AP4-AA4-Ev1-Mecanismos de Control y Seguridad

Mecanismo de Control de Control y Seguridad Seguridad

Presentado Prese ntado por Luis Emiro Emiro Díaz Jaraba Jaraba

Análisis y Desarrollo Desarrollo de Sistemas de Informació Información n (1 (1310035) Año 2017

De acuerdo con el contexto de su proyecto de formación y tomando como referencia el material suministrado y las plantillas de especificación de requerimientos y análisis del sistema, elabore junto con su equipo de trabajo un informe escrito en un archivo donde se describan los siguientes elementos:    

Segmentación de procesos, perfiles y roles. Mecanismo de autenticación a implementar en el sistema. Cifrado de datos: tipo de algoritmos a implementar. Procedimientos adicionales de Seguridad a implementar El documento debe ser elaborado con normas Icontec vigentes para trabajos escritos, además de buenas prácticas de redacción y ortografía.

IDEASTEC tendrá en cuenta los siguientes aspectos que se desarrollan a continuación con el fin de tener un software que presente mecanismos de control y seguridad para los usuarios y seguridad de la información.

Segmentación de procesos, perfiles y roles. La empresa IDEASTEC es una empresa pequeña que cuenta con 5 empleados, de los cuales solo a cuatro empleados se les generará un usuario, cada uno de estos usuarios tendrá ciertas características de acceso, y manipulación de la información como borrado, consulta, modificación, generación de informes, visualización de la información e impresión de copia dura. De acuerdo al perfil, obligaciones y actividades de cada uno de los empleados se le asigna el rol o roles que este usuario va a tener en el sistema de información. Entre los empleados de la empresa tenemos Gerente Administrativo, Coordinador Comercial, Técnico de Venta de Servicio y Asistente de Compra y Venta de Productos. Gerente Administrativo, es el encargado de coordinar, planificar, verificar, asesorar y controlar todos los procesos que se realizan en la empresa, como por ejemplo generar informes, consultas, registros para una buena toma de decisiones etc. Coordinador comercial, Persona idónea encargada de la comercialización de los productos y servicios; genera reportes de ingresos, egresos, saldos, diferencias de saldos, facturación y cronogramas, Genera reportes de las compras, ventas, de los ingresos, devoluciones, facturación y saldos pendientes. Técnico de venta de servicio , persona encargada de los servicios eléctricos y electrónicos como mantenimiento, reparación e instalación, Registrara los servicios y verificación de estos en el sistema. Asistente de compra y venta de producto, persona encargada de atención al cliente en tienda para su venta directa; genera facturas, genera reportes de ventas, controla y verifica inventario, genera consultas de los productos, genera cotizaciones, genera reportes de inventario etc.

El aplicativo tendrá un superusuario, dos usuarios administradores y los otros dos si serán usuarios normales con restricciones dependiendo del perfil. El superusuario es una cuenta que no tiene restricciones para configurar el sistema y estará a cargo del administrador principal, este superusuario  permite crear crear o convertir convertir una cuenta común común en una cuenta administradora administradora y la dota dota de permisos permisos para para

instalar, modificar, borrar, otorgar permisos, acceso a carpetas y archivos, realizar configuraciones configuraciones  personalizadas  personalizadas etc. etc.

Mecanismo de autenticación a implementar en el sistema. El software que se desarrollará para la empresa IDEASTEC contará con un mecanismo de seguridad y control basado en dos puntos, el primero el diseño de autenticación que estará contemplado por autenticación por contraseña, es decir el usuario debe estar registrado en el sistema, además de tener la autorización para poder ingresar. En este punto se tendrá en cuenta recomendaciones como, características de la contraseña, confidencialidad, control de acceso etc. El segundo punto se relaciona con el diseño de autorización, en donde se contempla los roles,  permisos y privilegios de la aplicación. La empresa IDEASTEC cuenta con los siguientes cargos gerente administrativo, coordinador comercial, técnico de venta de servicios y asistente de compra y venta de producto, a cada uno de estos cargos le corresponden responsabilidades, como por ejemplo el gerente administrativo es el encargado de coordinar, planificar, verificar, asesorar y controlar todos los procesos que se realizan en la empresa y puede entre los requerimientos funcionales generar informes, consultas, registros para una buena toma de decisiones, teniendo en cuenta el cargo y los  proceso que debe realizar realizar le serán asignados los los permisos para para el manejo manejo de la información, información, es decir decir modificar, consultar, registrar etc. De esta forma se le asignaran los roles a cada empleado teniendo en cuenta sus cargos y procesos a realizar en el aplicativo.

Cifrado de datos: tipo de algoritmos a implementar El cifrado de datos es un procedimiento que utiliza un algoritmo de cifrado con una clave (clave cifrada) para transformar un mensaje, sin atender a su estructura lingüística o significado, de tal forma que sea incomprensible o al menos difícil de comprender para toda persona que no tenga la clave secreta (clave de descifrado) del algoritmo. Entre los datos que podemos cifrar tenemos los emails, toda la información digital de un PC, como documentos, fotos, vídeos, particiones individuales e, incluso, el disco duro completo (por ejemplo, con TrueCrypt) es susceptible de ser cifrado, además de las claves o contraseñas.

Tipos de cifrado según sus claves

Los métodos de cifrado actuales se basan b asan en fórmulas matemáticas complejas, se utilizan ut ilizan los siguientes tipos de sistemas: Simétrico: en caso de los sistemas simétricos se utiliza la misma clave para el cifrado y el descifrado.

Por lo tanto, debe ser conocida por todos los que deseen acceder a los datos cifrados. En consecuencia, conse cuencia,

es importante mantenerlo en secreto. Este método es particularmente adecuado para grandes conjuntos de datos. Entre los tipos de cifrados simétricos tenemos: 

DES: Estándar de cifrado de flujo de 52 bits usado en 1976. La cadena de 56 bits es muy

corta, por lo que es capaz de comprometerse en menos de 24 horas. Longitud de clave: 52 bits. Tamaño de bloque: No 

GOST: Es un algoritmo de cifrado de origen ruso que podría ser considerado el análogo ruso

al AES. Emplea bloques de 64 bits y claves de 256 bits y no ha podido ser vulnerado a pesar de haber sido uno de los más estudiados. estudiado s. El mensaje de entrada se divide en trozos de bloques de 256 bits (ocho de 32 bits enteros endian) y el mensaje se rellena añadiendo tantos ceros como se requiere para llevar la longitud del mensaje hasta 256 bits. También se utiliza como función hash. Longitud de clave: 256 bits. Tamaño de bloque: 64 bits. 

AES: Este funciona básicamente dividiendo los datos en muchos bloques pequeños y los

mezcla. Con la longitud de clave más grande (256 bits) este método es considerado como inviolable, ya que, incluso los superordenadores más potentes necesitarían de un tiempo infinito para dar con el cifrado. aquí puedes ver el tiempo que necesitarían los superordenadores (de alrededor de 10 PFLOPS) para descifrar las diferentes variantes del cifrado AES:

Asimétrico: este método es especialmente popular para cifrar mensajes de correo electrónico. El

 principio: el remitente remitente utiliza la “clave pública” del pública”  del destinatario para cifrar el mensaje. Para que sea otra vez legible, el receptor utiliza su llave “privada” “privada” que  que únicamente él conoce. Entre los tipos de cifrados Asimétricos tenemos:



El Gamal: Sistema de cifrado asimétrico libre de patentes y utilizado tanto para generar

firmas digitales como para cifrar/descifrar. Su funcionamiento se basa en cálculos sobre “logaritmos discretos”, factorizando números muy grandes, de 150 dígitos o más. Usa para ello un número primo y dos enteros. La velocidad de cifrado y autenticación es inferior a la obtenida con RSA, las firmas producidas son más largas y los mensajes cifrados ocupan el doble que el mensaje plano. Longitud de clave: Sin límite. El límite lo marca el protocolo usado. 

RSA: Sistema de cifrado asimétrico, que, a diferencia de los anteriores sistemas, trabaja con

dos claves diferentes: diferentes : una clave “pública”, y otra “privada”. Ambas son complementarias entre sí, así que un mensaje cifrado con una de ellas sólo puede ser descifrado por su contraparte. La longitud de clave va desde los 128 bits a los 4096. Longitud de clave: Variable: 128, 256, 1024, 2048 y 4096 bits.

La criptografía híbrida es un método criptográfico que usa tanto un cifrado simétrico como simétrico como un asimétrico. asimétrico . Emplea el cifrado de clave pública clave pública para compartir una clave para el cifrado simétrico. El mensaje que se esté enviando en el momento, se cifra usando su propia clave privada, luego el mensaje cifrado se envía al destinatario. Ya que compartir una clave simétrica no es seguro, ésta es diferente para cada sesión.

Tipos de cifrado según sus algoritmos

Según la forma en la que operan los algoritmos de cifrado o descifrado, es posible distinguir varios tipos: Cifrado en flujo: En estos algoritmos el cifrado se r ealiza ealiza bit  bit a  a bit. Están basados en la utilización de

claves muy largas que son utilizadas tanto para cifrar como para descifrar. Estas claves pueden estar  predeterminadas  predeterm inadas (libreta de un solo uso)  uso)   o generarse usando un generador de claves  pseudoaleatorias  pseudoaleatorias o RKG(acrónimo  RKG(acrónimo del

inglés r andom andom k ey g  ey  g enerator), enerator),

que

genera

una

secuencia binaria secuencia  binaria pseudoale  pseudoaleatoria atoria a partir partir de una clave clave de inicializació inicialización n K. A veces, veces, en el cálculo cálculo de la clave pseudoaleatoria tambié n interviene el mensaje cifrado hasta ese momento. Por otra parte, el cifrador propiamente dicho: habitualmente en este tipo de algoritmos hay que mantener en secreto tanto la clave como el cifrador. Cifrado por bloques : En este tipo de algoritmos, el cifrado se realiza bloque a bloque. En primera

instancia, se descompone el mensaje en bloques de la misma longitud. A continuación, cada bloque se va convirtiendo en un bloque del mensaje cifrado mediante una secuencia de operaciones.

Ejemplos típicos de operaciones realizadas realizadas para conseguir cada mensaje cifrado son la sustitución y la permutación (cifrado por transposición) de transposición)  de elementos. Este tipo de algoritmos pueden ser tanto de clave simétrica como de clave asimétrica . Sin embargo, en la bibliografía suele haber confusión y es frecuente ver casos en que se refieren sólo a algoritmos de clave simétrica. Teniendo en cuenta toda la información anterior al cifrado de datos estaremos implementando un tipo de cifrado que presente la mayor seguridad posible para nuestro sistema de información, pero para escoger que tipo de algoritmo implementar también dependemos de nuestra capacidad para programar o desarrollar este tipo de algoritmo, y teniendo en cuenta que estamos en una etapa de inicio a la  programación,  programación, conocimiento conocimiento y orientación tomo la decisión decisión de llegar a esa etapa de programar programar y de esta forma ir aplicando las características que harían del sistema lo más seguro e infalible posible, contando lógicamente con la orientación de los tutores del programa análisis y desarrollo de sistemas de información.

Procedimientoss adicionales de Seguridad a implementar Procedimiento Seguridad del recurso humano:

Este dominio está relacionado con el personal que labora dentro de la entidad, se pueden definir los siguientes procedimientos: 



Procedimiento De Capacitación Y Sensibilización Del Personal: Indica la metodología empleada por la entidad para realizar la capacitación y sensibilización del personal en temas de seguridad de la información teniendo en cuenta los diferentes roles y responsabilidades, la periodicidad de dichas capacitaciones y sensibilizaciones etc… Procedimiento De Ingreso Y Desvinculación Del Personal: Este procedimiento indica la manera como la entidad gestiona de manera segura del ingreso y desvinculación, incluyendo temas como verificación de antecedentes, firma de acuerdos de confidencialidad, recepción de entregables requeridos para generar paz y salvos entre otras características.

Este procedimiento va de la mano con el área de gestión de recursos humanos o contratación puede generarse con su colaboración.

Gestión de Activos:

En este dominio relacionado con la identificación y clasificación de activos de acuerdo a su criticidad y nivel de confidencialidad se pueden definir los siguientes procedimientos: 



Procedimiento De Identificación Y Clasificación De Activos: En este procedimiento se debe indicar la manera en que los activos de información son identificados e inventariados  por la entidad, así como como también se debe especificar especificar como como son clasificados de acuerdo acuerdo a su nivel de confidencialidad o criticidad, como se asignan y se devuelven los activos una vez se termina la relación laboral con la entidad. Adicionalmente se debe explicar cómo se hace una correcta disposición de los activos cuando ya no se requieran y su transferencia hacia otros lugares de manera segura. Seguridad física y del entorno:

Este dominio está relacionado relacio nado con la prevención del acceso a áreas no autorizadas, autorizad as, el daño a la infraestructura, las instalaciones o de la información. Se pueden generar los siguientes  procedimientos  procedimientos (estos procedimientos pueden tener la participación del área de seguridad y vigilancia de la entidad ): 







este  procedimiento ento se debe describir Procedimiento De Control De Acceso Físico: En este procedimi como se ejecutan los diferentes pasos para garantizar el control de acceso seguro a las instalaciones al personal autorizado. Este procedimiento puede incluir registros de fecha y hora de ingreso, seguimiento de los libros o plataforma de registro. Se debe contemplar la solicitud de permiso a áreas restringidas, restr ingidas, quien los otor otorga ga y que debe hacerse para poder tener acceso a las áreas etc… Procedimiento De Protección De Activos: Este procedimiento debe contener los pasos con los cuales los equipos son protegidos por la entidad. Se recomienda que este  procedimiento  procedimiento indique como se determina la ubicación de los equipos que procesan información confidencial, como se aseguran dichas las instalaciones, los controles que se aplican para minimizar riesgos de desastres naturales, amenazas físicas, daños, por polvo, agua, interferencias, descargas eléctricas etc… Procedimiento De Retiro De Activos: En este procedimiento debe especificarse como los activos son retirados de la entidad con previa autorización. Se debe indicar el flujo de las solicitudes, autorizaciones y el control que tendrá el activo fuera de la entidad, así como también los controles de seguridad que deberá incluir el equipo cuando esté por fuera (controles criptográficos, criptográficos, cifrado de discos etc…)

 procedimiento debe especificar especificar Procedimiento De Mantenimiento De Equipos: Este  procedimiento como se ejecutan mantenimientos preventivos o correctivos dentro de la entidad, indicando los intervalos en que estos deberán realizarse, con base a las sugerencias de los  proveedores o si existen seguros atados a los equipos y los mantenimientos mantenimientos sean requisitos. requisitos. Se debe especificar el modo en que los mantenimientos se llevarán a cabo y el personal que deberá ejecutarlo, llevando el registro apropiado.

Seguridad física y del Entorno:

Este dominio está relacionado con la prevención del acceso a áreas no autorizadas, el daño a la infraestructura, infraestru ctura, las instalaciones o de la información. información . Se pueden generar los siguientes procedimientos procedi mientos (estos procedimientos pueden tener la participación del área de seguridad y vigilancia de la entidad): 





 procedimiento se debe describir Procedimiento De Control De Acceso Físico: En este  procedimiento como se ejecutan los diferentes pasos para garantizar el control de acceso seguro a las instalaciones al personal autorizado. Este procedimiento puede incluir registros de fecha y hora de ingreso, seguimiento de los libros o plataforma de registro. Se debe contemplar la solicitud de permiso a áreas restringidas, quien los otorga y que debe hacerse para poder tener acceso a las áreas etc… Procedimiento De Protección De Activos: Este procedimiento debe contener los pasos con los cuales los equipos son protegidos por la entidad. Se recomienda que este  procedimiento  procedimiento indique como se determina la ubicación de los equipos que procesan información confidencial, como se aseguran dichas las instalaciones, los controles que se aplican para minimizar riesgos de desastres naturales, amenazas físicas, daños, por polvo, agua, interferencias, descargas eléctricas etc… Procedimiento De Retiro De Activos: En este procedimiento debe especificarse como los activos son retirados de la entidad con previa autorización. Se debe indicar el flujo de las solicitudes, autorizaciones y el control que tendrá el activo fuera de la entidad, así como también los controles de seguridad que deberá incluir el equipo cuando esté por fuera

(controles criptográficos, cifrado de discos etc…) 

 procedimiento debe especificar especificar Procedimiento De Mantenimiento De Equipos: Este  procedimiento como se ejecutan mantenimientos preventivos o correctivos dentro de la entidad, indicando los intervalos en que estos deberán realizarse, con base a las sugerencias de los proveedores o si existen seguros atados a los equipos y los mantenimientos sean requisitos. Se debe especificar el modo en que los mantenimientos se llevarán a cabo y el personal que deberá ejecutarlo, llevando el registro apropiado.

Adquisición, Adquisición, desarrollo y mantenimiento de sistemas de información: información: 

Procedimiento De Control Software: En este procedimiento la entidad deberá indicar como realiza el control de software, es decir, como limita el uso o instalación de software no autorizado dentro de la entidad, quienes están autorizados para realizar la instalación de software, como se realizaría la gestión de las solicitudes de instalación de software para los usuarios, cómo se realiza el inventario de software dentro de la entidad entre otros aspectos.

Gestión de incidentes de seguridad de la información:



procedimiento de gestión de incidentes de seguridad de la información: Este  procedimiento  procedimiento debe indicar como responde la entidad en caso de presentarse algún incidente que afecte alguno de los 3 servicios fundamentales de la información: Disponibilidad, Integridad o confidencialidad. Deben especificarse los roles, las responsabilidades y acciones requeridas para identificar, contener, documentar, recolectar evidencias y mejorar la respuesta ante un incidente de seguridad de la información, así mismo, deberá indicar en qué casos sería necesario pasar a la activación de los planes de BCP (Planes De Continuidad) dependiendo de la criticidad de la información.

Aspectos de seguridad de la información de la gestión de continuid c ontinuidad ad de negocio: 

Procedimiento De Gestión De La Continuidad De Negocio: En este procedimiento la entidad debe indicar la manera en que la entidad garantizará la continuidad para todos sus  procesos (de ser posible o por lo menos menos los misionales), misionales), identificando identificando los procesos procesos críticos que tendrán mayor prioridad en las fases de recuperación ante algún desastre o incidente crítico. El procedimiento debe indicar los pasos a seguir cuando existan estas situaciones adversas, quienes deberán actuar (incluyendo (inclu yendo las terceras partes o proveedores), proveedores) , los tiempos a cumplir, los procesos alternos o que permitan continuar con el proceso de manera temporal.

Bibliografía Internet ministerio de tecnologías de información y comunicación http://www.mintic.gov.co Documento SENA Diseñar los mecanismos de seguridad y control YouTube Videos de seguridad de la información