Diseño del Esquema de Seguridad Informática para Coomeva E.P.S

Juan Carlos Giraldo V. Departamento de Seguridad Informática, Coomeva E.P.Se-mail: juanc_giraldo@coomeva.com.co

Febrero 2002

ResumenEn este documento se presentan las actividades realizadas con el fin de definir el esquema de seguridad sobre el aplicativo que soporta la operación de Coomeva E.P.S a nivel nacional, adicionalmente se presentan dos herramientas desarrolladas o adaptadas durante el proyecto que facilitan la administración de seguridad de todo tipo de aplicaciones desarrolladas en PowerBuilder y la activación optima de rastros de auditoria sobre bases de datos Oracle.

Palabras ClaveSeguridad, Oracle, PowerBuilder, PFC Auditoria, Rastros de Auditoria, Zentinella, Pentagono.

1. IntroducciónCon el fin de definir un nivel de seguridad adecuado a las necesidades de Coomeva E.P.S y tratándose de un desarrollo propio se definieron tres labores primordiales a ser desarrolladas :- Definir un proceso de recolección de

información que garantice una adecuada definición de perfiles de acceso a la aplicación a la medida de la organización.

- Buscar o desarrollar una herramienta que facilitara la administración y asignación de los perfiles dideñados

- Buscar o desarrollar una herramienta que facilitara el control y seguimiento de las modificaciones realizadas sobre los datos.

2. Contenido

2.1 Definición de Perfiles.Por ser Coomeva E.P.S una organización de carácter nacional cuenta con una estructura con sucursales y oficinas además las oficinas se clasifican en dos tipos de oficinas de acuerdo al tamaño de la población asignada. Por la anterior iguales cargos en distintas oficinas requerían de unos privilegios diferentes, se necesitaba entonces definir labores especificas de acuerdo al cargo y la oficina del funcionario.2.1.1 Estandarización de los perfilesMediante la definición de los estándares del Sistema y en un trabajo multidisciplinario en el que intervinieron las áreas de Eficiencia y productividad, los lideres usuarios, auditoria interna y seguridad informática, se definieron todas las tareas soportadas por el sistema de información asignándole a cada una de ellas el cargo o cargos responsables de su ejecución de acuerdo al tipo de la oficina del funcionario. (en la figura 1 se presenta una muestra de la matriz que se definio para esta labor).Una vez definidas todas las actividades a realizarse en el sistema y asignados los responsables en cada sucursal u oficina se realizo la definición y unificación de los perfiles estándar de la organización.Considerando los siguientes puntos como fundamentales para el desarrollo del trabajo:- Existencia adecuada de seguridades

físicas en cada uno de los puestos de trabajo

- Verificación de controles Efectivos en los puntos vulnerables del sistema

- Existencia de una adecuada segregación funcional [1]

Actividad-Cargo Auditor

Médico Sucursal

Comité medico Oficina l

Auxiliar Medico

Oficina IIMarcar en el

Sistema la IPS por Auditor

XConsulta de

Auditor fechas e IPS asignadas

para acreditación

X X XConsultar en

Sistema datos para acreditación

X XRegistrar informe de acreditación

en SistemaX X

Elaboración respuesta

acreditación prestatario

X X XGenerar listado

de IPS a reacreditar

X XFigura 1. Matriz para definición de perfiles

2.1.2 Asignación de Opciones por Perfil

Después de identificadas las labores a realizar por cada perfil, se definió una matriz donde se relacionaba cada actividad a realizar con la opción u opciones especificas necesarias para la misma en la aplicación incluyendo los tipos de acceso necesarios para su ejecución (modificación o consulta).La propuesta de perfiles se presento a las áreas lideres para su revisión y aprobación, después de su aprobación se procedió a implementar los mismos utilizando la herramienta de asignación de perfiles definida para el caso (ver Numeral 2.2). en la figura 2 se presenta una muestra de uno de los perfiles definidos durante el proceso.

Figura 2 Muestra de la propuesta de perfiles definidos

2.1.3 Definición de Roles Base de Datos

Finalmente se realizo un exploración del código de cada una de las opciones del sistema definiendo los tipos de acceso requeridos a la base de datos de acuerdo a la labor a realizar (UPDATE, DELETE, INSERT, SELECT ), determinando así los roles para la base de datos Oracle, estableciendo una relación uno a uno entre los roles y los perfiles requeridos.

2.2 Herramientas de Asignación de Perfiles.

Con el fin de realizar una optima administración de perfiles se decidio adaptar adaptar las librerías predefinidas en el PFC PowerBuilder para la administracion de seguridad la cuales permiten la administración de usuarios y perfiles e interactuan adecuadamente con la base de datos Oracle. Solo se requería del ingresode algunas líneas de código adicionales al inicio de cada una de las ventanas que se deseaba administrar, se tomo como base este producto y se implementaron además otras características adicionales buscando desarrollar un Sistema de Información, que permita la administración de la seguridad del Sistema de manera centralizada.

Las Características del sistema de administración de usuarios Pentágono son las siguientes- Herramienta de usuario final de fácil

administración.- Centraliza y controla la creación y

administración de los usuarios a nivel nacional.

- Permite llevar un registro de las transacciones realizadas por cada uno de los usuarios .

- Chequeo y registro de los mas recientes ingresos por usuario, permite dar de baja cuentas no usadas durante un determinado período de tiempo.

- Restricción de acceso en tres niveles Opciones menú, Carpetas, Campos.

- Generación de procesos de cambio regular de contraseñas y anexo de rutinas de verificación de la complejidad de la contraseña.

- Registro accesos y eventos sobre opciones y procesos críticos.

- Permite detectar cambios en los niveles de seguridad inicialmente configurados reportando cualquier evento a los responsables de la administración de seguridad, a los jefes inmediatos y a auditoría

- Aplicación y verificación de las políticas y estándares establecidas para el diseño de password (edad de la cuenta, chequeo en diccionarios, chequeo de reutilización, chequeo de longitud)

- Escaneo de intentos de conexión fallidos y cancelación de la cuenta, reporte de este evento

- Comparación con la historia de password del Usuario

- Registro no solo de las ventanas alteradas sino de las campos específicos al igual que el anterior valor.

- Alerta a personal clave sobre la alteración de campos altamente sensitivos por fuera de rangos preestablecidos.

El sistema de administracion de seguridad inicialmente se realiza el registro de los objetos seleccionados para la administracion de seguridad, debido a que no necesariamnete todas las ventanas u opciones del sistema requieren de controles de seguridad. En la figura 3 se muestra la pantalla inicial donde a traves del sistema pentagono se exploran las librerias del aplicativo a ser registrado

Figura 3 Ventana donde se selecciona la aplicación a registrar

Despues de elegida la librería a ser registrada el sistema muestra todos los objetos presentes en ella para elegir el objeto especifico a ser escaneado.(Ver Figura 4). Con este proceso se registra en una tabla de la base de datos la informacion de todos los objetos contenidos en la ventana a ser administrada y permite a traves de la asignacion de algunos valores especificos en el campo de estado del elemento la opcion de habilitarlo, deshabilitarlo, o no mostrarlo.

Figura 4. Ventana donde se selecciona el objeto a registrar

Despues de que los objetos se encuentran registarados en el sistema se procede a la asignacion de permisos a cada uno de los perfiles diseñados (Ver Figura 5)

Figura 5 Ventana de activación y desactivación de Permisos

Finalmente en la Figura 6 se muestra la pantalla donde se realiza la creacion de los usuarios y los perfiles asi como la asignacion de cada usuario a su perfil indicado.

Figura 6 Ventana de creación de usuarios y asignación de perfiles

2.3 Herramienta de seguimiento y Auditoria.

Una vez definidos los perfiles y la seguridad a nivel del aplicativo, se necesito diseñar una herramienta que permitiera activar rastros de auditoria sobre la base de datos Oracle, considerando que la auditoría del sistema se debe diseñar para rastrear las actividades de los usuario, los usuarios que accedan al sistema debe dejar un rastro que debe poder seguido por el administrador de seguridad con el fin de determinar las responsabilidades del usuario en cualquier evento de seguridad. [2]Los rastros de auditoria deben mantener un registro de las actividades realizadas por cada usuario en cualquier sistema aplicación o proceso y deben garantizar la identificación del responsable del evento, la reconstrucción del evento, y detección de accesos no autorizados.[3]Por lo cual se definieron las siguientes Características como necesarias para la aplicación de administracion de rastros de Auditoria:

Figura 1 Ventana de Selección del Objeto a auditar

- Configuracion intuitiva de las Tablas a Auditar con sus respectivos Campos a guardar, por evento de Actualización, Inserción o Borrado e indicando para

cada caso los usuarios especificaos a ser auditados.

- En el evento de Modificación (Update) debe validar los campos de la tabla que disparan el rastro. (para no llenar la pista con actualizaciones poco relevantes que no permitan hacer una gestión oportuna).

- La Generación de los triggers sobre el esquema Auditado se debe realizar automáticamente desde la aplicación de auditoria, permitiendo alterar la configuración deseada por el administrador de seguridad sin depender del personal de sistremas.

- Las pistas deben incluir los siguiente datos: Fecha con Horas, Minutos y Segundos; la tabla; la aplicación utilizada; Usuarios de Oracle y de Sistema Operativo; el evento y el contenido actual y anterior de los campos seleccionados en la configuración [3].

- Las pistas deben poderse generar facilmente hacia archivos Planos, validación de Copias, Importación y depuración de sus datos, optimizando espacio en disco.

- Np deben presentarse restricciones con tablas que tengan triggers de inserción, borrado o modificacion.

Una vez definida la herramienta a utilizar se levanto la informacion con los usuarios con el fin de definir de mejor manera las pistas a ser elaboradas para su seguimiento considerando que la responsabilidad para definir la clasificación de la información deberia ser tanto del dueño de la información como del área encargada de la seguridad informática en la organización [4]Dentro de las carectiristicas de opercion del sitema de rastros de Auditoria se encuentra los siguiente:Permite la navegacion por los diferentes esquemas y usuarios de la base de datos con el fin de definir las tablas sobre las

que se desea hacer el seguimiento (Ver Figura 7).

Figura 7 Navegacion en esquemas y Usuarios

Una vez seleccionada el usuario y la tabla a ser auditada el sistema muestra la tabla y sus campos con el fin de poder especificar cuales seran los campos de interes tanto para su seguimiento como para su inclusion en el rastro (figura 8).

Figura 8 Deninicion del Rastro de Auditoria

3. Resultado. La ejecución de las labores aquí presentadas permitió la definición adecuada de los perfiles requeridas a nivel nacional, la herramienta de asignación de estos perfiles en el

aplicativo, y un herramienta final de seguimiento y auditoria de las labores realizadas por los usuarios en el sistema, todo esto con herramientas y metodológicas desarrolladas dentro de la organización. Este modelo se encuentra en estos momentos en operación en la organización garantizando unos niveles óptimos de seguridad y control.

4. Conclusiones.

Se presenta un trabajo donde se realizo un diseño de seguridad a muy bajo costo y que garantiza un adecuado nivel de seguridad para una aplicación de misión critica .Se pueden implementar buenos esquemas de seguridad sin requerir de grandes inversiones por parte de las organizaciones

5. Autores

Juan Carlos Giraldo Vidal, Ingeniero Industrial Egresado de la Universidad del Valle, en la actualidad ejerce el cargo de administrador de seguridad de Coomeva E.P.S.Carlos Alberto Agudelo , Ingeniero de Desarrollo Coomeva E.P.S.

6. Referencias [1] Jose Dagoberto Pinilla . Auditoria Informática ‘ Aplicaciones en Producción’ Pag 97[2] Tom Sheldon, Manual de Seguridad para Windows NT [pag 51][3] Políticas de seguridad informática del sector financiero colombiano, Asobancaria Noviembre de 2001 numeral 1.4 Datos[4] Marianne Swanson-Barbara Guttman,Generally Accepted Principles and Practices for SecuringInformation Technology Systems