Ing. Miguel Isaza Villar
Esp. Seguridad Informática
Este documento pretende presentar un modelo de control de acceso general que cubra 360°, de forma que que se contemplen los controles físicos, lógicos y de procesos que afectan en la vida real a las organizaciones, los items a controlar son los siguientes:
1. Control de acceso físico y Control de acceso locativo
2. Control de acceso lógico
3. Ingeniería social
4. Control de acceso de aplicaciones
5. Control de acceso de bases de datos
6. Control de acceso de redes de computadores y de comunicaciones
7. Monitoreo del control de acceso
8. Administración de la seguridad informática
Antes de proceder con el modelo general aplicado, vamos darle un alcance a este modelo.
Area Fisica
Edificio de 24 pisos, cada piso tiene 250 metro cuadrados, el cual tiene lo siguiente:
1. Parqueadero subterráneo privado (solo para funcionarios de la entidad)
2. Área construida (10 metros de ancho, por 25 metros de fondo)
3. Edificio de 24 pisos
4. Escaleras y ascensores
5. En el primer piso se encuentra la recepción y las áreas de desplazamiento horizontal (escaleras y ascensores) además de un área de cableado y monitoreo
6. La fachada del edificio es en vidrio en tres de sus cuatro caras.
7. En el penúltimo piso se encuentra ubicado un centro de cómputo que procesa y almacena la información de la entidad
Img. 1, Edificio de 24 plantas
Img. 2, Parqueadero subterráneo con talanqueras
Img. 3, Recepción entrada principal con torniquetes
Img. 4, Oficinas administrativas
Img. 5, Centro de Cómputo
Cámaras de vídeo vigilancia
Para contextualizar este ejercicio, vamos a establecer los siguientes criterios:
La empresa mueve diariamente 250 funcionarios que laboran en el edificio, además de esto la edificación recibe un promedio de 100 visitas diarias en los horarios de lunes a viernes de 8:00 am a 6:00 pm
Un inventario con los siguientes activos:
Item
|
Activo
|
Cantidad
|
1
|
Personas:
Administrativas 230
Operativas 20
Directas 200
Suministradas 20
Contratistas 30
|
250
|
2
|
Computadores:
Escritorio 200
Portatiles 30
|
230
|
3
|
Equipos de comunicación:
Switches 24 puertos
|
26
|
4
|
Aplicaciones:
Nomina
ERP (core del negocio)
CRM (comercial)
Portal Web
|
4
|
5
|
Bases de Datos:
|
4
|
6
|
Sistema de archivo centralizado:
|
1
|
7
|
Servidores:
Fisicos 5
Virtuales 25
|
30
|
8
|
Camaras Ip:
|
215
|
Tabla 1
1. Control de acceso físico y Control de acceso locativo
El edificio cuenta con dos accesos al edificio, el acceso de la entrada principal, el cual está conformado por un vigilante en la entrada y dos recepcionistas encargadas de atender los visitantes del edificio, en esta recepción hay dos torniquetes los cuales son accionados por tarjetas de proximidad, las cuales se encuentran en los carnet de los funcionarios que trabajan en el edificio.
El personal visitante, tienen que registrarse en la recepción, si es por primera vez que ingresa al edificio, el mismo debe dar su nombre completo, identificación, contacto, empresa donde proviene, se debe tomar una foto de frente y una de perfil, se tomara un registro biométrico del dedo índice de la mano derecha, además de esto debe dar el nombre del funcionario al que va a visitar, el tiempo de la visita y si necesita acceso a internet.
Cuando el visitante ya está registrado, solo tiene que dar el nombre del funcionario y/u oficina que va a visitar, el tiempo de la visita, si necesita acceso a Internet y registrar el dedo índice de la mano derecha en el escáner biométrico.
Al momento del registro de la visita, la recepción le solicitará un documento diferente a la cedula el cual se tendrá en custodia hasta que termine la visita, al mismo tiempo se le prestará un carnet temporal el cual dá el acceso al torniquete principal, este carnet también dá acceso al ascensor, el carnet está programado para llegar únicamente al piso de la visita, de acuerdo a la información del registro
Los visitantes solo pueden acceder al edificio por la entrada principal.
En todos los pisos del edificio hay una recepcionista quien se encuentra de frente a los ascensores y escaleras y es la encargada de guiar a las visitas que acceden al piso determinado e indicarles la oficina a visitar.
Los horarios de visitas son de 8:00 am a 11:00 am y de 2:00 pm a 5:00 pm de lunes a viernes.
Al momento de recibir una visita, el funcionario debe comunicarse con la recepción principal para indicar la misma.
Todos los funcionarios del edificio, tienen un carnet de identificación, el cual contiene su información básica, datos de las oficinas a las que tiene acceso, los horarios, los funcionarios que tienen acceso al parqueadero subterráneo, tienen acceso a las talanqueras vehiculares y al ascensor subterráneo, estos son los únicos que tienen acceso a llegar a este piso.
Todas las oficinas del edificio tienen acceso biométrico y tarjeta de proximidad (carnet), es necesario el uso de estos dos controles para el respectivo acceso (estos controles no son excluyentes, los que significa que es obligatorio tener el carnet y la biometría al tiempo), las puertas de todas las oficinas tienen electro-imanes que bloquean y abren las puertas automáticamente, esta acción genera un registro de acceso centralizado en el sistema general de control de acceso
El horario de trabajo es de 7:00 am a 6:00 pm, todo funcionario que necesite trabajar después de este tiempo debe hacer las solicitud al área de seguridad física explicando cuales son las razones, esta solicitud debe estar aprobada por el jefe directo de cada funcionario.
Todos los pasillos de los pisos, oficinas y ascensores, tienen cámaras monitoreadas las 24 horas del día por el CCM (centro de control y monitoreo), el cual es el encargado de dirigir de forma centralizada la seguridad física del personal, esta área de control es la encargada del registro de visitas y empleados.
2. Control de acceso lógico
El acceso lógico está dirigida por el oficial de seguridad de la información, el cual depende directamente de la dirección general, esta área es la encargada de emitir las políticas de acceso a la información y a los sistemas de la compañía, además es la encargada de hacer monitoreo de los controles y el cumplimiento de los procedimientos establecidos.
La compañía tiene un procedimiento de acceso de terceros (ya sean contratistas, proveedores, visitantes o accionistas) en dicho procedimiento se accede a los sistemas de forma “segura”, utilizando conexión VPN, el área de seguridad informática es la encargada de velar de que los acceso solicitados para terceros cumplan con el alcance en tiempos y objetivos contractuales.
Dependiendo de las funciones de cada usuario, se le darán accesos a los sistemas de dominio (Windows), correo, aplicaciones, sistemas de archivos, impresoras, intranet, internet, teléfono, scanner, archivo central, fax entre otros
3. Ingeniería social
Los funcionarios, contratistas, proveedores de planta y accionistas, reciben capacitaciones periódicas (cada 6 meses aproximadamente) donde se le dan tips de seguridad, además se les habla de los riesgos del mal uso de la información, los peligros informáticos y se les recuerda la política de seguridad de la información de la empresa, así como los diferentes procedimientos que son de obligatorio cumplimiento.
El área de seguridad informática tiene dentro de sus políticas el uso de escritorios y pantallas limpias, el uso de trituradoras de papel, además se tiene la política de uso de contraseñas seguras, lo cual ayuda a reducir los riesgos de ingeniería social en los grupos de interés
4. Control de acceso de aplicaciones
El área de seguridad informática, dirigida por el oficial de seguridad de la información, es la encargada de realizar el control de acceso de recursos informáticos, aplicaciones (web y de escritorio) bases de datos, para dicho acceso cuenta con una matriz de roles y perfiles en la cual se tiene la siguiente estructura:
Tabla 2
Cada Rol se asocia a uno o varios empleados, los roles están asignados de acuerdo a las funciones desempeñadas por cada funcionario y las mismas las define el jefe directo con el dueño de cada proceso y el área de seguridad, el cuadro a continuación muestra cómo se asignas los roles a cada empleado:
Empleado
|
usuario
|
Rol
|
Empleado
1
|
usuario
1
|
Rol
A, B y C
|
Empleado
2
|
usuario
2
|
Rol
C
|
Empleado
3
|
usuario
3
|
Rol
D
|
Empleado
4
|
usuario
4
|
Rol
Z
|
….
|
…
|
|
….
|
…
|
|
…
|
…
|
|
Empleado
250
|
usuario
n
|
Rol
n
|
Tabla 3
5. Control de acceso de bases de datos
Todas las bases de datos de la organización, son accedidas por los usuarios a través de aplicaciones, ninguna base de datos es accedida a través de forma de tablas por los usuarios finales, ni por los usuarios del sistema, los usuarios administradores como el DBA, solo tienen acceso a la configuración de las bases de datos, la creación de esquemas y tablas, el acceso a la data solo es accedida a nivel de aplicaciones, tanto las actividades de los usuarios de aplicativos como los súperusuarios (DBA) es monitoreada por un sistema DAM (Database Activity Monitoring) esta actividad es realizada por el SOC (Security Operation center) contratado por el área de seguridad informática el cual opera las 24 horas del día
6. Control de acceso de redes de computadores y de comunicaciones
Las redes y telecomunicaciones están conformadas de la siguiente manera:
Dos equipos UTM (Unified Threat Management) en alta disponibilidad que funcionan a nivel perimetral, dos Switches de core en alta disponibilidad que soportan las interfaces internas y externas, dos switches de distribución y 22 switces de edge distribuidos uno en cada piso, todos estos equipos son monitoreados desde el SOC
7. Monitoreo del control de acceso
El acceso físico es monitoreado por el área de seguridad física a través del centro de control y monitoreo CCM, esta área, opera las 215 cámaras que tiene el edificio y funciona 7x24x365, el monitoreo se realiza de forma remota y el equipo opera enlazado al sistema de control de acceso físico.
8. Administración de la seguridad informática
La seguridad informática es operada por la dirección de seguridad de la información, liderada por el oficia de seguridad y por el comité de seguridad de la información, el área de seguridad de la información presta una labor de cumplimiento y control de las operaciones tecnológicas, de proceso y documental, donde se maneja información de la entidad.
La dirección de seguridad de la información es la encargada de velar porque se cumpla la política y los procedimientos de seguridad de la información mientras que el comité es el encargado de alinear los objetivos organizacionales con las mejores prácticas en seguridad, a continuación se describen las funciones del Oficial de seguridad y del comité de seguridad de la información:
Comité de Seguridad de la Información
El Comité de Seguridad de la Información es responsable de revisar y proponer a la alta dirección para su aprobación, los procesos y procedimientos necesarios para cumplir con la política de seguridad de la información, además hará el seguimiento a las mejora del sistema de gestión de seguridad de la información.
Gestionar los recursos anuales destinados a cumplir con la planeación estratégica de seguridad de la información en la organización
Es responsabilidad de dicho comité definir las estrategias de capacitación en materia de seguridad de la información
Representantes del Comité:
El comité debe estar conformado por un representante de las siguientes áreas:
• Un representante del comité de gerencia (Se propone que sea el gerente financiero)
• La Dirección de Sistemas
• Un representante de la Dirección de Tesorería
• Un representante de la Dirección comercial
• Un representante de la Dirección de Seguridad Física
• Un representante de la Dirección de Gestión Humana
• Un representante de Secretaria General (ideal que sea un abogado)
• Por último el oficial de seguridad de la información, quien se encargara de convocar y gestionar el Comité.
Oficial de Seguridad de la Información
El Oficial de Seguridad de la Información es el encargado de facilitar la administración y desarrollo de iniciativas sobre seguridad de información, provee dirección y gestión para asegurar que la información de la organización se encuentre protegida apropiadamente. Esto incluye considerar la confidencialidad, la integridad y la disponibilidad de los distintos activos de información.
Ejecuta periódicamente actividades que permiten la identificación, evaluación, mitigación, seguimiento y control de riesgos en todos los ámbitos que involucren la gestión de las tecnologías de la información y la comunicación, además tiene como rol las siguientes funciones:
• Gestionar el Plan Estratégico de Seguridad de la Información
• Revisar y evaluar periódicamente la política de seguridad y sugerir al comité de Seguridad de la Información los cambios que resulten necesarios.
• Mantener actualizadas las políticas, estándares, procedimientos y toda la documentación necesaria para el cumplimiento de la política de seguridad de la información y las certificaciones en materia de tecnología y seguridad de la información de acuerdo a la norma ISO27000.
• Preparar y monitorear el programa de difusión, concientización y uso de la seguridad para todos los funcionarios.
• Mantener las reglas de acceso a los datos y a otros recursos de Tecnología de la Información (T.I.).
• Mantener la seguridad y la confidencialidad sobre la emisión y mantenimiento de las identificaciones de usuario y contraseñas.
• Implementar un proceso de administración de incidentes de seguridad el cual permita prevenir y limitar el impacto de estos, así como la investigación de cualquier violación de seguridad y/o el monitoreo continuo de las acciones correctivas que surjan de este proceso.
• Probar la arquitectura de seguridad para evaluar la fortaleza de esta y detectar posibles amenazas
• Establecer controles que garanticen el cumplimiento de las leyes de protección de datos personales (ley 1581 de 2012) y las leyes de software legal (ley 603 de 2000) en la organización.
• Coordinar las actividades a revisar en el comité de seguridad de la información.
No hay comentarios:
Publicar un comentario