Implementaciones INEGI by CP6oI6v

VIEWS: 81 PAGES: 71

									Seguridad de la Información
       Implementación en el INEGI



       XXX REUNIÓN NACIONAL
       CIAPEM, CHIHUAHUA
       7 de septiembre 2006




       Angélica Valdivia Martínez
       Directora de Investigación y Desarrollo de
       Tecnologías de Información y
       Comunicaciones
       INEGI
Agenda



•   Acerca del INEGI
•   Plan de seguridad
•   Infraestructura
•   Proyectos soportados
•   Caso de estudio
•   Hacia donde vamos
Acerca del INEGI


El INEGI es un órgano desconcentrado de la
Secretaría de Hacienda y Crédito Público, en
proceso de tener autonomía técnica y
administrativa para coordinar los sistemas y
servicios nacionales de Estadística y de
Información Geográfica y generar la información
estadística y geográfica de interés nacional.

     Información: el activo más valioso
   Repositorio de información estadística y
              geográfica del país.
Plan de seguridad
Principios básicos


   Integridad                        Disponibilidad




                  Confidencialidad
  No alteración                      Información
      de la                           disponible
  información                        cuando sea
      en su                           requerida.
   contenido.      Acceso a la
                   información
                  por la persona
                    autorizada.
Esquema del plan de seguridad

  Basado en las medidas de seguridad de la
             Norma ISO 17799
                           1. Política de Seguridad
                                                                                  Como nos
                 2. Estructura Organizativa para la Seguridad
                                                                                  organizamos
                     3. Clasificación y Control de Activos




4. Seguridad          5. Seguridad         6. Gestión de
  Ligada al           Física y del        Comunicaciones        8. Desarrollo y   Como lo
  personal               Entorno           y Operaciones        Mantenimiento     vamos a
                                                                 de Sistemas      hacer

                  7. Control de Accesos

               9. Administración de Continuidad de Operaciones                    Contingencia y
                                                                                  Seguimiento
                              10. Cumplimiento
Tareas específicas del plan

1.    Política de seguridad del Instituto
2.    Aspectos organizativos para la seguridad
3.    Clasificación y control de activos
4.    Seguridad ligada al personal
5.    Seguridad física y del entorno
6.    Administración de comunicaciones y operaciones
7.    Control de acceso
8.    Desarrollo y mantenimiento de Sistemas
9.    Administración de continuidad de operaciones
10.   Monitoreo del cumplimiento de los objetivos
1. Política de seguridad del Instituto


   Consiste en integrar un documento
   cuyo propósito es el de dirigir y dar
   soporte a la administración de la
   seguridad de los activos de
   información del INEGI.
1. Política de seguridad del Instituto


 Documentos:
• Política de seguridad
• Norma de equipo de cómputo personal
• Norma de servidores de cómputo
2. Aspectos organizativos de la seguridad



    Su propósito es el determinar y
    asignar los roles y las
    responsabilidades que permitan
    coordinar la implantación y
    administración del SSII.
2. Aspectos organizativos de la seguridad



  Acciones:


 • Definición del área de Seguridad
   Informática
 • Definición de roles y responsabilidades
Administración de la seguridad



  •   Administración de políticas y normas
  •   Análisis de vulnerabilidades
  •   Investigación
  •   Respuesta de incidentes
  •   Áreas involucradas:
      - Sistemas operativos - Bases de datos
      - Comunicaciones      - Desarrollo de sistemas
      - Software            - Electromecánica
3. Clasificación y control de activos



   Consiste en definir e implantar un
   método de clasificación de los
   activos de información del Instituto
   que nos permita su plena
   identificación para su salvaguarda.
3. Clasificación y control de activos


 Documentos:


• Inventario y clasificación de activos del
  Centro de Cómputo.
4. Seguridad ligada al personal




Su propósito es promover una cultura
de seguridad en el personal del
Instituto y así reducir riesgos de
errores humanos.
4. Seguridad ligada al personal
Fomento de la cultura de seguridad
del personal:
• Campaña de sensibilización
• Establecimiento de la semana anual de la seguridad
  de información
• Capacitación del personal sobre medidas de
  seguridad
• Pláticas informativas sobre tópicos seguridad
• Artículos en Boletín de Informática, en Intranet y
  conferencias de Miércoles de tecnología
• Capacitación especializada de los responsables de
  seguridad
5. Seguridad física y del entorno



Consiste en identificar e implantar
mecanismos de control de acceso a
las instalaciones para evitar
intrusiones a las instalaciones a fin
de evitar pérdida, robo, daño de los
bienes o interrupción de las
actividades.
5. Seguridad física y del entorno

Mecanismos implementados:
• Control de acceso mediante dispositivos
  biométricos
• Políticas de control de acceso al Centro de
  Cómputo
• Suministro de energía regulada e
  ininterrumpida para equipo de cómputo
• Control de entrada y salida de equipo de
  cómputo de las instalaciones del Instituto
• Centralización de servidores de misión crítica
  en Centros de Cómputo
6. Admon. de comunicaciones y operaciones




Su propósito es asegurar la operación
correcta y segura de los recursos de
tratamiento de la información del
Instituto.
6. Admon. de comunicaciones y operaciones



Medidas implementadas:

•   Control de cambios
•   Separación de recursos y responsabilidades
•   Protección contra software malicioso
•   Procedimientos de respaldo
•   Seguridad del correo electrónico
•   Autorización de la información pública
7. Control de accesos



Su propósito es diseñar e implantar
mecanismos de aseguramiento de
accesos a la información, a fin de
proteger los activos de información
contra accesos o divulgación no
autorizados.
7. Control de accesos

Mecanismos aplicados:

• Cuentas únicas para usuarios
   – Autenticación para acceso a los servicios de red
   – Autenticación para acceso a las aplicaciones
• Recursos Humanos del GRP -> Directorio Activo
• Desactivación de cuentas de forma automática
• Contraseñas robustas
• Bloqueo de las computadoras personales
8. Desarrollo y mantenimiento de sistemas




  Consiste en implementar esquemas y
  prácticas que nos permitan crear
  sistemas de información seguros y
  confiables, incluyendo los requisitos
  de seguridad como parte del proceso
  global para un sistema de
  información.
8. Desarrollo y mantenimiento de sistemas



  Acciones realizadas:

  • Homogenización de la plataforma de
    desarrollo (J2EE y .Net)
  • Implementación de la plataforma de
    servidores de aplicaciones (OAS y IIS)
  • Pruebas a los sistemas (Centro de pruebas)
  • Control de versiones
9. Admon. de continuidad de operaciones



 Su finalidad es implantar un proceso
 de gestión de continuidad de las
 operaciones del Instituto para reducir,
 a niveles aceptables, las
 interrupciones causadas por los
 desastres y fallos de seguridad
 mediante una combinación de
 controles preventivos y de
 recuperación.
9. Admon. de continuidad de operaciones

 Acciones:
 • Documentación de procesos de operación
 • Plan de contingencia para proyectos
   especiales (Censos Económicos, Conteo,
   etc.)
 • Plan de continuidad y contingencia del
   Centro de Cómputo
    – Identificación de aplicaciones críticas
    – Identificación de recursos tecnológicos
      asociados a las aplicaciones
    – Identificación de escenarios de servicios
      que soportan las aplicaciones críticas
10. Monitoreo del cumplimiento



Establecer mecanismos de
verificación de aplicación de las
políticas y los controles de seguridad
establecidos en el SSII.
10. Monitoreo del cumplimiento




• Supervisión del cumplimiento de la
  normatividad por parte del Órgano Interno de
  Control.
Infraestructura
Arquitectura



      Desarrollo     Preproducción   Producción




                       Pruebas



                     Sistema de
                   Almacenamiento
Infraestructura
Almacenamiento y respaldos


Nivel 0: SAN discos con nivel de Raid 5

Nivel 1: SAN Respaldos incrementales

Nivel 2: SAN copia de discos a otro Raid Group

Nivel 3: SAN Replicación al sitio alterno               SAN




                                     Almacenamiento
                                                                    Respaldo
                                                      CX500
                                                           CDL300
Infraestructura
Sitio alterno

  INEGI Aguascalientes               Sitio Alterno




       SAN               MPLS-VLAN         SAN




    CX500                               CX500
            CDL300                              CDL300
Infraestructura
Monitoreo para detección de intrusos

• Inspecciona toda la actividad entrante y saliente
  de la red, e identifica patrones sospechosos que
  pueda indicar un ataque.



                                 •IDS basados en Red
                                 •IDS basados en Host
Algunos Proyectos
   Soportados
Encuestas por Internet
•   Encuesta Nacional de la Industria de la Construcción ENICO
•   Estadística Mensual de la Industria Maquiladora de Exportación
    EMIME
•   Encuesta Industrial Mensual EIM
•   Encuesta Mensual de Establecimientos Comerciales EMEC
•   Encuesta Mensual de Servicios EMS
•   Encuesta Nacional de Empresas Constructoras (nuevo cuestionario)
    ENEC
•   Encuesta Mensual de Opinión Empresarial EMOE
•   Estadística Mensual de la Industria Minero Metalúrgica EMIMM
•   Inventario de Recursos de las Tecnologías de Información y
    Comunicaciones en la Administración Pública Federal IRTICAPF
•   Encuesta sobre Formación de Recursos Humanos en Tecnologías de
    Información y Comunicaciones EFRHTIC
•   Encuesta sobre Investigación y Desarrollo en Tecnología de
    Información y Comunicaciones EIDTIC
Encuestas por Internet
Seguridad
                              Encriptada         INEGI
                              Internet                     Balanceador de
                               (SSL)                       aplicaciones a
                                                             servidores


      Encuesta                                              Servidores de
                    Usuario                                  aplicaciones



  Características             Servidor de base
                                  de datos                  SAN

•Comunicación segura
•Redundancia en servidores de aplicaciones
•Almacenamiento consolidado
                                                 Almacenamiento
                                                                  Respaldo
Data Warehouse Estadístico
Seguridad


•   Control de acceso a los sistemas
•   Control de cambios en sistemas
•   Protección contra software malicioso
•   Procedimientos de respaldo
•   Autenticación de la información publicada
Data Warehouse Estadístico
Acceso a la información por usuarios
internos

• Cuentas únicas para usuarios
• Autenticación para acceso a los servicios de
  red
• Desactivación de cuentas a los 3 días de
  salida
Data Warehouse Estadístico
Acceso a la información por usuarios
externos
• Redes Privadas Virtuales (VPN) – IPSec
  – Bases de datos
  – Aplicaciones
     • Asistente Generador de Consultas


• Sitio del INEGI en Internet
  – Aplicaciones
     • Consulta multidimensional de datos (Cubos)
     • Cuadros estadísticos
Data Warehouse Estadístico
Usuarios externos. Conexión remota (VPN)

INEGI


                                       Encriptado


        Internet             Algoritmo: 128 bits 3DES
                             Enlace punto a punto
                             Auditoría de accesos

                   Usuario
Data Warehouse Estadístico
Auditorías

• Los accesos a la información del Data
  Warehouse Estadístico son auditados por
  mecanismos del servidor de Base de Datos.

                         Cuenta
                         Fecha de inicio y término
                         Terminal de acceso
                         Cliente utilizado
                         Intentos de acceso
Data Warehouse Estadístico

Con el fin de minimizar el riesgo de modificación
o alteración de la información, las bases de datos
de los proyectos que son liberados por el
Administrador del Data Warehouse para su
consulta son puestas de solo lectura.


                 Data Warehouse Estadístico




                       READ ONLY
Data Warehouse Estadístico
Principio de confidencialidad

• El artículo 38 de la Ley de Información
  Estadística y Geográfica, indica que no podrán
  comunicarse, en ningún caso, en forma
  nominativa o individualizada, los datos e informes
  que los particulares proporcionen para fines
  estadísticos    o    provengan     de     registros
  administrativos o civiles.

  Estas consultas se realizan a través del
  Asistente Generador de Consultas.
Data Warehouse Estadístico
Asistente Generador de Consultas
 Data Warehouse
   Estadístico




                        Asistente Generador de Consultas




            Red Privada Virtual              Intranet




                  Usuario
 Data Warehouse Estadístico
 Consulta Multidimensional de Datos
Bases de datos de salida
 para Internet en cubos




                           Consulta Multidimensional de Datos
                              Consulta Dinámica de Cubos




                                                  Internet




                                                    Usuario
     Data Warehouse Estadístico
      Consulta Multidimensional de Datos
       Arquitectura
                     Ambiente de preproducción                        Ambiente de producción
                                                                      http://www.inegi.gob.mx
Desarrollo              Servidor de
                        aplicaciones

                                          Windows                              Windows

                        Servidor de
                          cubos                            Transferencia
         Centro de
          pruebas
                                       Analysis Services                    Analysis Services




                                                                             Sistema de
                                                                           Almacenamiento
II Conteo de Población y Vivienda

• 1,100 oficinas equipadas informáticamente
  y conectadas vía Internet a la Red INEGI
• 50,000 entrevistadores
• 10 centros de captura de información
  conectados a Red INEGI
• 2 centros de procesamiento respaldados
  entre sí
• Sistemas de información para:
  levantamiento, procesamiento, integración a
  datawarehouse y diseminación en cubos
   II Conteo de Población y Vivienda
   Seguridad
                                                  Respaldo
                       Dirección Regional A                      Dirección Regional B




             Características                             WAN
                                                        INEGI
• Respaldo de información en 3 sitios distintos                  Oficinas Centrales
•Almacenamiento consolidado

                                                                BD


                                                  SAN

                    Esquema de Respaldos                             Sitio Alterno
Sistema Integral de Administración (GRP)

Ventanilla de                                Control de acceso
  servicios
                                              Capital humano
                        Recursos
                        Humanos                Nómina

 Reclutamiento                               Capacitación

       Contrataciones   Prestaciones   Asuntos laborales




   Recursos                                    Recursos
   Materiales                                 Financieros

                         ESQUEMA
                                          Constructor de
  Mantenimiento de          DE
                                            consultas
     catálogos          SEGURIDAD
Censos Económicos 2004

                                                 SALAS DE CAPTURA




                            OFICINAS CENTRALES

JEFATURAS DE
ZONA




                                                          SEGUIMIENTO EN CAMPO DE
           Sincronizar                                    JEFATURAS DE GRUPO Y
           PDA y PC                                       JEFATURAS DE ZONA




PDA                      INTERNET                        CUESTIONARIO EN PAPEL




                          FUENTES INFORMANTES
Censos Económicos 2004
Seguridad
                              Oficinas
                              Centrales
                                                                      Definición de
                                                                      Virus
                                     Consola AV                       Symantec
                                     Symantec

 Coordinaciones                                         Direcciones
 Estatales                                              Regionales
                                                                        Consola AV

           Consola AV
                                      …                                 Symantec
                                                                       Servidor
           Symantec                                                    captura




           …                              …                           …
                        F&P    EXCHANGE    C. LIGEROS       Cliente          Cliente
                                                            Captura          Captura
Piloto de los Censos Agropecuarios


• Captación de información utilizando PDA’s
• Sitios bajo diferentes condiciones
  geográficas
• Integración de la información a través de
  la Red INEGI
• Descarga de aplicaciones a través de
  páginas seguras en Internet
Servicio de correo electrónico

Comunicación segura vía SSL




                                    Outlook
                   Internet         USUARIO
Acceso a Correo     (SSL)
Vía Internet
(OWA)               Encriptada

                                 Servidores
Servicio de correo electrónico

Redundancia en servidores de
correo

                                                   Outlook     USUARIO




              Activo             Activo               Activo       Pasivo




    Cuentas Especiales     Mandos Medios       Tec. Operativo
    Presidencia y CA       Director Área
    Directores Generales   Subdirectores y Jefes
    y Adjuntos
Servicio de correo electrónico

Correo electrónico seguro (PKI)



                                                              Para leer el documento
Para cifrar el documento
                                                              se usa la llave privada
(confidencialidad) se usa la
llave pública del destinatario      *@%01<l[*...              del destinatario.
y para firmar el documento
(autenticidad) se usa el
                                   Documentos
certificado del remitente.          cifrados y
                                    firmados

                             Servicio restringido a correo interno
Control de acceso a las instalaciones
    Control de acceso a las instalaciones

Circuito Cerrado de Televisión (CCTV)

•   Cámaras fijas
•   Cámaras móviles
•   Domos
•   Grabadoras digitales de vídeo
•   Consola de monitoreo
•   Red de comunicaciones
•   Software especializado
       Caso de Estudio:

Implantación de las herramientas
   de seguridad de Symantec
  Problemática general

• Aparición y proliferación de código malicioso
  – Virus, Troyanos, Puertas Traseras y Gusanos
• Incremento de la recepción de correo no deseado
  – Spam
  – Retención de correo válido (falsos positivos)
• Incremento de la complejidad en la administración
  – Instalación y administración de las herramientas de
    prevención y protección (3,000 PC y 150 servidores)
  – Actualización de firmas virales
  – Administración de servicios de correo electrónico para
    asegurar continuidad y la eficiencia en envío y recepción de
    mensajes
  – Ampliación de la cobertura de Soporte Técnico
Evaluación de alternativas

Estudio de sistemas de protección que
permitieran disminuir los riesgos de:

  • Pérdida de información
  • Interrupción de los servicios por problemas
    de código malicioso
  • Denegación de los servicios de correo
    electrónico e Internet
  • Saturación del área de almacenamiento
    (buzón) por correo no deseado (Spam)
Criterios de selección

Los principales criterios de selección fueron:

  • Facilidad en la administración. Se pretendió
    la gestión de las herramientas de seguridad
    en forma automatizada.
  • Actualización oportuna de la firmas, tanto
    para antivirus como antispam.
INEGI - Symantec


 • La     herramienta   que    cumplió    los
   requerimientos (comprobada en laboratorio)
   fue Symantec Antivirus Corporate Edition y
   Symantec Mail Security.

 • Se evaluaron tanto la parte técnica como las
   ventajas de soporte y precio.
Implementación

• Se inició la implementación como parte de la estrategia
  de seguridad de los Censos Económicos 2004.
• Posteriormente se amplió a todos los equipos del
  instituto.
• Proceso de capacitación.
                             Oficinas
                             centrales               Firmas
                                                     virales
               Direcciones
               Regionales
 Implementación

AntiVirus


                                •Actualización centralizada firmas virales
                                •Filtrado de Contenido
Symantec Mail Security 5.02
para Exchange



                                •Anti-spyware
                                •Anti-adware
Symantec Client Security 3.02   •Consola de administración y actualización de
                                firmas virales
   Implementación

  AntiSpam

                                                    AntiSpam                   Internet
            AntiSpam/AntiVirus
                                                  Appliance 8260



                        Exchange

                                                              Filtrado de correo entrante
AntiVirus
             Exchange              Se actualiza de forma automática, oportuna y segura en
                                   intervalos de entre 5 y 10 minutos.

AntiVirus                          Impide falsos positivos con una precisión del 99,9999 por
            Exchange               ciento (menos de 1 falso positivo por cada millón de
                                   mensajes).
Qué se logró

 Algunos logros resultado de la
 implementación han sido:

  •   Administración centralizada
  •   Actualización automatizada de firmas
  •   Reducción de incidentes de virus
  •   Reducción de falsos positivos en correo
  •   Menor tiempo de soporte técnico
Hacia donde vamos


 • Autenticación siempre y cuando se cuente
   con la configuración básica
Hacia donde vamos
Monitoreo para detección de intrusos

• Inspecciona toda la actividad entrante y saliente
  de la red, e identifica patrones sospechosos que
  pueda indicar un ataque.



                                 •IDS basados en Red
                                 •IDS basados en Host
    Hacia donde vamos
   Distribución de actualizaciones




                                       Servidor de
                                     Actualizaciones




Administrador

                      Computadoras
                      personales
                                            Servidores
   Hacia donde vamos
  Certificación de archivos en Internet
                    INEGI                                                  USUARIO

    Información sin firmar




     Se firman
                                                     Internet
                              Se publican                                  Lee los documentos:
                                                     Información firmada   -Desde su Office normal.

               Certificado                                                 -Puede verificar la
                                                                           autenticidad del
                 Digital                                                   documento.
                                                                           -Si modifica el
                                                                           documento original, la
Autoridades certificadoras comerciales reconocidas                         firma se invalida.
Hacia donde vamos
Campaña de sensibilización en seguridad
                                     Correos
•   Política de seguridad
•   Normatividad                     Intranet
•   Buenas prácticas
•   Estándares
•   Recomendaciones                  Trípticos
    tecnológicas y no tecnológicas
                                     Carteles
    Empleados    Visitantes


                                     Pláticas
                                     Informativas
Conclusión



 La integridad y oportunidad en la
 entrega    de    la    información    es
 fundamental para la función que realiza
 el INEGI y ha permitido brindar
 confianza y seguridad en la toma de
 decisiones de los diferentes sectores de
 la sociedad.
        Gracias por su atención

              Angélica Valdivia Martínez
Dirección de Investigación y desarrollo de Tecnologías
          de Información y Comunicaciones
        Email: angelica.valdivia@inegi.gob.mx
                  Tel: (449) 910 4389



                 ¿Preguntas?

								
To top