Diseño del Esquema de Seguridad Informática para Coomeva E.P.S
Juan Carlos Giraldo V. Departamento de Seguridad Informática, Coomeva E.P.S
e-mail: juanc_giraldo@coomeva.com.co
Febrero 2002
Resumen Por ser Coomeva E.P.S una organización
En este documento se presentan las de carácter nacional cuenta con una
actividades realizadas con el fin de definir estructura con sucursales y oficinas
el esquema de seguridad sobre el además las oficinas se clasifican en dos
aplicativo que soporta la operación de tipos de oficinas de acuerdo al tamaño de
Coomeva E.P.S a nivel nacional, la población asignada. Por la anterior
adicionalmente se presentan dos iguales cargos en distintas oficinas
herramientas desarrolladas o adaptadas requerían de unos privilegios diferentes, se
durante el proyecto que facilitan la necesitaba entonces definir labores
administración de seguridad de todo tipo especificas de acuerdo al cargo y la oficina
de aplicaciones desarrolladas en del funcionario.
PowerBuilder y la activación optima de 2.1.1 Estandarización de los perfiles
rastros de auditoria sobre bases de datos Mediante la definición de los estándares
Oracle. del Sistema y en un trabajo
multidisciplinario en el que intervinieron
Palabras Clave las áreas de Eficiencia y productividad, los
Seguridad, Oracle, PowerBuilder, PFC lideres usuarios, auditoria interna y
Auditoria, Rastros de Auditoria, seguridad informática, se definieron todas
Zentinella, Pentagono. las tareas soportadas por el sistema de
información asignándole a cada una de
1. Introducción ellas el cargo o cargos responsables de su
Con el fin de definir un nivel de seguridad ejecución de acuerdo al tipo de la oficina
adecuado a las necesidades de Coomeva del funcionario. (en la figura 1 se presenta
E.P.S y tratándose de un desarrollo propio una muestra de la matriz que se definio
se definieron tres labores primordiales a para esta labor).
ser desarrolladas : Una vez definidas todas las actividades a
- Definir un proceso de recolección de realizarse en el sistema y asignados los
información que garantice una responsables en cada sucursal u oficina se
adecuada definición de perfiles de realizo la definición y unificación de los
acceso a la aplicación a la medida de la perfiles estándar de la organización.
organización. Considerando los siguientes puntos como
- Buscar o desarrollar una herramienta fundamentales para el desarrollo del
que facilitara la administración y trabajo:
asignación de los perfiles dideñados - Existencia adecuada de seguridades
- Buscar o desarrollar una herramienta físicas en cada uno de los puestos de
que facilitara el control y seguimiento trabajo
de las modificaciones realizadas sobre - Verificación de controles Efectivos en
los datos. los puntos vulnerables del sistema
- Existencia de una adecuada
2. Contenido segregación funcional [1]
2.1 Definición de Perfiles.
1. Modulo de Afiliaciones
Coordinador Mesa Control Afiliaciones -
Sucursal
Actividad-Cargo Auditor Comité Auxiliar - Recepción documentos Agrupadora
Médico medico Medico
Sucursal Oficina l Oficina II - Verificación documentos Agrupadora
- Marcación de empresas especiales
X
Marcar en el
Sistema la IPS - Asignación de lotes a cada digitador
por Auditor - Verificación de afiliación Vs. Rezago
X X X
Consulta de - Recepción solicitudes antigüedad otras
Auditor fechas e
IPS asignadas
EPS
para acreditación - Generación de bonos a pedido
X X
Consultar en Figura 2 Muestra de la propuesta de perfiles definidos
Sistema datos
para acreditación
X X
Registrar informe
de acreditación 2.1.3 Definición de Roles Base de
en Sistema
Datos
X X X
Elaboración
respuesta Finalmente se realizo un exploración del
acreditación
prestatario código de cada una de las opciones del
sistema definiendo los tipos de acceso
X X
Generar listado
de IPS a
reacreditar
requeridos a la base de datos de acuerdo a
la labor a realizar (UPDATE, DELETE,
Figura 1. Matriz para definición de perfiles
INSERT, SELECT ), determinando así los
roles para la base de datos Oracle,
estableciendo una relación uno a uno entre
2.1.2 Asignación de Opciones por los roles y los perfiles requeridos.
Perfil
Después de identificadas las labores a 2.2 Herramientas de Asignación de
realizar por cada perfil, se definió una Perfiles.
matriz donde se relacionaba cada actividad Con el fin de realizar una optima
a realizar con la opción u opciones administración de perfiles se decidio
especificas necesarias para la misma en la adaptar adaptar las librerías predefinidas
aplicación incluyendo los tipos de acceso en el PFC PowerBuilder para la
necesarios para su ejecución (modificación administracion de seguridad la cuales
o consulta). permiten la administración de usuarios y
La propuesta de perfiles se presento a las perfiles e interactuan adecuadamente con
áreas lideres para su revisión y la base de datos Oracle. Solo se requería
aprobación, después de su aprobación se del ingresode algunas líneas de código
procedió a implementar los mismos adicionales al inicio de cada una de las
utilizando la herramienta de asignación de ventanas que se deseaba administrar, se
perfiles definida para el caso (ver Numeral tomo como base este producto y se
2.2). en la figura 2 se presenta una muestra implementaron además otras
de uno de los perfiles definidos durante el características adicionales buscando
proceso. desarrollar un Sistema de Información,
que permita la administración de la
seguridad del Sistema de manera
centralizada.
- Alerta a personal clave sobre la
alteración de campos altamente
Las Características del sistema de sensitivos por fuera de rangos
administración de usuarios Pentágono son preestablecidos.
las siguientes
- Herramienta de usuario final de fácil El sistema de administracion de seguridad
administración. inicialmente se realiza el registro de los
- Centraliza y controla la creación y objetos seleccionados para la
administración de los usuarios a nivel administracion de seguridad, debido a que
nacional. no necesariamnete todas las ventanas u
- Permite llevar un registro de las opciones del sistema requieren de
transacciones realizadas por cada uno controles de seguridad. En la figura 3 se
de los usuarios . muestra la pantalla inicial donde a traves
- Chequeo y registro de los mas del sistema pentagono se exploran las
recientes ingresos por usuario, permite librerias del aplicativo a ser registrado
dar de baja cuentas no usadas durante
un determinado período de tiempo.
- Restricción de acceso en tres niveles
Opciones menú, Carpetas, Campos.
- Generación de procesos de cambio
regular de contraseñas y anexo de
rutinas de verificación de la
complejidad de la contraseña.
- Registro accesos y eventos sobre
opciones y procesos críticos.
- Permite detectar cambios en los
niveles de seguridad inicialmente
configurados reportando cualquier
evento a los responsables de la
administración de seguridad, a los
jefes inmediatos y a auditoría
- Aplicación y verificación de las Figura 3 Ventana donde se selecciona la aplicación a
políticas y estándares establecidas para registrar
el diseño de password (edad de la
cuenta, chequeo en diccionarios, Despues de elegida la librería a ser
chequeo de reutilización, chequeo de registrada el sistema muestra todos los
longitud) objetos presentes en ella para elegir el
- Escaneo de intentos de conexión objeto especifico a ser escaneado.(Ver
fallidos y cancelación de la cuenta, Figura 4). Con este proceso se registra en
reporte de este evento una tabla de la base de datos la
- Comparación con la historia de informacion de todos los objetos
password del Usuario contenidos en la ventana a ser
- Registro no solo de las ventanas administrada y permite a traves de la
alteradas sino de las campos asignacion de algunos valores especificos
específicos al igual que el anterior en el campo de estado del elemento la
valor. opcion de habilitarlo, deshabilitarlo, o no
mostrarlo.
Figura 6 Ventana de creación de usuarios y
asignación de perfiles
Figura 4. Ventana donde se selecciona el objeto a
registrar 2.3 Herramienta de seguimiento y
Auditoria.
Una vez definidos los perfiles y la
seguridad a nivel del aplicativo, se
Despues de que los objetos se encuentran necesito diseñar una herramienta que
registarados en el sistema se procede a la permitiera activar rastros de auditoria
asignacion de permisos a cada uno de los sobre la base de datos Oracle,
perfiles diseñados (Ver Figura 5) considerando que la auditoría del sistema
se debe diseñar para rastrear las
actividades de los usuario, los usuarios
que accedan al sistema debe dejar un
rastro que debe poder seguido por el
administrador de seguridad con el fin de
determinar las responsabilidades del
usuario en cualquier evento de seguridad.
[2]
Los rastros de auditoria deben mantener
un registro de las actividades realizadas
por cada usuario en cualquier sistema
aplicación o proceso y deben garantizar la
identificación del responsable del evento,
la reconstrucción del evento, y detección
de accesos no autorizados.[3]
Figura 5 Ventana de activación y desactivación de Por lo cual se definieron las siguientes
Permisos Características como necesarias para la
aplicación de administracion de rastros de
Auditoria:
Finalmente en la Figura 6 se muestra la
pantalla donde se realiza la creacion de los Figura 1 Ventana de Selección del Objeto a auditar
usuarios y los perfiles asi como la
asignacion de cada usuario a su perfil - Configuracion intuitiva de las Tablas a
indicado. Auditar con sus respectivos Campos a
guardar, por evento de Actualización,
Inserción o Borrado e indicando para con el fin de definir las tablas sobre las
cada caso los usuarios especificaos a que se desea hacer el seguimiento (Ver
ser auditados. Figura 7).
- En el evento de Modificación (Update)
debe validar los campos de la tabla que
disparan el rastro. (para no llenar la
pista con actualizaciones poco
relevantes que no permitan hacer una
gestión oportuna).
- La Generación de los triggers sobre el
esquema Auditado se debe realizar
automáticamente desde la aplicación
de auditoria, permitiendo alterar la
configuración deseada por el
administrador de seguridad sin
depender del personal de sistremas.
- Las pistas deben incluir los siguiente Figura 7 Navegacion en esquemas y Usuarios
datos: Fecha con Horas, Minutos y
Segundos; la tabla; la aplicación Una vez seleccionada el usuario y la tabla
utilizada; Usuarios de Oracle y de a ser auditada el sistema muestra la tabla y
Sistema Operativo; el evento y el sus campos con el fin de poder especificar
contenido actual y anterior de los cuales seran los campos de interes tanto
campos seleccionados en la para su seguimiento como para su
configuración [3]. inclusion en el rastro (figura 8).
- Las pistas deben poderse generar
facilmente hacia archivos Planos,
validación de Copias, Importación y
depuración de sus datos, optimizando
espacio en disco.
- Np deben presentarse restricciones con
tablas que tengan triggers de inserción,
borrado o modificacion.
Una vez definida la herramienta a utilizar
se levanto la informacion con los usuarios
con el fin de definir de mejor manera las
pistas a ser elaboradas para su seguimiento
considerando que la responsabilidad para
definir la clasificación de la información
deberia ser tanto del dueño de la
Figura 8 Deninicion del Rastro de Auditoria
información como del área encargada de la
seguridad informática en la organización
[4]
Dentro de las carectiristicas de opercion
3. Resultado. La ejecución de las labores
del sitema de rastros de Auditoria se
aquí presentadas permitió la definición
encuentra los siguiente:
adecuada de los perfiles requeridas a
Permite la navegacion por los diferentes
nivel nacional, la herramienta de
esquemas y usuarios de la base de datos
asignación de estos perfiles en el Juan Carlos Giraldo Vidal, Ingeniero
aplicativo, y un herramienta final de Industrial Egresado de la Universidad
seguimiento y auditoria de las labores del Valle, en la actualidad ejerce el
realizadas por los usuarios en el cargo de administrador de seguridad
sistema, todo esto con herramientas y de Coomeva E.P.S.
metodológicas desarrolladas dentro de Carlos Alberto Agudelo , Ingeniero de
la organización. Este modelo se Desarrollo Coomeva E.P.S.
encuentra en estos momentos en
operación en la organización 6. Referencias
garantizando unos niveles óptimos de [1] Jose Dagoberto Pinilla . Auditoria
seguridad y control. Informática ‘ Aplicaciones en
Producción’ Pag 97
4. Conclusiones. [2] Tom Sheldon, Manual de
Se presenta un trabajo donde se realizo Seguridad para Windows NT [pag 51]
un diseño de seguridad a muy bajo [3] Políticas de seguridad informática
costo y que garantiza un adecuado del sector financiero colombiano,
nivel de seguridad para una aplicación Asobancaria Noviembre de 2001
de misión critica . numeral 1.4 Datos
Se pueden implementar buenos [4] Marianne Swanson-Barbara
esquemas de seguridad sin requerir de Guttman,Generally Accepted
grandes inversiones por parte de las Principles and Practices for Securing
organizaciones Information Technology Systems
5. Autores