Seguridad Informática PDF

Summary

This document covers the topic of information technology security, including concepts, responsibilities, and procedures. It's part of a larger educational program for administrative staff at Banco de España.

Full Transcript

Seguridad informática Nivel 4 - Grupo Administrativo PROMOCIÓN VERTICAL: PROCESO SELECTIVO PARA PROVEER PLAZAS EN EL NIVEL 4 DEL GRUPO ADMINISTRATIVO Seguridad informática División de Formación, Desarrollo y Comunicación Interna Banco de España C/ Alcalá, 48 28004 Madrid © Banco de España. Todos los derechos reservados Seguridad informática Introducción a las cuestiones y los datos de política macroeconómica Recursos pedagógicos incluidos en el material didáctico Instrumentos financieros Ejemplos: UNIDAD DIDÁCTICA 2 Te ayudan a comprender los conceptos teóricos que se han expuesto en los contenidos. uu Ejemplo: En una compraventa de mercaderías, una empresa contabilizará en clientes y la otra en proveedores. Al adquirir una emisión de bonos de una empresa eléctrica, el adquirente contabiliza un activo y el emisor un pasivo, por estos bonos puestos en circulación. La partida doble es un sistema de contabilidad que consiste en anotar dos veces la cuantía de cada hecho contable, es decir: cada hecho contable ha de tener, como mínimo, una anotación en el Debe de una cuenta y una anotación en el Haber de otra cuenta. vv Práctica (5) Una empresa tiene unas existencias finales de mercaderías valoradas en 20.000 euros. Su valor de mercado son 18.000 euros. Se pide: Contabilizar el deterioro de valor Solución: Dotación del deterioro: Prácticas: Permiten trabajar y consolidar los contenidos a medida que se van desarrollando y aseguran un aprendizaje progresivo. IMPORTES Núm. Operación DEBE 1 2.000 CUENTA HABER 2.000 N.º Nombre 693 Pérdidas por deterioro de mercaderías 390 Deterioro de valor de mercaderías vv Actividad práctica resuelta La empresa V tiene unas obligaciones a 5 años contabilizadas por valor de 25.000. Por una insolvencia del deudor, el valor actual de los flujos de caja a cobrar es de 24.500. Se pide: Contabilizar el deterioro. Solución: ŠŠ Deterioro de valor de obligaciones: Núm. Operación DEBE 1 500 1 2 2 IMPORTES CUENTA HABER 500 N.º Nombre 696 Pérdidas por deterioro de participaciones y valores representativos de deuda. 297 Deterioro de valor de valores representativos de deuda. División de Formación y Selección - PV Nivel 4 - Contabilidad Financiera II - Unidad 2 División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Seguridad informática Seguridad informática Macroeconómica Instrumentos financieros UNIDAD DIDÁCTICA 2 Recuerda: Recuerda Las inversiones financieras en la empresa son de dos tipos: a corto plazo y a largo. Sus finalidades son la obtención de rentabilidad por su mantenimiento o de beneficios por su enajenación. La prueba de deterioro consiste en comparar el valor en libros con el valor recuperable. Ofrecen un recuerdo de los contenidos que ya se han visto en apartados anteriores. Ideas fuerza: Contienen definiciones, preguntas o ideas que son importantes. Prueba de autocomprobación 1 Las obligaciones y deudas con terceras personas se recogen en: a) El neto patrimonial. b) El pasivo. c) Los gastos. 2 a) b) c) Pruebas de autocomprobación: Actividades finales agrupadas que te permiten comprobar el aprendizaje adquirido y si necesitas repasar alguno de los apartados. En una cuenta perteneciente al pasivo: Su saldo siempre será deudor. Los aumentos se contabilizan en el Debe. Los aumentos se contabilizan en el Haber. Síntesis Los elementos de un buen servicio son el cumplimiento adecuado de la tarea y la calidad en la relación con el usuario. Monetarios De capitales - Crédito - Valores Primarios - Nueva emisión Organizados Secundarios - Activos ya emitidos No Organizados División de Formación y Selección - PV Nivel 4 - Contabilidad Financiera II - Unidad 2 División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Seguridad informática Síntesis: Organización de todas las ideas clave de la unidad. 3 3 Seguridad informática UNIDAD DIDÁCTICA 1 Unidad 1 Seguridad informática División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Seguridad informática 5 Seguridad informática UNIDAD DIDÁCTICA 1 Índice Unidad 1 Seguridad informática 1 Conceptos de Seguridad Informática9 1.1 Definición 9 1.2 Principios 10 2 Responsabilidades generales establecidas en la política de seguridad 11 2.1 El Departamento de Sistemas de Información 11 2.2 Los Propietarios 11 2.3 Los Propietarios delegados 11 2.4 Los Gestores de proyectos 12 2.5 Los Jefes 12 2.6 Los Coordinadores de seguridad informática 12 2.7 Los Usuarios 13 3 Responsabilidades de los usuarios 14 3.1 Custodia del código de usuario personal 14 3.2 Protección de contraseñas, claves de cifrado y PIN 14 3.3 Confidencialidad de la información 15 3.4 Integridad del entorno 15 3.5 Propiedad intelectual y derechos de autor 16 3.6 Devolución de medios informáticos 16 3.7 Responsabilidades de los usuarios pertenecientes a empresas externas 16 4 Modelo organizativo de administración de seguridad17 4.1 Figuras organizativas17 4.2 Administradores de elementos17 4.3 Administradores de usuarios18 4.4 Administrador del Sistema de Seguridad18 4.5 Administración de Guardia19 5 Catalogación de elementos de información20 División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Seguridad informática 7 Seguridad informática UNIDAD DIDÁCTICA 1 6 Procedimientos de administración de seguridad 21 6.1 Asignación de las operaciones más frecuentes de administración de seguridad21 6.2 Instrumentos para realizar las funciones relativas a administración de seguridad22 7 Infraestructura de clave pública en el Banco de España (PKIBDE)23 7.1 Conceptos básicos23 7.2 Tipos de certificados personales emitidos por la PKI del Banco de España23 8 Procedimientos, recomendaciones y medidas de seguridad24 8.1 Utilización de las contraseñas24 8.2 Respaldo / recuperación de la información24 8.3 Virus informáticos25 8.4 8.5 8.3.1 Procedimientos generales de revisión antivirus25 8.3.2 Revisión antivirus del correo externo25 Correo Externo y Navegación por Internet26 8.4.1 Navegación Internet26 8.4.2 Uso del correo electrónico26 8.4.3 Riesgos en el uso del correo y la navegación Internet27 Medidas de seguridad disponibles en el Banco de España28 8.5.1 Ordenadores centrales, departamentales y Red Windows28 8.5.2 Ordenadores personales NO conectados a la red interna29 8.5.3 Internet y correo con redes externas30 Prueba de autoevaluación 33 Solución a la prueba de autoevaluación 37 Bibliografía y referencias 39 Anexo41 8 División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Seguridad informática Seguridad informática UNIDAD DIDÁCTICA 1 1 Conceptos de Seguridad Informática Es evidente que cada vez más cualquier organización hace frente a un conjunto más amplio de amenazas de seguridad que van desde aquellas de naturaleza externa (sabotaje, vandalismo, virus, hackers, ataques de denegación de servicio, etc.) como a aquellas otras intrínsecas a cualquier organización (fallos no intencionados, fraude, errores del hardware o el software, etc.). La explosión de las comunicaciones hoy en día ha complicado aún más la situación y las actuales tendencias de entornos distribuidos han debilitado la efectividad de los controles existentes en entornos más centralizados. Por otra parte, cada día más, la toma de decisiones está basada en sistemas de información informatizados y por tanto las organizaciones se han hecho más dependientes de los sistemas de información que las soportan y, a la vez, más vulnerables a las amenazas existentes. El Banco de España no es una excepción y en los últimos años, las operaciones diarias y la toma de decisiones que afectan a la actividad económica del país han pasado a depender, en muchos casos, de sistemas de información basados en sistemas informáticos. Es por tanto evidente que asegurar la calidad de la información que tratan estos sistemas de información y garantizar la ejecución de los mismos se ha convertido en una cuestión primordial a la hora de salvaguardar la imagen del Banco de España y el cumplimiento de sus obligaciones. Por otra parte no hay que olvidar la necesidad de asegurar el cumplimiento de las obligaciones derivadas de la Ley Orgánica 15/1999 (LOPD) en cuanto a garantizar y proteger, en lo concerniente al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas. 1.1 Definición1 La seguridad informática tiene como objetivo proporcionar garantías razonables y suficientes con relación al uso de sistemas de información basados en sistemas informáticos. Estas garantías se refieren especialmente a los siguientes aspectos: disponibilidad, integridad, confidencialidad y auditabilidad. DISPONIBILIDAD Asegurar que los sistemas de información estarán accesibles en los periodos de funcionamiento establecidos. INTEGRIDAD Asegurar la calidad de la información, garantizando aspectos tales como su exactitud, coherencia y consistencia. CONFIDENCIALIDAD Asegurar que la información sólo podrá ser conocida por las personas y procesos autorizados. AUDITABILIDAD Asegurar requerimientos de capacidad probatoria, incluyendo aspectos tales como certificación sobre el origen y/o el destino, autenticidad de contenido, acuse de recibo, certificación de envío, etc. (AUTENTICIDAD, NO REPUDIO). 1 Circular Interna 2/2002 «Régimen de Seguridad Informática del Banco de España» (Introducción). División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Seguridad informática 9 Seguridad informática UNIDAD DIDÁCTICA 1 1.2 Principios2 Los principios en los que deberá basarse toda actuación o toma de decisión relacionada con la seguridad de los sistemas de información son los siguientes: ŠŠ La seguridad NO DEPENDE sólo DE MEDIDAS TÉCNICAS. Las medidas organizativas y de gestión son igual o incluso más importantes que aquellas. ŠŠ La FORMACIÓN y la SENSIBILIZACIÓN desempeñan un papel clave. ŠŠ La seguridad informática debe ser considerada como un ASPECTO CLAVE en el desarrollo, operación y mantenimiento de los sistemas de información. ŠŠ Las medidas de seguridad deben ESTAR JUSTIFICADAS en términos de riesgos y costes. ŠŠ La responsabilidad final sobre la seguridad de cada sistema de información sobre su UNIDAD3 PROPIETARIA. ŠŠ Las autorizaciones de acceso a los sistemas de información estarán basadas exclusivamente en el principio de «NECESIDAD PARA EL TRABAJO». ŠŠ Sólo se utilizarán los equipos y productos SUMINISTRADOS o AUTORIZADOS por el Depar- tamento de Sistemas de Información, y exclusivamente para los usos que, en cada caso se concreten. 2 3 10 Circular Interna 2/2002 «Régimen de Seguridad Informática del Banco de España» (Apartado 3) y Circular Interna 1/2018 «Protección de la Información». En este documento cuando se utiliza el término Unidad se refiere a un Departamento, una Sucursal o un Servicio. División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Seguridad informática Seguridad informática UNIDAD DIDÁCTICA 1 2 Responsabilidades generales establecidas en la política de seguridad A continuación se citan las responsabilidades generales establecdidas en el Régimen de Seguridad Informática. Adicionalmente, y sin perjuicio de aquellas, hay que señalar las específicas de Protección de la Información (no listadas a continuación)4. 2.1 El Departamento de Sistemas de Información5 Responsable de la coordinación general del marco técnico y organizativo que sea necesario, así como proporcionar la ayuda necesaria en materia de seguridad informática. 2.2 Los Propietarios6 Para cada sistema de información siempre existirá una unidad (departamento, sucursal o servicio) con la responsabilidad final sobre el mismo. Esta Unidad se denominará UNIDAD PROPIETARIA y su Jefe será el PROPIETARIO del sistema de información. Entre otras, cabe destacar las siguientes responsabilidades del Propietario: ŠŠ Definir los requisitos de seguridad del sistema. ŠŠ Promover, establecer y mantener una adecuada organización administrativa para la utilización del sistema de información. ŠŠ En caso de precisarse, analizar y definir los procedimientos de actuación para situaciones excepcionales de no disponibilidad, total o parcial del sistema de información. ŠŠ Analizar y definir los aspectos organizativos, normativos o de formación necesarios para la puesta en funcionamiento del sistema de información. ŠŠ Decidir qué otras Unidades (departamentos, sucursales o servicios) del Banco o entidades externas pueden hacer uso de los elementos del sistema. ŠŠ Revisar la información de control relativa al uso en el Banco de los elementos de su propiedad. ŠŠ Cuando cambios organizativos o de otra índole lo aconsejen, solicitar la realización de un nuevo análisis de riesgos, a fin de asegurar que, con el paso del tiempo, las medidas de seguridad sigan siendo adecuadas y se vayan adaptando a nuevas circunstancias. 2.3 Los Propietarios delegados7 Cuando un propietario autorice a otra unidad (departamento, sucursal o servicio) a utilizar elementos de información de su propiedad, se dirá que delega la propiedad de esos elementos en dicha unidad. El jefe de la unidad delegada se denomina PROPIETARIO DELEGADO. 4 5 6 7 Circular Interna 1/2018 «Protección de la Información». (Artículo 8). Circular Interna 2/2002 «Régimen de Seguridad Informática del Banco de España». (Apartado 11). Circular Interna 2/2002 «Régimen de Seguridad Informática del Banco de España». (Apartados 4 a 6). Circular Interna 2/2002 «Régimen de Seguridad Informática del Banco de España». (Apartados 4 a 6). División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Seguridad informática 11 Seguridad informática UNIDAD DIDÁCTICA 1 Entre otras, cabe destacar las siguientes responsabilidades: ŠŠ Promover, establecer y mantener en su unidad una adecuada organización administrativa para la utilización del sistema de información. ŠŠ En función de los requisitos de seguridad establecidos y de las directrices dadas por el propie- tario, determinar los criterios para la utilización del elemento de información dentro de su unidad. ŠŠ Revisar la información de control, relativa al uso en su unidad, de los elementos cuya propiedad le ha sido delegada. 2.4 Los Gestores de proyectos8 Un «Gestor de proyectos» es cualquier persona que desarrolle o gestione, instale o ponga en marcha un sistema informático. Entre otras, sus responsabilidades son: ŠŠ Asegurar que la propiedad del sistema queda claramente definida. ŠŠ Asegurar que se definen claramente los requisitos de seguridad del sistema. ŠŠ Realizar un análisis de riesgos con el objetivo de proporcionar una medida de las posibles amenazas al sistema. ŠŠ Seleccionar e implementar un conjunto adecuado de medidas de seguridad. ŠŠ Utilizar solamente productos y equipos autorizados por el Departamento de Sistemas de Infor- mación. 2.5 Los Jefes9 Entre otras, sus responsabilidades son: ŠŠ Cuidar que el personal a su cargo observe las medidas de seguridad y procedimientos estable- cidos. ŠŠ Cuidar y facilitar la adecuada capacitación y sensibilización del personal a su cargo. ŠŠ Asegurar la involucración directa de toda la línea jerárquica que de él dependa. ŠŠ Informar a su superior de cualquier hecho o circunstancia que pueda afectar a la seguridad. 2.6 Los Coordinadores de seguridad informática10 En cada una de las Unidades (departamentos, sucursales o servicios) del Banco existirá una persona responsable de supervisar la correcta aplicación de los procedimientos de seguridad y coordinar todos los trabajos relativos a seguridad informática. En las sucursales (excepto Barcelona) será el propio director quien realizará estas funciones. Entre otras, sus responsabilidades son: ŠŠ Supervisar la realización de todos los trabajos relacionados con la seguridad informática. 8 Circular Interna 2/2002 «Régimen de Seguridad Informática del Banco de España». (Apartado 7). 9 Circular Interna 2/2002 «Régimen de Seguridad Informática del Banco de España». (Apartado 9). 10 Circular Interna 2/2002 «Régimen de Seguridad Informática del Banco de España». (Apartado 12). 12 División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Seguridad informática Seguridad informática UNIDAD DIDÁCTICA 1 ŠŠ Actuar como interlocutor con el Departamento de Sistemas de Información en los temas relativos a seguridad informática. ŠŠ Informar al Departamento de Sistemas de Información de las dificultades que pudieran surgir en el cumplimiento de la normativa sobre seguridad informática. ŠŠ Supervisar las actuaciones de los administradores de su unidad y revisar periódicamente las funciones identificadas en su unidad, la estructura de grupos y administradores. ŠŠ Cuando fuera necesario, en ausencia del administrador titular, designar al administrador provi- sional que vaya a sustituirle. 2.7 Los Usuarios11 Los usuarios de sistemas de información deben evitar aquellas situaciones que posibiliten la perdida de seguridad, tomando las medidas a su alcance para evitar riesgos, así como para prevenir el acceso a la información y a los sistemas de información a toda persona no autorizada. Es su responsabilidad: ŠŠ La seguridad de la información que almacenen en su puesto de trabajo. ŠŠ El correcto uso de su código de usuario. ŠŠ La protección de cualquier información (Ej. contraseña de uso personal) o dispositivo que les fuera asignado. ŠŠ El correcto uso de los equipos y las autorizaciones concedidas. ŠŠ Respetar la legislación vigente en materia de propiedad intelectual y derechos de autor. ŠŠ Notificar a sus jefes cualquier problema, hecho o sospecha en relación con la seguridad infor- mática. ŠŠ Secreto profesional respecto al tratamiento de los datos de carácter personal (Ley Orgánica 15/1999). 11 Circular Interna 2/2002 «Régimen de Seguridad Informática del Banco de España». (Apartado 10). División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Seguridad informática 13 Seguridad informática UNIDAD DIDÁCTICA 1 3 Responsabilidades de los usuarios 3.1 Custodia del código de usuario personal12 Cada usuario de sistemas informáticos dispone de un «código de usuario» personal, único y exclusivo. En relación con el uso de este código personal: ŠŠ Los usuarios no deberán permitir el empleo de su código de usuario a otras personas. ŠŠ Cualquier necesidad de acceso deberá resolverla el administrador del usuario, gestionando la asignación del oportuno código de usuario y/o autorización a la persona que lo precise. ŠŠ La actividad de los códigos de usuario y el uso que las personas autorizadas hacen de las herramientas y/o sistemas informáticos del Banco de España pueden ser auditados en cualquier momento. ŠŠ El usuario será responsable, a todos los efectos, de las acciones que se realicen con su código personal. 3.2 Protección de contraseñas, claves de cifrado y PIN13 Cada usuario es responsable de la custodia y protección de las contraseñas, claves de cifrado o PIN que le hubieran sido asignadas. ŠŠ Las contraseñas y claves de cifrado sólo deberán ser conocidas por las personas autorizadas, en quienes recae la responsabilidad de mantener su confidencialidad. ŠŠ Se deberá memorizar la contraseña asociada al código personal. No transcribir la contraseña a papel o cualquier otro soporte, sea magnético, electrónico, etc., que permita su conocimiento por terceras personas aun sin su intervención directa salvo en los casos específicos que Sistemas de Información autorice. ŠŠ Si fuera necesario almacenar una contraseña en formato electrónico, deberá procederse obligatoriamente a su cifrado. ŠŠ Las contraseñas y claves de cifrado deberán ser cambiadas tan pronto como se sospeche de su conocimiento por parte de personas no autorizadas. ŠŠ Se deben elegir contraseñas y claves de cifrado que dificulten su deducción por terceras personas. ŠŠ Siempre que el sistema de seguridad lo permita, se utilizará preferentemente la tarjeta como mecanismo de autenticación. ŠŠ Para la elección del PIN asociado a una tarjeta criptográfica se utilizarán secuencias de carac- teres que dificulten su deducción por parte de otras personas y que tengan, al menos, 6 caracteres. 12 Ordenanza 7/2010 «Responsabilidades y procedimientos de seguridad de los usuarios de equipos informáticos y sistemas de información» (disposición segunda, apartado 1). 13 Ordenanza 7/2010 «Responsabilidades y procedimientos de seguridad de los usuarios de equipos informáticos y sistemas de información» (disposición segunda, apartado 2). 14 División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Seguridad informática Seguridad informática UNIDAD DIDÁCTICA 1 ŠŠ El PIN deberá ser cambiado tan pronto como se sospeche que personas no autorizadas tienen conocimiento del mismo. Sin embargo, al contrario que las contraseñas, el PIN no tiene una caducidad establecida. 3.3 Confidencialidad de la información14 Con el fin de asegurar la confidencialidad de la información que manejan, es responsabilidad de los usuarios: ŠŠ No abrir sesiones mientras que no sea preciso y bloquearlas o cerrarlas tan pronto como el abandono del puesto de trabajo, aun cuando sea temporal, le impida el control de su utilización por terceras personas. Será responsabilidad de los usuarios no desactivar o modificar la configuración de bloqueo automático de terminal establecida. ŠŠ No se guardará localmente en los ordenadores personales información restringida o confi- dencial; igualmente, se evitará copiar información restringida o confidencial en dispositivos externos. ŠŠ Siempre que, por motivos de trabajo, sea necesario sacar información no pública fuera de los locales del Banco, sea para uso propio o para uso de terceros, se deberán aplicar las medidas de seguridad precisas para proteger la información. ŠŠ Antes de desechar o reutilizar un soporte que contenga información no pública, deben tomarse las medidas precisas para garantizar la confidencialidad de la misma. ŠŠ Aquellos usuarios a los que el Banco haya proporcionado dispositivos móviles para el acceso a sus sistemas de información deberán mantener las cautelas necesarias para asegurar la confidencialidad y la integridad de la información contenida en estos dispositivos. ŠŠ En relación con la protección de la información impresa generada los usuarios deberán: recoger inmediatamente los listados enviados a las impresoras; guardar bajo llave la información confidencial; destruir adecuadamente la información confidencial haciendo uso de destructoras de papel o del servicio de destrucción de información confidencial del Banco de España. ŠŠ Adicionalmente, para preservar la confidencialidad de la información, serán de aplicación todas las medidas explícitamente recogidas en la Circular 1/2018 “Protección de la información” y que los usuarios deben conocer y aplicar. 3.4 Integridad del entorno15 Con el fin de asegurar la integridad del entorno, es responsabilidad de los usuarios: ŠŠ Hacer uso correcto de los equipos y sistemas de información, absteniéndose de almacenar, procesar o imprimir información no relacionada con el trabajo encomendado. ŠŠ Está terminantemente prohibido vulnerar, o intentar vulnerar, los controles o mecanismos de seguridad implementados en el Banco de España. ŠŠ Solo se utilizará el software autorizado por el Departamento de Sistemas de Información. Los usuarios de equipos y sistemas informáticos no deberán realizar instalaciones ni modificaciones de ningún tipo de software en los equipos, salvo indicación expresa del Departamento de Sistemas de Información. 14 Ordenanza 7/2010 «Responsabilidades y procedimientos de seguridad de los usuarios de equipos informáticos y sistemas de información» (disposición segunda, apartado 3.1). 15 Ordenanza 7/2010 «Responsabilidades y procedimientos de seguridad de los usuarios de equipos informáticos y sistemas de información» (disposición segunda, apartado 3.2). División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Seguridad informática 15 Seguridad informática UNIDAD DIDÁCTICA 1 ŠŠ Cualquier software, información o soporte de procedencia externa deberá ser sometido al proceso de control y verificación que se haya establecido antes de ser utilizado en los equipos del Banco de España. ŠŠ Con el fin de asegurar que toda la información que el Banco de España envía al exterior está libre de virus, previamente a su envío deberá ser obligatoriamente verificada para analizar la posible existencia de virus. ŠŠ A la menor sospecha de la existencia de un virus en un equipo: informar a su administrador de usuarios y al CAU (6666). ŠŠ Cuando sea necesario salvaguardar información cuyo respaldo no esté garantizado por los procedimientos generales (información que reside localmente en el ordenador personal), los usuarios deberán obtener y custodiar las copias de respaldo necesarias para asegurar que, en caso de pérdida o destrucción de la información, esta puede ser recuperada. 3.5 Propiedad intelectual y derechos de autor16 Los usuarios deberán respetar la legislación vigente en materia de propiedad intelectual y derechos de autor. Por este motivo: ŠŠ Queda prohibida la realización de copias del software utilizado por el Banco de España. ŠŠ Queda prohibida la copia y distribución de información obtenida mediante acceso a bases de datos y servicios de información a los que el Banco de España tuviera acceso. ŠŠ La instalación de programas informáticos debe realizarse siempre de conformidad con las licencias de software con que cuente el Banco de España. No se utilizarán programas para los cuales el Banco de España no haya obtenido una licencia o autorización previa. 3.6 Devolución de medios informáticos17 Cuando un usuario cause baja en el Banco su administrador le retirará todas las autorizaciones concedidas. Adicionalmente, en el supuesto de que el usuario tenga en su poder determinados medios informáticos (ordenador portátil, dispositivo inalámbrico de correo, tarjeta criptográfica, llaves de memoria, token de autenticación, etc.), deberá devolverlos. 3.7 Responsabilidades de los usuarios pertenecientes a empresas externas18 Los usuarios pertenecientes a empresas externas que prestan sus servicios en el Banco de España están sujetos a las mismas obligaciones y responsabilidades que los usuarios internos: ŠŠ Cuando se autorice el acceso a empresas o proveedores de servicios ajenos al Banco de España, deberá hacerse entrega de la normativa aplicable al responsable del servicio, recogiéndose su compromiso expreso de acatar y hacer acatar a sus propios empleados las obligaciones contenidas en ella. 16 15 Ordenanza 7/2010 «Responsabilidades y procedimientos de seguridad de los usuarios de equipos informáticos y sistemas de información» (disposición segunda, apartado 4). 17 Ordenanza 7/2010 «Responsabilidades y procedimientos de seguridad de los usuarios de equipos informáticos y sistemas de información» (disposición cuarta, apartado 3). 18 Ordenanza 7/2010 «Responsabilidades y procedimientos de seguridad de los usuarios de equipos informáticos y sistemas de información» (disposición primera, ámbito de aplicación). 16 División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Seguridad informática Seguridad informática UNIDAD DIDÁCTICA 1 4 Modelo organizativo de administración de seguridad 19 El modelo organizativo definido en el Banco para la administración de seguridad es un modelo distribuido. ŠŠ Cada unidad (departamento, sucursal o servicio) del Banco contará con una organización administrativa adecuada para garantizar la seguridad de los sistemas de información que utiliza. ŠŠ En cada unidad existirán personas con la capacidad para decidir las autorizaciones que deben ser concedidas y realizar las actuaciones que fuesen precisas. ŠŠ La concesión de estas autorizaciones estará basada en una política de acceso discrecional orientada a funciones. 4.1 Figuras organizativas20 Este modelo distribuido se basa en la existencia de los siguientes roles y responsabilidades: ŠŠ En cada unidad (departamento, sucursal o servicio) existirán personas con autoridad para decidir y validar las autorizaciones de acceso que deben concederse a cada elemento de información (son los «administradores de elementos»). ŠŠ En cada unidad existirán personas cuya misión será la de analizar las funciones que se realizan en un grupo de usuarios y las autorizaciones precisas que cada una de estas funciones requiere (son los «administradores de usuarios») ŠŠ En el departamento de Sistemas de Información existirá una figura cuya misión será la de atender todas las cuestiones administrativas, organizativas y de soporte que pudieran precisarse (Administrador del Sistema de Seguridad). ŠŠ El jefe de cada unidad será el responsable de establecer la organización administrativa para la administración de seguridad. Es decir: Determinar la organización de grupos de usuarios, nombrando a los correspondientes «administradores de usuarios» de estos grupos. Nombrar un «administrador de elementos» para cada uno de los elementos que sean propiedad de su unidad o cuya propiedad la haya sido delegada. NOTA: En todas las sucursales, salvo la de Barcelona, será el propio director quién realizará todas las funciones asignadas a los administradores de seguridad (el director asumirá las funciones de administrador de usuarios y de elementos). 4.2 Administradores de elementos21 Son personas con autoridad para validar y decidir las autorizaciones que deben concederse a cada elemento de información. Cada elemento de información será administrado en cada Unidad (departamento, sucursal o servicio) por un único administrador de elementos. 19 Circular Interna 2/2002 «Régimen de Seguridad Informática del Banco de España» (apartado14). 20 Circular Interna 2/2002 «Régimen de Seguridad Informática del Banco de España» (apartados15 y 16). 21 Circular Interna 2/2002 «Régimen de Seguridad Informática del Banco de España» (apartados 17 y 18). División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Seguridad informática 17 Seguridad informática UNIDAD DIDÁCTICA 1 Sus funciones son: ŠŠ Asegurar que las autorizaciones concedidas se ajustan al principio de necesidad para el trabajo y velar por el cumplimiento de las restricciones de acceso que el propietario haya establecido. ŠŠ Informar a los usuarios y a sus administradores, de las medidas de seguridad a adoptar en relación con el elemento al que se ha autorizado su uso. ŠŠ Controlar periódicamente las autorizaciones y el uso de los elementos de información que administra. ŠŠ Designar como administrador provisional de elementos a la persona que le sustituya en sus funciones cuando deba ausentarse. En Sucursales (excepto Barcelona) esta función recae en el Director. En el resto de Unidades o Servicios los nombra el Jefe de la Unidad o Servicio. 4.3 Administradores de usuarios22 Los usuarios de cada una de las unidades (departamentos, sucursales o servicios) del Banco se organizan en grupos, cada uno de estos administrado por un administrador de usuarios. Esta persona será la encargada de analizar cada función concreta que se realiza dentro de su grupo de usuarios y las autorizaciones precisas que cada una de estas funciones requiere. Sus funciones son: ŠŠ Asegurar que en todo momento cada persona tiene las autorizaciones que precisa para el trabajo que tiene encomendado. ŠŠ Analizar cada una de las tareas que se realiza en el grupo y las autorizaciones precisas que cada una requiere. ŠŠ Gestionar la concesión/baja de códigos de usuario, la autorización o desautorización al uso de sistemas informáticos y las puestas en primera vez de los usuarios que administra. ŠŠ Gestionar la inhabilitación de los usuarios de su grupo cuando lo considere necesario, rehabi- litándolos cuando desaparezcan las causas de la inhabilitación. ŠŠ Mantener puntualmente informados a los usuarios que administra de las normas sobre seguridad informática vigentes que les afecten. ŠŠ Designar como administrador provisional de usuarios a la persona que le sustituya en sus funciones cuando deba ausentarse. En Sucursales (excepto Barcelona) esta función recae en el Director. En el resto de Unidades o Servicios los nombra el Jefe de la Unidad o Servicio. 4.4 Administrador del Sistema de Seguridad23 Pertenece al Departamento de Sistemas de Información. Sus funciones son: ŠŠ Atender a las cuestiones administrativas y organizativas que le planteen los administradores de seguridad, coordinadores, propietarios, etc. 22 Circular Interna 2/2002 «Régimen de Seguridad Informática del Banco de España» (apartado19 y 20). 23 Circular Interna 2/2002 «Régimen de Seguridad Informática del Banco de España» (apartado 21). 18 División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Seguridad informática Seguridad informática UNIDAD DIDÁCTICA 1 ŠŠ Ejecutar frente al sistema de seguridad aquellas actuaciones de administración que le solicite el personal debidamente autorizado de las distintas Unidades (departamentos, sucursales o servicios) por ausencia imprevista de los administradores titulares. ŠŠ Realizar aquellas actuaciones de carácter técnico que fueran precisas para el mantenimiento de los sistemas de seguridad. 4.5 Administración de Guardia24 Para atender a situaciones excepcionales en las que fuera preciso realizar urgentemente alguna operación de administración de seguridad y esta no pudiera ser efectuada por el correspondiente administrador de seguridad local, se ha establecido la función de administración de seguridad de guardia. Las solicitudes de administración de seguridad de guardia las podrán tramitar el coordinador de seguridad, los jefes de división y el Director de Departamento (sucursal o jefe de servicio). Las solicitudes se remitirán por correo electrónico, dirigiéndolas al buzón departamental del CAU. 24 Ordenanza 6/2010, «Procedimientos de administración de seguridad informática» (apartado 6). División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Seguridad informática 19 Seguridad informática UNIDAD DIDÁCTICA 1 5 Catalogación de elementos de información 25 Para implementar y mantener los niveles de seguridad deseados en una instalación es imprescindible poder identificar y relacionar cuales son los recursos a proteger y el porqué de su valor o importancia. La forma de instrumentar esto es lo que en terminología de seguridad informática se denomina CATÁLOGO DE ELEMENTOS de información. El catálogo es un archivo donde se documentan aquellos elementos (Ej. transacciones CICS, ficheros MVS, directorios de red, buzones de correo, etc.) que vayan a requerir la existencia de estructuras de seguridad específicas para la gestión de las autorizaciones o para el control de los accesos realizados. Para cada elemento contiene la siguiente información: ŠŠ Datos identificativos del elemento: nombre, descripción, tipo de elemento, sistema de infor- mación al que está relacionado, entornos y subsistemas donde está definido. ŠŠ Departamento propietario del elemento ŠŠ Clasificación de elemento a efectos de confidencialidad ŠŠ Nivel de autorización al mismo concedido por defecto a cualquier usuario del Banco de España ŠŠ Administrador del elemento y ámbito de administración ŠŠ Unidades (departamentos, sucursales o servicios) a las que se ha delegado la propiedad del elemento. 25 Ordenanza 9/2002, «Catalogación de elementos de información». 20 División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Seguridad informática Seguridad informática UNIDAD DIDÁCTICA 1 6 Procedimientos de administración de seguridad 26 6.1 Asignación de las operaciones más frecuentes de administración de seguridad El siguiente cuadro muestra quien es el responsable de realizar las operaciones más frecuentes de administración de seguridad. Operación Adm. Usuarios Asignación/baja de código de usuario  Alta / baja de usuario de un usuario en el entorno de ordenadores departamentales, nodo de ordenadores centrales o red ofimática  Gestión de certificados digitales personales  Inhabilitación / rehabilitación de un usuario  Puesta en primera vez o desbloqueo de un usuario.  Restauración de información de directorios de usuarios  Adm. elementos Coord. seguridad Resp. ordenador Usuarios Cambio de un usuario a otro grupo de usuarios Aut. /Des. Para utilizar los subsistemas definidos en un nodo de ordenadores centrales  Aut. / Des. de un usuario a un grupo funcional  Aut. /Des. de usuarios a utilidades y herramientas de la red ofimática  Nombramiento de administrador de usuarios provisional  Aut. / des. de un usuario a utilizar un ordenador compartido  Aut. / Des. De un usuario o de un grupo funcional a un elemento  Gestión de las contraseñas de acceso al ordenador personal  Gestión de PIN/PUK de tarjeta  Olvido/perdida/sustitución de tarjeta  Descarga de certificados digitales personales  Aut. /Des. De un usuario a acceder a una aplicación, directorios y/o ficheros.  Restauración de información de los directorios o ficheros  Nombramiento de administrador de elementos provisional  Solicitar operaciones de administración de seguridad en ausencia de los administradores titulares  26 Ordenanza 6/2010 «Procedimientos de administración de seguridad informática.» «Procedimientos de los titulares de certificados personales emitidos por la PKI del Banco de España (PKIBDE)» «Procedimientos de los administradores de usuarios relacionados con la gestión de los certificados emitidos por la PKI del Banco de España (PKIBDE)». División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Seguridad informática 21 Seguridad informática UNIDAD DIDÁCTICA 1 6.2 Instrumentos para realizar las funciones relativas a administración de seguridad Los administradores de seguridad pueden ejecutar directamente la mayoría de las funciones que tiene asignadas mediante transacciones del sistema GSI «Gestión de Seguridad Informática» y la herramienta TIM. En el caso de operaciones que no puedan ser realizadas directamente por los administradores de seguridad, estos deberán encaminarlas al administrador del sistema de seguridad mediante las opciones disponibles en el sistema GSI o bien mediante correo electrónico u ordinario (solo en casos especiales en los que no sea posible utilizar el sistema GSI). 22 División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Seguridad informática Seguridad informática UNIDAD DIDÁCTICA 1 7 Infraestructura de clave pública en el Banco de España (PKIBDE) 27 7.1 Conceptos básicos Cada persona dispone de un par de claves, una PRIVADA conocida tan sólo por su propietario y otra PÚBLICA que puede darse a conocer a otros usuarios. Estas claves tienen una característica especial: las operaciones que se «hacen» con una de ellas sólo se pueden «deshacer» con la otra. Por ejemplo si Ana quiere asegurarse que sólo Bernardo podrá leer un mensaje, bastará con que cifre esta información con la clave pública de Bernardo. De esta forma, Bernardo, utilizando su clave privada, será la única persona que podrá descifrar esta información. Pero esto no es suficiente puesto que cualquiera podría generar un par de claves y pretender ser Ana o Bernardo. Es preciso la intervención de una tercera parte de confianza que se encargue de garantizar la identidad de las personas para las que se emiten las claves. A esta entidad se le denomina AUTORIDAD DE CERTIFICACIÓN. El medio por el que una autoridad de certificación identifica a una persona se denomina CERTIFICADO DIGITAL. Un certificado digital es un documento electrónico, firmado por la autoridad de certificación, que vincula, básicamente, la identidad del titular, su clave pública y su fecha de validez. Una PKI (Public Key Infraestructure o Infraestructura de Clave Pública) es el conjunto de personas, políticas, procedimientos y sistemas necesarios para proporcionar servicios de autenticación, cifrado, integridad y no repudio basados en la tecnología de clave pública junto con los mecanismos adecuados para la gestión de claves y certificados. 7.2 Tipos de certificados personales emitidos por la PKI del Banco de España La PKI del Banco de España emite los siguientes tipos de certificados personales: ŠŠ Autenticación: Su finalidad es servir de mecanismo de autenticación frente a los Sistemas de Información del Banco de España. ŠŠ Firma: Su finalidad es la firma de documentos electrónicos, correos electrónicos y transac- ciones electrónicas. ŠŠ Cifrado: Su finalidad es el cifrado de documentos electrónicos y de correo electrónico. Se efectúa un archivo de las claves de cifrado bajo control multipersona de manera que en caso necesario pueda ser recuperable. Los certificados se emiten para el personal empleado en el Banco de España y para personal ajeno que por su relación con el Banco precise interactuar con los sistemas de información del Banco de España. Todos los certificados personales se utilizarán desde tarjetas criptográficas, estando prohibido a sus titulares exportar sus claves privadas fuera de las mismas. 27 Procedimientos de los titulares de certificados personales emitidos por la PKI del Banco de España (PKIBDE) (Introducción). División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Seguridad informática 23 Seguridad informática UNIDAD DIDÁCTICA 1 8 Procedimientos, recomendaciones y medidas de seguridad 8.1 Utilización de las contraseñas Con independencia de los controles establecidos en los sistemas de seguridad que tratan de implementar y forzar, en la medida de lo posible, el cumplimiento de la política de contraseñas definida en el Banco de España, los usuarios deben mantener las siguientes precauciones: ŠŠ A la hora de seleccionar una contraseña: Utilizar la máxima longitud de clave que el sistema de seguridad permita (de acuerdo con la política del banco al menos deben tener 8 caracteres). No utilizar, combinadas o no, en letra o en número, las fechas relacionadas con el usuario o su familia, así como los patronímicos del mismo o de su familia. No utilizar palabras que se encuentren en un diccionario (ya que esto sería lo primero que, a través de un programa informático, trataría de buscar un intruso medianamente sofisticado). Combinar siempre diferentes tipos de caracteres: mayúsculas, minúsculas, números, caracteres especiales (de acuerdo con la política del Banco, al menos tres tipos de caracteres diferentes). No reutilizar contraseñas utilizadas anteriormente o utilizadas en servicios externos (por ejemplo servicios accesibles desde Internet). ŠŠ Cambio de contraseña: Deberá realizarse al menos cada dos meses y siempre que se sospeche de su conocimiento por terceros. ŠŠ Si piensa que está utilizando la contraseña correcta y no se le permite el acceso al ordenador, ponga este hecho en conocimiento de su administrador de usuarios. 8.2 Respaldo / recuperación de la información28 En relación con el respaldo/recuperación de la información, los usuarios deben tener en cuenta que: ŠŠ El Departamento de Sistemas de Información se responsabiliza de asegurar el respaldo/ recuperación de la información almacenada en los servidores. ŠŠ En el caso de ordenadores personales conectados a la red interna, no deberá ubicarse local- mente en los equipos ninguna información que requiera ser respaldada. Si se detectara la necesidad de respaldar la información almacenada localmente en un equipo conectado a la red interna, se contactará con el Departamento de Sistemas de Información con el fin de definir qué procedimientos son los más adecuados. Š Š En el caso de ordenadores personales no conectados a la red interna es obligatorio realizar una copia total de la información una vez al mes y mantenerla al menos un año. Las copias de seguridad de la información de usuarios que reside en los ordenadores personales (C:\GRP, C:\USR y sus subdirectorios) deben ser realizadas por los usuarios 28 Ordenanza 7/2010 «Responsabilidades y procedimientos de seguridad de los usuarios de equipos informáticos y sistemas de información» (disposición tercera, apartado 2). 24 División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Seguridad informática Seguridad informática UNIDAD DIDÁCTICA 1 responsables de los equipos siguiendo las indicaciones recibidas de su administrador de usuarios. ŠŠ Las copias de respaldo o de seguridad se almacenarán debidamente etiquetadas en lugares seguros, alejados del sitio en el que reside la información original, para disminuir la probabilidad de que un mismo accidente destruya ambas. 8.3 Virus informáticos29 Para evitar cualquier riesgo de infección, toda la información procedente de fuentes externas al Banco de España o remitida a entidades externas deberá ser sometida a un procedimiento de revisión antivirus. 8.3.1 Procedimientos generales de revisión antivirus En el Banco se han definido un conjunto de medidas que realizan la verificación automática de cualquier información introducida en los sistemas de ficheros. Aunque existan estas medidas generales, siempre que manejen información de procedencia externa, los usuarios deben tener en cuenta que: ŠŠ Existe a su disposición una utilidad de «Verificación Antivirus Ampliada». La documentación necesaria para configurar adecuadamente esta utilidad está disponible en Bdenred. ŠŠ Ante cualquier duda, los usuarios deberán dirigirse al Departamento de Sistemas de Informa- ción, que les facilitará el asesoramiento necesario y, si procede, analizará el uso de otro tipo de medidas alternativas. ŠŠ Si los ficheros a verificar están cifrados, para completar la verificación del fichero, el archivo deberá verificarse de nuevo después de descifrarlo. 8.3.2 Revisión antivirus del correo externo En relación con el correo externo los usuarios del Banco deben conocer que: ŠŠ En el Banco se revisan de forma automática los mensajes y los anejos que incluyan de todo el correo entrante / saliente. En el caso de detectarse algún virus, se procede a la limpieza del archivo. Si el proceso de limpieza finaliza correctamente, se deja pasar el mensaje; en caso contrario, se retiene el mensaje. Si el antivirus detecta que no puede completar la verificación, se informa al usuario de que debe completar la verificación de los anejos recibidos. No obstante lo anterior, se tendrán en cuenta las siguientes recomendaciones generales: ŠŠ Se recomienda no abrir los ficheros anejos a un correo externo si este incluye un aviso indicando que el mensaje no ha podido verificarse de forma completa. ŠŠ Se recomienda no abrir aquellos mensajes sospechosos que se reciban de origen descono- cido. 29 Ordenanza 7/2010 «Responsabilidades y procedimientos de seguridad de los usuarios de equipos informáticos y sistemas de información» (disposición tercera, apartado 3). División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Seguridad informática 25 Seguridad informática UNIDAD DIDÁCTICA 1 8.4 Correo Externo y Navegación por Internet30 8.4.1 Navegación Internet Entre otras, en la navegación Internet se deberán tener en cuenta las siguientes condiciones de uso: ŠŠ Los servicios accesibles mediante Internet y otras redes externas pueden ser monitorizados en cualquier momento, lo que se pone en conocimiento de los usuarios a todos los efectos legales oportunos. ŠŠ La autorización de acceso a Internet dependerá de las necesidades de la organización, del trabajo que le haya sido encomendado y del cumplimiento de las normas de uso establecidas por el Banco. Normas de uso: ŠŠ Está terminantemente prohibido vulnerar, o intentar vulnerar, los controles o mecanismos de seguridad implementados en el Banco de España ŠŠ El uso de Internet se ofrece como una herramienta más para el cumplimiento de sus obliga- ciones laborales. ŠŠ Está prohibido facilitar y/o permitir a personas no autorizadas la utilización de las cuentas asignadas para acceder a servicios externos. ŠŠ Cuando se asignen contraseñas en servidores externos, deben ser por completo diferentes de las utilizadas en la red interna. ŠŠ Deben evitarse la publicación, la divulgación o la descarga de información que, por su conte- nido o naturaleza, pudiera atentar contra la imagen del Banco de España o suponga una violación de derechos de autor o de la propiedad intelectual de la misma. Cualquier opinión vertida en nombre del Banco de España deberá estar debidamente autorizada. ŠŠ Se prohíbe expresamente el acceso a sitios (o contenidos) de Internet que puedan resultar peligrosos o puedan afectar negativamente a la imagen pública del Banco de España. ŠŠ Antes de utilizar información proveniente de Internet es necesario comprobar cuidadosamente que la misma no se encuentra protegida por derechos de autor, patente o marca. En caso de duda, no se llevarán a cabo acciones que puedan poner al Banco de España en riesgo de reclamación por parte de sus legítimos titulares. ŠŠ Durante el uso de Internet no se debe proporcionar información sobre la identidad del usuario y/o su dirección de correo, así como otra información interna del Banco de España. No obstante, cuando resulte necesaria la identificación ante servidores externos, esta deberá hacerse verazmente. 8.4.2 Uso del correo electrónico Principios de utilización: ŠŠ Preservación frente a terceros del buen nombre e imagen del Banco de España, evitando situaciones que puedan hacer incurrir al Banco en responsabilidad de cualquier índole. ŠŠ Protección de la infraestructura informática del Banco de España. ŠŠ Protección de la confidencialidad e integridad de la información que se intercambie a través del servicio de correo electrónico. 30 Circular Interna 2/2018 «Normativa de uso del correo electrónico» Ordenanza 8/2010 «Normativa de uso de los servicios accesibles mediante internet y otras redes externas». Nota 5/2002 «Nota informativa sobre el uso de la conexión corporativa a Internet». Nota 1/1999 «Riesgos en la utilización del correo electrónico Internet». 26 División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Seguridad informática Seguridad informática UNIDAD DIDÁCTICA 1 ŠŠ Uso eficiente y restringido a las actividades propias del Banco de España, evitando cualquier tipo de uso abusivo o inadecuado del servicio de correo electrónico. Normas de uso. Existen una serie de reglas de uso, una aceptación de las mismas por parte de los usuarios, así como recomendaciones en el uso y usos prohibidos del servicio de correo electrónico, que de forma no exhaustiva se pueden resumir como: ŠŠ Para la habilitación del correo externo en un buzón de correo electrónico, será necesaria la autorización expresa del director del departamento, sucursal o servicio. ŠŠ Utilizar el servicio de correo electrónico únicamente para las necesidades relacionadas con la función desempeñada o el trabajo encomendado y, en el caso de buzones departamentales, para los fines específicos o función que hayan motivado su habilitación. ŠŠ Con el fin de evitar la difusión de información a personas no autorizadas, antes de enviar un correo se deberá comprobar que los destinatarios incluidos son las personas a las que debe ir dirigido el mensaje. ŠŠ El correo electrónico intercambiado con el exterior debe considerarse mensajería no segura, y en particular el contenido del mensaje, de dominio público. En el caso de mensajes intercambiados con el exterior: Cuando sea necesario asegurar la autenticidad y la integridad de los mensajes enviados al exterior, estos se firmarán electrónicamente No se cifrarán los mensajes intercambiados con el exterior, salvo en aquellos casos en que, para preservar la confidencialidad, sea aconsejable. En este caso, se utilizarán las herramientas proporcionadas por el Banco ŠŠ Se prohíbe expresamente la utilización de buzones de correo electrónico ajenos al Banco de España (como Gmail, Hotmail, etc.) para el intercambio de información relacionada con la función desempeñada o el trabajo encomendado. ŠŠ Asimismo, se considera un uso indebido del correo, el envío masivo de mensajes no relacio- nados con la función desempeñada, el trabajo encomendado o la función para la que se creó el buzón departamental 8.4.3 Riesgos en el uso del correo y la navegación Internet Los usuarios de correo Internet deben tener en cuenta, principalmente, que: ŠŠ No es posible confiar plenamente en la integridad y la totalidad del correo de Internet. ŠŠ No es posible confiar plenamente en la autenticidad o en el origen de un mensaje electrónico. ŠŠ No es posible confiar plenamente en la disponibilidad, ni en la entrega puntual y fiable de los mensajes electrónicos. ŠŠ No es posible garantizar la inexistencia de virus en los mensajes recibidos a través de Internet. ŠŠ El mayor riesgo asociado al correo se encuentra en la lectura y ejecución del anexo. En consecuencia: ŠŠ Está prohibido transmitir, sin protección, información confidencial a través de Internet. ŠŠ Evite proporcionar información corporativa o personal siempre que pueda. ŠŠ Desconfíe de las páginas que de forma inesperada o reiterativa se centran en solicitar infor- mación. ŠŠ No confíe ciegamente en la información que obtiene de Internet. Cualquier información que sea realmente importante para su trabajo debe ser contrastada por otra vía. División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Seguridad informática 27 Seguridad informática UNIDAD DIDÁCTICA 1 8.5 Medidas de seguridad disponibles en el Banco de España 8.5.1 Ordenadores centrales, departamentales y Red Windows Los ordenadores centrales, los departamentales y la red Windows disponen de un sistema de seguridad que controla tanto el acceso al propio ordenador o a la red, como el acceso a la información almacenada en dicho ordenador o en el servidor de la red. Control de acceso al sistema ŠŠ Acceso con código de usuario y contraseña El sistema de seguridad obliga al usuario a cambiar su contraseña cada dos meses. No obstante, la contraseña puede también ser cambiada a voluntad del usuario en cualquier momento. El sistema de seguridad guarda información sobre las últimas contraseñas empleadas por cada usuario impidiendo que éstas sean utilizadas de nuevo. El sistema de seguridad obliga a que las contraseñas tengan al menos 8 caracteres y a que en su formación intervenga al menos tres tipos de caracteres. Si el sistema de seguridad detecta que ha habido más de cierto número de intentos de teclear incorrectamente la contraseña de un usuario, el código de usuario queda inhabilitado automáticamente, lo que significa que no puede ser utilizado para acceder al ordenador hasta que sea rehabilitado. El objeto de esta medida es evitar que, por prueba reiterada de contraseñas, una persona pueda llegar a averiguar la contraseña personal de otro usuario. Cuando un usuario olvida su contraseña personal o cuando se rehabilita un código de usuario que había sido inhabilitado para acceder al sistema, se le asigna como contraseña temporal una contraseña denominada «CONTRASEÑA DE PRIMERA VEZ». Esta operación se denomina puesta en primera vez. Cuando un usuario es puesto en situación de primera vez, el sistema de seguridad le obliga, en su primera conexión posterior, a cambiar la contraseña de primera vez por la contraseña personal que desee utilizar en las conexiones posteriores. Esta conexión para cambiar la contraseña debe realizarla el usuario INMEDIATAMENTE después de su puesta en primera vez ya que, en caso contrario, cualquier otra persona que conociese la contraseña de primera vez podría utilizar su código de usuario para acceder al sistema. Una vez cambiada la contraseña, el usuario debe firmar su conformidad con la operación de puesta en primera vez en el documento que le proporcione el administrador. ŠŠ Acceso con tarjeta inteligente. El certificado de autenticación, directamente ligado al código de un usuario, se podrá utilizar igualmente para conectarse a la red ofimática (sistema Windows). Este método de autenticación tiene dos ventajas fundamentales: Desde el punto de vista de seguridad general del Banco es mucho más seguro que una contraseña, por muy compleja que esta sea. Desde el punto de vista del usuario no requiere cambios periódicos de PIN y la actualización de certificados (salvo en caso de pérdida o deterioro de tarjeta) se realiza cada cuatro años. Los usuarios disponen de la herramienta de administración TIM mediante la cual pueden: ŠŠ Establecer sus contraseñas de acceso personales. ŠŠ Desbloquear sus cuentas. 28 División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Seguridad informática Seguridad informática UNIDAD DIDÁCTICA 1 ŠŠ Habilitar de forma provisional el acceso a Windows con contraseña en el caso de olvido o pérdida de la tarjeta de identificación. Control de acceso a la información ŠŠ Listas de control de acceso Los distintos sistemas de seguridad poseen información, asociada a cada código de usuario, que establecen las autorizaciones de acceso que tiene esa persona, es decir, a qué información protegida debe permitirle acceder y de qué forma (por ejemplo, en el caso de accesos a ficheros, si sólo para leer la información contenida en el fichero, o para leer y modificar dicha información). Estas informaciones se almacenan en estructuras de datos denominadas listas de control de acceso o ACL’s. La concesión de autorizaciones a un usuario puede realizarse de dos formas: De forma INDIVIDUAL, indicando que se autoriza al usuario a acceder a un determinado elemento de información. Incluyendo al usuario en un GRUPO/ROL FUNCIONAL (un conjunto de usuarios que comparten una serie de autorizaciones), con lo que se le conceden implícitamente todas las autorizaciones que tiene asignadas dicho grupo. ŠŠ Utilidades de cifrado Existen a disposición de los usuarios utilidades de cifrado/descifrado de ficheros (accesibles mediante el botón derecho del ratón), así como opciones de cifrado de correo (disponibles en el menú de acciones de MS Outlook). Para poder utilizar estas funcionalidades es necesario que el usuario disponga de certificados digitales. ŠŠ Utilidad de borrado seguro de ficheros (accesibles mediante el botón derecho del ratón). Disponibilidad de los sistemas de información La obtención periódica de copias de seguridad de la información almacenada en los ordenadores centrales, departamentales, así como en los servidores de red Windows, la custodia de estas copias, así como la recuperación de información a partir de ellas en los casos en que sea necesario, es realizada por el Departamento de Sistemas de Información. Integridad de la información ŠŠ Listas de control de acceso El sistema de seguridad posee información, asociada a cada código de usuario, que establece las autorizaciones de acceso que tiene esa persona, es decir, a qué información protegida debe permitirle acceder y de qué forma (por ejemplo, en el caso de accesos a ficheros, si sólo para leer la información contenida en el fichero, o para leer y modificar dicha información). ŠŠ Actualización / verificación antivirus automática de los equipos conectados a la red Ofimática del Banco de España. ŠŠ Utilidades de verificación antivirus. ŠŠ Utilidades de firma digital Existen a disposición de los usuarios utilidades de firma de ficheros (accesibles mediante el botón derecho del ratón), así como opciones de firma de correo (disponibles en el menú de acciones de MS Outlook). Para poder utilizar estas funcionalidades es necesario que el usuario disponga de certificados digitales. 8.5.2 Ordenadores personales NO conectados a la red interna Los ordenadores personales no conectados a la red Ofimática no disponen de mecanismos de seguridad que permitan implementar controles tan eficientes como los existentes en los otros entornos. Es por esto que las medidas que pueden adoptarse para proteger la información descansan fundamentalmente en una ACTUACIÓN RESPONSABLE DE LOS USUARIOS de los equipos. En este entorno disponemos de las siguientes medidas: División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Seguridad informática 29 Seguridad informática UNIDAD DIDÁCTICA 1 Control de acceso al sistema ŠŠ Contraseña de arranque, también conocida como de inicio de sesión o de equipo, que será solicitada por el ordenador en el momento en que se encienda. Si el usuario no teclea correctamente la contraseña, el proceso de encendido no continúa y el equipo no puede utilizarse. ŠŠ Contraseña de bloqueo de teclado, que permite inhabilitar el teclado hasta que se teclee la contraseña. El equipo puede continuar funcionando siempre que el programa en ejecución no requiera comunicación mediante teclado. Control de acceso a la información ŠŠ Utilidades de cifrado. ŠŠ Utilidad de borrado seguro. Disponibilidad de la información ŠŠ Utilidades de backup/restore. Integridad de la información ŠŠ Utilidades de firma digital. ŠŠ Actualización / verificación antivirus de los equipos por parte de los usuarios. 8.5.3 Internet y correo con redes externas En este entorno se han implementado un conjunto de elementos hardware, software y procedimientos de gestión que limitan, en lo posible, el inevitable riesgo que supone la conexión de la red interna del Banco a Internet. Sin embargo, es importante resaltar que todas estas medidas no serán efectivas sin LA ACTUACIÓN RESPONSABLE DE LOS USUARIOS del Banco de España. Entre las medidas implementadas cabe destacar: ŠŠ Controles adicionales a los existentes en red interna que verifican (en lo posible) la existencia de virus en los elementos que se descargan desde internet. Utilizando para ello antivirus de fabricantes diferentes de los utilizados en la red interna del Banco. ŠŠ Impedir conexiones a sitios donde típicamente se distribuyen virus. ŠŠ Comprobación automática del comportamiento de cualquier código activo que se ejecuta en las páginas accedidas desde Internet (ejecutándolo previamente en un entorno controlado para determinar si realiza acciones maliciosas). ŠŠ Restricción de navegación por páginas que pueden poder riesgo a la información gestionada por el Banco de España. ŠŠ Revisión antivirus de todos los mensajes de correo salientes y anejos que se incluyan. En caso de detectarse un virus se retiene el mensaje y se envía un aviso al remitente. ŠŠ Revisión antivirus de todos los mensajes de correo entrantes con todos los anejos que se incluyan. Hay que tener en cuenta que: El proceso automatizado solo revisa los archivos recibidos en el formato en que han sido enviados, sin procesarlos, por lo que, si estos anejos fueran archivos comprimidos, cifrados, ejecutables, etc., que, tras ser procesados (descomprimidos, descifrados, ejecutados, etc.), generan archivos diferentes, 30 División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Seguridad informática Seguridad informática UNIDAD DIDÁCTICA 1 DEBE OBLIGATORIAMENTE el usuario debe repetir la verificación una vez procesado (descomprimidos, descifrados, ejecutados, etc.) el archivo. En caso de que el proceso automatizado de revisión no pueda realizarse, se informa al usuario de que debe completar la verificación de los anejos recibidos. Si se recibieran mensajes cifrados, el antivirus no sería capaz de detectarlos, por lo que el usuario no recibiría el aviso de que debe completar su verificación. En este caso, aun cuando no se reciba el mensaje de que la verificación no ha podido ser completada, el archivo deberá OBLIGATORIAMENTE verificarse de nuevo después de descifrarlo. En caso de detectar virus, si no fuera posible su limpieza, se retiene el mensaje y se informa al usuario de que un mensaje entrante ha sido retenido por contener virus. División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Seguridad informática 31 Seguridad informática UNIDAD DIDÁCTICA 1 Prueba de autoevaluación 1 a) b) 2 a) b) c) d) 3 a) b) c) 4 a) b) c) 5 a) b) c) 6 a) b) c) d) 7 a) b) c) d) Identifique si la siguiente afirmación es verdadera o falsa: «La seguridad Informática afecta únicamente a los sistemas informáticos». Verdadero. Falso. ¿A qué nos referimos cuando hablamos de Auditabilidad?: Autenticación. No repudio. Las dos anteriores. Ninguna de las anteriores. ¿Sobre quién recae la responsabilidad final sobre la seguridad de cada sistema de información?: El departamento de Seguridad Perimetral. El departamento de Sistemas de Información. La unidad propietaria. ¿A qué departamento o grupo pertenece el administrador de usuarios?: Al departamento de Recursos Humanos. Al departamento de Sistemas de Información. A cada grupo de usuarios. ¿Quién determina la organización administrativa para trabajar en un determinado sistema?: El gestor de proyecto. El departamento de Sistemas de Información. El jefe de la unidad propietaria del sistema. ¿Quién determina las unidades que tienen acceso a los datos de una aplicación?: El gestor de proyecto. El director del departamento de Sistemas de Información. El jefe de la unidad propietaria del sistema. El responsable de coordinación general. Integridad significa que un mensaje: Esté accesible como mínimo en los periodos de tiempo establecidos. No puede ser visto por personas no autorizadas. Ha sido generado por un usuario y ha llegado a un destinatario mediante mecanismos con capacidad probatoria. Ninguna de las anteriores. División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Seguridad informática 33 Seguridad informática UNIDAD DIDÁCTICA 1 8 a) b) c) 9 a) b) c) 10 a) b) c) 11 a) b) c) 12 a) b) c) d) 13 a) b) c) d) 14 a) b) c) d) 15 a) b) c) 34 ¿Quién es el responsable de definir los requisitos de seguridad de un sistema?: El jefe de la unidad propietaria. El director del departamento de Sistemas de Información. El jefe del proyecto del sistema. ¿Cuántos coordinadores de seguridad informática existen en el Banco de España?: Un coordinador. Uno por cada unidad. No hay ningún coordinador. El responsable de coordinación general pertenece a: Cada unidad tiene un coordinador general para los sistemas de su propiedad. Al departamento de Sistemas de Información. A la Secretaría General. ¿Cuál es la longitud mínima de las contraseñas seguras?: 6 caracteres. 8 caracteres. 10 caracteres. Las normas de Seguridad Informática deben asegurar a la información: Trazabilidad, disponibilidad, integridad y auditabilidad. Disponibilidad, confidencialidad, integridad y auditabilidad. Trazabilidad, disponibilidad, confidencialidad y auditabilidad. Trazabilidad, disponibilidad, integridad y auditabilidad. ¿Qué afirmación es la correcta?: Para asegurar la seguridad informática no es necesario tomar medidas administrativas. La organización ha de equilibrar el coste de tomar determinadas medidas para asegurar la información. Quien conoce el riesgo de la información es el director del departamento de Sistemas de Información. Ninguna de las anteriores. ¿Qué figura ha de validar que el nivel de riesgo haya sido analizado y pueda considerarse aceptable, antes de la puesta en marcha del sistema de información?: Propietario del sistema de información. Los gestores de proyecto. El coordinador de seguridad. Ninguno de los anteriores. ¿Qué se recomienda cuando llega un mensaje por correo electrónico con indicación de que no ha podido verificarse?: Reenviarlo al jefe de la unidad. Reenviarlo al coordinador de seguridad. No abrirlo. División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Seguridad informática Seguridad informática UNIDAD DIDÁCTICA 1 16 a) b) c) 17 a) b) c) 18 a) b) c) d) 19 a) b) c) d) 20 a) b) c) Los tipos de caracteres de una contraseña han contener al menos: Una mayúscula, una minúscula y un número. Una mayúscula y una minúscula. Una mayúscula, una minúscula, un número y un signo de puntuación. En el catálogo de elementos de información están: Los diferentes equipos de sistemas de información (ordenadores, servidores, routers, etc). Los recursos que hay que proteger. Los almacenamientos de datos. ¿Quién es el encargado de seleccionar las medidas de seguridad más adecuadas y asegurar su implementación?: Propietario del sistema de información. Los gestores de proyecto. El coordinador de seguridad. Ninguno de los anteriores. ¿Quién actúa como interlocutor con la el departamento de Sistemas de Información para todos los temas relativos a la seguridad informática?: Propietario del sistema de información. Los gestores de proyecto. El coordinador de seguridad. Ninguno de los anteriores. ¿Es necesario un código de usuario distinto para los servidores centrales y otro para la red Windows?: Si puesto que se requiere contraseña más fuerte para dotar de más seguridad a los servidores centrales. La red de Windows no requiere usuario. No, tienen el mismo código de usuario y contraseña. División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Seguridad informática 35 Seguridad informática UNIDAD DIDÁCTICA 1 Solución a la prueba de autoevaluación N.º Solución Explicación 1 b) Falso, la seguridad informática no solo se refiere a los sistemas, sino también al uso de la información, medias organizativas, etc. 2 c) La auditabilidad se refiere, entre otras cosas a la autenticación y al no repudio. 3 c) La responsabilidad final sobre la seguridad de cada sistema de información recae siempre sobre la unidad propietaria de dicha información. 4 c) En cada departamento, sucursal o servicio, cada grupo de usuarios tiene su propio administrador de usuarios. 5 c) El jefe de la unidad propietaria del sistema es el que determina la organización administrativa para trabajar en dicho sistema. 6 c) El jefe de la unidad propietaria de la aplicación determina las unidades que tienen acceso a los datos de dicha aplicación. 7 d) Ninguna de las anteriores. Integridad significa asegurar que un mensaje no sea modificado cuando pase a través de redes internas o externas. 8 a) El responsable de definir los requisitos de seguridad de un determinado sistema es el jefe de la unidad propietaria. 9 b) Existe, al menos, un coordinador de seguridad informática por cada unidad. Lo normal es que exista un único coordinador pero, en determinadas ocasiones, el jefe de la Unidad puede nombrar coordinadores adicionales. 10 b) El responsable de coordinación general pertenece al departamento de Sistemas de Información. 11 b) 8 caracteres es la longitud mínima de una contraseña segura. 12 b) Las normas seguridad informática deben asegurar a la información: la disponibilidad, confidencialidad, integridad y auditabilidad. 13 b) El coste de implementar medidas de protección debe estar siempre justificado en base al riesgo que supondría su no aplicación. 14 a) El propietario del sistema de información ha de validar, antes de la puesta en marcha del sistema de información o de las modificaciones realizadas al mismo, que el nivel de riesgo haya sido analizado y pueda considerarse aceptable. Cuando se recibe un mensaje por correo electrónico con la indicación de que no ha podido verificarse debemos ser cautelosos y, en principio, no abrir sus adjuntos. Nota complementaria: Esta indicación (mensaje no verificado) puede deberse a que el correo incluye un adjunto cifrado por lo que, si confiamos en el remitente y esperamos que nos remita este tipo de adjuntos, el adjunto se podrá descargar, pero es responsabilidad del usuario realizar la revisión antivirus correspondiente antes de utilizarlo en el Banco. En caso de duda, consulte siempre con el CAU. 15 c) 16 a) Una mayúscula, una minúscula y un número son mínimos tipos de caracteres que ha de contender una contraseña. 17 b) Los recursos que hay que proteger han de recogerse en el catálogo de elementos de información. División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Seguridad informática 37 Seguridad informática UNIDAD DIDÁCTICA 1 18 19 20 b) Los gestores de proyecto son los encargados de seleccionar las medidas de seguridad más adecuadas y asegurar su implementación. c) El coordinador de seguridad es el que actúa como interlocutor con la el departamento de Sistemas de Información para todos los temas relativos a la seguridad informática. c) Los usuarios del Banco disponen normalmente30 de un único código de usuario personal, este código se utiliza para acceder a cualquier servicio interno, independientemente de que este resida en servidores centrales, departamentales o en la red Windows. 30 Algunas personas del departamento de Sistemas de Información pueden tener un segundo código para la ejecución de tareas críticas. 38 División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Seguridad informática Seguridad informática UNIDAD DIDÁCTICA 1 Bibliografía y referencias ŠŠ Circular Interna 2/2002, «Régimen de Seguridad Informática del Banco de España». ŠŠ Circular Interna 1/2018 «Protección de la Información». (Artículo 8). ŠŠ Nota 5/2002, «Nota informativa sobre el uso de la conexión corporativa a Internet». ŠŠ Ordenanza 9/2002, «Catalogación de elementos de información». ŠŠ Circular Interna 2/2018, «Normativa de uso del correo electrónico» (Nota 1/1999, «Riesgos en la utilización del correo electrónico Internet»). ŠŠ Ordenanza 6/2010, «Procedimientos de administración de seguridad informática». ŠŠ Ordenanza 7/2010, «Responsabilidades y procedimientos de seguridad de los usuarios de equipos informáticos y sistemas de información». ŠŠ Ordenanza 8/2010, «Normativa de uso de los servicios accesibles mediante Internet y otras redes externas». ŠŠ «Procedimientos relacionados con la obtención de certificados. Procedimientos relacionados con la tarjeta. (PKIBDE)». División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Seguridad informática 39 Seguridad informática UNIDAD DIDÁCTICA 1 Anexo Para más información consultar la página de «Seguridad informática» en el portal corporativo (bdenred), así como la página de «Protección de la Información». División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Seguridad informática 41 Seguridad informática UNIDAD DIDÁCTICA 1 42 División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Seguridad informática