esquema seguridad coomeva
Páginas: 8 (1958 palabras)
Publicado: 16 de noviembre de 2015
Diseño del Esquema de Seguridad Informática para Coomeva E.P.S
Juan Carlos Giraldo V. Departamento de Seguridad Informática, Coomeva E.P.S
e-mail: juanc_giraldo@coomeva.com.co
Febrero 2002
Resumen
En este documento se presentan las actividades realizadas con el fin de definir el esquema de seguridad sobre el aplicativo que soporta la operación de Coomeva E.P.S a nivel nacional, adicionalmentese presentan dos herramientas desarrolladas o adaptadas durante el proyecto que facilitan la administración de seguridad de todo tipo de aplicaciones desarrolladas en PowerBuilder y la activación optima de rastros de auditoria sobre bases de datos Oracle.
Palabras Clave
Seguridad, Oracle, PowerBuilder, PFC Auditoria, Rastros de Auditoria, Zentinella, Pentagono.
1. Introducción
Con el fin dedefinir un nivel de seguridad adecuado a las necesidades de Coomeva E.P.S y tratándose de un desarrollo propio se definieron tres labores primordiales a ser desarrolladas :
Definir un proceso de recolección de información que garantice una adecuada definición de perfiles de acceso a la aplicación a la medida de la organización.
Buscar o desarrollar una herramienta que facilitara la administracióny asignación de los perfiles dideñados
Buscar o desarrollar una herramienta que facilitara el control y seguimiento de las modificaciones realizadas sobre los datos.
2. Contenido
2.1 Definición de Perfiles.
Por ser Coomeva E.P.S una organización de carácter nacional cuenta con una estructura con sucursales y oficinas además las oficinas se clasifican en dos tipos de oficinas de acuerdo altamaño de la población asignada. Por la anterior iguales cargos en distintas oficinas requerían de unos privilegios diferentes, se necesitaba entonces definir labores especificas de acuerdo al cargo y la oficina del funcionario.
2.1.1 Estandarización de los perfiles
Mediante la definición de los estándares del Sistema y en un trabajo multidisciplinario en el que intervinieron las áreas de Eficienciay productividad, los lideres usuarios, auditoria interna y seguridad informática, se definieron todas las tareas soportadas por el sistema de información asignándole a cada una de ellas el cargo o cargos responsables de su ejecución de acuerdo al tipo de la oficina del funcionario. (en la figura 1 se presenta una muestra de la matriz que se definio para esta labor).
Una vez definidas todas lasactividades a realizarse en el sistema y asignados los responsables en cada sucursal u oficina se realizo la definición y unificación de los perfiles estándar de la organización.
Considerando los siguientes puntos como fundamentales para el desarrollo del trabajo:
Existencia adecuada de seguridades físicas en cada uno de los puestos de trabajo
Verificación de controles Efectivos en los puntosvulnerables del sistema
Existencia de una adecuada segregación funcional [1]
Actividad-Cargo
Auditor Médico Sucursal
Comité medico Oficina l
Auxiliar Medico Oficina II
Marcar en el Sistema la IPS por Auditor
X
Consulta de Auditor fechas e IPS asignadas para acreditación
X
X
X
Consultar en Sistema datos para acreditación
X
X
Registrar informe de acreditación en Sistema
X
X
Elaboraciónrespuesta acreditación prestatario
X
X
X
Generar listado de IPS a reacreditar
X
X
Figura 1. Matriz para definición de perfiles
2.1.2 Asignación de Opciones por Perfil
Después de identificadas las labores a realizar por cada perfil, se definió una matriz donde se relacionaba cada actividad a realizar con la opción u opciones especificas necesarias para la misma en la aplicación incluyendo los tipos deacceso necesarios para su ejecución (modificación o consulta).
La propuesta de perfiles se presento a las áreas lideres para su revisión y aprobación, después de su aprobación se procedió a implementar los mismos utilizando la herramienta de asignación de perfiles definida para el caso (ver Numeral 2.2). en la figura 2 se presenta una muestra de uno de los perfiles definidos durante el proceso....
Juan Carlos Giraldo V. Departamento de Seguridad Informática, Coomeva E.P.S
e-mail: juanc_giraldo@coomeva.com.co
Febrero 2002
Resumen
En este documento se presentan las actividades realizadas con el fin de definir el esquema de seguridad sobre el aplicativo que soporta la operación de Coomeva E.P.S a nivel nacional, adicionalmentese presentan dos herramientas desarrolladas o adaptadas durante el proyecto que facilitan la administración de seguridad de todo tipo de aplicaciones desarrolladas en PowerBuilder y la activación optima de rastros de auditoria sobre bases de datos Oracle.
Palabras Clave
Seguridad, Oracle, PowerBuilder, PFC Auditoria, Rastros de Auditoria, Zentinella, Pentagono.
1. Introducción
Con el fin dedefinir un nivel de seguridad adecuado a las necesidades de Coomeva E.P.S y tratándose de un desarrollo propio se definieron tres labores primordiales a ser desarrolladas :
Definir un proceso de recolección de información que garantice una adecuada definición de perfiles de acceso a la aplicación a la medida de la organización.
Buscar o desarrollar una herramienta que facilitara la administracióny asignación de los perfiles dideñados
Buscar o desarrollar una herramienta que facilitara el control y seguimiento de las modificaciones realizadas sobre los datos.
2. Contenido
2.1 Definición de Perfiles.
Por ser Coomeva E.P.S una organización de carácter nacional cuenta con una estructura con sucursales y oficinas además las oficinas se clasifican en dos tipos de oficinas de acuerdo altamaño de la población asignada. Por la anterior iguales cargos en distintas oficinas requerían de unos privilegios diferentes, se necesitaba entonces definir labores especificas de acuerdo al cargo y la oficina del funcionario.
2.1.1 Estandarización de los perfiles
Mediante la definición de los estándares del Sistema y en un trabajo multidisciplinario en el que intervinieron las áreas de Eficienciay productividad, los lideres usuarios, auditoria interna y seguridad informática, se definieron todas las tareas soportadas por el sistema de información asignándole a cada una de ellas el cargo o cargos responsables de su ejecución de acuerdo al tipo de la oficina del funcionario. (en la figura 1 se presenta una muestra de la matriz que se definio para esta labor).
Una vez definidas todas lasactividades a realizarse en el sistema y asignados los responsables en cada sucursal u oficina se realizo la definición y unificación de los perfiles estándar de la organización.
Considerando los siguientes puntos como fundamentales para el desarrollo del trabajo:
Existencia adecuada de seguridades físicas en cada uno de los puestos de trabajo
Verificación de controles Efectivos en los puntosvulnerables del sistema
Existencia de una adecuada segregación funcional [1]
Actividad-Cargo
Auditor Médico Sucursal
Comité medico Oficina l
Auxiliar Medico Oficina II
Marcar en el Sistema la IPS por Auditor
X
Consulta de Auditor fechas e IPS asignadas para acreditación
X
X
X
Consultar en Sistema datos para acreditación
X
X
Registrar informe de acreditación en Sistema
X
X
Elaboraciónrespuesta acreditación prestatario
X
X
X
Generar listado de IPS a reacreditar
X
X
Figura 1. Matriz para definición de perfiles
2.1.2 Asignación de Opciones por Perfil
Después de identificadas las labores a realizar por cada perfil, se definió una matriz donde se relacionaba cada actividad a realizar con la opción u opciones especificas necesarias para la misma en la aplicación incluyendo los tipos deacceso necesarios para su ejecución (modificación o consulta).
La propuesta de perfiles se presento a las áreas lideres para su revisión y aprobación, después de su aprobación se procedió a implementar los mismos utilizando la herramienta de asignación de perfiles definida para el caso (ver Numeral 2.2). en la figura 2 se presenta una muestra de uno de los perfiles definidos durante el proceso....
Leer documento completo
Regístrate para leer el documento completo.