Í T U L O 2 ste servicio está ligado directamente con el de Autenticación, pues si el usuario o pro No-Repudio: Proporciona una manera de probar que un usuario ha enviado o rec NIVELES Y MODELOS DE SEGURIDAD CRITERIOS COMUNES Los Criterios Comunes para la Evaluación de la Seguridad en las Tecnologías de la Info Se desarrolló en conjunto con los gobiernos de EE.UU, Canadá, Alemania, Holanda, Rei La versión 2.0 de los CC se presenta en al ISO/IEC para su adopción como está ampo de Aplicación y Alcance os Criterios Comunes (CC) son el resultado del esfuerzo realizado para desarrollar uno La confianza en la seguridad de la tecnología de la información puede conseguirse me E ceso fue autenticado enseguida opera el Control de Acceso. Para implementar de manera adecuada el servicio de control de acceso, se propone implementar herramientas para la elaboración de credenciales, seguidas por la implementación de modelos de asignación de permisos, tal como son DAC, MAC o RBAC. ibido un determinado mensaje. Para evitar el No-Repudio se requiere de un mecanismo en donde se notifica cuando el destinatario recibió el mensaje y permita guardar una copia de dicha transacción, esto se puede conseguir con los certificados digitales o los certificados de tiempo. 2.5 rmación (IT) o Common Criteria for Information Technology Security Evaluation, cuyo código abreviado es CC, tiene como ámbito la seguridad, en específico, la Evaluación de la seguridad de los Sistemas de Información. no Unido y Francia. ndar. En enero de 1996 se publicó la versión 1.0 y la versión 2.0 en mayo de 1998. C L s criterios de evaluación de la seguridad de las Tecnologías de la Información, que puedan ser ampliamente utilizados por la comunidad internacional. Se trata de una tarea de 'alineamiento' y desarrollo de una serie de los criterios europeos (ITSEC), de EE.UU (TCSEC) y de Canadá (CTCPEC) ya existentes. Los CC resuelven las diferencias conceptuales y técnicas de estas tres fuentes, contribuyen al desarrollo de un estándar internacional y abren el camino para el reconocimiento mutuo de los resultados de las evaluaciones en todo el mundo. diante diversas actuaciones realizadas durante el proceso de desarrollo, evaluación y operación. Por lo que se refiere al primero, los CC definen un conjunto de requisitos de validez conocida que pueden servir como requerimientos de seguridad para los sistemas y productos que se prevén producir. Los CC definen también el Perfil de Protección (PP) que permitirá a los desarrolladores o consumidores crear conjuntos estandarizados de requerimientos de seguridad de acuerdo con sus necesidades. Conceptos de seguridad 12 C A P Í T U L O 2 Estructura de los CC 1. Introducción y Modelo General 2. Requerimientos funcionales de seguridad 3. Requerimientos para garantizar la seguridad 4. Perfiles predeterminados de protección Los CC definen dos tipos de requerimientos de seguridad para la Tecnología de la Información: Requerimientos funcionales: sirven para definir el comportamiento de seguridad del producto o sistema de Tecnología de la Información, es decir, los requerimientos implementados transformados en funciones de seguridad (¿qué es lo que el producto hace?). Requerimientos para garantizar la seguridad: sirve para establecer confidencialidad en los requerimientos de seguridad y correcciones en la implementación, satisfaciendo así los objetivos de seguridad. Constructores de los CC Perfil de protección (PP): Es un conjunto de implementaciones independientes de los objetivos de seguridad y de los requerimientos para una categoría de productos o sistemas IT. Objetivo de seguridad (ST): Es un conjunto de requerimientos de seguridad y especificaciones para un producto o sistema IT identificado (Objetivo de Evaluación TOE) para ser usado como base para su evaluación. Objetivo de la Evaluación (TOE): Es un producto o sistema IT sujeto a una evaluación. Conformado por las políticas de seguridad TOE (TSP), que son las reglas que regulan como los bienes son manejados, protegidos y distribuidos con el TOE; y por las Funciones de seguridad TOE (TSF), que son todas las partes del TOE que deben ser confiadas para el correcto esfuerzo de las TSP. Ventajas para utilizar los CC Está dirigido a un amplio mercado. Suministra normas de seguridad a los fabricantes. Proporciona métricas en la seguridad de los Sistemas de IT. Promueve requisitos de seguridad para su desarrollo e inclusión en especificaciones de adquisición de sistemas. Es un estándar internacional. Permiteun reconocimiento mutuo coherente de los resultados de las evaluaciones a través de la armonización de los Esquemas Nacionales existentes. Reduce costos a vendedores y compradores. Es flexible en el planteamiento de los requisitos de seguridad (abiertos). Tiene una mejor descripción de funcionalidad y corrección que anteriores criterios Conceptos de seguridad 13 C A P Í T U L O 2 Plantea un marco para la evolución de los criterios. En general establece una convergencia de los criterios anteriores y se instaura como un lenguaje de seguridad común. La flexibilidad de los CC proviene del establecimiento de un marco de seguridad jerárquico, que considera los siguientes aspectos: o Entorno de Seguridad: Legislación, Política de Seguridad, contexto de operación y amenazas del entorno. o Objetivos de Seguridad: Conjunto de declaraciones sobre la intención de contrarrestar las amenazas o satisfacer la política de seguridad. o Requisitos de Seguridad: La transposición de los objetivos en un conjunto de requisitos técnicos sobre las funciones de seguridad y su garantía. o Especificaciones de Seguridad del Objeto a Evaluar: La definición (especificación) de la implementación del Sistema de IT. o Implementación del Objeto a Evaluar: La realización del sistema de IT de acuerdo a su especificación. MODELOS DE SEGURIDAD El éxito o fracaso de la seguridad depende en gran medida del esfuerzo realizado en implementar los mecanismos de seguridad diseñados para cada organización. Es así que podemos definir que el objetivo de un modelo de seguridad es especificar con precisión los requerimientos de seguridad de la organización. El modelo que elijamos para expresar los requerimientos debe ser fácil de comprender, carente de ambigüedad y capaz de incorporar las políticas de la organización. El conocimiento detallado de los modelos de las políticas clásicas, es necesario para proponer nuevas soluciones, estos modelos son: Política de un sector militar - Modelo Multinivel de Bell y LaPadula. Política de un sector comercial - Modelo de Clark y Wilson. Modelo de Bell y LaPadula El Modelo de Bell y LaPadula formaliza la Política de Seguridad Multinivel. Incluye dos tipos de controles: discrecionario y mandatorio. El control discrecionario está definido bajo la discreción de los sujetos. Algunos ejemplos son los derechos en lectura, escritura, ejecución y propiedad. Por otra parte en el control mandatario los sujetos deben respetar reglas globales. En este, las reglas de control de lectura y escritura consideran lo siguiente: Seguridad simple: Condición de lectura hacia abajo. Un sujeto (usuario) tiene acceso de lectura a un objeto (información) si la clasificación de seguridad del sujeto domina (es superior o igual) a aquella del objeto. Conceptos de seguridad 14 Propiedad: Condición de escritura hacia arriba. Un sujeto tiene acceso en escritura sobre un objeto si la clasificación de seguridad del objeto domina a aquella del sujeto. Ambas reglas se muestran gráficamente en la figura 2.3. ULTRA SECRETO SECRETO CLASIFICADO NO CLASIFICADO LECTURA ESCRITURA C A P Í T U L O 2 Figura 2.3. Condición de lectura y escritura en el modelo de Bell y LaPadula Modelo de Clark y Wilson Para la adecuada implementación de este modelo antes que nada se debe identificar y etiquetar aquellos conjuntos de datos sobre los que se va a aplicar el modelo. CDI (Constrained Data Item) o Datos Bajo Restricción. Son los datos a los que se desea garantizar la integridad. UDI (Unconstrained Data Item) o Datos Sin Restricción. Datos donde no es necesario garantizar la integridad. TP (Transformation Procedure) o Procedimiento de Transformación. Estos procedimientos corresponden al concepto de transacción bien formada. Son las únicas entidades autorizadas a modificar un CDI. IVP (Integrity Verification Procedure) o Procedimiento de Verificación de Integridad. Los IVP´s controlan que todos los CDI´s de un sistema se apeguen a la política de integridad. Los IVP´s permiten el paso de un estado seguro del sistema a otro estado, también seguro. Las siguientes 9 reglas, definen un sistema que hace respetar una política de integridad. Debe probarse que todos los IVP’s verifican correctamente la integridad de los CDI’s, es decir, deben asegurar que todos los CDI’s estén en un estado válido en el momento que está corriendo el IVP. Esta prueba puede realizarse manualmente o con las herramientas adecuadas (certificación). Conceptos de seguridad 15 C A P Í T U L O 2 Todos los TP’s deben ser validados, esto significa que si un TP toma como entrada un CDI íntegro debe entregar en su salida un CDI íntegro. El administrador de seguridad debe construir para cada TP la lista de CDI’s para los cuales el TP ha sido validado. Todos los TP’s deben certificarse para ser validados. El sistema debe controlar que todo CDI manipulado por un TP esté contenido en la lista de dicho TP. El sistema debe mantener una lista de relaciones de la forma User ID. TPI (CDIa, CDlb,CDIc, etc) describe a un usuario, un TP y los objetos de datos a los que el TP puede referirse en representación de dicho usuario. Es decir, el sistema debe controlar que toda ejecución de un TP, solicitada por un usuario, sea autorizada. El administrador de seguridad debe construir, para cada usuario, la lista de TP’s que dicho usuario puede ejecutar. Cada TP en la lista es acompañado por los CDI’s que puede manipular de parte del usuario. Estas listas deben garantizar la separación de funciones. Nota: Para mantener la integridad de los CDI’s, el sistema debe asegurar que sólo un TP pueda manejarlos. El sistema debe identificar y autenticar la identidad de cada usuario que intenta ejecutar un TP. Se debe definir la identidad del usuario, ya que en base a este se definen políticas diferentes. La política más relevante en el contexto militar, como se describe en el Libro Naranja, se basa en niveles y categorías, mientras que la política comercial esta basada en la separación de responsabilidades entre dos o más usuarios. Debe certificarse que todos los TP´s escriben en modo agregar, sobre un CDI particular, toda la información necesaria a un auditor posterior. Cualquier TP que toma un UDI (datos sin restricciones, es decir que no están cubiertos por la política de seguridad) como un valor de entrada, debe ser certificado para ejecutar solo transformaciones válidas, es decir, deberá transformar el UDI en un CDI. Solo el usuario permitido para certificar entidades puede modificar la lista de tales entidades asociadas a los TP´s. Todo usuario certificador no tiene autorización de ejecutar los TP´s que el ha certificado. Modelo RBAC El Control de Acceso Basado en Roles, mejor conocido por sus siglas en inglés como RBAC (Role Based Access Control) es una tecnología que llegó para satisfacer las principales necesidades en cuanto a Control de Accesos se refiere. Al inicio, los sistemas manejaron dos tipos diferentes de Control de Accesos: DAC (Control de Acceso Discrecional): en éste, el usuario es quien decide como proteger el sistema mediante Controles de Acceso impuestos por el mismo. MAC (Control de Acceso Obligatorio): en éste el sistema es quien protege los recursos. Uno de los problemas principales al ejecutar grandes sistemas en red es la seguridad, ya que la administración de ésta es costosa y compleja. Sin embargo, actualmente este tipo de problemas han disminuido, gracias a que la seguridad esta siendo llevada a cabo por RBAC. La administración de la seguridad, consiste en que losConceptos de seguridad 16 C A P Í T U L O 2 roles deben asignarse adecuadamente a los diferentes tipos de personas, según sus capacidades y puestos. Básicamente, la gran evolución que se está teniendo con RBAC es porque funciona como una mezcla de DAC y MAC, puesto que contiene de cierta forma la flexibilidad para el Control de Acceso que tiene DAC y la rigidez que se tiene con MAC. 2.6 ESQUEMA DE SEGURIDAD La importancia de desarrollar un esquema de seguridad es asegurar que el dispositivo que se ofrece es el que realmente se necesita, para ello se ocupan diferentes metodologías, una de ellas es la de Perfiles de Protección de Criterios Comunes. El PP se define como un conjunto estándar de requerimientos de seguridad que pueden ser satisfechos por uno o más productos, o por sistemas que se usen para un propósito específico dentro de una organización. Debido a que es una explicación detallada de lo que requiere el usuario, se trata con un lenguaje común y cabe aclarar que no se refiere a un lenguaje de productos específicos, sino de necesidades claramente identificadas. Una necesidad bien explicada y claramente definida puede satisfacerse mediante una diversidad de productos, de manera que una organización puede usar uno o varios PP para buscar soluciones a sus problemas; pero es requisito indispensable que dichos perfiles sean redactados según se especifica en CC para que tengan validez generalizada; o bien, si se desea, se pueden examinar los PP que ya han sido acreditados. La estructura de la metodología de Perfiles de Protección es la siguiente: Introducción o Identificación del PP o Panorama general del PP Descripción del Objeto de Evaluación Entorno de Seguridad del Objeto de Evaluación o Amenazas o Políticas de Seguridad Informática de la Organización o Hipótesis Objetivos de Seguridad o Para el Objeto de Evaluación o Para el Entorno de Seguridad Requerimientos de Seguridad IT o Funcionales o De garantía Justificación o Del Objetivos de Seguridad o De los requerimientos de Seguridad IT Esquema de seguridad de SYSCAP 18 C A P Í T U L O 3 3.1 INTRODUCCIÓN DEL CAPP Para el desarrollo del Esquema de Seguridad de SYSCAP se toma como base el Perfil de Protección acreditado CAPP1 (Perfil de Protección de Acceso Controlado). El primer paso de este esquema, es la identificación del CAPP y la descripción del panorama general del mismo, a continuación se describe el Objeto de Evaluación (SYSCAP). Para establecer el entorno de seguridad de SYSCAP se realiza un análisis de riesgos, el cual se basa en el estándar de NIST sp 800-30. A partir de los resultados obtenidos se plantean las hipótesis y las políticas de seguridad, por último, teniendo estos elementos, se determinan los mecanismos apropiados que cubren los requerimientos de seguridad de SYSCAP. 3.1.1 IDENTIFICACIÓN DEL CAPP Título: Perfil de Protección de Acceso Controlado Registro: Organización de la Seguridad de Sistemas de Información (ISSO) 3.1.2 PANORAMA GENERAL DEL CAPP El Perfil de Protección de Acceso Controlado, especifica un conjunto de requerimientos de seguridad. CAPP conforma controles de acceso que son capaces de reforzar las limitaciones en el acceso de usuarios. El CAPP fue derivado de los requerimientos del Departamento de Defensa (DoD) y de los Criterios de Evaluación de Sistemas Computacionales Confiables (TCSEC). El CAPP puede ser utilizado para sistemas distribuidos, pero este no abarca elementos externos que se conecten a la red. Además es aplicable a los ambientes con un nivel de riesgo moderado. 3.2 DESCRIPCIÓN DE SYSCAP 3.2.1 CONTEXTO DEL SISTEMA La Organización “Capacítate Ahora” es una empresa con 5 años de experiencia en el ramo de capacitación, dando cursos de temas técnicos y administrativos, con el propósito de apoyar el desarrollo de las PyME’s. La misión de la empresa es: “Lograr consolidarse como la empresa número uno en la capacitación a las PyME’s, coadyuvando al crecimiento de este sector económico”. 1 Este perfil está basado en el Anexo B de la parte uno de los CC. Esquema de seguridad de SYSCAP 19 C A P Í T U L O 3 Inicialmente para cumplir con el control de los cursos impartidos se utilizaban hojas de cálculo en donde se registraba quién daba los cursos, a qué personas y en qué fecha, así como los costos respectivos. Esto era posible por el número de clientes que la empresa atendía, con el crecimiento del número de PyME’s en el país, principalmente en ciudades grandes, la empresa ve una oportunidad de crecer y expandir su mercado. Con el tiempo se captaron más clientes y el trabajo requerido para la administración de los cursos superó las capacidades tanto del personal, como de las herramientas utilizadas. La empresa decidió entonces desarrollar un sistema informático que por un lado distribuyera el trabajo entre los involucrados en los procesos de negocio y que por otro asegurara que el control iba a ser confiable e íntegro. Y así nació la idea de construir SYSCAP, esto es, crear un sistema el cual administre la operación de los programas de Capacitación y Asistencia Técnica, así como la red de Instructores y Consultores que participan en estos programas. Para lo cual es menester conocer las diferentes áreas que conforman la empresa (figura 3.1), así como las actividades y responsabilidades que tienen cada uno de los diferentes niveles del personal que conforma la organización (tabla 3.1). Director General Gerente de Capacitación Gerente de Mercadotecnia Gerente de Contabilidad y Finanzas Coordinador de Eventos Coordinador de Reclutamiento Instructor Coordinador de Telemarketing Coordinador de Promotores Coordinador de Materiales Promotor InternoPromotorExterno Figura 3.1. Organigrama de las áreas involucradas Esquema de seguridad de SYSCAP 20 C A P Í T U L O 3 Puesto Descripción Director General Toma las decisiones que marcan la estrategia para lograr la misión y los objetivos de la empresa. Gerente de Capacitación Es el responsable de que los eventos programados se lleven a cabo en forma y tiempo. Gerente de Mercadotecnia Es el responsable de asegurar que se cumplan las metas de acuerdo al número de eventos y participantes. Gerente de Contabilidad y Finanzas Es el responsable de los procesos administrativos y fiscales. Coordinador de Evento Organiza y autoriza los eventos que se llevarán a cabo. Coordinador de Reclutamiento Es el responsable de la evaluación y selección de los Instructores. Coordinador de Materiales Encargado de generar la estructura y material de los cursos acorde a la necesidades del mercado. Coordinador de Telemarketing Responsable de organizar y seleccionar a los Promotores de los eventos ya programados. Coordinador de Promotores Responsable de organizar y seleccionar a los Promotores de los nuevos eventos. Instructor Es la persona capacitada para impartir cursos. Promotor Interno Contacta a las PyME’s vía telefónica para ofrecer la inscripción a los eventos ya programados. Promotor Externo Contacta personalmente a las PyME’s para ofrecer los cursos existentes y programar nuevos eventos. Tabla 3.1. Responsabilidades del personal 3.2.2 DEFINICIÓN DE SYSCAP Para proporcionar una mejor idea del propósito del funcionamiento de SYSCAP, a continuación se listan sus objetivos: Adecuar los procesos a los roles que interactuarán con el sistema. Optimizar la administración y control de los eventos asignados a los diferentes programas de Capacitación y Asistencia Técnica; y su consecuente seguimiento a metas.Establecer comunicación permanente con las áreas involucradas. Explotar la información para identificar necesidades de capacitación y consultoría. Estandarizar los mecanismos de seguridad de la aplicación. Esquema de seguridad de SYSCAP 21 C A P Í T U L O 3 3.2.3 DIAGRAMA CONCEPTUAL A fin de entender de manera clara y precisa lo que requiere cubrir el sistema, con base en los objetivos y la tabla 3.1 se desarrolla el diagrama conceptual que se aprecia en la figura 3.2. SYSCAP PROCESO DE EVALUACIÓN DE INSTRUCTORES SISTEMA DE PAGOS COORDINADOR DE EVENTOS COORDINADOR DE MATERIALES PROMOTOR EXTERNO PROMOTOR INTERNO INSTRUCTOR GERENTE DE CAPACITACIÓN DIRECTIVOS CANDIDATO INSTRUCTOR Registro del resultado del proceso de evaluación de instructores Registro de nuevos instructores Control y mantenimiento a cursos Administración de eventos Administración del material de los cursos AvisosConsultas y Reportes SEG URID AD AD MI NI ST RA CI ON DE L S IST EM A CREACION DE NUEVOS CURSOS COORDINADOR DE RECLUTA- MIENTO Figura 3.2. Diagrama conceptual El diagrama de la figura 3.2 presenta cada uno de los actores que interactúan con el sistema a través de los procesos del negocio, adicional al sistema de pagos que recibe información de SYSCAP para alimentar sus procesos. Esquema de seguridad de SYSCAP 22 C A P Í T U L O 3 SYSCAP conceptualmente tiene tres capas: El núcleo almacena la lógica del negocio (reglas que gobiernan los procesos) La siguiente capa llamada Administración del Sistema, da mantenimiento a la información no operativa (catálogos, parámetros, etc.), la cual permite la flexibilidad de las reglas del negocio impuestas. La última capa es la que se desarrolla en este trabajo y su función es proteger la información del sistema. 3.2.4 ESTADO ACTUAL DE SYSCAP A continuación se presentan diferentes aspectos del estado actual de SYSCAP: El contenido y forma de la información que se extrae del sistema es adaptable a las necesidades del usuario. Proporciona herramientas para facilitar la captura de la información, por ejemplo: el instructor puede generar un archivo, fuera del sistema, que contenga los datos de los participantes al evento y con éste realizar el registro de los mismos. Almacena datos más precisos acerca del evento y los participantes. Almacena una base de empresas para evitar la doble captura de esta información. Facilita la promoción de eventos. Facilita la obtención del material de apoyo del instructor y del participante, empleado en la impartición del curso. Mejora la comunicación entre los usuarios a través del despliegue de avisos. Permite a los instructores la actualización de sus datos generales y para pago. Presenta una agenda personalizada por instructor para la consulta de eventos. Implementa el mecanismo de alimentación y retroalimentación con el sistema de pagos como una medida para mantener disponible esta información dentro de SYSCAP. Esquema de seguridad de SYSCAP 23 C A P Í T U L O 3 3.2.5 DIAGRAMA DE PROCESOS Para entender mejor la operativa del sistema, en la figura 3.3 se muestran los procesos y los responsables de los mismos. Diagrama de Procesos InstructorCoordinador deReclutamiento Promotor Externo Promotor interno Coordinador de eventos Coordinador de materiales Registra un curso Registra material para Instructor / Participante Registra candidatos para impartir cursos Registra resultados de evaluación Registra eventos Registra empresas Registra empresas Registra participante Asigna Instructor Consulta Eventosasignados Registra Participantes Registra evaluación de participantes Valida evento y registra pago a Instructor Figura 3.3. Diagrama de procesos 3.2.6 Arquitectura de la aplicación La arquitectura cliente/servidor es un modelo para el desarrollo de sistemas de información, en el que las transacciones se dividen en elementos independientes que cooperan entre sí para intercambiar información, servicios o recursos. En esta arquitectura la computadora de cada uno de los usuarios, llamada cliente, inicia un proceso de diálogo: produce una demanda de información o solicita recursos. La computadora que responde a la demanda del cliente, se conoce como servidor. Bajo este modelo cada usuario tiene la libertad de obtener la información que requiera en un momento dado proveniente de una o varias fuentes locales o distantes y de procesarla como según le convenga. Los distintos servidores también pueden intercambiar información dentro de esta arquitectura. Los clientes y los servidores pueden estar conectados a una red local o una red amplia, como la que se puede implementar en una empresa. Esquema de seguridad de SYSCAP 24 C A P Í T U L O 3 El sistema SYSCAP se encuentra trabajando en una arquitectura cliente/servidor, donde el servidor aloja la aplicación, el servidor de base de datos y la base de datos como tal. La figura 3.4 ejemplifica la arquitectura descrita: Figura 3.4. Arquitectura cliente/servidor Características de los componentes Los componentes de Software y Hardware con los que actualmente cuenta el Servidor, son descritos en la tabla 3.2. Tipo de producto Descripción Servidor de Base de Datos Oracle8i Enterprise Edition Release 8.1.7.4.0 JDK Versión instalada con las dos diferentes versiones de iAS Servidor Central Sun Sunfire 280R 2 X sparcv9 a 900 MHz 2048 MB RAM Sistema Operativo Sun Solaris 8 Operating Enviroment System 5.8 Tabla 3.2. Componentes de software y hardware del servidor Los componentes de Software con los que actualmente cuenta el Cliente, son descritos en la tabla 3.3. Tipo de producto Descripción Sistema Operativo Windows 2000 Windows 98 Windows XP Protocolo de comunicación TCP/IP Paquetería Los documentos generados por el sistema se encuentran en formato PDF por lo que se requiere Acrobat Reader Tabla 3.3. Componentes de software del cliente Esquema de seguridad de SYSCAP 25 C A P Í T U L O 3 3.3 ENTORNO DE SEGURIDAD DE SYSCAP 3.3.1 EVALUACIÓN DE RIESGOS El objetivo de realizar una administración de riesgos, es lograr que la organización cumpla con su misión para: Mejorar la seguridad de los sistemas IT que almacenan, procesan o transmiten la información. Tomar una decisión bien informada acerca de la administración de riesgos que justifique los gastos que son parte del presupuesto de IT. Asistir la administración en la autorización o acreditación de los sistemas IT, en base al resultado del análisis de riesgos. La evaluación de riesgos es el primer proceso de la administración de riesgos y se utiliza para determinar un balance entre los costos operacionales de las medidas de protección, con el fin de obtener la mayor capacidad para proteger los datos y los sistemas que los contienen. Para realizar una evaluación de riesgos es necesario llevar a cabo un análisis que permita identificar las amenazas latentes y la extensión de las amenazas potenciales, así como las vulnerabilidades asociadas a un sistema informático. La salida de este proceso ayuda a identificar los controles apropiados para reducir o eliminar los riesgos del sistema. La vulnerabilidad es una debilidad presente en el sistema, que ejerce una amenaza potencial y de ese evento adverso sobre la organización se deriva un impacto resultante. El impacto se refiere a la magnitud del daño y depende de los impactos a la misión de la organización y a los recursos afectados. Para determinar la probabilidad de un evento adverso futuro, las vulnerabilidades de un sistema informático deben ser analizadas en conjunto con lasamenazas potenciales y los controles implementados en el sistema informático. Este trabajo se enfoca en el desarrollo inicial de la capa de seguridad mostrada en el diagrama conceptual. Como primer paso se realiza una evaluación de riesgos (Figura 3.5), analizando el entorno, que en este caso es SYSCAP y que conforma nuestro entorno de evaluación, utilizando la siguiente metodología2 para garantizar que la inclusión de este desarrollo, sea ordenado y finalmente exitoso: Caracterización del Sistema Identificación de Amenazas Identificación de Vulnerabilidades Determinación Probabilística Análisis de Impacto Determinación de Riesgos Análisis de Control Esquema de seguridad de SYSCAP 26 ENTRADA INFORMACIÓN DE SALIDA LA EVALUACIÓN C A P Í T U L O 3 Figura 3.5. Diagrama de flujo para la evaluación de riesgos Hardware Software Interfaces del sistema PASO 1 Caracterización del sistema Limites del sistema Funciones del sistema Datos y Sistemas críticos Datos y Sistemas sensibles Lista de Fuentes de Amenaza PASO 3 Identificación de vulnerabilidades Lista de vulnerabilidades del sistema Requerimientos de Seguridad Entrevista realizada a los usuarios del sistema PASO 2 Identificación de amenazas Esquema de amenazas PASO 4 Determinación probabilística Tasa de probabilidad Lista de riesgos identificados PASO 7 Análisis de Control Lista de controles a implementar PASO 6 Determinación del riesgo PASO 5 Análisis de Impacto Valores cuantitativos y cualitativos del impacto Motivación de las fuentes de amenaza Lista de vulnerabilidades Controles actuales Criterios de la evaluación del impacto Lista de vulnerabilidades Probabilidad de riesgo Magnitud del impacto Nivel de riesgos Esquema de seguridad de SYSCAP 27 C A P Í T U L O 3 3.3.1.1 CARACTERIZACIÓN DEL SISTEMA En este paso se definen los alcances y límites del sistema, junto con los recursos y la información esencial para definir los riesgos. Las características del sistema fueron mencionadas en las secciones 3.1 y 3.2. 3.3.1.2 IDENTIFICACIÓN DE AMENAZAS Para determinar la probabilidad de una amenaza uno debe considerar las fuentes de amenaza, las vulnerabilidades potenciales y los controles existentes. La motivación y los recursos para conducir un ataque convierten a los humanos en una fuente de amenaza potencialmente peligrosa. La tabla 3.4 presenta las amenazas identificadas en SYSCAP3. Fuente de amenaza Motivación Acciones de Amenaza Seres Humanos (Criminales en computación) Destrucción de la información. Explotación de la información. Revelación ilegal de la información. Ganancia monetaria. Alteración no autorizada de datos. Acto fraudulento, por ejemplo reproducción de la información almacenada en el sistema. Acceso no autorizado al sistema. Intento de alteración del sistema. Seres Humanos (Espionaje a: compañías, gobierno, etc.) Ventaja competitiva. Deshonestidad. Explotación económica. Robo de información. Intrusión en la privacidad personal (empresas y participantes). Acceso no autorizado al sistema. Seres Humanos (Ex empleados) Venganza. Ganancia monetaria. Deshonestidad. Chantaje. Fraude y robo. Entrada de datos corruptos o falsificados. Códigos maliciosos (virus, bombas lógicas, troyanos). Venta de la información del personal. Sabotaje. Acceso no autorizado al sistema. Esquema de seguridad de SYSCAP 28 C A P Í T U L O 3 Fuente de amenaza Motivación Acciones de Amenaza Seres Humanos (Empleados) Ignorancia (capacitación deficiente). Curiosidad. Ganancia monetaria. Deshonestidad. Venganza. Chantaje. Fraude y Robo. Acceso a información no autorizada. Errores no intencionales. Códigos maliciosos. Tabla 3.4. Identificación de amenazas 3.3.1.3 IDENTIFICACIÓN DE VULNERABILIDADES El objetivo de este paso es desarrollar una tabla de vulnerabilidades. En la tabla 3.5 se presentan las vulnerabilidades correspondientes a SYSCAP. Fuente de Amenaza Vulnerabilidades Seres Humanos (Ex empleado y empleado) No hay una identificación del usuario que accede al sistema. La información capturada por un usuario es accesible al resto de los usuarios. La información no esta clasificada. No hay bitácoras de seguridad. No se cuenta con un procedimiento de recuperación en una situación de desastre. Tabla 3.5. Identificación de vulnerabilidades Requerimientos de seguridad del sistema Administrativos: a) Restringir el grupo de usuarios. b) Que las funcionalidades dependan del tipo de usuario del sistema. c) Clasificar la información. d) Definir el procedimiento de recuperación de información. Operacionales: e) Implementar control de acceso al sistema con identificadores únicos. f) Implementar bitácora de acciones del usuario. g) Auditorias a nivel de Base de Datos. Esquema de seguridad de SYSCAP 29 C A P Í T U L O 3 Técnicos: h) Realizar la autenticación de los usuarios. i) Manejar un mecanismo confiable para identificar a los usuarios. j) Control de usuarios por roles. 3.3.1.4 DETERMINACIÓN PROBABILÍSTICA Dado que todos los riesgos descritos en los dos pasos anteriores tienen una tasa de probabilidad alta, porque actualmente no existen controles, mecanismos o políticas de seguridad, la tasa global es alta. 3.3.1.5 ANÁLISIS DE IMPACTO Y DETERMINACIÓN DE RIESGOS Se determina el impacto adverso resultante del ejercicio exitoso de un riesgo sobre el sistema. El impacto se mide de una manera cualitativa y cuantitativa, considerando que el dominio del impacto cuantitativo es de 0 a 100. Para la determinación del nivel de riesgo se maneja un valor global de riesgo calculado a partir del impacto cualitativo, considerando que la probabilidad de los riesgos fue alta en todos los casos (con un valor de 1.0). Con base en la tabla 3.64. Valor cualitativo de impacto Valor cuantitativ o de impacto Criterio Alto 100 Si el impacto cuantitativo se encuentra entre 50 y 100. Medio 50 Si el impacto cuantitativo se encuentra entre 10 y 50. Bajo 10 Si el impacto cuantitativo es menor a 10. Tabla 3.6. Valores cuantitativos y cualitativos del impacto A continuación, tomando en cuenta los valores de la magnitud del impacto y tomando en cuenta la probabilidad de riesgo, se puede determinar el nivel de riesgo, el cual se muestra en la tabla 3.7. Esquema de seguridad de SYSCAP 30 C A P Í T U L O 3 Riesgo Magnitud del Impacto Nivel de riesgo (impacto x probabilidad del riesgo) No hay una identificación del usuario que accede al sistema. Pérdida de confidencialidad y posible pérdida de integridad. Posible ocurrencia de cambios no autorizados que podrían ocasionar fraudes o decisiones equivocadas. Y divulgación no autorizada de la información. ALTA 100 X 1.0 = 100 ALTO La información capturada por un usuario es accesible al resto de los usuarios. Pérdida de confidencialidad e integridad. MEDIA 50 X 1.0 = 50 MEDIO La información no esta clasificada. Pérdida de confidencialidad e integridad. MEDIA 50 X 1.0 = 50 MEDIO Códigos maliciosos (virus, bombas lógicas, troyanos). Pérdida de confidencialidad, disponibilidad e integridad. ALTA 100 X 1.0 = 100 ALTA Fraude, Robo y Chantaje Pérdida de confidencialidad e integridad. MEDIA 50 X 1.0 = 50 MEDIO No hay bitácoras de seguridad.Pérdida de confidencialidad e integridad. MEDIA 50 X 1.0 = 50 MEDIO No se cuenta con un procedimiento de recuperación en una situación de desastre. Pérdida de confidencialidad, disponibilidad e integridad. ALTA 100 X 1.0 = 100 ALTO No existe un área de soporte al sistema. Pérdida de confidencialidad, disponibilidad e integridad. ALTA 100 X 1.0 = 100 ALTO Tabla 3.7. Nivel de riesgo Esquema de seguridad de SYSCAP 31 C A P Í T U L O 3 3.3.1.6 ANÁLISIS DE CONTROL En esta etapa se analizan los controles a implementar, con el objeto de minimizar o eliminar la probabilidad del ejercicio de un riesgo. En la tabla 3.8, se muestra el riesgo analizado y el control a implementar. Riesgo Control a implementar No hay una identificación del usuario que accede al sistema. 1. A cada usuario se le asigna un identificador único. 2. Se verifica la identidad del usuario a través de un mecanismo confiable. La información capturada por un usuario es accesible al resto de los usuarios. La información no esta clasificada. 1. Se define una jerarquía de usuarios para asignar roles, con el objeto de mantener círculos y niveles de acceso apropiados al nivel de confianza y áreas de trabajo de cada usuario. 2. Se establece un mecanismo de asignación de permisos y restricciones por cada rol. 3. Se clasifica la información por cada rol. 4. Se implementa un control para detectar posibles violaciones a la seguridad, haciendo el cruce de la información de permisos con las bitácoras del sistema. 5. Se utilizan credenciales temporales para mejorar el desempeño del control de acceso al sistema. Códigos maliciosos (virus, bombas lógicas, troyanos). Fraude, Robo y Chantaje. 1. Se eliminan los medios de entrada y salida innecesarios, para evitar posibles infecciones con virus traídos desde el exterior de la organización por el personal, o la extracción de la información de la empresa. No hay bitácoras de seguridad. 1. Se registra en el sistema cada intento de acceso por parte del usuario. No se cuenta con un procedimiento de recuperación en una situación de desastre. 1. Se define un procedimiento de recuperación ante desastres apoyado de los procedimientos de instalación de la aplicación y de respaldo de la Base de Datos. Tabla 3.8. Controles a implementar Esquema de seguridad de SYSCAP 32 C A P Í T U L O 3 3.3.2 HIPÓTESIS De acuerdo al análisis de control anterior, podemos llegar a la suposición de que se requiere una herramienta que: No permita el acceso de personas no identificadas al sistema. Evite los accesos no autorizados a servicios del sistema. 3.3.3 POLÍTICAS DE SEGURIDAD Para desarrollar de forma adecuada el módulo de seguridad, es importante definir un conjunto de reglas que rijan el comportamiento de sus operaciones, para proteger la información sensible de la organización. A estas reglas se les conoce como políticas de seguridad y cabe mencionar que cada una de ellas está destinada a contrarrestar una amenaza identificada. Una política de seguridad regula la forma en la que una organización previene, protege y maneja los riesgos sobre: El software y la información almacenada en sus sistemas. Los usuarios de cada sistema. Los componentes físicos para el funcionamiento de sus sistemas. Las políticas de seguridad permiten establecer procedimientos para el uso adecuado del sistema, y permiten actuar a las autoridades en el caso de una violación de la seguridad y llevar a cabo auditorías. Si ocurre un incidente, las políticas constituyen un marco de referencia sobre quién tiene autoridad para tomar acciones que minimicen el impacto del incidente, y sobre qué acciones hay que tomar para que no se repita un incidente similar. También permiten identificar y castigar a quienes resulten responsables. La OCDE (Organización para la Cooperación y el Desarrollo Económico, 1992), considera que los elementos de las políticas son los siguientes: Responsabilidad: La responsabilidad de los administradores, proveedores y usuarios de información debe hacerse explícita. Conciencia: Los administradores, proveedores y usuarios de la información deben tener conciencia de la existencia y dimensión de las medidas de seguridad. Ética: Los servicios de información y su seguridad deben prestarse en forma ética. Multidisciplina: Los sistemas de seguridad deben adoptar un enfoque multidisciplinario. Proporcionalidad: Los niveles, costos, medidas, prácticas y procedimientos deben ser apropiados y proporcionales al valor de la información y a la probabilidad de ataques severos. Integración: Los procedimientos, medidas y prácticas de seguridad de la información deben coordinarse e integrarse con los procedimientos, medidas y prácticas de seguridad de la organización para establecer un sistema coherente. Esquema de seguridad de SYSCAP 33 C A P Í T U L O 3 Oportunidad: Los usuarios públicos y privados en el ámbito nacional e internacional deben trabajar en forma coordinada y oportuna para prevenir y responder a violaciones de la seguridad de sistemas de información. Reevaluación: Los sistemas de seguridad de la información deben evaluarse periódicamente. Democracia: Los sistemas de seguridad de la información deben ser compatibles con el uso y flujo legítimo de la información en una sociedad democrática. En las políticas de seguridad hay que analizar las actividades que se desarrollan en el ambiente de la tecnología de la información y pronunciarse sobre su aceptabilidad. Se pueden considerar dos extremos: 1. Todo lo que no está explícitamente permitido está prohibido (permisivas). 2. Todo lo que no está explícitamente prohibido está permitido (prohibitivas). El segundo es más fácil de implementar y resulta suficiente en algunos casos sencillos, pero no resulta en la implementación de seguridad robusta. El primero, requiere de amplios conocimientos del funcionamiento de los sistemas y de mucho trabajo en su mantenimiento. Las políticas promulgadas deben escribirse en secciones o párrafos, que sean implementadas mediante un mecanismo específico, cada una por separado. Es decir, hay que procurar pensar claramente en la conveniencia de que las políticas sean sumamente específicas. Esta fragmentación facilita su mantenimiento. También es deseable fragmentar las políticas por departamento o unidad de trabajo. Puede entonces pensarse en una jerarquía de políticas, unas aplicables generalmente y otras aplicables para grupos o tareas específicas. Las razones que llevan a la implantación de una política deben explicarse dentro de la misma. También debe definirse la cobertura de cada política: quién, qué y cuándo. Las políticas pueden clasificarse de acuerdo a los elementos que interactúan con el entorno, algunas de ellas pueden ser: Políticas de uso aceptable: Determinan qué se puede hacer con los recursos de cómputo (equipo y datos) de la organización. También determinan lo que no se puede hacer con esos recursos. Indican la responsabilidad de los usuarios en la protección de la información que manejan y en qué condiciones pueden afectar o leer datos que no les pertenezcan. Políticas de cuentas de usuario: Determinan el procedimiento que hay que seguir para adquirir privilegios de usuarios en uno o más sistemas de información y la vigencia de esos derechos. Además se debe explicar cómo y cuándo se deshabilitan las cuentas de usuario y qué se hace con la información que contengan. Políticas de acceso remoto: Se definen y explican los métodos aceptables para conectarse a los sistemas de la organización desde el exterior de la misma. Esquema de seguridad de SYSCAP
Compartir