Dirección Sistemas de Información  
  ...........................................................................................................................................................................................................................................................................  
     
   
     
  Ministerio de Economía de la Provincia de Buenos Aires
Dirección Sistemas de Información

División de Seguridad Informática
Dirección Provincial de Catastro Territorial

6 de Junio de 1997

Conceptos Básicos Sobre la Administración de Seguridad de la D.S.I

La estructura de seguridad, ha sido establecida para preservar los datos de manipulaciones ilegales o que atenten contra su carácter verdadero, de esto se deriva él cuidado que debe ponerse en cada una de las definiciones dentro de la estructura de Seguridad, a fin de tender a lograr un estricto control del acceso, que permita realizar ¡in seguimiento eficaz sobre la manipulación indebida de los datos.

Para cumplir con esta premisa la División de Seguridad realiza las definiciones de los accesos de los usuarios (Logones) en los sistemas, según los pedidos cursados por las correspondientes direcciones y luego de un análisis de los mismos.

En el sistema, se encuentran dos capas fundamentales para el servicio que se le brinda a los usuarios. Cada una de estas capas son independientes y se encargaran de controlar diferentes etapas de los permisos concedidos a los usuarios.

La seguridad de los datos en un sistema informática es proporcional a la administración que se realice de los recursos. (equipos, programas empleados, manuales, capacitación, etc.). Es equivocado implementar la seguridad sin una clara y razonable idea de qué es lo que se desea hacer. El requerimiento fundamental de un sistema que desee tener un control claro sobre las transacciones que efectúan los usuarios con los recursos, es determinar qué datos son sensitivos y qué personas deben acceder a ellos.

Los pedidos que deben ser cursados por los diferentes sectores hacia los centros informáticos deben tener una especificación redactada en forma clara y concisa para que se puedan llevar a cabo sin vaguedad ni ambigüedad. Para poder facilitar este trámite el sector de Seguridad de la D.S.I. ha implementado la utilización de un formulario de Pedidos, el cual resume y simplifica los requerimiento necesarios para poder satisfacer las necesidades de los usuarios de la Dirección Provincial de Catastro Territorial (DPCT).

El sector de Seguridad Informática dispone de un lugar, dentro de la estructura organizacional de la Dirección de Sistemas de Información (DSI) como División del Departamento de Base de Datos. Esta Disposición dispone de 7 empleados, los cuales cubren horarios de 7 a 20 hs. Y 2 radiollamados con turnos rotativos para cubrir las 24 hs. Todos los días del año.

La función de esta División es la de realizar la administración de los recursos de usuarios, y la misma se realiza solamente bajo el estricto pedido por escrito y avalado por la firma del director o responsable a cargo de la dirección a la cual pertenece el empleado al cual se le solicita el acceso a los datos.

Querer implementar altos niveles de seguridad en procesos que no los necesiten es totalmente equivocado y contraproducente, ya que termina siendo un sistema fácil de quebrantar. Para evitar estos fallidos conceptos de administración de seguridad se debe determinar muy claramente que nivel de seguridad es el que el sistema necesita y este nivel debe tener en cuenta el volumen de los datos que se desee resguardar, su integridad, cantidad de personas que acceden al sistema, y el riesgo en perdida de la Información,

No es racional esperar que una combinación de software y hardware sea efectiva sin una adecuada implementación de seguridad, y aquí entran en juego también los caminos administrativos, la organización y el tratamiento que se haga de la documentación cursada entre la DSI y la DPCT. Este concepto parece ser muy simple pero debe ser comprendido por todos, y esto incluye principalmente al nivel directivo, y al de los Jefes de Zona o Departamentos.

Por lo general es el eslabón más fácil de quebrantar dentro de una cadena de seguridad son las personas, que no hacen un uso apropiado de sus autorizaciones o no guardan discrecionalidad sobre su logon o su password. Es común que se malinterprete el compañerismo y se hallen casos en que empleados se presten sus logones, lo cual constituye una violación de lqa seguridad grave y está claramente definido que es responsabilidad estricta del titular del logon, las actividades que se realicen con el mismo.

Para evitar el hurto del logon siempre es recomendable que la clave de los usuarios tenga una longitud no menor de 4 y no mayor a 8 posiciones alfanúmericas, compuesta por mezcla de letras y números, tratando de evitar casos triviales como el nombre propio, de los hijos, novia/o, ídolos, insultos, etc..

El otro extremo, forzar al usuario a utilizar password complejas o que la cambie muy asiduamente, puede producir que las password aparezcan escritas en papeles , escritorios, sobre la misma terminal o que la persona la olvide e inhabilite su logon muy frecuentemente, lo cual nos coloca en el mismo nivel de exposición que en el caso anterior.

Un sistema que tenga estrictamente bien determinados todos los accesos a los datos, puede fallar por algo tan pequeño como una palabra clave fácil de adivinar.

Siempre debe tenerse en cuenta que quién utilice el logon de otra persona implica que toda tarea que se realice en el sistema es absoluta responsabilidad del propietario de dicho logon, aún cuando el mismo haya sido hurtado o prestado. El robo o préstamo de logones es uno de los hechos más graves dentro de cualquier instalación informática y no disminuye la gravedad del hecho que el logon sea de sólo consulta.

También debe pensarse que el sistema inhabilita al logon que registre más de 5 intentos consecutivos de acceso con una password incorrecta, lo cual teniendo una password adecuada hace poco probable el hurto.

Una password de 6 posiciones alfanuméricas compuesta con algunas de las 27 letras del alfabeto y 10 números nos da 2.565.726.409 de posibles combinaciones. Por lo cual, quien desee robar un logon tiene 5 posibilidades sobre más de dos mil quinientos millones posibles password, lo que es poco probable que acierte con la password correcta.

Para poder cumplir con las tareas de Administración de Seguridad la DSI dispone de los productos de los cuales nos brindan todas las facilidades posibles de Administración de Seguridad. Estos dos productos se hallan en dos capas diferentes vistas a partir del acceso del usuario al sistema.

CAPA 1: Validación de Acceso

La primera capa con la que nos encontramos al acceder es la que se encarga de manejar información de validación del usuario y su acceso, por medio de las utilidades que esta capa nos provee se realiza la administración de usuarios determinando "quién" puede acceder a los "recursos" protegidos y "cómo" esos usuarios los pueden acceder.

Cada usuario que acceda al sistema tiene asignada una identificación personal (Logon) y una clave de acceso (password) asociada.

Esta primera capa basa todo su esquema de seguridad en el concepto en que solamente "una persona" conoce la combinación "identificación del usuario/clave de acceso). Con este criterio realiza la identificación y verificación del usuario, antes de permitirle acceder al sistema. Dicha clave de acceso se encuentra en una base de datos, la cual se haya encriptada, fuera del acceso de cualquier usuario incluyendo a los Administradores de Seguridad o cualquier otra persona de DSI.

Los mecanismos implementados actualmente obligan al usuario a cambiar la clave de acceso cada 30 (treinta) días corridos no pudiéndose reiterar la misma clave de acceso en 2 (dos) períodos consecutivos.

Una vez que se identificó y verificó al usuario se controlarán todas interacciones con los recursos del sistema, grabando un registro de auditoría ante cada acción que realice el usuario en el sistema.

Acceso a Terminales

Las terminales están controladas utilizando un esquema de grupos, los cuales relacionan grupos de usuarios con grupos de terminales.

Estos grupos de terminales y grupos de usuarios se corresponden con cada una de las Zonas u oficinas de la DPCT. Si un usuario no está incluido explícitamente dentro de un grupo de usuarios permitidos a acceder a un determinado grupo de terminales, ese usuario no puede hacer uso de esas terminales.

La pertenencia a un grupo de usuarios que pueden acceder a un determinado grupo de terminales, sólo es modificado bajo el estricto pedido de la DPCT, por lo general cuando un usuario es cambiado de una Zona a otra para prestar servicios.

El siguiente esquema nos muestra las relaciones entre grupos de usuarios y grupos de terminales. Aquí podemos ver que el grupo de usuarios de la Zona X está permitido a trabajar sólo con el grupo de terminales de una Zona. También se observa que el jefe de la Zona sólo se puede acceder a una única terminal desde la cual realiza las operaciones de confirmación sobre los cambios de valuación.

Vemos que los usuarios de la Zona XI pueden acceder al grupo de terminales de su Zona pero no pueden utilizar las terminales de otro. Esto que sucede entre las Zonas de Catastro sucede de igual manera con los grupos de usuarios y terminales de la Dirección Provincial de Rentas, la DSI o cualquier otro organismo.

Capa 2: Acceso a las bases.

La segunda capa está constituida por las bases de datos, los programas, aplicaciones, perfiles y su propio ambiente de seguridad.

Luego que en la Capa 1 se realizaron todas estas validaciones de acceso, recién se le permite al usuario ingresar a las bases de datos, las cuales componen la segunda capa de control, y ésta solo se encarga de verificara cuales son las tareas que tiene permitido realizar el usuario. Esto se logra por medio de perfiles, los cuales están conformados por grupos de objetos (programas, pantallas, datos) a los cuales grupos de usuarios están permitidos a ejecutar. Todo objeto que no esté especificamente a ejecutarse dentro de un perfil, se le negará el acceso al usuario que esté dentro de este perfil.

El acceso On Line a las aplicaciones se realiza por el concepto de perfiles de usuarios. Un perfil de usuario para una aplicación en particular, se define básicamente indicando el subconjunto de programas de la aplicación que están habilitados para ser usados.

Para poder acceder a una aplicación los usuarios deben presentar algunos de los perfiles de usuarios de esa aplicación y puede tener un solo perfil por aplicación.

En algunas aplicaciones se ha tomado la técnica de subdividir una tarea altamente sensitiva, en dos tareas realizadas por personas distintas, a fin de hacer más difícil el poder realizar una acción perjudicial para los datos. Esto puede demostrarse en el caso de la aplicación del inmobiliario el cual hacen falta dos usuarios distintos a fin de poder cambiar la valuación de una propiedad. Uno de los empleados realiza el cambio pero dicho cambio no tiene efecto sino hasta que, por lo general su jefe, autoriza dicho cambio, a vistas del trámite administrativo pertinente.