the failure of municipal service delivery and a
SUMMARY, CONCLUSIONS AND RECOMMENDATIONS
5.6 KEY ISSUES AND CORRECTIVE ACTION PLAN FOR NGQUSHWA LOCAL MUNICIPALITY
CERTIFICADO DE VALIDACIÓN
Babahoyo, 15 de Agosto del 2016
Por medio del presente certificado:
Yo, FAUSTO ALVAREZ CALERO con cedula de identidad Nº 1206087130, de profesión ingeniero en sistemas, doy fe de que he revisado la propuesta de “Manual de apoyo para establecer la seguridad informática, de la infraestructura física y tecnológica del data center del Cooperativa de Ahorro y Crédito”,
presentado por el Sr. BRAYAN ISRAEL RODRÍGUEZ NÚÑEZ, para obtener el título de Ingeniero en Sistemas e Informática, el mismo que es altamente adaptable al medio donde se espera aplicar.
Por este motivo valido la propuesta diseñada por el Sr. BRAYAN ISRAEL
RODRÍGUEZ NÚÑEZ y lo autorizo a presentar este documento como el disponga.
Lo certifico,
Ing. FAUSTO ALVAREZ CALERO
CONCLUSIONES
1. La indiferencia por parte de la Gerencia y de los Entes Directivos; conlleva a la falta de apoyo económico a la gestión de informática para implantar medidas de seguridad, lo cual provoca que la entidad tenga una mayor exposición a los riesgos.
2. La seguridad de la información es una responsabilidad compartida de todos los niveles de la organización, que requiere del apoyo de todos ellos pero debe estar dirigida por un plan y debe contar con una adecuada coordinación.
3. En la actualidad en todas las empresas existe una necesidad más frecuente de utilizar esquemas de seguridad fuertes, que permitan una mayor confiabilidad de la información utilizada para la toma de decisiones.
4. El avance de la tecnología y del conocimiento de los seres humanos ya sean usadas con buena o mala intención, vuelven más vulnerable a la información exponiéndola a diversas amenazas tanto internas como externas y volviéndola poco confiable.
5. Con este trabajo se desea fomentar una cultura de seguridad en la cooperativa de ahorro y crédito San José.
RECOMENDACIONES
1. El presentar documento debe ser presentado a la Gerencia y al Directorio para conseguir su aprobación.
2. El presente documento debe ser sociabilizado al interior de la Institución a todos sus funcionarios.
3. Se debe ejecutar el proceso de implementación de alto nivel definido en el presente proyecto.
4. Se debe realizar un proceso de concientización periódico; además se deben firmar actas de conocimiento del plan de seguridad con acuerdos de
confidencialidad a todos los funcionarios de la cooperativa.
5. Se deben ejecutar procesos de revisión permanentes de las normas de seguridad implementadas; así como el grado de cumplimiento por parte de los funcionarios de la Institución.
BIBLIOGRAFÍA
Seguridad Informática http://es.wikipedia Areito. (2008).
Atehourtua Federico, Bustamante Ramón, . (2008). Atelin. (2006). Baeta. (21 de 6 de 2009). Garcia. (2011). Herederos Carmen, L. J. (2011). Marchionni Enzo, P. A. (2011). Marchionni Enzo, P. A. (2011). Ramió. (2011). Sznek. (2014).
.org/wiki/Seguridad_inform%C3%A1tica, actualizado a Mayo 2008. Monografías, Evaluación Seguridad de un Sistema de Información,
www.monografia.com/trabajos/seguinfo/seguinfo.shtml, actualizado a 2006. GIBBS Mark. Redes para todos. Editorial Prentice Hall Hispanoamericana,
S.A. Naucalpan de Juarez, México,1995
COMER Douglas. Redes Globales de Información con internet y TCP/IP. Editorial Prentice Hall Hispanoamericana,S.A Naucalpan de Juárez, México,1996
TANENBAUM, Andrew C. Redes de Computadores - 3a edição. Ed.Campus, Rio de Janeiro, 1997.
Cisco System,Inc Academia de Networking de Cisco System:Guia del Segundo año CCNA 3 y 4. Tercera Edición. PEARSON EDUCATION, SA. Madrid, 2004
GUSTAVUS J. Simmons (Editor), "Contemporary Cryptology. The Science of Information Integrity", IEEE Press. 1992.
WILEY John & Sons, “Security Mechanisms for Computer Networks", Sead Muftic 1984.
STALLING William, Comunicaciones y redes de Computadoras. Pearson Educacion, Madrid, 7a edicion 2004, 268p
Libros networking, Mis libros de networking: 10 pasos para asegurar un dispositivo CISCO IOS, http://librosnetworking.blogspot.com/, actualizado a marzo 24 2006.
Norma ISO-IRAM-IEC 17799, http://seginfo.tripod.com/files/17799a.pdf, actualizado a Julio 2009
Resumen de toda la Norma ISO/IEC 27000 - Tecnología de la Información – Técnicas de Seguridad – La Seguridad de la Información de Gestión de Sistemas – Fundamentos y Vocabulario.
http://www.iso27000.es
Conceptos Generales de los Centros de Procesamiento de Datos. http://es.wikipedia.org/wiki/Centro_de_procesamiento_de_datos http://es.wikipedia.org/wiki/Centro_de_respaldo
http://es.wikipedia.org/wiki/Lista_de_control_de_acceso,
ANEXOS
A. DIAGNÓSTICO DE LA SITUACIÓN ACTUAL DE LA ADMINISTRACIÓN DE LOS RIESGOS DE TECNOLOGÍA DE LA INFORMACIÓN
La matriz siguiente muestra puntos específicos de la situación actual en cuanto a la administración de seguridad y hace una comparación contra los requerimientos que ha efectuado en sus informes la Superintendencia de Bancos y Seguros en las auditorías que se ha realizado a la institución; la misma contempla los siguientes aspectos:
1. Estructura de la organización de seguridad de la información 1.1 Roles y responsabilidades
2. Plan de seguridad de la información
2.1 Políticas, estándares y procedimientos de seguridad 2.2 Seguridad lógica
2.3 Seguridad de personal 2.4 Seguridad física y ambiental 2.5 Clasificación de seguridad
3. Administración de las operaciones y comunicaciones 4. Desarrollo y mantenimiento de sistemas informáticos
5. Procedimientos de respaldo 6. Subcontratación de servicios 7. Cumplimiento normativo 8. Privacidad de la información
9. Auditoría interna y externa
El detalle de la evaluación de las áreas mencionadas se muestra en una matriz, cuyo contenido es el siguiente:
Situación actual: Muestra un resumen de la situación encontrada en la Cooperativa.
Mejores prácticas: Muestra un resumen de las mejores prácticas en el sector y los requerimientos y observaciones de las auditorias de la
Superintendencia de Bancos y Seguros.
Análisis de brecha: Muestra de manera porcentual la brecha existente entre la situación actual y los requerimientos de la Superintendencia de Bancos y Seguros y las mejores prácticas del sector.
Situación Actual SBS, Mejores Prácticas Análisis De Brecha
1 ESTRUCTURA ORGANIZACIONAL PARA LA ADMINISTRACIÓN DE TECNOLOGÍA DE INFORMACIÓN
La Cooperativa cuenta con Se debería contemplar los lassiguientes aspectos:
siguientes unidades:•Definición y mantenimiento deestructura
Unidad de Riesgo: Órgano organizacional que permita dependiente de laadministrar adecuadamente
Gerencialos riesgos asociados a la
General, encargado de medir tecnología de información. y mantener adecuados
niveles de riesgos crediticios •La unidad de riesgos y riesgos de mercado ydeberá contar con un liquidez. Así mismo, losresponsabledela
riesgos operativos y deadministración del riesgo de tecnología. Unidad a cargoTI.
del Lic. Daniel Martínez
•La responsabilidad de la Área de Seguridad: Órganoseguridad de la información de velar por la seguridad dedebería ser ejercida de las instalaciones de laforma exclusiva por el
Cooperativa, así como delasistente de la unidad de personal y clientes que seriesgos
encuentran y transitan en ellas. Área de Seguridad Informática: No está definida Auditoria de Sistemas: Función
Llevada a cargo por el área de auditoría interna.
-Verifica el cumplimento de las normas y procedimientos definidos.
Análisis De Brecha
2.1 POLÍTICAS, ESTÁNDARES Y PROCEDIMIENTOS DE SEGURIDAD La institución no cuenta con políticasde seguridad La definición de una política De seguridad debería contemplar:
Formalmentedocumentadas -Declaración escrita de queVVVV la política.
indiquen los procedimientos -Definición dela depropiedad de la
seguridad a ser adoptados BVCB política para-Políticas debidamente
salvaguardarla información decomunicadas. posibles pérdidas en la-Autoridad definida
integridad, disponibilidad depara realizar cambios confidencialidad.en la política.
Sin embargo, se ha observado la
existencia de controles básicos y/o elementales de seguridad de la información, que se detallan a continuación:
General, encargado de medir y mantener adecuados niveles de riesgos crediticios y riesgos de mercado y liquidez. Así mismo, los riesgos operativos y de tecnología. Unidad a cargo del Lic. Daniel Martínez Área de Seguridad: Órgano de velar por la seguridad de las instalacionesdela
Cooperativa, así como del personal y clientes que se encuentran y transitan en ellas. Área de Seguridad
Informática: No está definida Auditoria de Sistemas:
Función llevada a cargo por el área de auditoría interna. -Verifica el cumplimento delasnormasy
procedimientos definidos.
2.4 SEGURIDAD FÍSICA Y AMBIENTAL Hemos observado la existencia, Se debería siguientes entre otros aspectos, de:aspectos:
- Controles de acceso
activos Áreas seguras
- - - Controles entrada Seguridad del Aseguramiento perímetro de físico de las instalaciones
oficinas, áreas de trabajo y facilidades.
físicos de
25 adecuados a sus
físicos e instalaciones - Normas de control de acceso
físico a áreas sensibles establecidos y en proceso de mejora en el caso de la oficina Matriz.
- Las copias de respaldo son
almacenadas de segura
- Generadores de respaldo y
UPS para red de datos. Aseguramiento de cableado - Acciones y planes de manera
Seguridad de Equipo
considerar los
2.2 SEGURIDAD LÓGICA
Hemos observado la existencia, La seguridad lógica debería
contemplar los siguientes
25 entre otros aspectos, de:
- Procedimientos definidos en el aspectos:
área de sistemas para la - Definición
procedimientos
de formales concesión y administración de
perfiles y accesos a usuarios, incluyendo
revisiones mismos.
- Accesos a los sistemas de -
la revocación de y los - para la administración de perfiles y usuarios. Identificación usuarios
Controles sobre el uso de
de herramientas y de única de periódicas información de la Cooperativa controlados al nivel de red de datos y aplicación, para lo cual
auditoría utilidades
cada usuario cuenta con IDs y - contraseñas de uso estrictamente personal y de responsabilidad de los usuarios.
- Controles de acceso a
-
Controles sobre el acceso y uso de los sistemas y otras instalaciones físicas. Controles remotos móvil sobre y usuarios computación herramientas de auditoría en los
sistemas de información
- Controles de acceso parciales a utilidades sensibles del sistema. - Generación parcial de pistas de
auditoría en los sistemas de información.
Hemos observados que en varios casos no cuenta con:
- Controles de acceso a utilidades
sensibles del sistema sobre
- Administración restringida de los equipos de acceso remoto y configuración del mismo.
estaciones de trabajo WinXP, 2003 server - Habilitación auditoría de en opciones los de sistemas operativos de red - Procedimientos de revisión de
pistas de auditoría que
contemplen no solo los registros del computador central
2.3 SEGURIDAD DEL PERSONAL
Hemos observado que la Se debería considerar:
Procedimientos de revisión de datos
en el proceso de selección de
Cooperativa se encuentra en un - proceso de normalización llevado a cargo por una empresa de asesoría externa, el cual incluye entre otros - aspectos:
- Levantamiento de normas y
personal previo a su contratación. Entrega formal de las políticas de manejo de información confidencial a los nuevos empleados.
- Formalización de normas las
y pate de los términos y condiciones de
las aceptación del empleado
procedimientos de distintas
área de la cooperativa.
- Normalización de entrega de dicha - información trabajadores documento a los actuales incluyendo de confirmación de (Términos en el contrato)
Difusión de las políticas con respecto al monitoreo de actividades en la red y sistemas de información, antes de entregas IDs a usuarios.
conocimiento.
2.4 SEGURIDAD FÍSICA Y AMBIENTAL Hemos observado la
entre otros aspectos, de:
- Controles de acceso adecuados a sus activos físicos e instalaciones - Normas de control de acceso
físico a áreas sensibles - Controles físicos de entrada
Seguridad del perímetro físico de las instalaciones
- Aseguramiento de oficinas, áreas de trabajo y facilidades.
Áreas seguras
existencia, Se debería considerar los siguientes aspectos:
establecidos y en proceso de - mejora en el caso de la oficina Matriz.
- Las copias de respaldo son
almacenadas de manera segura Seguridad de Equipo - Generadores de respaldo y UPS
para red de datos.
- No existe un programa
Aseguramiento de cableado
de - Acciones y planes de mantenimiento de equipos
concientización para el usuario
con respecto para al cuidado con necesario información - sobre limpias” - No existe la Protección de equipos
Norma de seguridad para laptops Fuentes de poder redundantes No existe una norma en uso -
“mesas y pantallas
Controles generales
un programa de - Política de “mesa limpia”. Política de “pantallas limpias” mantenimiento preventivo de los -
4 MANTENIMIENTO DE SISTEMAS INFORMÁTICOS
La institución no realiza desarrollo Se debería considerar lo su sistemas provienen de terceros. siguiente:
- La cooperativa no cuenta con una
metodología de desarrollo y
Contar con metodologías y estándares formales de desarrollo y mantenimiento de sistemas (ciclo de vida) mantenimiento de aplicaciones.
5 PROCEDIMIENTOS DE RESPALDO
La cooperativa cuenta con un Los procedimientos de generación procedimiento formalizado para el de copias de respaldo deberían respaldo de información del contar con los siguientes controles computador central y de usuario clave:
final, establece:
- Para la base de datos, se
realiza copias con una
este procedimiento - Aseguramiento
proceso copias de de de que el de generación respaldo haya culminado exitosamente. Procedimientos contemplen que pruebas frecuencia diaria, dos copias -
una para archivar en el área y otra para enviar fuera.
- Todas las copias se guardan en el área de sistemas en un - archivo metálico y de forma quincenal se bóveda Pichincha. del remiten Banco a la del
periódicas de las copias de respaldo.
El tiempo de almacenamiento de las copias de respaldo debe estar en concordancia con los requisitos legales y normativos vigentes.
6 PLAN DE CONTINUIDAD DE NEGOCIOS
La cooperativa cuenta con un Se debería considerar :
Generar un Plan de
0 plan de contingencia preventivo de -
bienes informáticos formal. No existe un centro de
Contingencias y Continuidad
metodología formal.
- Procedimientos para revisión periódica del plan.
- Creación de un equipo para implementar el plan en el que todos los miembros conozcan sus responsabilidades y cómo deben cumplir con las tareas asignadas.
- Existencia de preparativos adecuados para asegurarse
de la continuidad del
procesamiento computarizado
(no existe un centro de
procesamiento alterno.
- Una copia del
se una plan de debe sede contingencias almacenar en
remota y será de fácil acceso en caso de que ocurriere un desastre.
- Preparativos de contingencia para el hardware y software de comunicaciones y redes. - Realización periódica de un respaldo de los archivos de datos críticos, los sistemas y programas almacenándolo en una sede remota cuyo tiempo de acceso sea adecuado. - Identificación
equipamiento requerido. PLANEAMIENTO PARA LA CONTINUIDAD DE NEGOCIOS
Se debería considerar lo 0
del mínimo
siguiente:
- Revisión del impacto sobre el negocio, previo al diseño del plan de continuidad identificando expuestas de las al negocios, partes riesgo. - más
Realizar revisión del impacto en el negocio, estableciendo los procedimientos a seguirse en el caso de que ocurriera un desastre en cualquiera de las dependencias operativas de la institución.
- Deberían existir planes de
contingencias para cada
recurso tecnológico. - El plan de contingencias las los debería contemplar de necesidades departamentos usuarios en términos de traslados, ubicación y operación. - El plan de contingencias que se de debe asegurar observen normas seguridad de información en caso de que ocurriera un desastre.
- El cronograma para la
recuperación de cada función
debe ser que revisado sea asegurando adecuado.
El plan de contingencias debe ser probado periódicamente para asegurarse de que aún es viable y efectivo.
0
6 SUBCONTRATACIÓN DE SERVICIO (OUTSOURCING)
Encontramos que la Cooperativa El plan de contingencias debe tienen principalmente, los incluir la pérdida del servicio
prestado por terceros.
25
siguiente servicios contratados:
- COONECTA: Procesamiento
de tarjetas de debito - Multiservice:
Los contratos de servicios son Procesamiento terceros deberían incluir entre de transacciones a través de otros aspectos, los siguientes:
ventanillas compartidas y
- Requerimientos de seguridad y las acciones que se tomarán de no cumplirse el contrato. - Acuerdos seguridad de y controles políticas de a bonos de desarrollo - AVMEI: trimestral Mantenimiento al sistema transaccional CONEXUS - TELCONET, Empresas EQUISUM: proveedoras para
de aplicarse para garantizar el cumplimiento
requerimientos.
Determinación de los niveles de servicio requeridos. - El derecho de la entidad, y la
Superintendencia de Bancos y Seguros, o las personas que ellos designen, de auditar el ambiente de la empresa que brinda verificar el los servicio, controles para de de los comunicaciones redes
privadas con el Banco Central
y RTC (remesas, cajero -
automático).
La Cooperativa no cuenta con un procedimiento definido para la inclusión de cláusulas relativas a la confidencialidad, niveles de servicio, etc., en los contratos de servicios prestado por terceros.
seguridad a la data y los sistemas.
- Documentación sobre los
empleados por la empresa que brinda el servicio, para proteger la confidencialidad, integridad y disponibilidad de la información y equipos de la entidad. - Determinación requerimientos incluyendo de los legales, privacidad y protección de la data. - Procedimientos que asegure
que la empresa que brinda el servicio realizará pruebas periódicas para mantener la seguridad de la data y los sistemas.
7 CUMPLIMIENTO NORMATIVO
La cooperativa no cuenta con Se debe contar con: controles para el cumplimento -
relativo al uso de software legal.
Definición de responsable del cumplimento de las normas
emitidas por la
0
superintendencia de Bancos y Seguros.
- Control de cumplimiento de normas sobre la propiedad intelectual (licenciamiento de software)
- Controles manuales
periódicos por parte del área de sistemas y el área de auditoría de sistemas. - Compromiso firmado pero los
usuarios referente al software autorizado, tipificando el
- Evaluación de software para
auditorías de software de
forma automática.
- El área de auditoría interna
debe realizar labores de
control con respecto a la aplicación de estas normas. 8 PRIVACIDAD DE LA INFORMACIÓN
La cooperativa ha delegado al Jefe de Sistemas como
responsable de la salvaguarda de la privacidad de la información
Se debe contar con: - Definición
responsabilidades
de con respecto a la aplicación del
sigilo bancario y de la Si bien durante en los las diversas de - privacidad de la información. Restricciones de acceso a información en salvaguarda de su privacidad y del sigilo bancario.
Existencia de autorizaciones internas para la entrega y transferencia de información.
reuniones comités
cumplimiento, ética, etc., se tocan
temas referentes al sigilo
bancario, no se han implementado controles específicos en todas las - áreas de la Cooperativa con el fin
de evitar la exposición
de de los información sensible
clientes y la cooperativa así como limitar el acceso del personal a dicha información.
9 AUDITORÍA INTERNA Y EXTERNA
La cooperativa cuenta con un Se debe: departamento
interna.
de auditoría - La unidad de auditoría
Dos veces al año se interna debe incorporar en su Plan Anual de Trabajo la evaluación del cumplimiento de las recomendaciones de los organismos de control internos y externos. realizan auditorías externas y de
forma anual un equipo de
auditores de la Superintendencia de bancos y Seguros efectúa revisiones institucionales
- Las auditorías externas deberán incluir en su informe sobre el sistema de control interno comentarios dirigidos a indicar si la entidad cuenta
con políticas
para y la procedimientos
administración de los riesgos
de tecnología de
información.
- La cooperativa debe contar con un servicio permanente de auditorías de sistemas
Para tener 24Mbs; se deben instalar equipos Marca TRANZEO TR-6000-N, 2,4Ghz (punto de repetición) con antena direccional de frecuencia 2,4Ghz tipo grilla con conector.
F: CONFIGURACIÓN DE SEGURIDAD PARA ACCESS POINT DLINK
Seleccione o habilite los siguientes casilleros:
Authentication: Open System (para que cualquier estación pueda
autenticarse al punto de acceso; sin embargo sólo las estaciones con la clave WEP correcta pueden enviar y recibir datos desde el punto de acceso.
Encryption : Enable Key Type : ASCII Key size : 64 Bits Valid Key : First
First Key : Digite una clave de mínimo 6 caracteres (combine letras, números y caracteres especiales) y luego presione Apply.
1. Asignar IP de la red interna para el PC remoto
2. Es necesario saber la MAC Address del PC remoto e ingresarla 3. Ingresar la Submascara
4. Ingresar la puerta de enlace a internet 5. Ingresar la dirección del firewall 6. Ingresar el DNS
7. Ingresar el nombre del dominio 8. Estatus en ON
9. Aplicar
10. En el PC remoto se configurará la conexión inalámbrica y se ingresará la clave definida para la conexión
G: SISTEMA DE ADMINISTRACIÓN DE RED
La cooperativa debe instalar un Sistema Integrado de control y Administración de