Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Ámbito 3
Descubrimiento de Activos
Estrategia de Seguridad y Privacidad de la
Información de la Alcaldía de Bogotá
Alcalde de Bogotá
Enrique Peñalosa Londoño
Secretario General
Raúl Buitrago Arias
Diciembre 2018
4 5
1
ÍNDICE DE TABLAS PÁG.
Tabla 1. normas y estándares centro de cómputo 10
Tabla 2. Partes estándar EN 50173
Tabla 3. Niveles de disponibilidad deseados
11
12
INTRODUCCIÓN
Tabla 4. Tabla comparativa de estándar TIER 12
Tabla 5. Plantillas documentales de apoyo 25 De acuerdo con el estándar ISO/IEC 27001:2013, todos los activos de información deben
estar claramente identificados y las entidades deben elaborar y mantener un inventario
de estos. Para ello resulta importante definir lineamientos que permitan su identificación,
clasificación, ubicación, valoración y los responsables de estos.
ÍNDICE DE FIGURAS
Los centros de cómputo y sus componentes se constituye en uno de los principales
Figura 1. Metodología descubrimiento de activos 13 activos de información de las organizaciones, ya que son el punto neural de las redes de
datos y en ellos se realizan operaciones centralizadas de procesamiento, transmisión
Figura 2. Paso 1 14 y almacenaje de la información digital. Adicionalmente en ellos convergen las tres
características de la triada de seguridad de la información: confidencialidad, integridad
Figura 3. Paso 2 15 y disponibilidad.
Figura 4. Paso 3 16 Para garantizar que se conserven los atributos de seguridad en los centros de cómputo
17 es necesario considerar: el acceso físico, su registro visual y documental, el manejo
Figura 5. Paso 4 de factores ambientales como la temperatura, la humedad y la detección y extinción
de incendios y los accesos y protecciones digitales, para lo cual se requiere la gestión
adecuada de los riesgos de seguridad.
7
2 DEFINICIÓN 3 OBJETIVO
GENERAL
Definir lineamientos para identificar, clasificar, ubicar y valorar los activos de información
de una entidad y los responsables de estos.
La identificación de los activos de en la memoria caché de los equipos de
información permite conocer la criticidad y cómputo, en los procesos que se están
sensibilidad de información de la entidad, ejecutando de las aplicaciones o de los
4
la cual debe ser salvaguardada en sistemas operativos, o en las pantallas de
términos de su confidencialidad, integridad los dispositivos móviles entre otros.
y disponibilidad. el alcance establecido en el Anexo Técnico
Las entidades del Distrito generalmente contractual.
La información digital que se gestiona disponen de un centro de cómputo o cuarto OBJETIVOS
ESPECÍFICOS
en las entidades del Distrito se puede de servidores en el cual se localizan los Así mismo, se desarrollan análisis a los
encontrar: 1) almacenada, 2) en armarios (rack) de servidores y dispositivos controles de seguridad física y perimetral
transmisión o 3) en procesamiento/uso. de comunicaciones, y son el punto crítico como es el circuito cerrado de televisión
Cuando está almacenada se puede de conectividad, almacenamiento y Proveer información de mejores (CCTV por sus siglas en inglés, closed
encontrar en los equipos de sobremesa, procesamiento de información. prácticas en el manejo de centros de circuit television), sistema contra incendio
portátiles, servidores, buzones de correo datos, particularmente en lo relacionado a y su correspondiente verificación de
electrónico, equipos de comunicaciones, control ambiental, acceso físico, perímetro conformidad contractual, según las
dispositivos de almacenamiento de red de seguridad y gestión del riesgo de buenas prácticas que se describen en el
(NAS, SAN, etc.), almacenamiento en seguridad marco teórico y jurídico.
la nube (OneDrive, Google Drive, etc.), Verificar el grado de cumplimiento
sistemas de archivos y plataformas de la gestión de los centros de cómputo Se hace una revisión inicial de Tecnologías
de gestión de información (como MS contra las mejores prácticas. de la Información (TI) y de los activos de
SharePoint®), bases de datos, dispositivos Definir una metodología de gestión información físicos para determinar el
de almacenamiento extraíbles, etc. de activos de información de la entidad estado de configuración, actualizaciones,
distrital. parches críticos y de seguridad, para
Cuando la información se transmite puede detectar dispositivos no autorizados
5
viajar por medio de redes cableadas, conectados a las redes institucionales.
redes inalámbricas, vía microondas, redes
ALCANCE
celulares, etc., y, por último, cuando la Se incluye en el análisis las áreas de
información está en procesamiento o en infraestructura central que componen la
uso, se puede encontrar en los monitores, solución tecnológica de cada entidad que
En el presente desarrollo metodológico forman parte de este alcance: centros de
se define los lineamientos propuestos cómputo, aires acondicionados y demás
por ADALID CORP para la identificación elementos del centro de datos, al igual que
o descubrimiento de los activos de equipos activos de red, routers, switches,
información de la entidad, de acuerdo con balanceadores y firewalls.
8 9
6
Estándar Descripción
MARCO TEÓRICO Contiene nuevos diseños de equipos de red que son los encargados de
extraer el aire de refrigeración de la parte frontal del bastidor hacia atrás y el
Y JURÍDICO
escape caliente que sale del chasis en la parte posterior del bastidor. Este
equipo enfriado de adelante hacia atrás debe tener una clasificación mínima
de ASHRAE Clase A3 (40 ° C) y preferiblemente ASHRAE Clase A4 (45 °
ASHRAE TC9.9 C). ASHRAE TC9.9 recomienda que el equipo esté diseñado para soportar
una temperatura del aire de entrada más alta que el aire de suministro de
refrigeración del centro de datos si: a) el equipo está instalado en un espacio
cerrado que no tiene acceso directo a la corriente de refrigeración del centro
de datos; o b) el equipo tiene una configuración de flujo de aire de lado a lado
La presente guía está alineada con lo descrito en la Guía 5 de gestión y clasificación dentro de un gabinete cerrado.
de activos de información del MSPI de MinTIC (2015) y los siguientes instrumentos
normativos: Ley 1581 de 2012 (Congreso de la Republica, 2012), Ley 1712 de 2014 Es un conjunto de recomendaciones y mejores prácticas consensadas entre
(Congreso de la República de Colombia, 2014) y el Decreto 0103 de 2015 (Presidencia varios países y un grupo de expertos en centro de procesamiento de datos, los
ICREA-Std- 131-
de la República de Colombia, 2015). 2017
cuales acordaron definir la forma de construir un centro de datos, de acuerdo
con los niveles de disponibilidad deseados. Los niveles se ilustran en la tabla 3.
De igual manera la guía se apoya en los siguientes estándares: ISO-IEC 27001:2013
(Icontec, 2013), ISO-IEC 27002:2013 (Icontec, 2015). Además, existen estándares Norma de Infraestructura de Telecomunicaciones para centros de cómputo.
específicos para la gestión del centro de cómputo, los cuales se ilustra en la tabla 1. TIA 942A (2012)
Estándar desarrollado por la Telecommunication Industry Association
(TIA) para la integración de los criterios en el diseño de un centro de datos.
Inicialmente se basaba en una serie de especificaciones para comunicaciones
Tabla 1. normas y estándares centro de cómputo
y cableado estructurado, en la actualidad estas especificaciones brindan
lineamientos vitales para el diseño de infraestructura. Este estándar puede ser
Estándar Descripción aplicable a cualquier centro de datos independiente de la magnitud de esta. La
evaluación se guía por el estándar TIER de la tabla 4.
Mejores prácticas de diseño e implementación de Centros de Cómputo.
BICSI 002 Considerada la norma base para el diseño de centros de datos alrededor del
Fuente: Recopilación de ADALID CORP.
(2014) mundo. ANSI/BICSI 002-2014 continúa su misión de proporcionar requisitos,
directrices y mejores prácticas aplicables a cualquier centro de datos.
Tabla 2. Partes estándar EN 50173
10 11
Tabla 3. Niveles de disponibilidad deseados
Para más información consultar el anexo técnico de Buenas Prácticas y Marco Normativo
Nivel Descripción Disponibilidad de la Seguridad Digital
7
I Quality assurance data center (QADC) 95%
III Safety World Class Quality Assurance Data Center (S-WCQA) 99.9% DESARROLLO DE LA
METODOLOGÍA
IV High Security World Class Quality Assurance Data Center (HS-WCQA) 99.99%
alterno
Tolerante a Fallas No No No Si
El desarrollo de la metodología está compuesto en 4 partes:
Compartimentalizado No No No Si
Análisis de acceso físico a áreas críticas y sensibles
Refrigeración Continua No No No Si Análisis de aspectos ambientales para áreas críticas
Disponibilidad 99,67% 99,75% 99,982% 99,995% Gestión de riesgos de seguridad del centro de datos
Gestión de activos de información
12 13
7.1 Análisis de control de acceso físico zonas o áreas sensibles De acuerdo con la revisión de la documentación definida e implementada por la entidad,
se identifica el avance actual en seguridad física.
El proceso inicia con la recolección de información, incluye los procesos, procedimientos,
políticas y en general la documentación que la entidad tenga implementada respecto al 7.1.1.2 Recopilación de buenas prácticas
acceso físico para áreas críticas o sensibles de la entidad distrital. Documentación que
se evalúa y se realiza un proceso de visita o reconocimiento en sitio de las áreas definidas Durante la revisión, ADALID CORP. plantea la revisión de los estándares o normas ICREA
como críticas o sensibles (centro de cómputo, archivo físico, etc.). y BICSI.
!
7.1.1 Entendimiento procesos, procedimientos y conocimiento del lugar
!
Durante este proceso ADALID CORP. realiza el análisis de contexto a nivel de procesos
para entender la situación actual de la entidad.
Fuente: ADALID CORP.
Las siguientes actividades conllevan una adecuada ejecución del entendimiento. 7.1.2 Verificación del estado actual
7.1.1.1 Solicitud de procedimientos de acceso físico a áreas críticas Para evidenciar el nivel de cumplimiento de controles físicos, ADALID CORP. plantea la
revisión en sitio de la entidad.
ADALID CORP. realiza la solicitud a la entidad para la revisión la información disponible
sobre los procesos y procedimientos de acceso físico a los centros de cómputo. Algunos En esta actividad, se plantea:
documentos que existen en general en las entidades pueden ser: - Cumplimiento de protocolos de personal de seguridad
- Ubicación adecuada de las cámaras de CCTV
Política de acceso al centro de cómputo - Funcionamiento del CCTV y tiempo de retención de las grabaciones
Formato para registro de accesos al centro de cómputo - Verificación del registro acceso al centro de cómputo
Política de grabación por CCTV del centro de cómputo y tiempo de vida de los - De ser posible, realizar un intento de ingreso bajo un pretexto falso
videos
Contratos para el mantenimiento de equipos del centro de cómputo
Contratos de mantenimiento activos que desempeñan funciones de control
ambiental y eléctrico
14 15
El proceso propuesto, es mediante recorridos por las instalaciones de la entidad y Figura 5. Paso 4
así comprobar las políticas de acceso, despliegue de CCTV, controles detectores de
incendios. En caso de ser un contrato de alojamiento o colocación:
- Verificación que el contrato estipule las protecciones físicas con que debe contar
el Centro de Cómputo.
Figura 4. Paso 3
16 17
7.2.1 Entendimiento de los procedimientos y conocimiento del lugar
Visita al sitio, en caso de ser propio donde se buscará:
Durante este proceso ADALID CORP. realiza el análisis de contexto a nivel de procesos - Tipo de aires acondicionados funcionando y capacidad
para entender la situación actual de la entidad. Para ello, se realizan las siguientes - Temperatura y porcentaje de humedad en el ambiente
actividades a fin de conocer las áreas críticas y sensibles de la entidad. - Verificación aleatoria de 3 servidores para confirmar si están conectados a la UPS
- Fecha de última verificación del sistema contra incendios e indicador de valor
7.2.1.1 Solicitud de procedimientos de aspectos ambientales de áreas críticas adecuado de presión.
ADALID CORP. debe solicitar la información que permita evidenciar los procesos y En caso de ser un contrato de alojamiento o colocación:
procedimientos de los aspectos ambientales de los centros de cómputo como son: - Verificación que el contrato estipule los aspectos ambientales con que debe contar
el centro de cómputo. También pueden estar estipuladas mediante el TIER o el nivel del
- Diseño e implementación de aires acondicionados centro de cómputo.
- Implementación de control contra humedad
- Sistemas de UPS En caso de ser un contrato en la Nube:
- Sistemas de extinción de incendios - Verificación de documentación de políticas de aspectos ambientales del servicio
- Contratos de mantenimiento de los elementos anteriores en la nube.
- Registro de realización de los mantenimientos
7.2.3.1 Análisis de información entregada y recolectada
7.2.1.2 Recopilación de buenas prácticas
La información recolectada se analizará y organiza por tema. De tal manera que se
Durante la revisión, ADALID CORP. plantea la revisión de los estándares o normas ICREA pueda hacer el análisis contra las buenas prácticas
y BICSI.
7.2.3.2 Análisis “GAP” de lo encontrado contra las buenas prácticas
Los temas propuestos para revisión de buenas prácticas:
- Aires Acondicionados La información analizada y organizada se confronta contra las mejores prácticas
- Control de humedad de la industria. En este proceso se clasifica los distintos controles en: Inexistentes,
- UPS incompletos, inadecuados o adecuados, según sea el caso.
- Sistemas de extinción de incendios
- Contratos de mantenimiento 7.2.4 Creación de una Ruta de Trabajo para cerrar el “GAP”
Durante esta etapa ADALID CORP. documenta el diagnóstico del estado actual, de
acuerdo con la información entregada por la entidad y así lograr identificar el nivel de
madurez en las mejores prácticas de seguridad.
18 19
7.3 Gestión de riesgos de seguridad del centro de datos 7.3.2 Verificación del estado actual
El proceso inicia con una etapa de recolección de información, que incluye los procesos De acuerdo con la información entregada por la entidad, se inicia con el análisis por parte
y procedimientos y políticas respecto gestión de riesgos de seguridad del centro de de los expertos para evidenciar el cumplimiento respecto a la metodología propuesta de
datos de la entidad distrital a evaluar y un conocimiento inicial de los lugares donde se gestión de riesgos de seguridad digital propuesta por ADALID CORP.
encuentran los centros de cómputo de dicha entidad. Esto centros de cómputo pueden
ser propios, contratados a un ente externo en la modalidad de alojamiento o colocación o 7.3.2.1 Análisis de información entregada y recolectada
en la nube.
La información recolectada se analizará y organiza por tema. De tal manera que se
7.3.1 Entendimiento de los procesos, procedimientos y conocimiento del lugar pueda hacer el análisis contra las buenas prácticas.
Durante este proceso ADALID CORP. realiza el análisis de contexto a nivel de procesos 7.3.2.2 Análisis de tres servidores
para entender la situación actual de la entidad. Para ello, se realizan las siguientes
actividades a fin identificar los riesgos en seguridad sobre los centros de datos. Se incluirán en el análisis, las pruebas a tres (3) servidores definidos por la entidad.
En este análisis se debe incluir la identificación del sistema operativo del objetivo,
7.3.1.1 Solicitud de procesos y procedimientos gestión de riesgos de seguridad sobre los instalaciones por defecto de servicios y aplicativos, identificación de los puertos abiertos
centros de datos en los objetivos (Protocolos TCP y UDP), identificación de los servicios que se están
ejecutando, pruebas de comprobación de contraseñas y protocolos de cifrado débiles,
ADALID CORP. solicita a la entidad la información para la revisión de la información identificación de vulnerabilidades del sistema operativo, búsqueda de información
suministrada sobre los procesos y procedimientos alineados con la gestión de riesgos sensible accesible por la red, como la existente en las carpetas compartidas, estado de
de seguridad del centro de datos: configuración, actualizaciones, parches.
7.3.1.3 Recopilación de buenas prácticas Durante esta fase, se realiza revisión de esquemas actuales de la topología de la red LAN
de la entidad, por medio de análisis de la información enviada por los responsables. Para
Para identificar las buenas prácticas en seguridad de la información, ADALID CORP. ello, se aplica las recomendaciones de seguridad o buenas prácticas de al menos:
propone alinearse con lo establecido a nivel de riesgos de seguridad digital propuesta
en el documento: “DM Ámbito 4 - Gestión de riesgos de información”. Este documento se - Segmentación de redes
encuentra acorde con metodologías como ISO 31000, MAGERIT, ISO/IEC 27005. - Definición e implementación de DMZs.
- Asilamiento de infraestructura crítica
- Seguridad perimetral
20 21
!
A nivel técnico, previamente autorizado por la entidad, ADALID CORP sugiere realizar
el escaneo y diagnóstico a la red por parte de los expertos con el uso controlado de
herramientas para tal fin, con ellos se logra evidenciar la realidad de la entidad.
7.4.1 Definición del contexto
Durante esta etapa, ADALID CORP. sugiere que la entidad inicie con la identificación
!
del alcance para la gestión de activos de información, así como las partes interesadas
7.3.3 Diagnóstico del estado actual conforme a mejores prácticas involucradas en el proceso. Es importante que se tenga claridad en que proceso están
relacionados e incluidos en el alcance para avanzar con las etapas de identificación y
La información recolectada se analizará y organiza por tema. De tal manera que se actualización del inventario de activos de información.
pueda hacer el análisis contra las buenas prácticas.
7.4.2 Identificación de los activos de información
7.3.3.1 Análisis “GAP” de lo encontrado contra las buenas prácticas
La información analizada y organizada se comprueba contra las mejores prácticas ADALID CORP. ha definido y propuesto para aplicación en la entidad, un proceso
de la industria. Como resultado, se clasifica los distintos controles en: Inexistentes, de gestión de riesgos en seguridad digital, este proceso contiene la identificación y
incompletos, inadecuados o adecuados, según sea el caso. valoración de los activos de información, para ello, es importante que la entidad alinea
esta etapa con lo descrito en el documento: “DM Ámbito 4 - Gestión de riesgos de
7.3.4 Creación de una Ruta de Trabajo para cerrar el “GAP” información”, el cual tiene una descripción detallada del proceso de identificación del
activo.
Con el resultado de la información del análisis GAP se crea un documento de ruta de Entre los campos identificados se tienen:
trabajo con los siguientes componentes para cada una de las actividades: - Nombre de activo de información
- Ubicación
- Responsable - Valoración en términos de confidencialidad, integridad y disponibilidad
- Tiempo estimado de ejecución y fecha de inicio - Responsable o propietario
- Actividades macro - Custodio
- Riesgo latente ante la falta del control - otros
- Probabilidad estimada de materialización del riesgo
- Impacto o consecuencia de la materialización del riesgo En este proceso, se realiza las siguientes actividades complementarias:
ADALID CORP. brinda las recomendaciones para que este proceso perdure en el
tiempo en la entidad, garantizando una mejora continua, en lo referente a los activos de
información.
22 23
!
7.4.3 Definición de buenas prácticas en gestión de activos
a. Definir un control (ejemplo, política) de identificación de activos de información, Consulte la Herramienta Sistematizada para Gestión de Activos
donde se establezca el reporte y registro por cada líder o responsable de proceso en la Tenga en cuenta que la hoja de cálculo habilitada es para Macros de Microsoft Excel
8
herramienta de gestión de activos o en su defecto, envíe la información al encargado de
ingresar los nuevos activos de información.
b. Definir un control (ejemplo, política) que establezca que los líderes o responsables
de cada proceso deben mantener informado los nuevos activos de información, cambios PLANTILLAS DOCUMENTALES
en su ubicación, valoración, cualquier característica establecida o en su defecto solicitar
su eliminación o inactivación. Esta información debe enviarse con una periodicidad no
superior a tres meses, o cuando el líder así lo considere. DE APOYO
c. Definir e implementar una política de buen uso de los activos de información en la
entidad.
d. El líder o responsables de la herramienta de gestión de activos de la entidad debe A continuación, se presenta una descripción de cada una de plantillas provistas como
realizar una revisión junto con los procesos al menos una vez cada seis meses. anexos por ADALID y los archivos correspondientes para esta guía.
Tabla 5. Plantillas documentales de apoyo
e. La eliminación de los activos de información del inventario de activos debe ser
revisada y aprobada por el líder o responsable del proceso, y bajo la aplicación de Plantilla Nombre Descripción
controles que permitan almacenar la trazabilidad del activo desde su identificación hasta
su retiro. Política de uso aceptable de
Se plantea el modelo de política de uso aceptable de activos
1.
1.
los activos de información y su
devolución. de información, acorde con los diferentes aplicaciones
o sistemas de información, infraestructura o información
El detalle de la plantilla puede crítica que la entidad debe proteger y salvaguardar sobre
ver en el archivo: Política de las terceras partes.
uso aceptable de activos de
información.docx
24 25
9
Plantilla Nombre Descripción
Tablas de retención
documental para activos de
2. GLOSARIO
En búsqueda de lograr la identificación y documentación de
información. activos de información digital, se propone un formato para
el registro en cumplimiento a la normatividad vigente, en lo
El detalle de la plantilla relacionado con las tablas de retención documental.
puede ver en el archivo:
Formato tablas de retención
documental.xlsx A continuación, algunos de los términos más importantes sobre el Documento
Metodológico del Ámbito 3 por orden alfabético.
3.
siguientes tipos de activos. Se propone una política de tratamiento de activos de
información respecto a: Información física, Información
El detalle de la plantilla puede
ver en el archivo: Propuesta
digital, Software, Hardware, Servicios. ASHRAE: American Society of Heating, Refrigerating and Air-Conditioning Engineers
de tratamiento de activos de
información.docx
26 27
BIBLIOGRAFÍA 10
BICSI. (2014). ANSI/BICSI 002-2014. Recuperado a partir de https://www.bicsi.org/docs/default-source/publications/
bicsi_002_esp_sample.pdf?sfvrsn=f4bce3b9_0
Congreso de la Republica. (2012). Ley estatutaria No. 1581 del 17 de Oct de 2012. Ministerio de comerico, industria y
turismo. https://doi.org/10.1017/CBO9781107415324.004
Congreso de la República de Colombia. (2014). Ley 1712 de transparencia y del derecho a la información pública nacional. 6
De Marzo De 2014. Recuperado a partir de https://www.alcaldiabogota.gov.co/sisjurMantenimiento/normas/Norma1.
jsp?i=60556
Ministerio de Tecnologías de la Información y las Comunicaciones. (2015). Modelo de Seguridad. Recuperado 16 de agosto
de 2018, a partir de https://www.mintic.gov.co/gestionti/615/w3-propertyvalue-7275.html
Presidencia de la República de Colombia. (2015). Decreto 0103 de 2015. Recuperado a partir de http://wsp.presidencia.
gov.co/secretaria-transparencia/Prensa/2015/Documents/decreto_presidencial_103_del_20_de_enero_2015.pdf
28
Elaborado por:
Documento Metodológico
Ámbito 3
Descubrimiento de Activos
32