Seguridad e Integridad de Base de Datos

Anuncio
Ministerio de Economía,
Planificación y Desarrollo
República Dominicana
Oficina Nacional de Estadística
Seguridad e Integridad de Base de Datos
Antecedentes
El Departamento de Tecnología y Sistemas de la Información (DTI) es el encargado de
planificar, implementar y administrar la infraestructura TIC que permita proveer los
servicios tecnológicos que demanda la institución.
En el marco del Plan Estratégico 2014-2017 y con el objeto de minimizar los riesgos a lo
que está expuesta la información, estamos trabajando en la implementación de un
Sistema de Gestión de la Seguridad de la Información (SGSI) basado en la norma ISO
27000. A la fecha hemos logrado la implementación parcial de los controles siguientes:
Seguridad ligada a los recursos humanos
a) Cese o cambio de puesto de trabajo
Se tiene documentado e implementado el procedimiento para informar con prontitud
desde el Departamento de recursos humanos todos los cambios significativos ocurridos
en las tareas y condiciones laborales de los usuarios finales a los administradores de
seguridad que manejen sus identificadores de usuario. Estos procedimientos son:


Procedimiento cancelación, suspensión de cuenta de usuario (ARI-GST-02 R01,)
Procedimiento para la creación de usuarios a empleados (ARI-GST-02 y ARI-GST03)
Los privilegios de los usuarios finales quedan suspendidos con prontitud, en el caso de
que la persona haya sido despedida, transferida, ascendida, dada de permiso sin
remuneración o, de algún otro modo, ya no desempeñe el mismo cargo.
Control de accesos
a) Gestión de accesos a los usuarios
La gestión de accesos a los usuarios a la red de la ONE ,está pautada y controlada por la
política de creación y/o cancelación de usuarios, identificada como ARI-GST-02, en esta
se especifican los procedimientos a realizar para la creación y/o cancelación de usuarios
en la red institucional, así como los permisos por nivel funcional, operacional o los
privilegios especiales y derechos de acceso de los mismos. Los usuarios solo pueden
acceder a la información que necesitan y están aprobados a ver y/o modificar.
1
Ministerio de Economía,
Planificación y Desarrollo
República Dominicana
Oficina Nacional de Estadística
Seguridad e Integridad de Base de Datos
b) Control de Acceso a sistemas y aplicaciones
Todos los sistemas y aplicaciones de producción de la Institución poseen registros de los
operadores de los sistemas y aplicaciones, donde se muestran los períodos de arranque y
de parada de las aplicaciones de producción, los períodos de arranque y de reinicio de los
sistemas, los cambios a la configuración de los sistemas, los errores de los sistemas y sus
acciones correctivas, y la confirmación de que los archivos y las salidas fueron manejados
correctamente.
Se cuenta con un dominio en Microsoft Windows Server 2008, conjuntamente con la
instalación de un directorio activo, (Active Directory) y sus respectivas políticas de control
de acceso a nivel operacional y/o funcional, control del tiempo de vigencia de las claves
de acceso, métodos de autenticación, entre otros.
Seguridad Física y Ambiental
a) Controles físicos de entrada
La ONE cuenta con controles de acceso físico a las áreas del centro de datos, área de
soporte técnico, dispositivos biométricos de acceso a áreas claves del DTI.
Todos los equipos Informaticos que brindan servicio a la ONE están ubicados en el centro
de datos, el cual esta adecuado en base a las normas existentes.
Así mismo existen las políticas relacionadas al control de entrada y salida de equipos
Informaticos, todas ellas alineadas al dominio 11.2 de la norma ISO-27002.
b) Seguridad del cableado
El acceso al cableado estructurado de la red está restringido al personal del área de
administración de redes , y su trazado está debidamente protegido mediante bandejas
electro soldadas.
2
Ministerio de Economía,
Planificación y Desarrollo
República Dominicana
Oficina Nacional de Estadística
Seguridad e Integridad de Base de Datos
Seguridad de la información en la gestión de continuidad del negocio
La ONE con la meta de continuar con la norma ISO-27002 y específicamente en el control
9.2.2, cuenta en su centro de datos con niveles de redundancia en el suministro de:



Energía eléctrica segura (UPS) con dos unidades UPS, de 70Kva y 40Kva
respectivamente.
Dos unidades de aire acondicionado de precisión de 9.0 toneladas cada una.
Y se está en proceso de tramitar la adquisición de un generador eléctrico de
emergencia de unos 90Kva para uso exclusivo del centro de datos.
Así mismo, se cuenta con un sistema de detección, prevención y supresión de incendio,
sistema de video vigilancia del centro de datos y detectores de humedad.
Seguridad en la Operativa
a) Protección contra código malicioso
Una de las herramientas instalada para cumplir con el control de código malicioso es un
sistema de anti-virus de los mejores del mercado para la prevención, detección y
eliminación de virus Informaticos, códigos maliciosos en las computadoras personales y
servidores. Así como la verificación de todo correo electrónico que sale y entra a la
institución a los fines de proteger la disponibilidad de la información estadística .
b) Copias de seguridad
La Unidad de almacenamiento que contiene las bases de datos estadísticas cuenta con
niveles de redundancia de hasta un tercer nivel, los discos duros se encuentran
configurados en niveles de RAID-5, además de que la unidad como tal posee, dos discos
adicionales o "spare", lo que permite la disponibilidad y seguridad de la información ante
una eventual salida de uno de los discos duros, así como también doble controladora de
comunicación vía fibra óptica, conectadas a los servidores mediantes switches de red de
fibra, para tener en funcionamiento lo que es técnicamente conocido como SAN (Storage
Área Network).
3
Ministerio de Economía,
Planificación y Desarrollo
República Dominicana
Oficina Nacional de Estadística
Seguridad e Integridad de Base de Datos
Se encuentra en funcionamiento una herramienta de respaldo de la información, la cual
está configurada con políticas de respaldos de la información de acuerdo a las mejores
prácticas, entre las cuales se encuentra el respaldo a cintas y concluido este, las mismas
son transferidas a una bóveda de seguridad en el exterior, a los fines de brindar la
disponibilidad de la información ante un eventual desastre.
Los administradores de las bases de datos, conceden los permisos correspondientes a los
usuarios internos (analistas) para que estos realicen las tabulación y el procesamiento
requerido, solo las personas autorizadas (en su sentido amplio podríamos referirnos
también a sistemas) pueden conocer los datos o la información correspondiente.
Con relación a la integridad de los datos solo las personas autorizadas (en su sentido
amplio podríamos referirnos también a sistemas) pueden conocer los datos o la
información correspondiente de acuerdo a lo establecido en las políticas institucionales.
Seguridad en las Telecomunicaciones
En cuanto a la seguridad perimetral informática se cuenta con:
a. Un equipo de seguridad perimetral e interna, conocido técnicamente como
FIREWALL o cortafuegos, el cual posee controles a nivel de anti-virus, anti-malware,
anti-spam, Sistema de Detección de Intrusos (IDS) y Sistema de Prevención de
Intrusos (IPS).
b. Se tiene en funcionamiento un sistema de DLP (Data Loss Prevention) o Sistema
de Prevención de Data a nivel básico, el cual de acuerdo a las políticas y mejores
prácticas de seguridad de la información, impide que información clasificada como
sensitiva o confidencial sea divulgada o salga de la institución sin el debido permiso
para realizar la misma. Estamos recomendando a la institución la instalación del
sistema completo con todas sus bondades y controles, los cuales apoyaran
significativamente la prevención y el uso adecuado de la información.
c. Nuestras redes locales (LAN) están segregadas (ver control 13.1.3 norma
ISO27002) en VLANs (redes de área local virtuales), lo cual controla que el trafico
de información.
4
Ministerio de Economía,
Planificación y Desarrollo
República Dominicana
Oficina Nacional de Estadística
Seguridad e Integridad de Base de Datos
Accesos a las bases de Datos
Los accesos a las bases de datos se encuentran controlados mediante la autenticación
con el directorio activo (Active Directory) implementado en la institución, con este
protocolo solamente los usuarios, con los derechos y privilegios para el acceso a las bases
de datos puedan tener estos accesos.
Así mismo los accesos a las bases de datos que son públicas en la web, están controlados
y protegidos con la implementación de un sistema de firewall, un IDS e IPS.
En la actualidad existen base de datos en diferentes servidores ubicados físicamente en el
centro de datos, las cuales son respaldas de acuerdo a la política de respaldo de la
información, estas base de datos son las siguientes:


Almacenamiento Central de Datos Oracle (Data WareHouse - DWH).
Base de Datos REDATAM de :
o IX Censo Nacional de Población y Vivienda 2010
o III Censo Nacional de Población y Vivienda 2002
o ncuesta Nacional de Hogares de Propósitos Múltiples (ENHOGAR) 2005,
2006,
o 2007 y 2011
o Encuesta Nacional de Ingresos y Gastos de los Hogares (ENIGH) 2007
o Encuesta Nacional de Fuerza de Trabajo (ENFT) 2003, 2004, 2005, 2006,
2007,
o 2008, 2009, 2010, 2011, 2012 y 2013
o Encuesta Demográfica y de Salud (ENDESA) 2002
o Base de Datos ENI 2012.






Base de Datos del Centro de Documentación (CENDOC). (Documanager).
Base de datos de MS-SQL Server con el Censo del 2010.
Base de Datos Digital cartográfica.
Base de datos de Comercio Exterior.
Base de datos de SPSS y CSPro.
entre otras.
Sin embargo, existen base de datos en MS-Access que están bajo la administración de los
usuarios finales y que se encuentra en proceso de transición a la División de Plataforma
del DTI.
5
Ministerio de Economía,
Planificación y Desarrollo
República Dominicana
Oficina Nacional de Estadística
Seguridad e Integridad de Base de Datos
Protección de las bases de datos
Toda la información de las bases de datos está siendo respalda a unidades de cintas LTO y
de acuerdo al calendario de respaldos, en el tiempo indicado, las cintas son trasladadas a
bóvedas externas.
Cada aplicación implementada en la ONE, tiene un usuario dueño de la base de datos, el
cual es quien tiene los privilegios para hacer las modificaciones, inserciones o borrados de
los datos de acuerdo a las funciones de la aplicación desarrollada. Ningún usuario
funcional final de alguna aplicación tiene acceso directo a manipular la información, lo
que nos garantiza que la información se mantendrá integra en su contenido y flujo.
Sin embargo, en la actualidad el DTI recomienda que todas las bases de datos de la ONE
pasen a ser gestionadas por el área de Bases de Datos y se abandone la práctica de
poseer localmente en los computadores las mismas.
6
Descargar