 |
Escrito por Oscar Andres Schmitz Viernes, 13 de Abril de 2012 06:00
Blog - Metodologías y Legislación
La seguridad operativa del desarrollo del software requiere que apliquemos conceptos y tomemos conciencia que existen situaciones de riesgo que pueden impactar en nuestra actividad diaria, en consecuencia, debemos saber como actuar.
Finalizado el marco estratégico y táctico, debemos estudiar los factores operativos que impactan en las actividades del desarrollo del software. Esta es la primera parte de los dominios operativos.
...
Seguridad del Personal
Seguridad aplicada a los recursos humanos (**)
En los contextos actuales donde creemos que casi todo se resuelve con las aplicaciones de los beneficios de la TIC, muchas veces dejamos de lado los factores que esencialmente permiten explotar y dar uso a esta tecnología: los recursos humanos. Reducir el riesgo debido a errores humanos, mal uso de los sistemas, o delitos ocasionados por intermedio de estos servicios, es un factor que se origina necesariamente por la intención real o desconocimiento de las personas.
Por un lado en esta sección se aplica todas las consideraciones de revisión y selección del personal que se realizamos en la incorporación de un nuevo recurso al equipo de trabajo. Adicionalmente si este recurso es contratado, se aplican las cláusulas relacionadas con la confidencialidad en relación a toda la información propia que el equipo de trabajo produce, y los límites de responsabilidades que hablamos en otras secciones anteriores.
Por otro lado, la falta de entrenamiento específico en los sistemas, o bien, la falta de conciencia aplicada a seguridad de la información, puede disparar incidentes de seguridad en perjuicio económico y/o comercial de nuestra organización. ¿Cuántas veces nos enojamos porque nuestros usuarios o clientes no poseen el conocimiento para desarrollar tal o cual actividad en los sistemas desde sus puestos de trabajos? ¿Cuánto es el tiempo invertido en forma personal con cada uno de nuestros clientes sobre consultas de nuestro sistema que pueden ser impartidas a toda la población en conjunto? ¿Consideramos que la pregunta de un usuario es aplicada a varios otros? ¿Consideramos que uno que pregunta formula una consulta para varios que callan? Mejorar el conocimiento de nuestros clientes, nos permite mejorar la calidad de nuestros aplicativos, dado que serán nuestros clientes los que nos requieran nuevas funcionalidades que mejoren las actuales de nuestros sistemas.
Respuestas ante incidentes de seguridad y malfuncionamientos (**)
Cuando desarrollamos nuestros proyectos, tenemos tres puntos básicos donde el cliente expone sus requerimientos frente a sus necesidades funcionales con respecto a lo que actualmente le ofrecen los sistemas aplicativos. El primero punto es la definición del pedido formal, sobre lo que necesita. El segundo cuando el cliente realiza la prueba del producto desarrollado frente a los pedidos realizados. Y finalmente cuando el producto se encuentra funcionando en el ambiente de producción, durante el día-a-día productivo de su organización. El riesgo que puede provocar un incidente o un error del sistema en este tercer punto, puede ser importante de acuerdo al rol que ocupa el sistema en la cadena de actividades de la organización. Por tal motivo debemos desarrollar canales administrativos de comunicación de estos incidentes, a fin de encontrar una solución rápida de acuerdo a las prioridades acordadas. El objetivo de la aplicación de este estándar es reducir al mínimo el daño efectuado por incidentes de seguridad y errores de mal funcionamiento, sumando a la tarea de realizar el seguimiento y aprendizaje de tales incidentes.
El establecimiento de un procedimiento de recepción, seguimiento, resolución y aprendizaje de los incidentes o errores encontrados por nuestros clientes en nuestros sistemas, demuestra profesionalismo y consistencia metodológica en nuestro equipo de trabajo. Estos procedimientos establecen los roles que ambas partes tendrán (nuestra organización y nuestro cliente) y contactos o personas referentes en caso de aparecer un incidente. Incluye la manera y el contenido en que debe ser reportado el incidente, a fin que la otra parte tenga toda la información para resolver el malfuncionamiento, eliminando cualquier mala interpretación o inferencia cuando uno no cuenta con la información suficiente. La respuesta y velocidad de resolución estarán de acuerdo al contrato de mantenimiento acordado. Una etapa importante que generalmente dejamos de lado, es el aprendizaje producto de los incidentes que surgieron en una etapa definida. El aprender de nuestros errores, suena más teórico que práctico, en particular si no es utilizado frecuentemente. El hombre es el animal que se tropieza dos veces con la misma piedra, pero ¿cuántas veces le dedicamos unas horas a analizar los errores cometidos? La aplicación de mecanismos estadísticos o de estudio detallado de los errores incurridos por nuestros sistemas, permiten determinar la existencia de incidentes concurrentes o de alto impacto. Nos permite focalizar en las causas de estos efectos que son expuestos por nuestros clientes, de esta manera nos permite mejorar la funcionalidad de nuestro sistema, y reducir costos operativos y administrativos de nuestro equipo de trabajo.
Workflow para la resolución de incidentes
Seguridad Física y Ambiental (**)
Tiene como objetivo el impedir el acceso sin autorización, daños, pérdidas, robos e interferencias a las instalaciones de la organización y a su información. La protección física de nuestros activos la debemos considerar desde aquellos terceros no autorizados que buscan acceder a nuestra información, como así también, considerando los factores ambientales que pueden suceder y afectar el uso de nuestros activos. Nuestro equipamiento tecnológico debe estar protegido físicamente de las amenazas del medio ambiente, esto es, hacer frente a contingencias provocadas por fuego, humo, agua, polvo, productos químicos, vibraciones, robo, explosivos, vibraciones o temblores, interferencias electromagnéticas o suspensión del suministro de la energía eléctrica. Cada una de estas amenazas implica la aplicación de una resolución claramente expuesta en un plan de acción. Por ejemplo la falta de energía eléctrica la podríamos subsanar con equipos de baterías o grupos electrógenos. Las alternativas para afrontar estas amenazas son varias, y se encuentran en el rango de unos pocos pesos a miles de millones de inversión. En relación al valor de los activos de información, debemos identificar los riesgos en los mismos y cual será la protección que queremos implementar, decidiendo los riesgos que mitigaremos y cuales no.
El resto de los temas de esta sección no aplica necesariamente a temas relacionados con el desarrollo de sistemas, igualmente debemos destacar dos temas importantes en relación a la información confidencial que cada uno de nosotros utiliza en la jornada laboral y que fácilmente puede dejar de proteger debido a la falta de conciencia en seguridad de la información. Estos dos temas son políticas de escritorios limpios y pantallas limpias. La política de escritorios limpios conlleva que antes de retirarnos de nuestra organización, o bien cuando nos ausentamos de forma prolongada de nuestro escritorio, controlemos que no exista información confidencial en nuestro puesto de trabajo. Un documento impreso, un disco óptico, o un disquete puede ser tomados por un tercero y provocando la pérdida de dicha información. ¿Cuántas veces controlamos nuestro escritorio y guardamos en un lugar seguro la información confidencial que nosotros utilizamos diariamente? La política de pantallas limpias, tiene la misma esencia que la de escritorios, pero aplica a la activación del protector de pantalla (con contraseña) a fin que un tercero no tenga acceso a la información que tenemos a través de la computadora. Una persona que pueda acceder a nuestra computadora, previo a que nosotros hayamos ingresado nuestra identificación y contraseña, implica que esta persona puede actuar como si fuéramos nosotros, con los riesgos que ello implica. En caso de producirse un incidente la persona responsable por dichas actividades no será otra que nosotros mismos. La implementación de un protector de pantalla con contraseña en cada una de las estaciones de trabajo requiere una inversión casi nula y de un alto beneficio para la organización, solo requiere que las personas sean concientes de que deben bloquear sus computadoras antes de dejar su puesto de trabajo. Esto último no es tarea fácil.
Activos de información que deben ser resguardados bajo la política de escritorios limpios
Continuidad del Negocio (**)
Nos proponemos realizar un viaje con el camión de nuestro ejemplo. Cargamos nuestros activos de información y nos disponemos a encender el motor. Primer intento fracasa. Segundo intento, ni siquiera se escucha ruido. Es el único camión que tenemos para realizar el trasporte seguro y dadas las circunstancias nos encontramos estancados en un incidente no contemplado del negocio. No tenemos desarrollado un plan contingente que le permita dar continuidad a nuestro desarrollo comercial. El estándar dentro de esta sección busca contrarrestar las interrupciones en las actividades de la empresa y proteger procesos del equipo de trabajo críticos frente a grandes fallas o desastres.
Lo mismo puede ocurrirnos en nuestro entorno laboral. Cualquier amenaza que impacte directamente en nuestra infraestructura impidiendo la continuidad de nuestro negocio, la debemos identificar y formular en un plan de acción, canalizado bajo un plan de contingencia. Este plan integrará toda la información, contacto, roles y acciones a seguir en caso que existan interrupciones de gravedad. Asimismo controles preventivos y actividades de recuperación deberán ser incluidos, para anticipar las amenazas y para restablecer el normal funcionamiento una vez sobrepasado el hecho de gravedad. La velocidad de activación del sitio alternativo de contingencia dependerá de los activos de información involucrados y la inversión en tecnología disponible. Podemos pensar en la mejor propuesta, es decir, tener un sitio alternativo contingente igual a que poseemos en las instalaciones donde trabajamos cotidianamente incorporando una replicación en línea de toda la información que se modifique o se agregue por cada una de las personas. Otra alternativa es contratar a un tercero las facilidades de tecnología requeridas para el caso que ocurra una situación contingente, donde debemos indicar las características y disponibilidad de los servicios necesarios. Existen como estas diferentes alternativas a ser consideradas y depende exclusivamente de las clasificaciones de los activos de información, los posibles riesgos identificados y los tiempos de demora de inicio de actividades que considerando las políticas del negocio. Cualquier alternativa que decidamos, deberá ser mantenida actualizada y probada periódicamente (al menos una vez al año) a fin de controlar que nuestro sitio alternativo contingente se encuentra bajo las condiciones suficientes para ser utilizado en caso de una emergencia.
Gestión de comunicaciones y operaciones
Procedimientos y Responsabilidades Operativos (*)
El centro operativo informático en una organización recae en el centro de cómputos propiamente, en las funciones y actividades que aquí se desarrollan. Los procedimientos y responsabilidades establecidos en esta área, se formulan para garantizar el funcionamiento correcto y seguro de los sistemas de procesamiento de la información.
Cada uno de los procedimientos contendrá el detalle de instrucciones y los pasos a seguir en cada una de las actividades que se desarrollen en el centro de cómputos. Estos procedimientos respaldan y sirven de soporte en caso de ausencias de operadores o responsables de dichas actividades. La información que debemos incluir en estos procedimientos, debe ser tal que pueda contestar los interrogantes de cualquier otra persona que desarrolle la actividad en cuestión. Parte de la información relacionada puede estar compuesta por: lista de tareas paso-a-paso, contactos de proveedores, direcciones y teléfonos de emergencias, alternativas de posibles soluciones sobre ciertos problemas, reportes antes, durante y después de realizar las tareas (dependiendo del caso).
El seguimiento de control de cambios de equipamiento y programas de base o sistemas operativos, es uno de los procedimientos particulares que debemos tener en cuenta. El análisis, implementación y control de las nuevas incorporaciones tecnológicas, (servidores, equipos de comunicaciones, sistemas operativos, programas para la administración de bases de datos, nuevas versiones de programas de base, etc.) deben ser documentados a fin respaldar el conjunto de cambios de este tipo de actividades.
Un conjunto de actividades se agrupan bajo el concepto de la protección contra programas ilícitos, esto es desde el punto de vista del licenciamiento de programas que utilizamos o introducen ilícitamente los usuarios, como así también, en lo relacionado con virus informáticos, gusanos de red, bombas lógicas y troyanos. Los procedimientos implicarán instrucciones preventivas como correctivas, en lo que a estos puntos se refieren. La incorporación de parches o actualizaciones de antivirus, sistemas de base o sistemas operativos, son de vital importancia a fin de anular o mitigar las vulnerabilidades que ellos puedan presentar.
Anteriormente mencionamos que es importante desarrollar mecanismos de seguimiento de incidentes para con nuestros clientes, lo mismo ocurre en el centro de cómputos si realizamos una vista interna del proceso. Debemos tener un procedimiento en relación a informar cualquier tipo de incidente que ocurra y debemos tener el plan de acción a seguir frente a los mismos, o bien la cadena de llamados con los referentes a quién tenemos que recurrir para desarrollar la resolución correspondiente.
La estructura del equipo del centro de cómputos, debe estar organizada de forma tal de considerar la separación de deberes, con el fin de separar la administración de la ejecución, o las tareas de control de las tareas operativas. De esta manera podemos reducir las oportunidades que puedan presentarse de modificación no autorizada o uso inapropiado de la información o de los servicios. Por ejemplo, un operador nocturno que tiene acceso a las tareas de cierre de día de una organización, no debería poder tener acceso a ingresar datos referenciales de clientes, cotizaciones o ingreso de transacciones operativas, dado que si así fuera esta persona podría ingresar transacciones para su beneficio y ejecutar el cierre de día haciendo efectiva la operación. La persona que realiza los procesos con cintas de resguardo, no debería ser la misma que quién controla si el proceso fue realizado correctamente, dado que un error operativo puede implicar una falla en el resguardo de la información a causa de una negligencia del operador. Al separar las tareas de administración de las de ejecución y las operativas de las de control, cualquier acto ilícito contra la seguridad de la información, deberá implicar una asociación ilícita con más de una persona.
La separación de deberes relaciona directamente personas con responsabilidades. Existe otra separación relacionada con los ambientes de trabajo informáticos. Esta separación de ambientes implica aislar los entornos de desarrollo o programación, de los de prueba y los de producción, unos de otros. Los objetivos de los equipos de trabajo en cada uno de estos ambientes o entornos, son diferentes y en muchos casos unos generan obligaciones en el otro. Los equipos que desarrollan pruebas de programas deben informar errores e incidentes, los cuales deben ser corregidos por el equipo de desarrollo, los cuales les interesaría ingresar directamente al entorno de prueba y realizar las modificaciones directamente a fin de que dichos errores no sean informados a su líder de proyecto. Lo mismo ocurre en el ambiente de producción, pero el impacto es mayor dado que los sistemas son los utilizados para soportar el negocio comercial en el día-a-día. Un acceso a este ambiente no controlado, podría provocar una ruptura del sistema ocasionando la discontinuidad del mismo, o peor aún, la generación y almacenamiento de información errónea en sus respectivas bases de datos, con el efecto de propagación a otros sistemas en efecto cascada. La separación de ambientes implica que tendremos asignada responsabilidades a una persona, que deberá ser la encargada de realizar el pasaje de las actualizaciones entre los diferentes ambientes y mantendrá controlado las versiones correspondientes.
Ambientes de Desarrollo, Prueba y Producción
La separación del ambiente de desarrollo, prueba y producción es necesaria a fin de reducir el riesgo de cambios accidentales de los programas o de los activos de información.
Planificación de la capacidad de los Sistemas (*)
Los proyectos de sistemas tienen centrada sus actividades en el desarrollo de la estructura lógica requerida por nuestros clientes. En particular nuestros clientes, sean estos externos o internos, nos requerirán contemplar dos consideraciones importantes:
- el conjunto de equipamiento y programas necesarios para poder ejecutar el sistema por nosotros desarrollado;
- la proyección de capacidad necesaria para soportar nuestro sistema a corto, mediano y largo plazo.
Muchas veces nos ocurre que todos los programas desarrollados desde nuestra computadora en nuestra organización funcionan correctamente, pero en el momento de realizar la instalación en nuestro cliente el comportamiento del mismo programa es errático o difiere sustancialmente. Por ello, debemos realizar el análisis y la documentación correspondiente del entorno en el cual nuestro sistema se implementará, a fin de poder realizar las pruebas en un contexto igual, pudiendo de esta manera estudiar su comportamiento previo a la entrega final a nuestro cliente. Debemos incluir como componentes del entorno, el equipamiento que se utilizará en las estaciones de trabajo, los servidores, los programas (con sus versiones y actualizaciones) complementarios a nuestro sistema para que este funcione correctamente, los servicios activos en las comunicaciones de red, las configuraciones en relación a la zona geográfica (tipo de fecha, como, punto decimal, etc.), privilegios de seguridad activos en los puestos de trabajo y en los servidores, entre otros.
Una vez en funcionamiento el sistema, debemos analizar la proyección de expansión de la información y el equipamiento necesario para su procesamiento. Esto implica analizar el crecimiento de los archivos y/o bases de datos, y la incorporación de nuevo equipamiento de almacenamiento o de servidores de procesamiento. Este crecimiento conlleva que debamos realizar un análisis conjunto entre el cliente y nosotros, a fin de determinar las estimaciones de proyección del negocio y en consecuencia el crecimiento del sistema en sí. Este crecimiento del sistema lo podremos realizar más fácil o más difícil de acuerdo al conocimiento documentado que tengamos del negocio en relación al aspecto técnico del sistema desarrollado. El crecimiento de una base de clientes o proveedores en un sistema difiere en general del crecimiento de las transacciones que pueden proyectarse de acuerdo al plan del negocio. Un módulo contable implicará un crecimiento en registros de acuerdo a las políticas regulatorias contables y en relación a las transacciones que la empresa realice diariamente. Las proyecciones sobre los requerimientos futuros del negocio nos permiten reducir el riesgo de sobrecarga del sistema, su mal funcionamiento o su no operatividad.
Resguardo y restauración de la información (*)
La estrategia relacionada con las copias de seguridad tiene como objeto, mantener la integridad y disponibilidad del procesamiento informático y los servicios de comunicación. La discusión que formalizamos en este punto es sobre la frecuencia en la que debemos realizar un resguardo de la información y por cuánto tiempo debo mantener la misma protegida en un lugar seguro. La relación costo y beneficio, debe ser estudiada y decidir una alternativa óptima en relación a la cantidad de información administrada y el tipo de actividades que desarrollamos. Por el lado del costo, debemos considerar las cantidades de soportes magnéticos u ópticos utilizados, que tipo de resguardo se realizará (completo o incremental) y el tiempo en horas del operador que realiza el proceso. Desde la perspectiva del beneficio, debemos analizar la frecuencia con la que necesitaríamos utilizar una copia de seguridad debido al riesgo de una pérdida o requerimiento de restauración de alguna información anterior.
La clasificación de los activos de información nos determina la importancia del pilar de la disponibilidad, donde nos indica cual es la frecuencia e historial de resguardo que debemos mantener. A mayor disponibilidad mayor frecuencia de resguardo y mejores mecanismos de restauración, donde pasaríamos de los clásicos resguardos en cintas a procesos inmediatos por medio de clusters. Dependiendo de cómo se estructure el trabajo y de los condicionantes externos, clientes, proveedores y entidades regulatorias, la cantidad de resguardos almacenados históricamente variará de organización en organización.
El estudio de la ISO/IEC 17799, nos determina nuevos conceptos de seguridad aplicados en nuestros equipos y nuestro producto. En la próxima y última entrega desarrollaremos el dominio con nombre propio: desarrollo y mantenimiento de software.
Las 4 partes de este artículo podrán consultarse en los siguientes enlaces luego de su publicación: Parte 1, Parte 2, Parte 3 y Parte 4.
Autor: Oscar Andrés Schmitz
| < Prev | Próximo > |
|---|
Ingresa con:
Google Buscador
Próximas Jornadas
 |
Jornada ONLINE
Capacitación
- CXO: Computer Security Incident Response Team & Disaster Recovery Plan
- CXO: Training Program CISO
- CXO: ¿Cómo implementar un Programa de Seguridad de la Información?
- CXO: Espionaje Corporativo – ¿Imprevisibilidad o Inteligencia?
- CXO: El Factor Humano – Perfil Psicológico & Prevención de Fraude
- CXO: Normativa BCRA "A" 5374 ¿Cómo implementarla?
- Universidad Austral: MOIT - Especialización en Planificación y Gestión de las Tecnologías de la Información (MOIT)
Documentos
Identificación Social en la Era Digital (Eduardo Thill) (3)(Tecnologías - Infraestructura)
Enemigo Interno (3)(Management)
Casos Judiciales Mediáticos vinculados con Tecnología (10)(Metodologías y Legislación)
Tendencia de Seguridad IT (Check Point) (4)(Seguridad - Informática)
Herramientas Forense Informáticas de código abierto ¿Cómo ganar un juicio con inteligencia? (22)(Seguridad - Forense)
(*) Para poder realizar la descarga de los Documentos debe iniciar su sesión en el sitio.
Visitas
 | Hoy | 5192 |
 | Ayer | 5497 |
 | Esta semana | 39061 |
 | Ultima semana | 24479 |
 | Este mes | 85274 |
 | Ultimo mes | 168263 |
 | Todos los días | 10976828 |
Hoy: May 19, 2013