mapserver.sgm.gob.mxmapserver.sgm.gob.mx/WebMaagticSiSGM/documentos/ADS-D… · Web viewCuando los...

Esta información es para uso exclusivo del SGM. El uso e impresión fuera de la intranet se considera COPIA NO CONTROLADA y es responsabilidad de la o el usuario(a) cerciorarse que utiliza la versión vigente.

A partir de la fecha de vigencia quedan sin validez las versiones anteriores, lineamientos, circulares y cualquier otro comunicado, formal o informal, que se haya emitido al respecto.

ADS-D03

www.gob.mx/sgm

PROGRAMA DE CONTINUIDADRF- V3. 04-02-2016 RF.ADS F2/ VERSIÓN INICIAL, VIGENTE A PARTIR DEL 1 DE Febrero DE 2018

ADMINISTRACIÓN DE TICS

Colaboradoras y Colaboradores:Lic. Korina Bianca Cuevas Subdirección de AdministraciónLic. Alberto Garzón Clemente, Titular de la UTICM. en C. Ana Patricia Mora Aguilar, Subgerente de Información TécnicaIng. Luis Martín Sánchez Pérez, Subgerente de Soporte TécnicoM. en C. Gabriela Ulloa Pérez, Subgerente de Desarrollo de SistemasLic. Cristina Jiménez López, Jefa del Depto. de Innovación y CalidadIng. Nayeli Calva Calva

Referencias Normativas:Manual de Identidad Gráfica 2013-2018Políticas y Disposiciones para la Estrategia Digital Nacional, en Materia de Tecnologías de la Información y Comunicaciones, y en la de Seguridad de la Información, así como establecer el Manual Administrativo de Aplicación General en Dichas Materias ( DOF 2014-05-

08)

Sistema de Gestión de la Calidad – Requisitos (ISO 9001:2008/NMX-CC-9001)

Norma Mexicana que Establece los Requisitos para la Certificación de las Prácticas para la Igualdad Laboral Entre Mujeres y Hombres, 4.1.1.1.2/4.1.1.2.2 (NMX-R-025 SCFI-2012 DOF 2012-11-23)



ObjetivoAsegurar que el Servicio Geológico Mexicano esté preparado para responder ante emergencias, mitigar los impactos y recuperarse de ellos, para permitir la continuidad de las infraestructuras críticas, definiendo acciones y procedimientos a ejecutar en caso que ocurran fallas en los elementos de la infraestructura crítica del SGM.

AlcanceEs aplicable para las soluciones informáticas que están disponibles en la Institución y que son operadas por la UTIC.

Establecimiento del Programa de ContinuidadSe implementan cada uno de los programas establecidos por el MAAGTIC SI para llevar a cabo el Programa de Continuidad:

a. Directriz de Administración de Riesgos (ASI-D02)Objetivo: Contar con los elementos metodológicos en la UTIC para efectuar el análisis de los escenarios de riesgos en la Institución, que nos permitan evitar una amenaza o vulnerabilidad se materialice y reaccionar a través de controles definidos como resultado de dicho análisis, con los menores daños y costos posibles en caso de que suceda.

b. Programa de Contingencia de Riesgos (ASI-D04)

Objetivo: Establecer, aplicar y documentar acciones y decisiones en caso de un evento o incidente que tenga un impacto potencial en materia de seguridad de la información para el Servicio Geológico Mexicano.

La situación geográfica del Servicio Geológico Mexicano (SGM) está conformada por Gerencias Regionales (Norte, Centro-Norte, Noroeste, Centro-Occidente, Centro, Sur y Occidente) la Gerencia Central está ubicada en Pachuca aquí se encuentra el Centro de Datos del SGM, los servidores contenidos en el Centro son relevantes para proporcionar los servicios que se mencionan en el Catálogo de Servicios (ADS-D01) así como la mayoría de los elementos de comunicación. En San Luis Potosí se encuentran un Sitio Alterno del cual se hace responsable la Subgerencia de Desarrollo de Sistemas, también se cuenta con dos Centros Experimentales, uno en Chihuahua y el otro en Oaxaca.

Los servicios mencionados en el Catálogo de Servicios (ADS-D01), se describen y detallan sus componentes TIC a detalle, además del costo invertido en cada uno de ellos, como otros aspectos sobresalientes en el Programa de Capacidad (ADS-F01) además de que en el Catálogo de Infraestructuras críticas se valoran los activos de información críticos del SGM.

Acciones para recuperar los servicios, estrategias de recuperación

Definir políticas y procedimientos de respaldo y recuperación de software, datos, equipos y comunicaciones para restaurar las funciones críticas del Instituto.

Elaborar y mantener un directorio de proveedores de los bienes y servicios de TIC. Definir los participantes en la evaluación de los daños en la infraestructura de TIC Estimar el tiempo de reparación o reemplazo de hardware o software afectados o

que presenten fallas en base al impacto que genera y llevar su registro. Reanudar con prioridad los servicios TIC que soportan los procesos identificados

como críticos. Generar un mecanismo de escalación, en caso de ser necesario para el apoyo en la

recuperación de bienes y servicios de la infraestructura TIC. Implementar los mecanismos de administración y control cuando se vea necesarios

después de la falla ocurrida dentro del servicio que se mencionan en el proceso de Administración de la Operación.

Realizar de manera periódica pruebas de recuperación, vulnerabilidad, estrés a los servicios de TIC y registrar los disparadores e incidentes, así como la solución implementada durante la ejecución de la prueba.

www.gob.mx/sgm



En el documento Directriz de Administración de Riesgos (ASI-D02) se muestra el Catálogo de Amenazas Base a Activos de Información del Servicio Geológico Mexicano, así como las evaluaciones de riesgos y sus matrices correspondientes. Es importante que las correcciones realizadas para la revisión de dicho programa se hagan con minuciosidad. Los servicios del Organismo que sean proporcionados por terceros contratados deben disponer de planes de continuidad, para lo cual el funcionario interventor del contrato debe solicitar este documento y remitirlo a al responsable del servicio de TI donde se analizará la cobertura del mismo. Adicionalmente, se debe verificar que los planes, en lo que corresponden a los servicios convenidos, funcionen en las condiciones esperadas, donde el responsable del servicio debe coordinar con el responsable del contrato la ejecución de pruebas a dicho plan.

La Gestión de Seguridad de la Información (ASI-D06) muestra las estrategias, directrices y mecanismos que actualmente se llevan a cabo en el Servicio Geológico Mexicano para dar continuidad a la infraestructura crítica, mientras que en Programa de Contingencia de Riesgos (ASI-D04) se establece el procedimiento de respuesta para la recuperación y aseguramiento de contestación a la contingencia de los activos de la UTIC, así como un análisis preliminar de los daños hacia los mismos.

Es importante mencionar que el resguardo de los respaldos y la documentación requerida para su restauración, así como cualquier otro recurso TIC que sea necesario para la recuperación de los servicios de TIC, están resguardados en el Almacén ubicado fuera de las instalaciones operativas de la institución. A continuación se muestra el diagrama1 los datos para documentar, probar y ejecutar técnicamente la recuperación de un servicio de TIC en caso de desastre y de igual manera los programas de contingencia de TIC, que se ejecutará de manera semestral.

www.gob.mx/sgm

PROGRAMA DE CONTINUIDADAdministración de TICs

Ejecución del plan de pruebas

Diagrama 1 Plan de pruebas

ADS-D03/ V3. 04-02-2016 RF.ADS F2 4/13


El monitoreo y reporte de las infraestructuras críticas de TIC, se realiza mediante la herramienta HYPERSPIN y Hosting del Caribe. Los procedimientos de cada uno de los servicios de TIC describen cada uno de los mecanismos de configuración para mantener en buen estado los servicios de TIC en el proceso de Administración de Operación del MAAGTIC-SI. Cuando los cambios se hacen o son propuestos para el Plan de Continuidad de los Servicios TIC, se debe notificar al coordinador del Plan de Continuidad, esto mediante un control de cambios de dicho plan.Roles y responsabilidadesLa gestión de la continuidad del SGM requiere de una estructura organizacional, encargada de promover el proceso del Programa de Continuidad, los roles y responsabilidades se describen en el Manual de Integración de los Grupos y Equipos de Trabajo de la UTIC (UTIC-D01) como Equipo de Respuesta a Incidentes de Seguridad en TIC (ERISC). Es importante mencionar que cada responsable de las Subgerencias de Soporte Técnico, Desarrollo de Sistemas e Información Técnica se hará cargo del monitoreo de los servicios que le correspondan.

Resultados de las pruebas de recuperaciónDebido a la importancia que representa los trámites y servicios que ofrece el SGM, se toma como base para la prueba de ataque y recuperación al aplicativo que permite la solicitud de los servicios de Certificación de Reservas (SGM-00-001), Contratación de Servicios (SGM-00-002) y Visitas de Reconocimiento (SGM-00-004), este aplicativo está disponible en la Ventanilla Única Nacional en la siguiente URL: https://mapserver.sgm.gob.mx/TramiteServSGM/Index.jsp La prueba se realiza con la finalidad de observar de forma específica el comportamiento del aplicativo al momento de atacar el sitio e incrementar el número de solicitudes que normalmente se realizan, las herramientas utilizadas para la ejecución del plan fueron JMeter y BadBoy.BadBoy permite hacer una grabación de los sitios visitados, para que posteriormente se exporte para su uso, a JMeter, que se encarga de realizar la prueba de estrés, realizando el test en base a la serie de actividades grabadas con BadBoy, el número de hilos, obtener mediante gráficas de rendimiento, tablas entre otras herramientas, los resultados obtenidos durante la evaluación, se muestra en Ilustración 1 el árbol de configuración elaborado con BadBoy:

Ilustración 1 Árbol de configuración con BadBoy

ADS-D03/ V3. 04-02-2016 RF.ADS F2 5/13

https://mapserver.sgm.gob.mx/TramiteServSGM/Index.jsp


Resultados obtenidosSe realizó una prueba con 350 hilos, dejando un lapso de tiempo de 1 segundo de inicio entre cada uno realizando las peticiones indicadas en el árbol de configuración. Se puede observar que el tiempo de respuesta es de 4682 milisegundos (4.6 segundos), no admisible para la cifra total de usuarios concurrentes; un punto relevante y adicional a dar es que la respuesta del aplicativo se alargó más de lo normal, pues se alentaron los procesos en el momento de la prueba y finalmente se interrumpió el funcionamiento normal de la aplicación (véase gráfica 1).

Gráfica 1 Resultados obtenidos

Gráfica 2 Informe de las peticiones realizadas al finalizar la prueba

Se ejecutaron unas serie de pruebas para encontrar el número de usuarios adecuados, se comenzó con una cifra de usuarios reducida, en este caso 50 usuarios concurrentes, para conocer poco a poco el

ADS-D03/ V3. 04-02-2016 RF.ADS F2 6/13


comportamiento del aplicativo y así mismo aumentar la cifra de los mismos hasta observar un rendimiento debajo de lo esperado; por lo que se llegó a la conclusión, de que el caso óptimo de número de usuarios es de 50 y el nivel crítico es de 300 usuarios concurrentes, ya que se observaron detalles en el rendimiento del aplicativo hasta pasmarlo.

Incidencias y Problemas El rendimiento del aplicativo con 350 usuarios concurrentes se vio afectado en la ejecución de las pruebas de estrés, por lo que se vio la necesidad de restablecer los servicios.Para complementar la prueba de estrés se llevó a cabo las pruebas de vulnerabilidad dinámicas y/o estáticas con el software de OWASP ZAP versión 2.7.0 ver fig. 1, entre las pruebas que fueron realizadas son:

Pruebas de Inyección (Ver fig. 2). Miscelánea (Ver fig. 3). Recopilación de información (Ver fig. 4). Seguridad de servidor (Ver fig. 5). Reglas de escaneo pasivo (Ver fig. 6).

Fig. 1 versión de OWASP ZAP versión 2.7.0

ADS-D03/ V3. 04-02-2016 RF.ADS F2 7/13


Fig. 2 Pruebas de Inyección aplicadas al sistema.

Fig. 3 Ataques por medio de iframes y reglas de escaneo activo por Script.

ADS-D03/ V3. 04-02-2016 RF.ADS F2 8/13


Fig. 4 Pruebas de exploración de Directorios.

Fig. 5 Seguridad del servidor.

ADS-D03/ V3. 04-02-2016 RF.ADS F2 9/13


Fig. 6 Reglas de escaneo pasivo aplicadas al analisis de vulnerabilidad del sistema.

Lecciones aprendidasSe mencionan a continuación las lecciones aprendidas durante las pruebas de recuperación:

Para la Subgerencia de Información Técnica : De acuerdo a las pruebas de estrés y vulnerabilidad llevadas a cabo, se tomaron las medidas de prevención, necesarias, como implementar mecanismos de seguridad, de igual manera, se realizaron las configuraciones pertinentes para que de esta forma se puedan ofrecer servicios de calidad al público en general.Para mejorar la seguridad de acuerdo a las pruebas realizadas al aplicativo de Apoyo y asesoría a la pequeña y mediana minería se trabajó en resolver los siguientes puntos, en servidor web Apache 2.4:• Cross-Domain JavaScript Source File Inclusion• X-Content-Type-Options Header Missing• Web Browser XSS Protection Not Enabled

ADS-D03/ V3. 04-02-2016 RF.ADS F2 10/13


Se detectó que las conexiones que se realizaban desde el sistema quedaban abiertas, por lo que se modificó el código para cerrar las conexiones de los ResulSet en las clases que componen al sistema.Se verifico el número de sesiones de usuario en la base de datos que estaban configuradas, se detectó que se tenía por default 300 usuario concurrentes y se aumentó a 1500 usuarioS con la finalidad de que el sistema no bajara su rendimiento. Después fue monitoreado el rendimiento de la base de datos durante las pruebas al sistema y el incremento de usuarios en la base de datos para evitar que se quedaran bloqueados los accesos.

Conclusión generalSe tiene claro que la implementación de un plan de continuidad es de vital importancia para evaluar la capacidad de recuperación de los servicios de la UTIC, es por ello que se irán trabajando con distintos servicios con la finalidad de detectar aspectos sobresalientes que surgen de algún incidente y /o problema, de esta forma identificar la solución empleada para resolver incidentes comunes o no comunes en menor tiempo la próxima vez que se susciten.

Resultados de la ejecución del Programa de ContinuidadA continuación se mencionan los resultados que se esperan obtener con la implementación del Programa de Continuidad en base a planes de pruebas y recuperación.

1. Gestionar adecuadamente los riesgos.2. Mejora de la confianza en la calidad del servicio entre los usuarios.3. Mayor organización entre las áreas para la resolución de problemas e incidentes..4. Involucración entre los responsables de los servicios, así como conocimiento del funcionamiento

de los servicios ajenos a su cargo.Con la finalidad de ir probando diferentes servicios TIC’ ‘s, la próxima prueba se realizara tomando un sistema de la Subgerencia de Desarrollo, por lo que se elaborará un plan de pruebas y de continuidad más detallado para el servicios que se utilice de prueba.

ADS-D03/ V3. 04-02-2016 RF.ADS F2 11/13


Calendarización de revisiones/actualizaciones

La elaboración del análisis se realizó en Pachuca, Hgo., a 31 de Enero del 2018.

Semestre Fecha

Primer 10 de Julio del 2017Segundo 15 de Enero del 2018

Firmas de Elaboración, Revisión y Aprobación de la Revisión semestral del programa

Pachuca, Hgo., a 1 de Febrero del 2018

Lic. Alberto Garzón Clemente M. en C. Ana Patricia Mora Aguilar Ing. Luis Martín Sánchez Pérez M. en C. Gabriela Ulloa Pérez

Titular de la UTIC Subgerente de Información Técnica

Subgerente de Soporte Técnico

Subgerente de Desarrollo de Sistemas

Definiciones

Catálogo de Servicios: Documento donde se enlistan todos los servicios disponibles para los clientes y usuarios.

Nivel de Servicio: Compromiso establecido por las áreas de prestación de servicios de TI y refleja los términos permisibles con los que debe entregarse el servicio.

Infraestructura crítica: Considerado indispensable para la continuidad de las operaciones y servicios del Instituto y cuya falta de ejecución deficiente, puede tener un impacto operacional o de imagen significativo para la institución.

Prioridades en situaciones de recuperación: Clasificación del impacto para asegurar la respuesta adecuada de acuerdo a la situación que se presenta.

Niveles de costos: Gasto económico adecuado que representa la prestación o recuperación de un servicio.

Resistencia: Capacidad de tolerancia a un fallo.

Respuesta: Acciones llevadas a cabo ante un evento adversos para disminuir el impacto.

ADS-D03/ V3. 04-02-2016 RF.ADS F2 12/13


Recuperación: Procesos de restablecer la información o estado de hardware o software dañados para comenzar con las operaciones normales después de un evento adverso.

Historial de modificaciones

Fecha Versión Creado por Descripción de la modificación

11/06/2015 Inicial Banco de DatosIntegración del diagrama de flujo de la revisión del plan de contingencia de riesgos y actualización de las fechas para la revisión del programa.

15/01/2016 Inicial Banco de Datos Segunda revisión del Programa de Continuidad y actualización de las fechas de revisión.

04/07/2016 Inicial Banco de Datos Primera revisión al Programa de Continuidad correspondiente al año 2016.

28/01/2017 Inicial Banco de Datos Segunda revisión al Programa de Continuidad correspondiente al año 2016.

11/07/2017 Inicial Banco de Datos Primer revisión al Programa de Continuidad correspondiente al año 2017

14/12/2018 Inicial GTI Integración de pruebas de estrés y vulnerabilidad de trámites y servicios.

ADS-D03/ V3. 04-02-2016 RF.ADS F2 13/13

mapserver.sgm.gob.mxmapserver.sgm.gob.mx/WebMaagticSiSGM/documentos/ADS-D… · Web viewCuando los...

Documents

Transcript of mapserver.sgm.gob.mxmapserver.sgm.gob.mx/WebMaagticSiSGM/documentos/ADS-D… · Web viewCuando los...