od mi 010701

Informe Finalde Seguridad de la Informacin

Convenio entre SIGENy el Registro Nacional de las Personaspara la Auditoradel Centro de Produccin de DNI

Julio de 2001

CONTENIDO

I. OBJETO

II. ALCANCE

III. CONCEPTOS DE SEGURIDAD DE LA INFORMACIN

IV. MARCO METODOLGICO UTILIZADO

V. HALLAZGOS

VI. RECOMENDACIONES

VII. CONCLUSIONES

Sindicatura General de la Nacin Registro Nacional de las PersonasInforme Final de Seguridad de la Informacin

Pg. 3

I OBJETO

Identificar y evaluar las polticas, los procedimientos y dems prcticas establecidas en

materia de seguridad informtica para la produccin de DNI en el Centro de Produccin de

Documentos, ubicado en Montesquieu 425 de la Capital Federal, con el alcance que a

continuacin se indica.

II ALCANCE

Controles de seguridad establecidos sobre los componentes informticos instalados,

tendientes a asegurar la integridad, confidencialidad y disponibilidad de la informacin .

Esta evaluacin comprende los siguientes componentes:

Hardware

Software de base (Sistemas Operativos, Base de Datos, productos de SW de apoyo)

Comunicaciones

Organizacin y administracin de la seguridad

Pistas de auditora

Plan de contingencias y recuperacin ante desastres

Prcticas existentes tendientes a evitar el uso indebido de la informacin, incluyendo :

Verificacin del cumplimiento de las clusulas relativas a Seguridad de la

Informacin que integran el contrato entre el Estado Nacional y Siemens IT Services

S.A.

Relevamiento, anlisis y evaluacin de la Organizacin de la funcin de Seguridad

Informtica.

Relevamiento, anlisis y evaluacin de las polticas y procedimientos vigentes

vinculados a la Seguridad de la Informacin, su actualizacin y mantenimiento.


Pg. 4

Evaluacin de la suficiencia de los controles de Seguridad de la Informacin, su

actualizacin y mantenimiento.

Asignacin de la responsabilidad sobre Seguridad de la Informacin respecto de

los activos tecnolgicos.

Verificacin en campo, de la implementacin de controles formales e informales

sobre Seguridad Informtica aplicados a los activos tecnolgicos.

La revisin se llev a cabo sobre la base de la informacin entregada por el Registro

Nacional de las Personas y por Siemens IT Services, a partir de las pruebas,

documentacin suministrada y evidencia testimonial obtenidas del personal involucrado

del Registro Nacional de las Personas y de la contratista Siemens IT Services S.A.

Las tareas realizadas se iniciaron en el mes de enero de 2001 y se extendieron hasta el

mes de mayo de 2001.

Cabe destacar que el estado de seguridad de un sistema es dinmico, por lo cual los

hallazgos que integran este informe deben interpretarse como las vulnerabilidades que

presentaba el sistema en la fecha y hora en que se llev a cabo la prueba, excepto que

se especifique lo contrario.

La auditora no incluy la evaluacin de los algoritmos y funciones implementados por el

RENAPER para la encripcin de la informacin segn el mtodo 2D.

III. CONCEPTOS DE SEGURIDAD DE LA INFORMACIN

La informacin es un activo que, como el resto de los recursos importantes de la

organizacin, tiene valor para la misma y por consiguiente debe ser debidamente

protegido.

La seguridad de la informacin resguarda a este activo de una amplia gama de

amenazas, a fin de garantizar la continuidad del negocio, minimizar el riesgo de posibles

daos y maximizar el retorno sobre las inversiones y oportunidades.


Pg. 5

La informacin puede existir en muchas formas. Cualquiera sea la forma que adquiere, o

los medios por los cuales se distribuye y almacena, siempre debe ser protegida en forma

adecuada.

La seguridad de la informacin se define aqu como la preservacin de las siguientes

caractersticas :

confidencialidad : se garantiza que la informacin es accesible slo para aquellas

personas autorizadas

integridad : se salvaguarda la exactitud y totalidad de la informacin y los mtodos de

procesamiento

disponibilidad : se garantiza que los usuarios autorizados tienen acceso a la

informacin y a los recursos relacionados con la misma, toda vez que se requiera

La seguridad de la informacin se logra implementando un conjunto adecuado de

controles, que comprenden polticas, prcticas, procedimientos, estructuras

organizacionales y funciones relativas al software. Estos controles deben ser establecidos

para garantizar que se logren los objetivos especficos de seguridad de la organizacin.

Por ltimo, es necesario resaltar que la Seguridad de la Informacin es un proceso

continuo cuya calidad est determinada por la del componente con menor grado de

seguridad.

IV. MARCO METODOLGICO UTILIZADO

Con el fin de verificar el estado de la Seguridad Informtica en el Centro de Produccin

de Documentos Pedro Chutro, se utiliz como marco de anlisis el establecido por el

Estndar Britnico de Seguridad de la Informacin BS 7799, en conjunto con las Pautas de

Seguridad Informtica elaboradas por esta Sindicatura.

Se realizaron las siguientes actividades:

Anlisis de la documentacin que a continuacin se detalla:

a) Pliego de Bases y Condiciones, Oferta y finalmente Contrato con sus

correspondientes anexos celebrado entre el Estado Nacional, a travs del

Ministerio del Interior, y la empresa Siemens IT Services S.A. con fecha 6 de


Pg. 6

Octubre de 1998, Decreto del Poder Ejecutivo N 1342 del 16 de Noviembre de

1998.

b) Modelo operacional de funcionamiento presentado por la firma

Siemens IT Services S.A.

c) Documentacin elaborada por Siemens IT Services / RENAPER

entregada durante el proceso de esta auditora:

i) Estructura organizacional de la funcin de Seguridad.

ii) Evaluacin de riesgos que resulta necesaria para la

implementacin de los controles de seguridad adecuados.

iii) Estudios independientes sobre Seguridad Informtica.

iv) Poltica General de Seguridad Informtica.

v) Polticas Particulares de Seguridad Informtica.

vi) Procedimientos de Seguridad Informtica.

vii) Plan de contingencias y Plan de continuidad de las operaciones.

Identificacin de los controles requeridos para garantizar la seguridad de la

Informacin en los siguientes componentes:

a) Sistemas operativos instalados (Microsoft Windows NT 4.0 Server y

Workstation, COMPAQ UNIX Tru 64 4.0 y Sun Solaris 2.7).

b) Software de Base de datos (Oracle 8.05 y Sybase System XI).

c) Equipos de Comunicaciones (Routers, Firewalls, Switches, Sistemas de

Acceso Remoto)

Clasificacin de Vulnerabilidades segn el siguiente criterio:

a) Criticidad Alta: Aquellas que afectan la confidencialidad,

integridad o disponibilidad de la informacin mediante un proceso

conocido.

b) Criticidad Media: Aquellas que pueden afectar los controles

establecidos.

c) Criticidad Baja: Aquellas que involucran deficiencias en las tareas

de apoyo a la seguridad.


Pg. 7

Verificacin de controles implementados en el Centro de Produccin en

comparacin con las buenas prcticas concernientes a Seguridad de la

Informacin, segn se especifican en la citada bibliografa.

Realizacin de pruebas para verificar la existencia de controles adecuados y

suficientes en cuanto a la Seguridad de la Informacin. En este contexto se

utilizaron las siguientes tcnicas:

Envo de Paquetes ICMP (Ping)

Escaneo de puertos TCP

Escaneo de puertos UDP

Evaluacin de Servicios TCP

Evaluacin de Servicios Telnet

Anlisis del protocolo NFS

Anlisis de Web Servers Activos

Anlisis de Archivos de Configuracin inetd.conf

Anlisis de demonios de UNIX para detectar programas troyanos

Anlisis de configuracin de usuarios

Anlisis de permisos de acceso a directorios crticos del Sistema

Anlisis de los registros de auditora (logs)

Evaluacin de los archivos setuid

Evaluacin de TCPWrappers

Anlisis del estado de actualizacin del sistema

Anlisis de procesos pendientes

Elaboracin del Informe respectivo conteniendo los hallazgos detectados.

V HALLAZGOS

Criticidad alta debido a la Falta de Cumplimiento del Nivel C2 de la Norma DOD

5200.28-STD

El Anexo IV del Contrato suscripto entre el Estado Nacional y Siemens IT Services S.A.

establece en el punto 9 Criterios de Calidad Complementarios, las siguientes

pautas de calidad que por similitud debern ser tenidas como referencias mnimas en

la elaboracin de la solucin: (...)


Pg. 8

Para la seguridad en el software y en los sistemas de Gestin de Base de

Datos: como mnimo debe cumplimentarse el Nivel C2 de la Norma DOD

5300.28-STD (Libro Naranja) del Departamento de Defensa de los EEUU o su

equivalente a Nivel F-C2, E2 de la calificacin del TCSEC (Trusted Computer

System Evaluation Criteria), documento de criterios de evaluacin y

seguridad de TI elaborado por la Junta de Editorial de Criterios Comunes,

conformada por varios pases incluidos EEUU, Alemania, Francia, Reino

Unido, etc.

Para las redes de comunicaciones y transferencia de informacin:

Enlaces encriptados

Las normas DSS de firma digital para identificacin de dispositivos

donde se intercambien claves pblicas.

Algoritmos de encriptamiento del tipo DES, RSA, sus combinaciones, o

superiores a los mismos.

El criterio adoptado ha sido el correspondiente al Nivel C2 de la Norma DOD 5300.28-

STD (Libro Naranja) del Departamento de Defensa de EEUU y el mismo debe

cumplimentarse para el Software y Sistemas de Gestin de Base de Datos.

Dentro del software utilizado deben considerarse los siguientes programas: Windows NT

Servidor 4.0 con Service Pack 4, Windows NT Workstation 4.0 con Service Pack 4, Sun

Solaris 2.7, COMPAQ Unix Tru 64 4.0, todos ellos Sistemas Operativos.

Dentro de los sistemas de Gestin de Base de Datos, quedan dentro del alcance de

este punto del contrato todos los sistemas de dichas caractersticas, esto es: Oracle

8.05 y Sybase System XI.

El criterio de evaluacin C2 y su correspondiente certificacin implica una lista de

tareas a llevar a cabo en los laboratorios del NCSC (National Computer Security

Center), entre las cuales figuran la instalacin de todos los componentes a evaluar,

esto es, el Hardware, el Sistema Operativo, las actualizaciones al mismo, las relaciones

de confianza entre servidores, la lista de control de acceso y los roles de cada uno de

los componentes entre otras. Luego de realizadas las pruebas e implementadas las

modificaciones requeridas para su aprobacin, NCSC extiende el certificado

correspondiente para la instalacin y configuracin evaluadas.

En el caso del Centro de Produccin de Documentos, no se ha certificado la

configuracin instalada.


Pg. 9

La incorporacin de componentes de software y hardware a una instalacin

certificada deja sin efecto la mencionada calificacin puesto que se trata de una

nueva configuracin no probada.

Una aproximacin al nivel de seguridad C2 (que no garantiza su cumplimiento),

supone duplicar el hardware y software utilizado en una certificacin C2. Esto es utilizar

los mismos componentes y configuraciones originales aunque sin realizar el proceso de

evaluacin.

WINDOWS NT 4.0

Para los sistemas Windows NT Servidor 4.0 y Windows NT Workstation 4.0 implementados

como servidores y estaciones de trabajo, su fabricante Microsoft ha elaborado una

serie de guas y pasos de configuracin a llevar a cabo en la implementacin de la

seguridad. Sin embargo, los mismos tienen el carcter de necesarios pero no

suficientes como para garantizar dicho nivel de seguridad C2. Esta gua puede ser

consultada en la siguiente direccin de Internet:

http://www.microsoft.com/technet/security/c2config.asp?a=printable

En el caso del Centro de Produccin de Documentos, tampoco se ha utilizado esta

aproximacin ya que los componentes de Hardware y Software implementados no se

corresponden con los certificados por el NCSC. Basta como ejemplo la utilizacin de

hardware Siemens en lugar de COMPAQ y de revisin de sistema operativo (Service

Pack) SP4 en lugar de SP6a con su correspondiente actualizacin C2 (C2 update),

segn figura en el Paso 4 (Step 4) del documento Windows NT 4.0 C2 Configuration

checklist.

Por ltimo, lejos del cumplimiento del nivel C2, se puede mencionar la situacin en la

que una instalacin implementa parte de la medidas de seguridad que forman parte

del criterio de evaluacin C2 sin la utilizacin de los componentes base certificados

(hardware y sistema operativo).

En esta situacin se encuentra el Centro de produccin de documentos DNI, en lo

relativo a Sistemas Operativos Windows NT, los cuales soportan la identificacin y

validacin de usuarios sin cumplimentar los dems requerimientos para calificar C2.


Pg. 10

SUN SOLARIS 2.7

En el caso del sistema operativo de Sun, el documento de SITS denominado Principios

de Seguridad con fecha de emisin 7-06-2000, menciona en su captulo 13 Estndares

Tcnicos las siguientes afirmaciones:

...

13.1.1. Unix Sun Solaris 13.1.1.1.Introduccin

Este captulo tiene por objetivo realizar una identificacin de polticas deseguridad para el servidor principal de Workflow ubicado en el centro decmputos del Centro de Procesamiento de Datos del Registro Nacional delas Personas, que utiliza el sistema operativo Solaris de Sun Microsystems, a finde proveer una herramienta eficaz de consulta en el desarrollo de medidastendientes a mejorar el acceso y traslado de informacin en una forma mscontrolada teniendo en cuenta la criticidad y la privacidad de lainformacin que este servidor maneja. Teniendo esto en cuenta, SITS proveer toda la informacin y herramientasadicionales que fuera necesario para cumplimentar los requisitos que estatarea demande, respetando en todo momento la poltica en materia deseguridad genrica desarrollada por el Gobierno.

13.1.1.2.Medidas Generales de Seguridad en Solaris Solaris es un sistema operativo relativamente seguro considerando que es unsistema multiusuario y de propsitos generales. A pesar de esto, SunMicrosystems activamente repara los errores de seguridad que este sistemaoperativo pueda presentar. Especficamente, Solaris ha sido diseado para alcanzar el nivel deseguridad TCSEC, de acuerdo a las certificaciones internacionales de Sun(2.4 SE ITSEC E2/F-C2).

...

Sin embargo, SITS ha instalado la nica versin del sistema operativo que no ha sido

evaluada por el criterio NTSEC C2, por cuanto no se puede asegurar su conformidad

con dicho criterio.

(Referencia : http://www.sun.com/software/solaris/trustedsolaris/7/ts_eval.html)

Tampoco ha instalado SITS las correcciones a los errores de seguridad divulgados por

SUN.

BASE DE DATOS


Pg. 11

En el punto Accountability Audit de la normativa donde se caracteriza el nivel C2, se

requiere asegurar la imposibilidad de afectar el audit trail de la aplicacin. Este

aspecto, siendo analizado desde la Base de Datos, es decir evitando la restriccin de

accesos impuesta por el Sistema Operativo, no se cumple, ya que un usuario que

llegue a la Base de Datos puede realizar cualquier accin sobre la misma y alterar los

datos, sin dejar rastro.

En el punto Security Policy Discretionary Access Control, se requiere mantener ACLs

(Access Control List) entre usuarios y objetos para indicar qu usuarios tienen los

distintos tipos de acceso sobre los objetos. Este punto, al igual que el anterior, tampoco

se cumple, ya que todos los objetos tienen acceso pblico (GRANT to PUBLIC).

Por lo tanto, la configuracin de la Base de Datos ORACLE no est de acuerdo con el

criterio C2.

Por lo expuesto precedentemente, el nivel de seguridad implementado en el Centro

de produccin de documentos DNI no cumple con el criterio de evaluacin de

seguridad C2 definido en el Anexo IV del contrato, punto 9 Criterios de Calidad

Complementarios.

Criticidad alta debido a la falta de encripcin de las comunicaciones segn lo

establecido en el Anexo IV del Contrato.

El Anexo IV del Contrato suscripto entre el Estado Nacional y Siemens IT Services S.A.

establece en el punto 9 Criterios de Calidad Complementarios, las siguientes

pautas de calidad que por similitud debern ser tenidas como referencias mnimas en

la elaboracin de la solucin: (...)

Para las redes de comunicaciones y transferencia de informacin:

Enlaces encriptados.

Las normas DSS de firma digital para identificacin de dispositivos donde se

intercambien claves pblicas.

Algoritmos de encriptamiento del tipo DES, RSA, sus combinaciones o

superiores a los mismos


Pg. 12

La falta de cumplimiento se encuentra evidenciada en todos los Sistemas UNIX

evaluados, puesto que los mecanismos de conexin se encuentran implementados a

travs de conexiones telnet o ftp (adems de las aplicaciones).

Al iniciarse el proceso de validacin de usuario contrasea, estos protocolos de

comunicaciones envan a travs de la red el usuario y clave del mismo sin encriptar.

Un intruso puede instalar un programa del tipo sniffer (programa que utilizan los intrusos

para capturar usuarios y claves de acceso que son transmitidos por la red) y obtener la

clave del administrador (root) o de cualquier usuario que ingrese al sistema.

La alta criticidad de este hallazgo deviene tanto del incumplimiento contractual,

como de la posibilidad real de vulnerar los esquemas de seguridad previstos poniendo

en compromiso la continuidad de las operaciones en el Centro de Produccin de

Documentos DNI.

Criticidad media debido a la existencia de un Servidor WEB activo en el equipo SUN

Enterprise 3500

En el Servidor SUN Enterprise 3500, denominado database, se encuentra funcionando

un Servidor WEB al cual se puede acceder a travs de un puerto de comunicaciones

predeterminado, pudiendo hacerlo un intruso en forma remota.

Presenta un nivel de criticidad medio puesto que un intruso podra explotar

vulnerabilidades del Web Server para acceder a la informacin contenida en la Base

de Datos de Trmites en Curso.

Criticidad alta debido a la existencia de un segundo Servidor WEB activo en el

equipo SUN Enterprise 3500

En el Servidor SUN Enterprise 3500, denominado database, se encuentra funcionando

un Servidor WEB al cual se accede a travs de un puerto de comunicaciones

predeterminado.


Pg. 13

Presenta un nivel de criticidad alto ya que se han detectado dos vulnerabilidades de

seguridad informtica que lo afectan y que permiten que :

a) un intruso pueda crear en forma remota cuentas de administracin y

acceder a visualizar los registros de auditora del sistema.

b) un intruso pueda lanzar un ataque de denegacin de servicio contra el

Servidor, deteniendo la produccin de Documentos en el CPD.

Criticidad media debido a la inexistencia de Filtrado de acceso a los 8 Sistemas

COMPAQ Unix Tru 64, que administran la base de datos Afis Back - End

La totalidad de los 8 (ocho) Servidores sobre los que recae la administracin de Afis

Back - End carece de la implementacin de un mecanismo de seguridad que permita

el filtrado de paquetes TCP-IP. El mismo debe implementarse mediante la utilizacin de

TCPWrapper.

Este mecanismo de proteccin mediante el filtrado del protocolo TCP/IP a nivel de

Servidor permite al mismo protegerse en forma autnoma. Se ha comprobado la falta

de utilizacin de este tipo de herramientas de seguridad en los ocho equipos

COMPAQ UNIX Tru 64.

Representa un nivel de criticidad medio, ya que permite que cualquier intruso pueda

intentar conectarse al Sistema.

Criticidad alta debido a la existencia de servicios inseguros activos en los 8 (ocho)

Sistemas COMPAQ Unix Tru 64, que administran la base de datos Afis Back - End

Se detect que se encuentran activos los servicios de conexin remota denominados

rsh y rexec, que permiten que un intruso en forma remota, si logra comprometer un

equipo UNIX, pueda ingresar en el resto sin la necesidad de utilizar una clave de

acceso.

Esta relacin de confianza que se encuentra activada en los ocho equipos

mencionados es considerada de alta criticidad y debe eliminarse.

El nivel de criticidad es alto, ya que un potencial intruso puede utilizar la tcnica de


Pg. 14

ataque spoofing para poder ingresar en un equipo COMPAQ Unix Tru 64 y lograr

ejecutar comandos con los privilegios del usuario administrador dentro del sistema

UNIX.

Criticidad alta debido a la existencia del servicio Insight Manager en los 8 (ocho)

Equipos COMPAQ Unix Tru 64, que administran la base de datos Afis Back - End

Se ha comprobado que en los 8 (ocho) Servidores COMPAQ Unix Tru 64 se encuentra

instalado y ejecutndose el producto COMPAQ Insight Manager. Este programa es

una herramienta para administrar y controlar en forma remota la operacin de los

Servidores COMPAQ. Posee un Servidor Web activo sobre un puerto de

comunicaciones determinado, el cual tiene configurados los usuarios estndar.

El nivel de criticidad es alto, ya que a travs de dos vulnerabilidades detectadas en

este producto, un intruso puede administrar, controlar y apagar en forma remota la

totalidad de Afis Back - End.

Criticidad alta debido a la existencia del servicio de Correo Electrnico (Sendmail)

en los ocho Servidores AFIS Back-End

Se encuentra instalado y activo el servicio de Correo Electrnico. El mismo no se utiliza

y posee tres vulnerabilidades de seguridad, las cuales son de alta criticidad.

Dichas vulnerabilidades son consideradas de alto riesgo, ya que las mismas permiten a

un intruso dejar fuera de servicio el subsistema AFIS Back-End.

Criticidad alta debido a que se comparte el Sistema de Archivos del Servidor

Advanced Data Server Back Up, de AFIS Back-End.

Existe un alto riesgo en el equipo Advanced Data Server Back Up, ya que posee

informacin que se comparte a cualquier usuario en la red sin restriccin alguna.

Esto significa que cualquier persona desde la red, mediante la utilizacin del protocolo

RPC, puede acceder en forma remota y sin autorizacin al sistema de archivos

exportado.


Pg. 15

Todo el contenido de los directorios exportados se encuentra compartido sin

restricciones.

Adems, estos son directorios origen (HOME) de usuarios reales del sistema; es decir

que el intruso puede lograr acceder al Servidor en forma remota con los privilegios de

usuarios predeterminados, entre ellos el de administrador de base de datos ; con lo

cual existe el peligro de que intrusos (incluyendo personal no autorizado) realicen una

o varias de las siguientes actividades:

Borrar o modificar la Base de Datos de Huellas Dactilares contenida en

dichos servidores.

Copiar la Base de Datos de Huellas Dactilares contenida en dichos

servidores.

Criticidad alta debido a la existencia de un usuario sin clave en el Servidor de

Trmites en Curso (SUN Enterprise 3500)

Se detect la existencia de un usuario sin clave de acceso.

El nivel de criticidad es alto ya que si un intruso intenta ingresar a este Servidor con

dicho usuario, el mismo no le pedir clave de acceso, validndolo. A partir de ese

instante el intruso podr aprovechar las vulnerabilidades existentes para poner en

peligro la estabilidad de la base de datos de Trmites en Curso y, por ende, la

continuidad de la produccin de documentos DNI.

Criticidad alta por existencia de permisos de acceso configurados de forma

insegura en el Servidor de Trmites en Curso

Existen permisos de acceso, configurados de manera insegura, que le permitiran a un

intruso ejecutar comandos y programas con los mismos privilegios y caractersticas del

administrador de la base de datos Oracle de Trmites en Curso.

El nivel de criticidad es alto ya que permite a un usuario modificar la configuracin

establecida para la base de datos de Trmites en Curso, poniendo en peligro las

caractersticas deseadas de confidencialidad, integridad y disponibilidad.


Pg. 16

Criticidad alta por falta de actualizacin tecnolgica, la cual pone en riesgo la

seguridad de la Base de Datos de Trmites en Curso y AFIS Back End

De acuerdo con las evidencias testimoniales recibidas de los administradores de los

nueve equipos UNIX, en el servidor Sun que administra los Trmites en Curso y ocho

Servidores COMPAQ que administran la Base de datos de AFIS Back-End, no se han

implementado las nuevas actualizaciones del sistema operativo que resuelven

problemas de seguridad conocidos, desde la instalacin original de dichos sistemas.

Este riesgo es de alta criticidad ya que existen varias vulnerabilidades de seguridad

que pueden ser explotadas por un intruso interno que haya logrado acceder con

privilegios bajos, logrando de esta forma obtener los privilegios del administrador del

sistema. A partir de all pondr en riesgo la continuidad de las operaciones del Centro

de Produccin de Documentos.

En el sistema Digital UNIX OSF v4.0 se han detectado seis vulnerabilidades de

seguridad, mientras que en el sistema UNIX SUN Solaris v7 se han detectado sesenta y

dos vulnerabilidades de seguridad.

Criticidad alta por inexistencia de un Procedimiento de auditora y monitoreo de

seguridad

Todos los equipos UNIX (SUN Solaris y los ocho Digital UNIX) generan y almacenan los

registros de auditora (logs) de conexiones vlidas y fallidas.

Se desconoce la existencia de un procedimiento de auditora de seguridad para

monitorear intentos de intrusin.

Asimismo se carece de Sistemas de deteccin de intrusiones. En una red de estas

caractersticas y confidencialidad de la informacin es imprescindible contar con una

herramienta de deteccin de intrusiones que controle constantemente la red para

detectar dicha actividad.

Este hallazgo es de alta criticidad puesto que deja abierta la posibilidad de intentos

de intrusin sin que se tomen inmediatamente las acciones del caso.


Pg. 17

Criticidad alta por deficiencia en la efectividad de los equipos Firewall

No se encuentran instalados equipos firewall especficos, que permitan garantizar la

seguridad entre las distintas redes virtuales. En lugar de ello se ha implementado un

nivel de proteccin que consiste en la utilizacin de funcionalidades bsicas sobre los

Routers que permiten una segmentacin a nivel de rango de direcciones IP.

El nivel de criticidad es alto, puesto que la debilidad del firewall pone en peligro la

seguridad de los servidores, en particular la confidencialidad, integridad y

disponibilidad de la informacin.

Criticidad alta debido a la posibilidad de acceso por parte de la contratista a los

datos de ciudadanos y a los trmites en curso

El sector Help Desk (Mesa de Ayuda) tiene acceso irrestricto al resto de la red a nivel

de protocolo NetBIOS y TCP/IP.

Este tipo de acceso se considera de alto riesgo debido a que cualquier intruso que

tenga acceso a una estacin de trabajo del Help Desk tendr, por consiguiente,

acceso a toda la red del Centro de Produccin de Documentos, incluyendo el Centro

de Escaneo de Paseo Coln.

Criticidad alta debido al bajo nivel de seguridad en el Sistema de Acceso Remoto

El sistema de acceso remoto tiene por objeto activarse ante la falla de los enlaces de

comunicaciones principales. Sin embargo, se encuentra activo en forma permanente.

Este sistema utiliza un dispositivo denominado TOTAL CONTROL para permitir que las

dependencias se conecten y transmitan la informacin correspondiente, realizndose

la validacin de las mismas a travs de un Servidor Windows NT, denominado

EDGEServer, el cual utiliza a tal efecto el protocolo RADIUS. Dicho Servidor carece de

las actualizaciones de seguridad correspondientes.


Pg. 18

El anlisis de dicho Servidor concluye su inadecuado nivel de seguridad

fundamentndose lo antedicho en la existencia de usuarios definidos por defecto y

recursos compartidos. Asimismo, toda la informacin relativa a la identificacin y

contrasea de las dependencias se encuentra almacenada en dicho servidor en una

base de datos access que carece de encripcin.

El riesgo es alto puesto que un intruso que ingrese a dicha base de datos obtendr

toda la informacin necesaria para acceder en forma remota, va el TotalControl, a la

Red del Centro de Produccin de Documentos DNI, poniendo en riesgo la seguridad

del sistema.

Criticidad alta por posibilidad de acceso externo indebido desde las instalaciones

de Paseo Coln (Centro de Escaneo) al Data Center del Centro de Produccin de

Documentos DNI

Segn lo informado por personal de la Contratista y del Renaper, no existe posibilidad

de acceso al Datacenter desde las instalaciones del Centro de Escaneo de Paseo

Coln. Sin embargo, las pruebas realizadas desde este ltimo centro determinaron la

posibilidad de acceso al Help Desk a travs de protocolos TCP IP y Netbios.

Esta vulnerabilidad es de criticidad alta, debido a que se desconoce esta posibilidad,

por lo que no se han tomado las medidas de seguridad informtica adecuadas. La

seguridad fsica del Centro de Escaneo de Paseo Coln es inferior a la del Centro de

Produccin de Documentos DNI y, sin embargo, se puede considerar lgicamente

como una sola red ; por ltimo, debido a la vulnerabilidad establecida en el punto

Posibilidad de acceso por parte de la contratista a los datos de ciudadanos y a los

trmites en curso, desde el Help Desk se puede acceder a la informacin

almacenada en el Data Center, con lo que un intruso que explote esta condicin

insegura de acceso desde el Centro de Escaneo de Paseo Coln podr hacerse del

control de una estacin de trabajo del Help Desk y, desde all, acceder a la

Informacin del Data Center.

Criticidad alta por inadecuada configuracin de las conexiones a los Routers y

switches telnet y http


Pg. 19

El sistema que se utiliza para el acceso a la configuracin de los routers y switches se

basa en los protocolos telnet y http.

Dicho hallazgo presenta un nivel de criticidad alto, debido a que dichos protocolos

son inseguros, puesto que transmiten la informacin en modo de texto plano; por ello,

si un intruso instalara en la red un programa de tipo sniffer, podra obtener los usuarios y

contraseas de configuracin de los equipos de comunicaciones, pudiendo luego

tener acceso a los mismos.

Una vez que accede al equipo de comunicaciones en modo configuracin, podra

eliminar la proteccin establecida a travs del mismo, o borrarla, dejando al Centro

de Produccin de Documentos totalmente permeable a ataques o incomunicado.

Criticidad alta por autenticacin dbil sobre los equipos de comunicaciones,

basada en Direcciones IP

El acceso a los mdulos de configuracin de los routers y switches se encuentra

configurado para que slo pueda accederse desde direcciones IP especficas.

Este hallazgo presenta un nivel de criticidad alto debido a que, como se mencionara

anteriormente, resulta relativamente sencillo impostar direcciones IP. Un intruso

calificado podra utilizar esta tcnica de ataque para conseguir una conexin a la

configuracin del equipo de comunicaciones y, una vez obtenida, utilizar tcnicas

como la ya mencionada de Sniffing, a fin de capturar el usuario y la contrasea de

configuracin del equipo de comunicaciones.

Criticidad alta por falta de implementacin de un proceso de administracin de la

continuidad operativa y de anlisis de riesgo sobre estrategias de recuperacin

Si bien los documentos elaborados contemplan la definicin de escenarios de

desastre (incendio, amenazas, etc.), no se obtuvo evidencia de la realizacin de un

anlisis de carcter integral que contemple los siguientes aspectos:

definicin de las principales funciones y objetivos del negocio

identificacin y definicin de los distintos escenarios de desastre posibles y cmo


Pg. 20

dichos escenarios afectan el cumplimiento de los objetivos planteados

definicin de las estrategias globales de recuperacin y de los costos que implica

cada una de ellas

estimacin de prdidas intangibles y otras prdidas cuantificables ocasionadas por

el tiempo de carencia de servicios

elaboracin de informacin para la toma de decisiones respecto de la estrategia

definitiva mediante anlisis de costo / beneficio

Cabe destacar que en la documentacin analizada se hace referencia a la

realizacin de una evaluacin de riesgos y a la identificacin de puntos crticos a fin

de elaborar los procedimientos ante emergencias. Sin embargo, no se ha obtenido

documentacin relacionada con dicho anlisis.

La situacin descripta evidencia la falta de implementacin de un proceso controlado

para el desarrollo y mantenimiento de la continuidad de las operaciones de todo el

proyecto.

La criticidad de este hallazgo es alta debido a que ante la ocurrencia de los eventos

mencionados no existen procedimientos que permitan continuar la operacin.

Criticidad alta por inadecuados planes de continuidad operativa

De acuerdo con el anlisis de los documentos existentes vinculados con la

continuidad de las operaciones (Plan de Contingencias RNP y Plan de Seguridad para

Siemens IT Services, Captulo 8) se observan los siguientes aspectos:

No se ha elaborado un Plan de Contingencias nico para todo el proyecto que

contemple la definicin de diferentes fases (fase de retorno, recuperacin,

reconstruccin, etc.). Esto se evidencia en la existencia de los dos documentos

mencionados precedentemente, de los cuales el primero se refiere nicamente a

situaciones de emergencia originadas por fallas en el funcionamiento del

equipamiento y el segundo, a otros eventos como incendios, amenazas, huelga,

etc.

No se define claramente lo que se considera como una situacin de desastre. Al

respecto cabe destacar que se describen procedimientos para actuar frente a

situaciones de emergencia, entre los cuales se mencionan incendios, amenazas,


Pg. 21

etc., as como la cada del equipamiento.

No se contempla la definicin de:

Procedimientos de emergencia a seguir por parte de usuarios finales durante el

tiempo de recuperacin.

Procedimientos de comunicacin con los proveedores o subcontratistas.

Procedimientos y planes de actualizacin y mantenimiento del plan.

Plan de entrenamiento del personal involucrado y materiales de capacitacin.

Un sitio alternativo de procesamiento, en caso que una situacin de desastre

impida continuar las operaciones en el CPD de Pedro Chutro.

Por otra parte, los documentos analizados no hacen referencia a las pautas mnimas

que debern considerarse en relacin con los procedimientos de copias de

resguardo.

La situacin descripta dificulta el conocimiento de los usuarios finales sobre cmo

proceder ante contingencias y acerca de las responsabilidades y funciones a cubrir.

Asimismo, se incrementa la posibilidad de que al momento de la ocurrencia del

desastre no se cuente con todos los recursos necesarios para efectuar una

recuperacin del negocio con el mnimo impacto posible.

Por otra parte, el plan podra no ser efectivo debido a la falta de prueba y / o

actualizacin del mismo.

La criticidad de este hallazgo es alta debido a que ante la ocurrencia de los eventos

mencionados no existen procedimientos que permitan continuar las operaciones.

Criticidad alta debido a inadecuados procedimientos de revisin e investigacin y

seguimiento de los registros de los eventos de seguridad

De acuerdo con la documentacin analizada se observa que no se ha elaborado un

procedimiento completo y detallado que describa las actividades relacionadas con

los procesos de revisin de los registros de auditora (logs) de los eventos de seguridad.

A continuacin se mencionan algunos ejemplos de las observaciones detectadas.

Pasos a seguir para el seguimiento del log

Frecuencia de su revisin


Pg. 22

Acciones a seguir en caso de deteccin de irregularidades

Responsable del mantenimiento del log, y de la ejecucin del procedimiento

correspondiente

Perodo de retencin

Presentacin de informes y escalamiento

Restricciones de acceso

Por otra parte, no se han desarrollado procedimientos especficos para la posterior

investigacin y seguimiento de los eventos de seguridad que revelen situaciones no

contempladas en las polticas de acceso a los sistemas y que surjan como resultado

de la revisin de los registros de auditora (logs).

Este riesgo se considera de criticidad alta debido a que impide la toma de decisiones

inmediatas ante la ocurrencia de violaciones a la seguridad.

Criticidad alta por inadecuado procedimiento de actualizacin de software

antivirus

Si bien el documento Principios de Seguridad y el Anexo A06 Antivirus contemplan la

actualizacin del Software Antivirus, no se incluye la definicin de la frecuencia de

actualizacin del mismo.

En el caso de utilitarios alternativos, como por ejemplo McAfee, utilizados por la Mesa

de Ayuda, se establece una frecuencia de actualizacin mensual, la cual resulta

insuficiente.

Se considera de criticidad alta debido a que atenta contra la proteccin de la

integridad del software y de la informacin.

Criticidad alta debido a una Inadecuada administracin de la Seguridad

Informtica

Las medidas de seguridad existentes no se encuentran agrupadas en un cuerpo

orgnico suficientemente claro y detallado que permita definir la estrategia en cuanto

a la seguridad. De acuerdo con el relevamiento realizado y el anlisis de la

documentacin existente en materia de seguridad, se observan los siguientes

aspectos:


Pg. 23

No se ha definido dentro de la estructura organizacional un rea responsable de la

administracin de la seguridad, que tenga a su cargo la preparacin y mantenimiento

de la poltica y de los procedimientos y planes de seguridad, as como la

implementacin de la seguridad en el Organismo.

La estrategia de seguridad implementada no contempla ni especifica los siguientes

aspectos:

La realizacin de un anlisis de riesgo formal, teniendo en cuenta que el riesgo tiene

diversos componentes: activos, amenazas, vulnerabilidades, protecciones,

consecuencias y probabilidad. Si la estrategia de seguridad no es precedida por un

anlisis formal de riesgos, sta podra contemplar amenazas que pueden no ser reales

o crticas para la organizacin.

La formulacin y documentacin de planes detallados para implementar la estrategia

de seguridad. Si la estrategia es global y no hace referencia a planes de seguridad de

sistemas, programas de entrenamiento, planes de contingencia, manejo de incidentes

y resultados de auditora ms detallados, su efectividad se ver reducida.

La definicin de un proceso para comunicar la estrategia y los planes, polticas y

procedimientos. Cuando no existe un proceso de comunicacin definido, la poltica

deja de ser perceptible y no se asegura que los mandatos, funciones y

responsabilidades se mantengan actualizados a medida que se modifica el entorno.

Las responsabilidades de seguridad de los funcionarios y empleados de todos los

niveles no estn claramente definidas ni formalizadas. La falta de formalizacin de

estas responsabilidades hace que el Organismo se vuelva ms vulnerable a posibles

violaciones a la seguridad.

No existe un programa de concientizacin en materia de seguridad. Esto hace que los

empleados carezcan del conocimiento necesario sobre las polticas y procedimientos

de seguridad del Organismo, poniendo en riesgo la seguridad del mismo.

No se han establecido lineamientos para la asignacin de las responsabilidades de

propiedad de los recursos ; tampoco se han definido las funciones y las

responsabilidades de los propietarios. Si la propiedad no es asignada, los propietarios

no conocern sus responsabilidades. Por lo tanto, no podrn ser cuestionados por la

eventual falta de seguridad en la implementacin de las prcticas y procedimientos y


Pg. 24

el eventual incumplimiento de la estrategia de seguridad.

Finalmente, cabe mencionar que la poltica de seguridad informtica y las medidas

de seguridad especificadas, una vez implementadas, debern ser revisadas

peridicamente analizndose la necesidad de cambios o adaptaciones para cubrir

los riesgos existentes.

Criticidad media por ausencia de control de bloqueo de cuentas ante intentos

fallidos de conexin por parte de usuarios en los sectores de Firma Holgrafa,

Autorizaciones y Resolucin de Problemas

Del muestreo al azar realizado en estaciones de trabajo ubicadas en los mencionados

sectores surge la falta de control en el proceso de autenticacin de usuarios. La

opcin Bloqueo de Cuentas no se encuentra activada cuando debera estarlo

segn el procedimiento establecido en el documento NTWstation2000_e. Esta opcin

bloquea la cuenta del usuario una vez que se ingresa tres veces una clave errnea.

El riego es medio debido a que un intruso podra intentar acceder al sistema desde

dichas estaciones de trabajo probando diferentes combinaciones de usuario y clave

hasta obtener la adecuada. Desde ese momento, el intruso tendra acceso a las

funciones asignadas al sector, poniendo en riesgo los controles establecidos para el

circuito de aprobacin de trmites.

Criticidad alta debido a que el Controlador Primario de Dominio y Controlador de

Backup de Dominio, en el sector Boldt, no se ajustan a las polticas de seguridad

elaboradas por Siemens IT Services

Esta situacin se considera de criticidad alta, debido a que ante una falla de dichos

sistemas SITS podra reemplazar los equipos configurndolos de acuerdo con sus

polticas y no de acuerdo con la poltica utilizada por Boldt. Esta circunstancia podra

impedir la continuidad operativa, dado que no existen garantas de que los


Pg. 25

subsistemas de Boldt funcionen en el entorno de las restricciones de seguridad

establecidas por SITS.

Criticidad alta debido a la falta de registro, en los registros de auditora, de los

eventos realizados por los administradores Windows NT

Eventos tales como el inicio y cierre de sesin, uso de derechos de usuario, reinicio y

apagado del sistema, borrado de directorios y seguimiento de procesos, no dejan

pistas de auditora en los registros correspondientes. Esta situacin se considera de alto

riesgo, debido a que un administrador mal intencionado podra modificar la

configuracin del sistema tornando insegura la operacin del mismo, ya sea

eliminando controles de seguridad o instalando software malicioso.

Criticidad alta debido a la existencia de la cuenta invitado en servidores y

estaciones de trabajo, en particular el servidor que opera el acceso a la base de

datos histrica

La cuenta invitado es una cuenta de usuario que se instala automticamente cuando

se configura el sistema operativo y que originalmente fue destinada a ser utilizada por

aquellas personas que deben acceder ocasionalmente al sistema. Sin embargo, trae

consigo el riesgo asociado a no dejar pistas sobre la identidad del usuario que utiliza el

sistema. Dichas cuentas deben ser eliminadas o, como mnimo, bloqueadas. La

criticidad alta se debe a la posibilidad de que un intruso acceda al sistema utilizando

dicha cuenta para explotar otras vulnerabilidades del sistema operativo y, de esta

forma, atentar contra la integridad, confidencialidad y disponibilidad de los datos.

Criticidad alta debido a la inexistencia de controles horarios para la conexin al

sistema por parte de los administradores del Data Center

Las cuentas correspondientes a los administradores del Data Center no tienen

configurado el control horario para acceso al sistema. Esta situacin se considera de

criticidad alta debido a que un administrador malintencionado o un intruso podra

aprovechar esa caracterstica para ingresar al sistema e impostando la identidad de

otro administrador ausente utilizar esta ltima identidad para cometer irregularidades


Pg. 26

impunemente.

Criticidad baja debido a la falta de control de las cuentas de usuarios por parte de

los mismos

La falta de verificacin por parte de los usuarios de la utilizacin de sus propias cuentas

limita la posibilidad de hallar intentos de violacin a la seguridad del sistema. En

efecto, en aquellas instalaciones donde se muestra a los usuarios, al inicio de la sesin,

el ltimo registro de acceso, se permite que los mismos informen del uso de sus propias

cuentas por parte de intrusos y que se tomen las medidas necesarias para su solucin.

Criticidad alta debido a que los usuarios con rango de administrador tienen acceso

a la modificacin de los registros de auditora

Esta situacin es considerada de alta criticidad debido a que administradores mal

intencionados pueden borrar las pistas de auditora correspondientes a violaciones del

sistema. Esta situacin imposibilita garantizar la integridad, confidencialidad y

disponibilidad de la informacin.

Criticidad alta debido a que los comandos del sistema operativo y utilitarios

restringidos no dejan registros de auditora

Esta situacin se considera de criticidad alta puesto que los comandos del sistema

operativo y utilitarios de uso restringido que son definidos como aquellos que permiten

alterar el ambiente controlado de la estacin de trabajo, no dejan rastros en el registro

de auditora. De esta forma podra suceder que las estaciones de trabajo queden

fuera de operacin por la utilizacin de dichos comandos y que la responsabilidad de

los hechos no pueda establecerse claramente.

Criticidad alta debido a que las reglas de acceso de los usuarios a los recursos no se

encuentran verificadas por el Estado

Las reglas de acceso de los usuarios a los recursos se encuentran definidas por el

contratista sin la participacin del Estado en su definicin. Siendo el Estado el

responsable de la custodia de los datos, y de garantizar la integridad,


Pg. 27

confidencialidad y disponibilidad de los mismos, resulta inaceptable que no se le d

participacin en la definicin de dichas reglas. Podra darse el caso de que una mala

interpretacin de la funcionalidad pretendida de la aplicacin d por resultado que

usuarios que no lo necesitan accedan a datos sensibles y se violen de esta manera los

atributos de confidencialidad, integridad y disponibilidad.

Criticidad alta debido a la posibilidad de utilizacin de sesiones simultneas

El sistema operativo utilizado (Windows NT) impide el control de sesiones simultneas.

Esta situacin es considerada de criticidad alta puesto que la falta de control en este

sentido posibilita que distintos usuarios desde diversas estaciones utilicen la misma

cuenta de usuario. Al no verificar el sistema esta situacin, ante una violacin a la

seguridad del mismo, resultara difcil identificar al responsable.

Criticidad alta debido a que los usuarios con rango de administrador poseen

autoridad suficiente para otorgar permisos de acceso a los recursos, y para crear y

eliminar cuentas de usuario

La autoridad de los administradores para crear y eliminar cuentas de usuario, asignar

derechos de acceso y modificar registros de auditora, conspira contra los objetivos de

control de la seguridad informtica. De producirse adrede un ilcito por parte de un

administrador, no existirn rastros de auditora que permitan establecer lo acontecido.

Criticidad media debido a la falta de un registro que contenga las cuentas de

usuario y sus respectivos permisos de acceso

Esta situacin se considera de criticidad media, debido a que la documentacin

mencionada es de suma utilidad para la operacin de los cambios de configuracin

de los usuarios, cambios de funciones asignadas y restauracin de la continuidad de

las operaciones.


seguridad del acceso a los sistemas de produccin de documentos


Pg. 28

De acuerdo al relevamiento efectuado sobre los servidores y estaciones de trabajo, no

se han implementado las nuevas actualizaciones del sistema operativo que resuelven

problemas de seguridad conocidos, desde la instalacin original de dichos Sistemas.

Este riesgo es de alta criticidad ya que existen varias vulnerabilidades de seguridad

que pueden ser explotadas por un intruso interno que haya logrado acceder con

privilegios bajos, logrando de esta forma obtener los privilegios del administrador del

sistema. A partir de ese momento, pondr en riesgo la continuidad de las operaciones

del Centro de Produccin de Documentos.

En el sistema Windows NT Server versin 4.0 sp4 existen no menos de doscientas fallas y

vulnerabilidades corregidas en la actualizacin denominada Service Pack 6a.

Criticidad alta debido a la falta de revisin del cumplimiento de las medidas de

seguridad

Esta situacin se considera de alto riesgo, debido a que es la responsable de la actual

falta de seguridad mnima en la que se encuentra el Centro de Produccin de

Documentos.

VI. RECOMENDACIONES

Criticidad alta debido a la Falta de Cumplimiento del Nivel C2 de la Norma DOD

5200.28-STD

Se considera de alto riesgo la situacin actual. Se recomienda actualizar los sistemas

operativos a sus ltimas versiones verificadas segn dicha norma y aplicar los criterios

de seguridad por ella establecidos. De esta forma se mejorar sensiblemente la

seguridad del sistema, dotndolo de mayor robustez en este sentido.

BASE DE DATOS


Pg. 29

Se considera de alto riesgo la situacin actual. Se deben restringir los derechos de

acceso al audit trail a los efectos de garantizar que el registro de auditora contenga

los eventos reales y no pueda ser modificado por los usuarios.

Asimismo, se deben restringir los derechos sobre objetos asignados a usuarios. Debe

evitarse la asignacin Grant to Public

Criticidad alta debido a la falta de encripcin de las comunicaciones segn lo

establecido en el Anexo IV del Contrato.

Esta situacin se considera de alto riesgo. Deben implementarse los mecanismos de

encripcin de las comunicaciones, entre servidores y estaciones de trabajo.

Criticidad media debido a la existencia de un Servidor WEB activo en el equipo SUN

Enterprise 3500

Se considera medianamente crtica esta situacin. Debe desinstalarse el servidor Web

mencionado.

Criticidad alta debido a la existencia de un segundo Servidor WEB activo en el

equipo SUN Enterprise 3500

Esta situacin se considera de alto riesgo, puesto que existen formas de explotar la

vulnerabilidad mencionada. Se recomienda desinstalar este segundo servidor Web.

Criticidad media debido a la inexistencia de filtrado de acceso a los 8 Sistemas

COMPAQ Unix Tru 64, que administran la base de datos Afis Back - End

Debe implementarse un mecanismo de proteccin mediante TCPWrapper o software

similar.


Pg. 30

Criticidad alta debido a la existencia de servicios inseguros activos en los 8 (ocho)

Sistemas COMPAQ Unix Tru 64, que administran la base de datos Afis Back - End

Deben desactivarse los demonios rsh y rexec en los 8 (ocho) servidores Unix

pertenecientes a AFIS BACK END.

Criticidad alta debido a la existencia del servicio Insight Manager en los 8 (ocho)

Equipos COMPAQ Unix Tru 64, que administran la base de datos Afis Back - End

Deben aplicarse las correcciones al programa COMPAQ Insight Manager en los 8

(ocho) servidores Unix. De no ser posible aplicar dichas correcciones, o de no ser

necesaria la utilizacin de este programa, se recomienda la desinstalacin del mismo

en los 8 (ocho) servidores Unix de Afis Back End.

Criticidad alta debido a la existencia del servicio de Correo Electrnico (Sendmail)

en los ocho Servidores AFIS Back-End

Debe desactivarse el sistema Send Mail en los 8 (ocho) servidores Unix.

Criticidad alta debido a que se comparte el Sistema de Archivos del Servidor

Advanced Data Server Back Up, de AFIS Back-End.

Esta situacin se considera de alta criticidad debido a la imposibilidad de asegurar la

efectiva custodia de la Base de Datos de ciudadanos. Debe dejar de compartirse el

directorio mencionado y establecerse un mtodo alternativo para reemplazar la

exportacin del directorio.

Criticidad alta debido a la existencia de un usuario sin clave en el Servidor de

Trmites en Curso (SUN Enterprise 3500)

Debe verificarse que todos los usuarios tengan clave. Asimismo, las claves deben

contener un mnimo de 8 (ocho) caracteres combinando smbolos, nmeros y letras en

mayscula y minscula. Deben ejecutarse peridicamente programas para verificar la

utilizacin de claves complejas y alertar en el caso de que no lo sean, tomando las

medidas pertinentes.


Pg. 31

Criticidad alta por existencia de permisos de acceso configurados de forma

insegura en el Servidor de Trmites en Curso

Debe realizarse la revisin de los permisos de acceso en los servidores Unix,

configurndolos en forma segura.


seguridad de la Base de Datos de Trmites en Curso y AFIS Back End

Deben actualizarse las versiones de los sistemas operativos Unix: Solaris y Digital Unix

OSF V4.0, a efectos de impedir la utilizacin de vulnerabilidades de seguridad

conocidas.

Criticidad alta por inexistencia de un Procedimiento de auditora y monitoreo de

seguridad

Debe verificarse el registro de auditora de cada servidor y realizar el seguimiento de

intentos de violacin al sistema. Asimismo, debe implementarse un mecanismo

automtico de deteccin de intrusiones.

Criticidad alta por deficiencia en la efectividad de los equipos Firewall

Deben instalarse Firewalls a efectos de proteger las distintas subredes internas. Es

deseable que los mismos implementen deteccin automtica de patrones de

intrusin.

Criticidad alta debido a la posibilidad de acceso por parte de la contratista a los

datos de ciudadanos y trmites en curso

Debe impedirse el acceso a los datos de ciudadanos por parte del sector de Help

Desk. Debe verificarse el acceso a los sistemas de produccin a efectos de impedir su

utilizacin por parte de gente no autorizada.


Pg. 32

Criticidad alta debido al bajo nivel de Seguridad en el Sistema de Acceso Remoto

Inicialmente, debe configurarse en forma segura el servidor sobre el cual funciona el

Total Control. Simultneamente debe evaluarse el reemplazo de este sistema por

vnculos de comunicaciones de backup punto a punto suministrado por un proveedor

distinto del que suministra los vnculos operativos.

Criticidad alta por posibilidad de acceso externo indebido desde las instalaciones

de Paseo Coln (Centro de Escaneo) al Data Center del Centro de Produccin de

Documentos DNI

Debe eliminarse la posibilidad de acceso desde instalaciones externas. La instalacin

de Firewalls apropiados permitir solucionar esta situacin.

Criticidad alta por inadecuada configuracin de las conexiones a los Routers y

switches telnet y http

Debe modificarse el mtodo de conexin a los equipos de comunicaciones para

realizar esta actividad en forma segura. Entre las opciones figura la utilizacin de PCs

portables para la conexin a travs de los puertos de comunicaciones o servicio del

equipo y la PC.

Criticidad alta por autenticacin dbil sobre los equipos de comunicaciones,

basada en Direcciones IP

Deben utilizarse mecanismos de autenticacin fuerte como los provistos a travs de

direcciones IP junto a las MAC Address, dispositivos criptogrficos y firma digital.

Criticidad alta por falta de implementacin de un proceso de administracin de la

continuidad operativa y de anlisis de riesgo sobre estrategias de recuperacin

Debe realizarse un anlisis completo que incluya, entre otros, los siguientes aspectos:

definicin de las principales funciones y objetivos del negocio

identificacin y definicin de los distintos escenarios de desastre posibles y cmo

dichos escenarios afectan el cumplimiento de los objetivos planteados


Pg. 33

definicin de las estrategias globales de recuperacin y de los costos que implica

cada una de ellas

estimacin de prdidas intangibles y otras prdidas cuantificables ocasionadas por

el tiempo de carencia de servicios

elaboracin de informacin para la toma de decisiones respecto de la estrategia

definitiva mediante anlisis de costo / beneficio

Criticidad alta por inadecuados planes de continuidad operativa

Debe realizarse un plan de continuidad operativa que contemple, entre otros, los

siguientes aspectos:

Plan de Contingencias nico para todo el proyecto que contemple la definicin de

diferentes fases (fase de retorno, recuperacin, reconstruccin, etc.).

Definicin clara y precisa de lo que se considera una situacin de desastre.

Definicin clara y precisa de:

Procedimientos de emergencia a seguir por parte de usuarios finales durante el

tiempo de recuperacin.

Procedimientos de comunicacin con los proveedores o subcontratistas.

Procedimientos y planes de actualizacin y mantenimiento del plan.

Plan de entrenamiento del personal involucrado y materiales de capacitacin.

Un sitio alternativo de procesamiento, en caso que una situacin de desastre

impida continuar las operaciones en el CPD de Pedro Chutro.

Pautas mnimas que debern considerarse en relacin con los procedimientos de

copias de resguardo.

Responsable de ejecucin del Plan.

Pruebas y simulacros.

Responsable de actualizacin del Plan.

Criticidad alta debido a inadecuados procedimientos de revisin e investigacin y

seguimiento de los registros de los eventos de seguridad

Debe definirse e implementarse un mecanismo de revisin e investigacin de los

registros de auditora. El mismo debe contener mnimamente:

Pasos a seguir para el seguimiento del log


Pg. 34

Frecuencia de su revisin

Definicin de Irregularidades

Acciones a seguir en caso de deteccin de irregularidades

Responsable del mantenimiento del log y de la ejecucin del procedimiento

correspondiente

Perodo de retencin

Presentacin de informes y escalamiento

Restricciones de acceso

Procedimientos de investigacin de Incidentes e irregularidades

Criticidad alta por inadecuado procedimiento de actualizacin de software

antivirus

Debe definirse una periodicidad de actualizacin no superior a los 7 (siete) das para el

software antivirus.

Criticidad alta debido a una Inadecuada administracin de la Seguridad

Informtica

Se debe realizar una definicin formal y completa de la Estructura de Seguridad que

contemple, como mnimo, los siguientes elementos:

rea responsable de la administracin de la seguridad, que tendr a su cargo la

preparacin y mantenimiento de la estrategia, poltica, procedimientos y planes de

seguridad, as como la implementacin de la seguridad en el Organismo.

Realizacin de un anlisis de riesgo formal, teniendo en cuenta que el riesgo tiene

diversos componentes: activos, amenazas, vulnerabilidades, protecciones,

consecuencias y probabilidad.

Formulacin y Documentacin de planes detallados para implementar la estrategia

de seguridad.

La estrategia de seguridad deber ser global y hacer referencia a:

planes de seguridad de sistemas


Pg. 35

programas de entrenamiento

planes de contingencia

manejo de incidentes

resultados de auditora

Definicin de un proceso para comunicar la estrategia y los planes, polticas y

procedimientos.

Definicin formal de la responsabilidad de funcionarios y empleados en cuanto a la

seguridad.

Programa de concientizacin de empleados en materia de seguridad informtica.

Definicin formal de asignacin de responsabilidades sobre el cumplimiento de la

seguridad informtica en la totalidad de los recursos informticos.

Definicin formal y asignacin de responsabilidad sobre el proceso de revisin

peridica de la poltica y las medidas de seguridad implementadas.

Criticidad media por ausencia de control de bloqueo de cuentas ante intentos

fallidos de conexin por parte de usuarios en los sectores de Firma Holgrafa,

Autorizaciones y Resolucin de Problemas

Debe establecerse el bloqueo de la cuenta de usuario una vez realizados tres intentos

fallidos (no necesariamente consecutivos) de ingresar la clave de acceso

Criticidad alta debido a que el Controlador Primario de Dominio y Controlador de

Backup de Dominio, en el sector Boldt, no se ajustan a las polticas de seguridad

elaboradas por Siemens IT Services

Deben configurarse ambos Controladores de Dominio de acuerdo con las polticas de

seguridad de SITS a efectos de unificar el criterio.


Pg. 36

Criticidad alta debido a la falta de registro, en los registros de auditora, de los

eventos realizados por los administradores Windows NT

Deben auditarse todos los eventos mencionados.

Criticidad alta debido a la existencia de la cuenta invitado en servidores y

estaciones de trabajo, en particular el servidor que opera el acceso a la base de

datos histrica

Debe desactivarse o eliminarse dicha cuenta de usuario.

Criticidad alta debido a la inexistencia de controles horarios para la conexin al

sistema por parte de los administradores del Data Center

Debe establecerse un control horario de acuerdo con los turnos que efectan los

administradores.

Criticidad baja debido a la falta de control de las cuentas de usuarios por parte de

los mismos

Debe establecerse que los usuarios controlen la actividad de sus cuentas mediante la

revisin de la fecha y hora de acceso a las mismas. Toda actividad anormal

detectada sobre sus propias cuentas debe ser inmediatamente informada.

Criticidad alta debido a que los usuarios con rango de administrador tienen acceso

a la modificacin de los registros de auditora

Debe eliminarse toda posibilidad de acceso a los registros de auditora por parte de

los administradores y cualquier otro usuario ajeno al sector de seguridad informtica.


Pg. 37

Criticidad alta debido a que los comandos del sistema operativo y utilitarios

restringidos no dejan registros de auditora

Los comandos, transacciones y utilitarios de uso restringido deben dejar registros de

auditora.

Criticidad alta debido a que las reglas de acceso de los usuarios a los recursos no se

encuentran verificadas por el Estado

SITS debe suministrar al Estado la informacin necesaria sobre las reglas de acceso a

los recursos, a fin de permitir la verificacin de su exactitud por parte del mismo,

responsable final de la integridad, confidencialidad y disponibilidad de la informacin.

Criticidad alta debido a la posibilidad de utilizacin de sesiones simultneas

Debe eliminarse la posibilidad de utilizacin de sesiones simultneas.

Criticidad alta debido a que los usuarios con rango de administrador poseen

autoridad suficiente para otorgar permisos de acceso a los recursos, y para crear y

eliminar cuentas de usuario

Los administradores deben carecer de autoridad para la realizacin de actividades

como alta y baja de usuarios y modificacin de permisos de acceso a los recursos

Criticidad media debido a la falta de un registro que contenga las cuentas de

usuario y sus respectivos permisos de acceso

Debe existir y mantenerse actualizado un registro que contenga todas las cuentas de

usuario y sus respectivos privilegios de acceso a los recursos.



Pg. 38

seguridad del acceso a los sistemas de produccin de documentos

Deben actualizarse los sistemas operativos Windows NT Server versin 4.0 sp4 y Windows

NT Workstation versin 4.0 sp4 mediante el Service Pack 6a y sus hotfix

correspondientes.

Criticidad alta debido a la falta de revisin del cumplimiento de las medidas de

seguridad

Debe verificarse peridicamente el cumplimiento de las polticas y medidas de

seguridad.


Pg. 39

VII. CONCLUSIONES

De lo expuesto anteriormente surge claramente la falta de cumplimiento por parte de

la contratista de los niveles de seguridad establecidos en el contrato, en particular

para la seguridad en el software y en los sistemas de gestin de Base de Datos segn

el criterio de evaluacin de seguridad C2 definido en el Anexo IV del contrato, punto

9, Criterios de Calidad Complementarios. En igual situacin se encuentra con

respecto a las redes de comunicaciones y transferencia de informacin, donde los

medios instalados, insuficientes, no fueron configurados debidamente para cumplir

con el punto expuesto.

Con respecto a la actualizacin de los Sistemas Operativos, tampoco se ha llevado a

cabo, encontrndose el sistema muy expuesto al ingreso de intrusos.

Por otra parte, la falta de un plan integral de seguridad informtica, el cual ha sido

parcialmente definido e implementado, impide el cumplimiento del objetivo del

contrato, que consiste en la emisin de documentos en forma segura, confiable y con

un alto grado de inviolabilidad.

Asimismo, lo antedicho supone la ausencia de una evaluacin de los riesgos asociados

a la tecnologa informtica instalada.

Por ltimo, se estima que el nivel de seguridad actual no fue alterado desde el inicio

de las operaciones, puesto que responde a configuraciones estndar de instalacin

de los respectivos sistemas.

Buenos Aires, 17 de Julio de 2001

od mi 010701

Documents