FACULTAD DE CIENCIAS EMPRESARIALES

CARRERA DE INGENIERÍA DE SISTEMAS DE

INFORMACIÓN Y GESTIÓN

“BUENAS PRÁCTICAS EN LA GESTIÓN DE PROYECTOS DE

IMPLEMENTACIÓN DE SEGURIDAD INFORMÁTICA
PERIMETRAL EN LOS DATA CENTER DE CLIENTES
EMPRESARIALES”

Tesis para optar por el Título Profesional de:

Ingeniero de Sistemas de Información y Gestión

XXX

LIMA – PERÚ
2015

1
 COPIA DEL ACTA DE SUSTENTACIÓN

2
 DEDICATORIA

Dedico esta tesis a mi Familia por

el Apoyo incondicional para el logro
de mis metas.

3
 AGRADECIMIENTOS

Agradezco a Dios por guiarme

y mi alma máter por forjarme mi

futuro como profesional.

4
 ÍNDICE GENERAL
COPIA DEL ACTA DE SUSTENTACIÓN........................................................................II
DEDICATORIA.............................................................................................................. III
AGRADECIMIENTOS...................................................................................................IV
ÍNDICE GENERAL........................................................................................................V
INDICE DE FIGURAS..................................................................................................IX
INDICE DE TABLAS......................................................................................................X
INDICE DE ANEXOS....................................................................................................XI
RESUMEN..................................................................................................................XII
ABSTRACT.................................................................................................................. 13
CAPÍTULO I.................................................................................................................14

INTRODUCCIÓN......................................................................................................... 14

INTRODUCCIÓN......................................................................................................... 15
1. PLANTEAMIENTO DEL PROBLEMA Y JUSTIFICACION.....................................17
1.1 Planteamiento del Problema..........................................................................17
1.1.1 Formulación de la Pregunta de Investigación.......................................18
1.1.1.1 Pregunta General......................................................................18
1.1.1.2 Preguntas Específicas...............................................................19
1.2 Justificación....................................................................................................19
1.2.1 Justificación Teórica..............................................................................19
1.2.2 Justificación Práctica.............................................................................19
1.3 Delimitación y Alcance...................................................................................19
1.4 Objetivos........................................................................................................20
1.4.1 Objetivo General...................................................................................20
1.4.2 Objetivos Específicos............................................................................20
1.5 Antecedentes de la Investigación...................................................................20
1.6 Marco Teórico.................................................................................................21
1.6.1 Seguridad de la Información.................................................................21
1.6.2 Normas ISO..........................................................................................22
1.6.2.1 ISO 27000.................................................................................22
1.6.2.2 ISO 27001.................................................................................22
1.6.2.3 ISO 27002.................................................................................23

5
 1.6.2.4 ISO 9001...................................................................................23
1.6.3 COBIT...................................................................................................24
1.6.4 Gestión de Proyectos - PMBOK............................................................24
1.6.5 Gestión de Servicios de Infraestructura Tecnológica - ITIL...................25
1.6.6 Ciclo de Deming....................................................................................26
1.6.7 Políticas Tecnológicas...........................................................................27
1.6.8 Amenazas.............................................................................................31
1.6.9 Sistema Gestión de Seguridad de la Información - SGSI......................36
1.6.10 Gestión de Riesgos............................................................................37
1.6.10.1 Normatividad........................................................................38
1.6.11 Seguridad de la Red...........................................................................39
1.6.11.1 Red Plana sin seguridad.......................................................39
1.6.11.2 Seguridad Perimetral............................................................40
1.6.12 Empresa.............................................................................................42
1.6.12.1 Cortez SAC...........................................................................42
1.6.12.2 Área de Implementación de proyectos de seguridad............42
1.6.12.3 Área de Ventas.....................................................................42
1.6.12.4 Área de Post-venta...............................................................42
1.7 Hipótesis General...........................................................................................43
1.7.1 Hipótesis Específicas de Investigación 1..............................................43
1.7.2 Hipótesis Específicas de Investigación 2..............................................44
CAPÍTULO II................................................................................................................45

MATERIALES Y MÉTODOS........................................................................................45

2. MATERIALES Y MÉTODOS.................................................................................46
2.1 Materiales......................................................................................................46
2.1.1 Personal................................................................................................46
2.1.2 Materiales.............................................................................................46
2.1.3 Tiempo..................................................................................................46
2.1.4 Equipamiento........................................................................................48
2.1.4.1 Equipo Firewall..........................................................................48
2.1.5 Situación y exigencia del problema.......................................................48
2.2 Métodos......................................................................................................... 48
2.2.1 Procedimientos o Métodos....................................................................48

6
 2.2.2 Diseño de Investigación........................................................................48
2.2.2.1 No Experimental........................................................................48
2.2.3 Tipo de Investigación............................................................................49
2.2.3.1 Descriptiva.................................................................................49
2.2.3.2 Analítica.....................................................................................49
2.2.4 Enfoque de investigación......................................................................49
2.2.5 Delimitación y definición de la población de estudio.............................50
2.2.5.1 Población y Muestra..................................................................50
2.2.6 Aplicar criterios para seleccionar muestra de estudio...........................50
2.2.6.1 Técnicas de recolección de datos..............................................50
2.2.7 Variables...............................................................................................51
2.2.7.1 Definición Operacional de las Variables.....................................51
2.2.8 Criterios de inclusión y exclusión..........................................................52
2.2.8.1 Criterios de Inclusión.................................................................52
2.2.8.2 Criterios de Exclusión................................................................53
2.2.9 Análisis de confiabilidad del instrumento de investigación....................53
2.2.10 Análisis de validez del instrumento de investigación...........................53
CAPÍTULO III............................................................................................................... 55

RESULTADOS.............................................................................................................55

3. RESULTADOS......................................................................................................56
3.1 Aplicación de la Norma ISO 27001................................................................56
3.2 Aplicación de la Norma ISO 27002................................................................56
3.3 Diseño de la Red Perimetral..........................................................................57
3.4 Selección de equipos de Seguridad Perimetral..............................................59
3.4.1 Equipo Firewall.....................................................................................59
3.4.2 Comparativo de equipos Firewall..........................................................60
3.4.3 Solución de equipo Firewall elegido......................................................61
3.4.4 Configuración del Firewall.....................................................................62
3.5 Resultados de la implementación...................................................................63
3.6 SEGURIDAD INFORMÁTICA PERIMETRAL EN EQUIPOS CORTAFUEGOS..........65
3.6.1 Equipos.................................................................................................66
3.6.1.1 El Firewall..................................................................................66
3.6.2 Configuración de cortafuegos...............................................................66

7
 3.6.2.1 Restricciones en el firewall........................................................66
3.6.3 Políticas y procedimientos de seguridad de la información...................66
3.6.3.1 Políticas de firewall alineadas con el ISO 27002.......................67
3.6.3.2 Control de Acceso.....................................................................68
3.6.4 Gestión de procesos usando PDCA......................................................69
DISCUSIÓN.................................................................................................................71
CONCLUSIONES Y RECOMENDACIONES...............................................................72
Conclusiones........................................................................................................ 72
Recomendaciones................................................................................................73
REFERENCIAS BIBLIOGRÁFICAS.............................................................................74
GLOSARIO.................................................................................................................. 76
ANEXOS...................................................................................................................... 88

8
 INDICE DE FIGURAS

Figura 1. Seguridad de la información...............................................................22

Figura 2. Gobierno TI..........................................................................................24
Figura 3. PMBOK v5 – Áreas de Conocimiento.................................................25
Figura 4. Gestión de Servicios ITIL....................................................................26
Figura 5. Ciclo de mejora continúa: PHVA.........................................................27
Figura 6: La confidencialidad de los datos.........................................................28
Figura 7. Algunos mecanismos para salvaguardar la confidencialidad de los
datos...................................................................................................................29
Figura 8. Integridad.............................................................................................29
Figura 9. Sistema de No Repudio......................................................................30
Figura 10. Control de Acceso.............................................................................30
Figura 11. Disponibilidad....................................................................................30
Figura 12. Amenazas Humanas.........................................................................31
Figura 13. Amenazas de Hardware....................................................................34
Figura 14. Amenazas de Red.............................................................................34
Figura 15. ISMS Framework...............................................................................38
Figura 16. Red Plana sin Seguridad...................................................................39
Figura 17. Seguridad Perimetral en Redes........................................................40
Figura 18. Casos de éxito de Seguridad informática.........................................41
Figura 19. Cortafuegos FORTINET....................................................................47
Figura 20. Red Perimetral...................................................................................56
Figura 21. Topología Propuesta.........................................................................57
Figura 22. Top Selling Models Matrix.................................................................61
Figura 23. Políticas de Seguridad......................................................................65
Figura 24. Gestión de procesos usando PDCA.................................................68

9
 INDICE DE TABLAS

Tabla 1. Cronograma de actividades piloto EP-ER............................................46

Tabla 2. Definición Operacional de las Variables....................................51
Tabla 3. Comparativo de Marcas de Firewall..........................................59
Tabla 4. Características y Costos de Equipos Firewall...........................60
Tabla 5. Procesos as-is (actual) y procesos to-be (futuro)......................62
Tabla 6. Buenas prácticas en Gestión de Proyectos..............................69
Tabla 7. Gestión del alcance....................................................................69

10
 INDICE DE ANEX

ANEXO A. Normas de Seguridad Cloud............................................................87

Y

11
 RESUMEN

En esta, investigación titulada, “Buenas Prácticas en la Gestión de

Proyectos de Implementación de Seguridad Informática Perimetral en los Data
Center de Clientes Empresariales”, el objetivo es desplegar el uso de buenas
prácticas en seguridad de la información perimetral aplicando las Normas ISO
27001 e ISO 27002 que son atendidos por la empresa Cortez SAC.

Este estudio es aplicado. No Experimental. La empresa tiene 16

usuarios técnicos y 8 gerentes de TI. También 1 ingeniero de Redes y
Seguridad Informática. La población total es de 32 personas.

Analizaremos dos proyectos de implementación de la red perimetral en

los clientes "Empresa Editora del Perú" y "El Rocío". (El proyecto-1 sin buenas
prácticas y el proyecto-2 migración con buenas prácticas).

Como instrumento se utiliza la entrevista, mediante preguntas

específicas al responsable de seguridad informática del cliente, temas como
diseño de la red perimetral, configuración del Firewall, configuración de equipos
reemplazados vs configuración de los equipos nuevos.

Los resultados fueron no esperados por los administradores de

seguridad y de redes del cliente debido por las nuevas soluciones, pero
presentándola de otra forma, logrando minimizar al máximo las probabilidades
de sufrir impactos negativos y pérdidas originados por la falta de seguridad.

En conclusión, existen muchas deficiencias en la gran mayoría de

organizaciones en materia de seguridad, consideran cara y complicada, pero
es más caro es sufrir las consecuencias por la falta de seguridad en el sistema
de información. Finalmente conocer los elementos a implementar, adquirir la
certificación Estándar Internacional, evaluación para el análisis y solucionar los
problemas de seguridad.

Palabras Claves: Seguridad de Información, ISO 27001, ISO 27002, Red

Perimetral

12
 ABSTRACT

In this, research entitled, "Best Practices in Project Management

Implementation Information Security Perimeter in the Data Center Business
Clients", the aim is to deploy the use of best practices in security perimeter
information by applying the ISO 27001 standards and ISO 27002 that are
served by the company Cortez SAC.

This study is applied. Experimental No. In the company 16 technical

users and 8 IT managers. Engineer also 1 Networking and Security. The total
population is 32 people.

We discuss two projects implementing the perimeter network clients

"Company Editor of Peru" and "El Rocio". (The project-1 without good practices
and project-2 migration with good practice).

As the interview instrument used by the person responsible for specific

client computer security topics such as perimeter network design, configuration
Firewall configuration settings vs replaced equipment new equipment questions.

The results were not expected by security administrators and network

client due to new solutions, but presenting it in another way, achieving full
minimize the chances of suffering negative impacts and losses caused by the
lack of security.

In conclusion, there are many shortcomings in the vast majority of

security organizations, considered expensive and complicated, but more
expensive is to suffer the consequences of the lack of security in the information
system. Finally know the elements to implement, acquire the International
Standard certification, analysis and evaluation for solving security problems.

Keywords: Information Security, ISO 27001, ISO 27002, Perimeter Network

13
14
 CAPÍTULO I
INTRODUCCIÓN

15
 INTRODUCCIÓN

Actualmente hay diferentes tipos de tecnologías las cuales van en

aumento, dejando atrás la parte de seguridad en la información. Dando como
resultado un gran número de huecos en seguridad, los cuales se pueden
corregir con atenciones y cuidados, con un listado de buenas prácticas y
políticas de seguridad. Esos huecos de seguridad, también se deben a la falta
de comunicación y de capacitación de los interesados los cuales se convierten
en el eslabón más débil en la cadena de seguridad.

Por lo cual, en el siguiente trabajo se describen las responsabilidades de

cada integrante de la empresa y las recomendaciones que deben seguir los
interesados.

Este trabajo escrito, es un conjunto de recomendaciones basadas en la

experiencia, en algunas políticas de seguridad y en un estándar para el control
de la tecnología de la información, como lo es COBIT. Con el fin de
proporcionarles a los usuarios, encargados y administradores, temas actuales
de seguridad en la información y en el centro de cómputo, dando como
resultado la certeza de que se está asegurando lo mejor posible.

En este trabajo, se tienen como objetivos:

- Diseñar buenas prácticas para la seguridad en la empresa.

- Proporcionar buenas prácticas de seguridad física y perimetral a los

integrantes en la empresa.

- Promover el concepto de seguridad.

- Promover la importancia de las buenas prácticas entre los

administradores y usuarios.

- Difundir las buenas prácticas en la empresa.

16
 Se pretende evaluar el conocimiento en la empresa, desde la
organización, servicios de seguridad y las tareas de los principales autores en
la empresa, mecanismos de seguridad, entre otras actividades, esto para
brindar una mejor seguridad interna y externa en la empresa.

Al identificar y analizar los servicios en la empresa, se van elaborando

medidas preventivas, como realizar un análisis para detectar los posibles
riesgos, implementando cierto grado de seguridad en los servicios de la
empresa, así como controles que ayudan a proporcionar un mejor entorno en la
seguridad de la empresa.

Se brinda la importancia de identificar y comprender las políticas de

seguridad y las buenas prácticas, saber que para cada recurso hay
lineamientos a seguir. Y la importancia de la información para tomar las
medidas necesarias e impedir su pérdida.

Se encuentra también una metodología propuesta, que contiene

conceptos como: seguridad, vulnerabilidades y amenazas de igual manera la
forma de la estructura de la organización y los diferentes dispositivos en el
centro de cómputo por medio de una encuesta para identificar el estado inicial
o actual de la empresa con sus respectivos requerimientos.

Con la información recopilada en este trabajo se pretende proporcionar

una guía para la implementación de la seguridad en la empresa, así como
también promover el concepto de seguridad, difundiendo las buenas prácticas
con diferentes métodos, para que los integrantes del centro las conozcan y las
lleven a cabo.

El principal objetivo de este trabajo es la aplicación de la Norma ISO

27001 e ISO 27002, métodos y estrategias para el diseño, elaboración,
implementación, retroalimentación y difusión de las buenas prácticas de
seguridad para optimizar la manera en que se resguarda la información y el
lugar de trabajo.

17
1. PLANTEAMIENTO DEL PROBLEMA Y JUSTIFICACION

El presente trabajo propone una estrategia para implementar proyectos

de seguridad informática perimetral usando las buenas prácticas en Seguridad
de la Información basado en las normas ISO 27001 e ISO 27002.

Es precisamente, en la gestión de este tipo de proyectos, donde se ha

observado que algunos integrantes de nuestros equipos de ventas y soporte
técnico no aplican las mejores prácticas lo que ocasiona retrasos en los
entregables, problemas de vulnerabilidad en la red perimetral de los centros de
datos de clientes empresariales, insatisfacción por parte de los clientes y
exceso en los costos del proyecto. Por el lado del cliente, el personal que
administra la seguridad y redes también adolece de competencias en seguridad
de la Información.

La aplicación de las Normas ISO 27001 ha permitido ordenar nuestro

trabajo funcional, estableciendo reglas de control basados en Políticas y
Procedimientos que debemos seguir para una correcta Gestión de Riesgos en
nuestros clientes.

La aplicación de la Norma ISO 27002 ha permitido estandarizar y

gestionar nuestro trabajo técnico aplicado a la seguridad informática perimetral,
empezando por dos dominios básicos, el ambiente de seguridad física y el
control de accesos a los sistemas de información.

Por tal motivo, se presenta una estrategia comprobada en las dos

últimas implementaciones realizadas, que nos ha permitido demostrar la
validez de la aplicación de buenas prácticas en la Seguridad de la Información;
que venimos desplegando a los diversos equipos de trabajo que implementan
proyectos de seguridad informática perimetral.

18
1.1 Planteamiento del Problema

La formación académica, entrenamiento y experiencia que adquieren los

Ingenieros de Sistemas que se especializan como Administradores de
Seguridad Informática y Redes a lo largo de su desarrollo profesional, les
permiten identificar cuando no existe una adecuada gestión de los proyectos de
seguridad informática, lo que se complica porque también deben gestionar el
aprovisionamiento de los equipos y componentes de la red perimetral y
mantener protegida la red interna y externa de la empresa.

Se ha observado que en la empresa Cortez SAC no hay una adecuada

coordinación técnica con el área de ventas cuando se ganan proyectos de
altas, migración o upgrade de equipos de seguridad perimetral, ya que por la
rapidez en entregar el RFP el encargado de la relación comercial con el cliente
muchas veces no incluye la recomendación técnica de los ingenieros
especialistas sobre los equipos ofrecidos en la fase de ventas y genera que el
perímetro de la red interna y externa esté expuesta a amenazas y riesgos

También se debe mejorar la gestión de tiempos, costos, entregables y

recursos necesarios para cumplir con los servicios ofrecidos a los clientes; se
debe mejorar la asignación de recursos en los data centers , ha ocurrido que el
ingeniero encargado de gestionar la seguridad informática en el cliente por falta
de un asistente técnico ha tenido que atender incidentes de 2do nivel que le
obliga a dejar sus actividades de implementación de la seguridad perimetral , lo
que a su vez repercute en incumplir con los tiempos acordados de
implementación del proyecto.

Por tal razón, para mantener segura la red informática perimetral de los
data centers de los clientes se deben aplicar las buenas prácticas en Seguridad
de la Información en la gestión de proyectos y servicios de seguridad
informática.

19
 1.1.1 Formulación de la Pregunta de Investigación
1.1.1.1 Pregunta General
¿En qué medida el uso de buenas prácticas en Seguridad de la
Información ha permitido implementar exitosamente los proyectos de
seguridad informática perimetral en los data center de clientes
empresariales?
1.1.1.2 Preguntas Específicas

¿De qué manera la aplicación de la Norma ISO 27001 ha influido

en una gestión adecuada de la seguridad de la información en la data
center de clientes empresariales?

¿De qué manera la aplicación de la norma ISO 27002 ha

controlado el acceso externo e interno a los servicios informáticos para
mantener la red perimetral libre de amenazas e intrusiones en los data
center de clientes empresariales?

1.2 Justificación
1.2.1 Justificación Teórica

Diversas investigaciones y casos de éxito sobre proyectos de seguridad

informática, han permitido demostrar que el uso de las buenas prácticas en
Seguridad de la Información permite garantizar la gestión adecuada de los
riesgos y servicios de seguridad informática en la red perimetral externo e
interno de la empresa.

Las buenas prácticas están soportadas por las Normas ISO 27001 e ISO
27002.
1.2.2 Justificación Práctica
La aplicación de la Normas ISO 27001 e ISO 27002 de Buenas
Prácticas en Gestión de Sistemas de Seguridad de Información permitirá
ordenar el trabajo del personal, estandarizando procesos e implementar
proyectos exitosos, en tiempo, presupuesto, calidad y satisfacción del cliente;

20
además, contar con personal certificado y/o con experiencia en diversos
equipos y componentes de redes y seguridad informática que implementamos
o a los que damos soporte técnico.

1.3 Delimitación y Alcance

Esta investigación aplicada considera las áreas de Ventas, tiene un
alcance específico entre las dos áreas analizadas, pues el personal que las
integran cumplen roles y tienen competencias técnicas para la gestión de
seguridad informática que desarrollan en los clientes de Lima y provincias.

1.4 Objetivos

1.4.1 Objetivo General

Desplegar el uso de buenas prácticas en seguridad de la información
para la gestión de proyectos de seguridad informática perimetral en los data
center de clientes empresariales.
1.4.2 Objetivos Específicos

Aplicar la Norma ISO 27001 para gestionar la Seguridad de la

Información en la data center de clientes empresariales.

Aplicar la Norma ISO 27002 para controlar el acceso externo e interno

de los servicios informáticos y mantener segura la red perimetral contra
amenazas e intrusiones en la data center de clientes empresariales.

1.5 Antecedentes de la Investigación

La empresa actualmente no aplica las buenas prácticas en gestión de

seguridad de la información y en seguridad informática perimetral. El avance
tecnológico hace que aparezcan nuevos equipos y sistemas más robustos de
mejor rendimiento, calidad y costo; a la vez, otros equipos quedan obsoletos a
nivel técnico y son reemplazados. Debido a que en los proyectos de
implementación de seguridad perimetral hemos venido trabajando con equipos

21
de un mismo fabricante, y por su uso continuo conocemos de memoria las
especificaciones de los nuevos equipos.

El uso de nuevas soluciones de seguridad perimetral sobre todo en la

migración de configuración de un equipo a otro traía consigo resultados no
esperados por los administradores de seguridad y de redes del cliente
ocasionando retrasos en demostrar que las funcionalidades con el nuevo
equipo de seguridad son las mismas pero presentado de otra forma.

1.6 Marco Teórico

La aplicación y uso de las Tecnologías de la Información se da en
diferentes campos de aplicación y para la gestión adecuada de dichos servicios
existen buenas prácticas que guían el uso de la infraestructura tecnológica
existente. A continuación, se describen buenas prácticas y estándares que
soportan la gestión de proyectos de seguridad informática perimetral, entre los
principales están.

1.6.1 Seguridad de la Información

Según López y Quezada (2006): en su libro Fundamentos de
Seguridad Informática, “El término seguridad de la información se
refiere a la prevención y a la protección, a través de ciertos
mecanismos, para evitar que ocurra de manera accidental o
intencional la transferencia, modificación, fusión o destrucción no
autorizada de la información”. (p. 23)

Debido a que la información es un activo no menos importante que otros

activos comerciales, es esencial para cualquier negocio u organización contar
con las medidas adecuadas de protección de la información, especialmente en
la actualidad, donde la información se difunde a través de miles y miles de
redes interconectadas. Esto multiplica la cantidad de amenazas y
vulnerabilidades a las que queda expuesta la información.

22
 La información puede existir en muchas formas, por ejemplo, puede
estar impresa o escrita en papel, almacenada electrónicamente, transmitida por
correo o utilizando medios electrónicos, hablada en una conversación, etc. Sea
cual sea la forma en la que se tenga la información, debe estar en todo caso
protegida.

La seguridad de la información se logra implementando un conjunto

adecuado de controles, políticas, procesos, procedimientos, estructuras
organizacionales, y otras acciones que hagan que la información pueda ser
accedida sólo por aquellas personas que están debidamente autorizadas para
hacerlo.

Figura 1. Seguridad de la información.

1.6.2 Normas ISO

1.6.2.1 ISO 27000
En fase de desarrollo. Contendrá términos y definiciones que se
emplean en toda la serie 27000. La aplicación de cualquier estándar
necesita de un vocabulario claramente definido, que evite distintas
interpretaciones de conceptos técnicos y de gestión. Esta norma será
gratuita, a diferencia de las demás de la serie, que tendrán un coste.

ISO 27000 en español, (2016): La BSI (British Standards

Institution) desde 1901 ha sido la primera organización de
certificación a nivel mundial, ha publicado normas como: BS
5750, año 1979 - ahora ISO 9001. BS 7750, año 1992 -
ahora ISO 14001. BS 8800, año 1996 - ahora OHSAS

23
 18001. La norma BS7799 se publicó en 1995 con el fin de
recomendar buenas prácticas para la gestión de la
seguridad de la información. Esta fue adoptada por ISO en
el año 2000, como ISO 17799. (Consultado 15.04.2016)

1.6.2.2 ISO 27001

ISO 27001 en Español, (2016): Es la norma principal de
requisitos del sistema de gestión de seguridad de la
información. Tiene su origen en la BS 7799-2:2002 y es la
norma con arreglo a la cual se certifican por auditores
externos los SGSI de las organizaciones. Fue publicada el
15 de Octubre de 2005 y sustituye a la BS 7799-2,
habiéndose establecido unas condiciones de transición para
aquellas empresas certificadas en esta última. (Consultado
15.04.2016)
1.6.2.3 ISO 27002
ISO 27001 en español, (2016): Cambio de nomenclatura de
ISO 17799:2005 realizada el 1 de Julio de 2007. Es una guía
de buenas prácticas que describe los objetivos de control y
controles recomendables en cuanto a seguridad de la
información. No es certificable. Contiene 39 objetivos de
control y 133 controles, agrupados en 11 dominios.
(Consultado 15.04.2016)

A través de este documento se puede identificar un marco de

trabajo más amplio para una organización cuando se desea implementar
políticas de seguridad.

1.6.2.4 ISO 9001

ISO 9001 en español, (2016): Define los requerimientos para los
sistemas de gestión de calidad. Aunque a primera vista la gestión
de calidad y la gestión de seguridad de la información no tienen
mucho en común, lo cierto es que aproximadamente el 25% de

24
 los requisitos de ISO 27001 y de ISO 9001 son los mismos:
control de documentos, auditoría interna, revisión por parte de la
dirección, medidas correctivas, definición de objetivos y gestión
de competencias. Esto quiere decir que si una empresa ha
implementado ISO 9001 le resultará mucho más sencillo
implementar ISO 27001. (Consultado 15.04.2016)

1.6.3 COBIT
Según el estudio de INFORMATION SYSTEMS AUDIT AND
CONTROL ASSOCIATION (2012): COBIT 5 es un marco de
gobierno de TI y herramientas de apoyo que permite a los
administradores para cerrar la brecha entre las necesidades de
control, cuestiones técnicas y los riesgos empresariales. COBIT
permite el desarrollo de una política clara y de buenas prácticas
para el control de TI en las organizaciones. COBIT enfatiza el
cumplimiento normativo, ayuda a las organizaciones a aumentar el
valor alcanzado desde IT, permite la alineación y simplifica la
implementación del marco de gobierno de TI y el control de las
empresas. (p.5)

Figura 2. Gobierno TI

25
1.6.4 Gestión de Proyectos - PMBOK
Según (Guía del PMBOK®) -Quinta edición (2013): Una guía para
el Cuerpo Proyecto de Gestión del Conocimiento refleja la
colaboración y el conocimiento de los directores de proyectos de
trabajo y proporciona los fundamentos de la gestión de proyectos
que se aplican a una amplia gama de proyectos. Esta norma
internacionalmente reconocida ofrece a los administradores de
proyectos las herramientas esenciales para la práctica de la
gestión del proyecto y entregar resultados de la organización. (p.1)

Figura 3. PMBOK v5 – Áreas de Conocimiento

1.6.5 Gestión de Servicios de Infraestructura Tecnológica - ITIL

Muñoz y Martínez (2012): en su Proyecto de Caracterización de
Procesos de Gestión de TI basados en COBIT 5 y mapeo con ISO27002, ITIL,
CMMI DEV, PMBOK, para la implementación en la industria Editorial, dicen:
The Official Introduction to the ITIL La Information Technology
Infrastructure Library (ITIL) define los requisitos de estructura y
habilidades organizacionales de una organización de tecnología de
la información y un conjunto de procedimientos y prácticas de
gestión operativa estándar para permitir la organización gestionar
una operación de TI y la infraestructura asociada. Los
procedimientos y prácticas operativas son independientes y se
aplican a todos los aspectos dentro de la infraestructura de TI. La

26
 figura 1.2 muestra la estructura circular de mejora continua que
aplica ITIL para la gestión de servicios de Infraestructura
tecnológica en las organizaciones. (p.29)

Figura 4. Gestión de Servicios ITIL.

1.6.6 Ciclo de Deming

Según Deming (1982):
“Mejorando la calidad es posible aumentar la productividad”

PDCA son las siglas en inglés del conocido “Ciclo de Deming”: Plan-Do-
Check-Act (Planificar- Hacer- Verificar- Actuar). (El PDCA lo componen 4
etapas cíclicas, de forma que una vez acabada la etapa final se debe volver a
la primera y repetir el ciclo de nuevo, de forma que las actividades son
reevaluadas periódicamente para incorporar nuevas mejoras. La aplicación de
esta metodología está enfocada principalmente para ser usada en empresas y
organizaciones.

27
 Figura 5. Ciclo de mejora continua: PHVA.

1.6.7 Políticas Tecnológicas

Según Julio César Vásquez Paiva (2013) en su investigación de
“Políticas Tecnológicas Directas e Indirectas”, las políticas
tecnológicas son todas las acciones que realiza el Estado, en pro
de contribuir a la creación y fortalecimiento dela innovación
tecnológica tanto en el ámbito público como privado para así
mejorar el sistema tecnológico del país y así promover y elevar el
nivel de vida de sus habitantes. (p.45)

Dentro de estas políticas pueden diferenciarse dos tipos según su forma

de aplicarse, pero las cuales tienen el mismo fin en común, promover el nivel
tecnológico de las empresas tanto públicas como privadas, las cuales son las
siguientes:

● Políticas directas o explícitas: las cuales son los decretos de ley, leyes
creadas para motivar instituciones, proyectos, incentivos, entre otros, los
cuales tienen como fin llevar a cabo los planes tecnológicos del Estado.

28
 ● Políticas indirectas o implícitas: las cuales son estrategias que tienen
fines directo en el área política, social, cultural o económica pero que
ocasiona efectos secundarios en el ámbito tecnológico Servicios de
Seguridad Informática.

● Un servicio de seguridad informática es aquel que mejora la seguridad

de un sistema de información y el flujo de información de una
organización. Los servicios están dirigidos a evitar los ataques de
seguridad y utilizan uno o más mecanismos de seguridad para proveer
el servicio.

Según Microsoft Encarta (2016):

“Seguridad es cualidad de seguro y define a este a su vez como
libre y exento de todo peligro, daño o riesgo”. (p.9)

Clasificación
● Confidencialidad
● Autenticación
● Integridad
● No repudio
● Control de acceso
● Disponibilidad

a. Confidencialidad
Servicio de seguridad o condición que asegura que la información no
pueda estar disponible o ser descubierta por o para personas, entidades o
procesos no autorizados. También puede verse como la capacidad del sistema
para evitar que personas no autorizadas puedan acceder a la información
almacenada en él.

Figura 6: La confidencialidad de los datos.

b. Autenticación

29
 Es el servicio que trata de asegurar que una comunicación sea
auténtica, es decir, verificar que el origen de los datos es el correcto, quién los
envió y cuándo fueron enviados y recibidos también sean correctos. Algunos
métodos de autenticación son: Biométricos, Tarjetas inteligentes, Métodos
clásicos basados en contraseña, etc.

Figura 7. Algunos mecanismos para salvaguardar la confidencialidad de los datos.

c. Integridad
Servicio de seguridad que garantiza que la información sea modificada,
incluyendo su creación y borrado, sólo por el personal autorizado.

Figura 8. Integridad.

d. No repudio
El no repudio sirve a los emisores o a los receptores para negar un
mensaje transmitido. Por lo que cuando un mensaje es enviado, el receptor
puede probar que el mensaje fue enviado por el presunto emisor. De manera
similar, cuando un mensaje es recibido, el remitente puede probar que el
mensaje fue recibido por el presunto receptor.

30
 Figura 9. Sistema de No Repudio.

e. Control de Acceso
Un control de acceso se ejecuta con el fin de que un usuario sea
identificado y autenticado de manera exitosa para que entonces le sea
permitido el acceso. El control de acceso puede ejecutarse de acuerdo con los
niveles de seguridad y puede ejecutarse mediante la administración de la red o
por una entidad individual de acuerdo con las políticas de control de acceso.

Figura 10. Control de Acceso.

f. Disponibilidad
En un entorno donde las comunicaciones juegan un papel importante es
necesario asegurar que la red esté siempre disponible.

Figura 11. Disponibilidad.

31
1.6.8 Amenazas
Microsoft (2016):
La Amenaza es la probabilidad de ocurrencia de un suceso
potencialmente desastroso durante cierto periodo de tiempo, en un
sitio dado. En general el concepto de amenaza se refiere a un
peligro latente o factor de riesgo externo, de un sistema o de un
sujeto expuesto, expresada matemáticamente como la probabilidad
de exceder un nivel de ocurrencia de un suceso con una cierta
intensidad, en un sitio específico y durante un tiempo de exposición
determinado. (Consultado 15.04.2016).

Una amenaza se representa a través de una persona, una circunstancia

o evento, un fenómeno o una idea maliciosa, las cuales pueden provocar daño
en los sistemas de información, produciendo pérdidas materiales, financieras o
de otro tipo. Las amenazas son múltiples desde una inundación, un fallo
eléctrico o una organización criminal o terrorista. Así, una amenaza es todo
aquello que intenta o pretende destruir.

a. Amenazas Humanas
Surge por ignorancia en el manejo de la información, por descuido, por
negligencia, por inconformidad. Para este caso se pueden considerar a los
hackers, crakers, phreakers, carding, trashing, gurús, lamers o scriptkiddies,
copyhackers, bucaneros, newbie, wannabers, samurai, creadores de virus y los
que se listan a continuación:

Figura 12. Amenazas Humanas.

32
Ingeniería social: es la manipulación de las personas para convencerlas de
que ejecuten acciones o actos que normalmente no realizan de forma que
revelen datos indispensables que permitan superar las barreras de seguridad.
Esta técnica es una de las más usadas y efectivas al momento de averiguar
nombres de usuarios y contraseñas.

Ingeniería social inversa: consiste en la generación, por parte de los intrusos,

de una situación inversa a la original en la ingeniería social. En este caso el
intruso publicita de alguna manera que es capaz de brindar ayuda a los
usuarios y éstos lo llaman ante algún imprevisto. El intruso aprovechará esta
oportunidad para pedir información necesaria para solucionar el problema del
usuario y el propio.

Robo: Las computadoras son las posesiones más valiosas de la empresa y se

encuentran expuestas. Es frecuente que los operadores utilicen las
computadoras de las empresas para realizar trabajos privados o para otras
organizaciones y de esta manera robar tiempo de máquina.

Fraude: Cada año millones de dólares son sustraídos de las empresas y, en

muchas ocasiones, las computadoras son utilizadas para dichos fines. Es uno
de los problemas más habituales de las Organizaciones, sea del tipo que sea y
a todos los niveles, ya que se refiere al perjuicio económico patrimonial
realizado con ánimo de lucro y llevado a cabo con engaño. El fraude no trata
más que lograr un beneficio ilegal reduciendo las propiedades de la compañía.

Sabotaje: El sabotaje ha sido utilizado desde la antigüedad, partiendo del

axioma de “una eficiencia máxima, con unos medios y un riesgo mínimo para el
saboteador. Para lograr estos fines el saboteador tratará de determinar los
puntos débiles de la organización y estudiará las posibilidades de acceder a las
áreas donde mayor daño pueda hacer. Es el peligro más temido en los centros
de procesamiento de datos, ya que éste puede realizarlo un empleado o un
sujeto ajeno a la empresa.

33
Personal: De los robos, fraudes, sabotajes o accidentes relacionados con los
sistemas, el 73% es causado por el personal de la organización propietaria de
dichos sistemas.

Personal interno: Son las amenazas al sistema provenientes del personal del
propio sistema informático. Los daños causados por el personal pueden ser
accidentales, deliberados o productos de la negligencia. Los recursos y
programas así como la información, deben estar especialmente protegidos
contra estos tipos de daños.

Ex-empleado: Generalmente son personas descontentas con la organización y

que conocen a la perfección la estructura del sistema, por consiguiente, tienen
los conocimientos necesarios para causar cualquier tipo de daño.

Curiosos: Son personas que tienen un alta interés en las nuevas tecnologías,
pero aún no tienen la experiencia ni conocimientos básicos para considerarlos
hacker o crackers, generalmente no se trata de ataques dañinos, pero afecta el
entorno de fiabilidad y confiabilidad generado en un sistema.

Terrorista: En esta definición se engloba a cualquier persona que ataca al

sistema causando un daño de cualquier índole en él, tienen fines proselitistas o
religiosos.
Intrusos remunerados: Se trata de crackers o piratas con grandes
conocimientos y experiencia, pagados por una tercera parte para robar
secretos o simplemente para dañar de alguna manera la imagen de la entidad
atacada.

b. Amenazas de Hardware
Este tipo de amenazas se da por fallas físicas que se encuentra
presente en cualquier elemento de dispositivos que conforman la computadora.
Los problemas más identificados para que el suministro de energía falle son el
bajo voltaje, ruido electromagnético, distorsión, interferencias, alto voltaje,
variación de frecuencia, etc.

34
 Figura 13. Amenazas de Hardware.

c. Amenazas de Red
Se presenta una amenaza cuando no se calcula bien el flujo de
información que va a circular por el canal de comunicación, es decir, que un
atacante podría saturar el canal de comunicación provocando la no
disponibilidad de la red. Otro factor es la desconexión del canal.

Figura 14. Amenazas de Red.

d. Amenazas Lógicas

La amenaza se hace presente cuando un diseño bien elaborado de un

mecanismo de seguridad se implementa mal, es decir, no cumple con las
especificaciones del diseño. La comunicación entre procesos puede resultar
una amenaza cuando un intruso utilice una aplicación que permita evitar y
recibir información, ésta podría consistir en enviar contraseñas y recibir el
mensaje de contraseña válida; dándole al intruso elementos para un posible
ataque.

35
 En la mayoría de los sistemas, los usuarios no pueden determinar si el
hardware o el software con que funcionan son los que supone que deben ser.
Esto facilita al intruso para que pueda reemplazar un programa sin
conocimiento del usuario y éste pueda inadvertidamente teclear su contraseña
en un programa de entrada falso al cual también se le denomina códigos
maliciosos.

Los tipos de códigos maliciosos más comunes son: caballos de Troya,

virus, gusanos, bombas de tiempo y keyloggers.

Caballos de Troya: Es un programa aparentemente útil que contiene funciones

escondidas y además pueden explotar los privilegios de un usuario dando
como resultado una amenaza hacia la seguridad. Un caballo de Troya es más
peligroso que un administrador del sistema o un usuario con ciertos privilegios,
ya que se introducen al sistema bajo una apariencia totalmente diferente a la
de su objetivo final; esto es, que se presente como información perdida o
basura, sin ningún sentido. Pero al cabo de algún tiempo, y esperando la
indicación del programa, despierta y comienzan a ejecutarse y a mostrar sus
verdaderas intenciones. También pueden aparentar ser un programa de juegos
o entretener al usuario mostrando pantallas de espectáculos y sonidos
agradables, mientras realizan operaciones dañinas para el sistema.

Virus Un virus informático es un programa informático malicioso que cuando

una persona confiada lo ejecuta, lleva a cabo tareas que incluyen
fundamentalmente reproducirse a sí mismos y en algunos casos desplegar una
carga dañina. Las principales formas de propagación son:
● Medios de difusión externos: cualquier dispositivo de almacenamiento
que puede contener un archivo de ordenador, como DVD, o CD, y pueda
conectarse o insertarse en una computadora.
● Conexión a la red: Una red es un grupo de ordenadores conectados
entre sí para poder intercambiar datos. Internet, que es la fuente virus
más común, hoy en día, es una gran red. Los virus pueden usar la
conexión de computadora a computadora.

36
 ● Las tres vías de propagación más ampliamente conocidas son: un
archivo anexo o adjunto al correo electrónico, una transferencia FTP,
TELNET, otros servicios web; y descargar un archivo infectado desde
una página web, etc.
Gusanos: Son programas que se reproducen a sí mismos y no requieren de un
anfitrión, pues se arrastran literalmente por todo el sistema sin necesidad de un
programa que los transporte. Los gusanos se cargan en la memoria y se
posicionan en una determinada dirección, luego se copian en otro lugar y se
borran del que ocupaban, y así sucesivamente, esto hace que queden borrados
los programas o información que encuentran a su paso por la memoria, lo que
causa problemas de operación o pérdida de datos. Los gusanos
frecuentemente se propagan de una computadora a otra a través de las
conexiones de la red. Los gusanos con frecuencia roban, destruyen o modifican
datos en una computadora. Los gusanos tienen como única misión la de
colapsar cualquier sistema, ya que son programas que se copian en archivos
distintos en cadena hasta crear miles de réplicas de sí mismos.

Bombas de Tiempo: son programas ocultos en la memoria del sistema o en

los discos, dentro de archivos de programas ejecutables con extensión .COM
o .EXE. Esperan una fecha o una hora para explotar. Algunos de estos virus no
son destructivos y sólo exhiben mensajes en la pantalla al llegar el momento de
la explosión. Llegado el momento, se activa cuando se ejecuta el programa que
las contiene.

Keyloggers: los Keyloggers son programas para el espionaje que plantean

muchos problemas éticos y legales. La función del Keyloggers es registrar
todas las pulsaciones del teclado en un archivo del sistema para luego
proceder a su lectura, de esta manera todo lo que se haya escrito, como
nombres de usuario o contraseñas queda registrado en un archivo.

1.6.9 Sistema Gestión de Seguridad de la Información - SGSI

Goméz A. (2007) afirma:
“Un Sistema de Gestión de la Seguridad de la Información (SGSI)
consiste en un conjunto de políticas y procedimientos que
37
 normalizan la gestión de la seguridad de la información, bien de
toda una organización o bien de uno o varios de sus procesos de
negocio”. (p.18)

Es importante tener siempre en mente que por Seguridad de la

Información se entiende el triple vector de confidencialidad, integridad y
disponibilidad de la misma. Un SGSI debe abordar de forma integral estas tres
vertientes.

Existen diversos estándares, marcos de trabajo o metodologías para

implantar y mantener un SGSI, pero sin duda, la más socorrida es la serie ISO
27000. Este estándar internacional comprende todo un conjunto de normas
relacionadas con la Seguridad de la Información, de entre las que destacan las
más conocidas: la ISO 27001 y la ISO 27002.

¿Qué información protege un SGSI?

Los activos de información de una organización, independientemente del

soporte que se encuentren; p. ej., correos electrónicos, informes, escritos
relevantes, páginas web, imágenes, documentos, hojas de cálculo, faxes,
presentaciones, contratos, registros de clientes, información confidencial de
trabajadores y colaboradores.

El SGSI da así la garantía a la empresa de que los riesgos que afectan a

su información son conocidos y gestionados. No se debe olvidar, por tanto, que
no hay seguridad total sino seguridad gestionada.

1.6.10 Gestión de Riesgos

Mediante la gestión del riesgo se identifican, evalúan y corrigen a niveles
razonables y asumibles en coste todos los riesgos en seguridad que podrían
afectar a la información. Básicamente, la seguridad de la información es parte
de la gestión global del riesgo en una empresa, hay aspectos que se
superponen con la ciberseguridad, con la gestión de la continuidad del negocio
y con la tecnología de la información:

38
 Figura 15. ISMS Framework.

DMR-Consulting (2005):
“Proponen un método llamado Administración del Riesgo
Operacional (ARO), cuyo objetivo principal es operativizar
una metodología de trabajo, incorporando los indicadores
necesarios”.

1.6.10.1 Normatividad
a. Políticas
● ¿qué proteger?, ¿por qué?
● simples de entender y fáciles de recordar

b. Procedimientos
● Documentos que contienen el ¿quién? ¿cuándo? ¿cómo? de la
seguridad información dentro de la organización.

Las normas dictadas en la elaboración de la política de seguridad,

en algunos casos de forma concreta y en otros de forma más abstracta,
pero igualmente concluyentes, han de materializarse en una serie de
procedimientos y normas a seguir en la operación y mantenimiento de
las tareas diarias del MEC, al menos en lo relacionado con las
actividades que de una forma u otra tienen que ver con Internet.

39
1.6.11 Seguridad de la Red
Cisco, (2004):
“El Administrador de la red es el encargo de la configuración, fallas,
confiabilidad, comportamiento y seguridad en la red” (p.25)

1.6.11.1 Red Plana sin seguridad

Hernández y Huerta (2014), afirman:
Se considera una red de topología plana, a la red compuesta
únicamente por switches o hubs (actualmente ya no se utilizan los
hubs debido a la baja velocidad de funcionamiento y las altas
probabilidades de colisiones llegando a provocar deterioro e incluso
comprometiendo la operación de la red), una de las razones por las
cuales se sigue ocupando esta topología a pesar de los
inconvenientes, es la facilidad y el bajo costo de implementación ya
que todos los host están ubicados en la misma red; por lo tanto, la
adición de un nuevo host o de otro dispositivo es relativamente fácil.
(p. 78)

Las características de una red de comunicaciones sin seguridad son:

● Red plana sin segmentar.
● Publicación de servicios internos: base de datos.
● No hay elementos de monitorización.
● No se filtra tráfico de entrada ni salida.
● No se verifica malware o spam en el correo electrónico.
● Cliente remoto accede directamente a los servicios.

Figura 16. Red Plana sin Seguridad

40
 1.6.11.2 Seguridad Perimetral
Tirado (2012), en su tesis SISTEMA DE
SEGURIDAD PERIMETRAL INSTALACION Y
CONFIGURACION DE ENDIAN FIREWALL:
“Es el Agregado de Hardware, Software y políticas
para proteger una red en la que se tiene confianza
(intranet) de otras redes en las que no se tiene confianza
(extranet, internet)”.

Las múltiples amenazas y puntos de vulnerabilidad de los

sistemas de información hacen obligatorio que las empresas cuenten
con todos los recursos de seguridad necesarios para proteger sus
negocios. Proteja su información, sus redes, sus datos, sus
aplicaciones de los diferentes delitos informáticos y todo tipo de
malware existente.

Actualmente es necesario contar con una arquitectura de red con

múltiples dispositivos físicos hardware y software tales como

La arquitectura y elementos de red que proveen de seguridad al

perímetro de una red interna frente a otra que generalmente es
Internet:
● Cortafuegos.
● Sistemas de Detección y Prevención de Intrusos.
● Pasarelas antivirus y antispam.
● Honeypots.

Figura 17. Seguridad Perimetral en Redes

41
 Figura 18. Casos de éxito de Seguridad informática.

42
1.6.12 Empresa
1.6.12.1 Cortez SAC.
La empresa Cortez SAC, es la institución que brinda servicios
especializados en seguridad informática y redes a clientes
empresariales que pertenecen al sector público y privado a nivel
nacional. Son ingenieros freelance que ofrecen servicios a grandes
operadores de servicios de telecomunicaciones.

1.6.12.2 Área de Implementación de proyectos de

seguridad
Lo integran Ingenieros especializados en Redes y Seguridad
Informática, cumplen dos funciones: implementar proyectos de
seguridad y soporte en la actualización de políticas en los equipos de
seguridad perimetral.

1.6.12.3 Área de Ventas

Conformado por personal administrativo con conocimientos
técnicos básicos para establecer negociación y proponer a los clientes
nuevos activos tecnológicos de seguridad informática.

1.6.12.4 Área de Post-venta

Conformado por Ingenieros, con conocimientos de redes y
seguridad informática, que residen en los locales de los clientes para
brindar soporte técnico y mantenimiento de los equipos existentes.

43
1.7 Hipótesis General
La aplicación de buenas prácticas en seguridad de la información permite
gestionar adecuadamente los proyectos de seguridad informática perimetral en
los centros de datos de clientes empresariales.

1.7.1 Hipótesis Específicas de Investigación 1

A. Hipótesis específicas 1 (HE1)

La aplicación de la Norma ISO 27001 permite gestionar adecuadamente

la Seguridad de la Información en los centros de datos de clientes
empresariales.

B. Indicador 1: Indicador: Gestión de Riesgos de Seguridad

Informática

Ia1: Gestión de Riesgos de Seguridad Informática antes de aplicar la

Norma ISO 27001.

Id1: Gestión de Riesgos de Seguridad Informática después de aplicar

la Norma ISO 27001.

C. Hipótesis Estadística 1:

Hipótesis Nula (H0): La aplicación de la Norma ISO 27001 no permite

gestionar adecuadamente la Seguridad de la Información en los centros de
datos de clientes empresariales.

H0 = Ia1 – Id1 ≥ 0

Hipótesis Alternativa (HA): La aplicación de la Norma ISO 27001 permite

gestionar adecuadamente la Seguridad de la Información en los centros de
datos de clientes empresariales.

44
 HA = Ia1 – Id1 < 0

Se deduce que el indicador con la Norma ISO 27001 es mejor que el indicador
sin la Norma ISO 27001.

45
1.7.2 Hipótesis Específicas de Investigación 2

A. Hipótesis específicas 2 (HE2)

El control de los accesos a los servicios informáticos externos e internos,

permite proteger la red perimetral contra amenazas e intrusiones en los centros
de datos de clientes empresariales.

B. Indicador 1: Indicador: Diseño de la Red Perimetral

Ia1: Diseño de la red perimetral antes de aplicar la Norma ISO 27001 .

Id1: Diseño de la red perimetral después de aplicar la Norma ISO

27001.

C. Hipótesis Estadística 2:

Hipótesis Nula (H0): La aplicación de la Norma ISO 27001 no permite el

diseño de la red perimetral en los centros de datos de clientes empresariales.

H0 = Ia2 – Id2 ≥ 0

Hipótesis Alternativa (HA): La aplicación de la Norma ISO 27001 permite

el diseño de la red perimetral en los centros de datos de clientes empresariales.

HA = Ia2 – Id2 < 0

Se deduce que el indicador con la Norma ISO 27001 es mejor que el indicador
sin la Norma ISO 27001.

46
47
 CAPÍTULO II
MATERIALES Y MÉTODOS

48
2. MATERIALES Y MÉTODOS
2.1 Materiales
2.1.1 Personal
● Jorge Aliaga, asistente de red seguridad de la empresa Editora del Perú.
CCNA y CCNA Security? (Cliente 1)
● Juan Valderrama, asistente de red y seguridad de la empresa El Rocío.
CCNA y CCNA Security? (cliente 2)
● El Sr. Alejandro Cortez, Supervisor de redes y seguridad perteneciente a
CORTEZ SAC y que brinda soporte a los dos clientes. CCNA SECURITY,
CCSA, CCSP, NSE4, ITI, CompTIA Securtity

2.1.2 Materiales
Se usaron herramientas y servicios de uso libre y licenciado, disponible
en la nube o instalado en estaciones clientes:
● Herramientas ofimáticas: Google Apps.
● Herramientas ofimáticas: Microsoft Office.
● Herramientas de diagramación: Microsoft Visio
● Servicios de videoconferencia: Google Hangouts.
● Correo electrónico: Gmail.

2.1.3 Tiempo
El plan de trabajo consideró las siguientes actividades que se muestran en la
tabla 2.x

49
 Tabla 1
Cronograma de actividades piloto EP-ER
ACTIVIDAD TIEMPO ENTREGABLE
1. Identificar problema cliente 1 2d Entrevista de campo

2. Identificar problema cliente 2 4d Entrevista de campo (Trujillo)

3.Análisis del problemas en 2d Lista de problemas de seguridad y redes
clientes
4.Análisis de problemas a nivel 3d Lista de gaps en equipos de seguridad y redes
interno
5.Resumen de problemas y 2d Matriz de problema, gaps y soluciones
soluciones probables
6.Diseño funcional-técnico de la 15d Buenas prácticas en seguridad informática
solución perimetral, SGSI, ISO 27001, ISO 27002
7. Presentar propuesta 4d Propuesta funcional y técnico de la solución
8. Evaluar propuesta 2d Aprobar propuesta
9. Aplicar propuesta en cliente 5d Checklist PHVA
10. Presentar resultados 3d Resultados
11.Mejorar propuesta 2d Propuesta mejorada
12. Aprobar propuesta 1d Propuesta aprobada
13. Desplegar solución a nivel 2d Implementación de equipos de seguridad y
interno redes
14.Desplegar solución en 5d Capacitación y entrenamiento en seguridad y
clientes redes a clientes
15. Cierre del piloto 2d Lecciones aprendidas, VB de clientes, VB de
equipo interno
Fuente: Elaboración propia

50
 2.1.4 Equipamiento
2.1.4.1 Equipo Firewall

Figura 19. Cortafuegos FORTINET

2.1.5 Situación y exigencia del problema

Se visitaron los data center de los clientes elegidos, Lima y Trujillo. Se
requiere validar la mayor cantidad de problemas técnicos relacionados a
seguridad y redes, por eso se viajó a Trujillo para analizar los problemas que se
presentan en el cliente-2 que tiene las arquitecturas de redes WAN y LAN más
complejas y extensas, a las que damos servicios.

2.2 Métodos
2.2.1 Procedimientos o Métodos
Se usaron los siguientes procedimientos y métodos:
● Normas ISO 27001
● Normas ISO 27002.
● Modelo SGSI.

2.2.2 Diseño de Investigación

De acuerdo al propósito de la investigación, naturaleza de los problemas
y objetivos formulados en el trabajo, el presente estudio reúne las condiciones
suficientes para ser calificado como un "Trabajo de Investigación Aplicado". Es
No Experimental.
2.2.2.1 No Experimental
La investigación no experimental es aquella que se realiza sin
manipular deliberadamente variables. Se basa fundamentalmente en la
observación de fenómenos tal y como se dan en su contexto natural para
analizarlos con posterioridad. En este tipo de investigación no hay
condiciones ni estímulos a los cuales se expongan los sujetos del
estudio. Los sujetos son observados en su ambiente natural.

51
 2.2.3 Tipo de Investigación
De acuerdo al propósito de la investigación, naturaleza de los problemas
y objetivos formulados en el trabajo, el presente estudio reúne las condiciones
suficientes para ser calificado como un "Trabajo de Investigación Aplicado". Es
Descriptiva y Analítica
2.2.3.1 Descriptiva
Es descriptiva porque, se describió la situación actual de la
gestión de proyectos de seguridad informática en las empresas EEP y
ER. Se seleccionó los componentes del problema a investigar y se
recolectó la información sobre cada uno de ellos, para así describir el
tema del estudio.
2.2.3.2 Analítica
La información obtenida mediante la descripción de la situación
actual de los proyectos de implementación de seguridad informática
perimetral, permitió evaluar los equipos de seguridad informática
adecuados con la necesidad del cliente, asimismo, permitió analizar los
parámetros de configuración requeridos para considerarlos dentro de las
Políticas de Seguridad Informática Perimetral.

2.2.4 Enfoque de investigación

El enfoque de la investigación será mixto, cualitativo y cuantitativo:

Según Hernández, Fernández & Baptista, (2014):

Cuantitativo porque consiste en utilizar la recolección y el análisis de
datos para contestar preguntas de investigación y probar la hipótesis
establecida previamente, y confía en la medición numérica, el conteo para
establecer con exactitud patrones de comportamiento en una población
Se tomará el enfoque cualitativo porque se pretende obtener la
recolección de datos para conocer o medir el fenómeno en estudio y
encontrar soluciones para la misma; la cual trae consigo la afirmación o
negación de la hipótesis establecida en dicho estudio.

52
 2.2.5 Delimitación y definición de la población de estudio
La seguridad informática perimetral, puede analizarse revisando tres
aspectos técnicos:
● Diseño de la red perimetral.
● Equipos de seguridad perimetral instalados.
● Configuración del Firewall.

Para analizar la situación real será necesario entrevistar a los responsables de

seguridad de los clientes para conocer la situación actual. La investigación se
hará en clientes empresariales que residen en Lima y Trujillo.

2.2.5.1 Población y Muestra

Población
La población en estudio comprende 08 clientes empresariales se
brinda servicios de seguridad informática a sus centros de datos, ahí
interactúan 16 usuarios técnicos y 8 gerentes de TI. Nuestro equipo está
conformado por 1 ingeniero de Redes y Seguridad Informática. La
población total estimada es de 32 personas.

Muestra
Analizaremos dos proyectos de implementación de la red
perimetral en los clientes "Empresa Editora del Peru" y "El Rocío". (El
proyecto-1 sin buenas prácticas y el proyecto-2 migración con buenas
prácticas).

2.2.6 Aplicar criterios para seleccionar muestra de estudio

2.2.6.1 Técnicas de recolección de datos
a. Entrevista
La entrevista se utilizó para profundizar en la búsqueda de la
información técnica sobre el tema en estudio, mediante preguntas
específicas realizadas al responsable de seguridad informática del
cliente, temas como diseño de la red perimetral, configuración del

53
 Firewall, configuración de equipos reemplazados vs configuración de los
equipos nuevos.

b. Observación Directa
Mediante esta técnica, se realizaron visitas a cada data center
para revisar la configuración física y lógica de los equipos y
componentes de seguridad, según los estándares del fabricante y
alineado a las buenas prácticas en Seguridad de la Información.

2.2.7 Variables
● Variable independiente: Buenas prácticas en Seguridad de la
Información.
● Variable dependiente: Seguridad Informática Perimetral.

2.2.7.1 Definición Operacional de las Variables

Con respecto a las Buenas prácticas en Seguridad de la Información, se
escogieron tres indicadores basados en la Norma ISO 27001:
● Gestión de Riesgos de Seguridad Informática.
● Políticas y Procedimientos de Seguridad Informática.
● Equipos Certificados en Seguridad Informática.
Con respecto a la Seguridad informática Perimetral, se eligieron dos
indicadores que hacen posible la gestión por parte del asistente de
seguridad:
● Diseño de la red perimetral.
● Configuración del Firewall.
La aplicación de estos cinco indicadores permite al área de seguridad y
redes gestionar la seguridad informática perimetral de manera integral.

54
 Tabla 2.
Definición Operacional de las Variables

Fuente: Elaboración propia

2.2.8 Criterios de inclusión y exclusión
Debido a la variedad y complejidad de modelos de equipos cortafuegos,
se optó por incluir en la muestra al equipo Fortinet FG-100D, FG-800C y los
parámetros de configuración que corresponden a Políticas del Cortafuegos
incluidas el filtrado web, filtrado de aplicaciones, antivirus e IPS. El resto de
equipos y parámetros de configuración no se consideran.

2.2.8.1 Criterios de Inclusión

● Equipos cortafuegos Fortinet, modelo FG-100D y FG 800C
● Parámetros de configuración de políticas del cortafuego de seguridad
perimetral.
2.2.8.2 Criterios de Exclusión
Todos los equipos cortafuegos que no son de la marca Fortinet.
Todos los equipos marcan Fortinet que no del modelo FG-100D Y FG-
800C

55
 Se excluyen todos los parámetros de configuración que no
corresponden a Políticas del cortafuego para seguridad perimetral.

2.2.9 Análisis de confiabilidad del instrumento de investigación

Para (Juan Bogliaccini, 2005), la determinación de la confiabilidad de un

instrumento es útil para los investigadores ya que no solo ayuda a interpretar
un resultado, sino porque proporciona sugerencia si se necesitan
modificaciones del instrumento.

Según Kerlirger, citado por Roberto Marroquín Peña, define la

confiabilidad como el grado en que un instrumento produce resultados
consistentes y coherentes. Es decir, que en su aplicación repetida al mismo
sujeto u objetos produce resultados iguales.

En la presente investigación se contó con el apoyo de 3 expertos, los

cuales evaluaron la validez del instrumento llamado reporte mensual en donde
se observan cada información relevante para la medición de los indicadores de
las variables relacionadas, así mismo, la matriz de operacionalización de la
variable, cuyos resultados obtenidos, según el formato de validación de
instrumento.

2.2.10 Análisis de validez del instrumento de investigación

La validez del contenido generalmente se evalúa a través de un papel o
juicio de expertos, y en muy pocas ocasiones la evaluación está basada en
datos empíricos. Es por ello que el juicio de expertos en muchas áreas es una
parte importante de la información cuando las observaciones experimentales
están limitadas. El juicio de expertos es el conjunto de opiniones, valoraciones
y recomendaciones basadas sobre la experiencia y conocimiento de una elite
experta para desarrollar visiones a largo plazo; evaluar la validez, factibilidad o
deficiencias de los elementos o etapas de un proyecto; y obtener parámetros o
mediciones ciertos, bajo la premisa de que las diversas opiniones combinadas
entre sí proponen mejores resultados que una sola opinión. (Anónimo, 2010).

56
 CAPÍTULO III
RESULTADOS

57
3. RESULTADOS
3.1 Aplicación de la Norma ISO 27001
Es la norma principal de la serie y contiene los requisitos del Sistema de
Gestión de Seguridad de la Información. En su Anexo A, enumera en forma de
resumen los objetivos de control y controles que desarrolla la ISO 27002:2005 para
que sean seleccionados por las organizaciones en el desarrollo de sus SGSI.

3.2 Aplicación de la Norma ISO 27002

La ISO 27002 consiste en una guía de buenas prácticas que permiten a

las organizaciones mejorar la seguridad de su información. Con este fin, define
una serie de objetivos de control y gestión que deberían ser perseguidos por
las organizaciones.

Éstos se hallan distribuidos en diferentes dominios que abarcan de una

forma integral todos los aspectos que han de ser tenidos en cuenta por las
organizaciones.

Dominios de la ISO 27002

● Los dominios que estructura la ISO 27002 son once (11):
● La política de seguridad.
● Los aspectos organizativos de la seguridad de la información.
● La gestión de activos.
● La seguridad ligada a los recursos humanos.
● La seguridad física y ambiental.
● La gestión de las comunicaciones y de las operaciones.
● Los controles de acceso a la información.
● La adquisición, desarrollo y mantenimiento de los sistemas de información.
● La gestión de incidentes en la seguridad de la información.
● La gestión de la continuidad del negocio.
● Los aspectos de cumplimiento legal y normativo.

3.3 Diseño de la Red Perimetral

Las directivas marcadas por la política de seguridad definida, nos

fuerzan a diseñar nuestra red como dos perímetros claramente definidos.

58
 Un perímetro interior, en el que se situarán todos los recursos sensibles
a un posible ataque, aislado del perímetro exterior donde se situarán los
recursos menos sensibles, o que inevitablemente por motivos funcionales
deban estar en contacto con el mundo exterior de forma menos rígida. El
perímetro interior está aislado o protegido del perímetro exterior y del resto de
Internet, por medio de un dispositivo en el que se centralizan la mayoría de las
medidas: el firewall.

Figura 20. Red Perimetral.

En un ambiente con firewall se tiene lo siguiente:

● Protección de información privada: Define que usuarios de la red y qué
información va a obtener cada uno de ellos.
● Optimización de acceso: Define de manera directa los protocolos a
utilizarse.
● Protección de intrusos: Protege de intrusos externos restringiendo los
accesos a la red.

Un creciente porcentaje de los llamados “ataques basados en contenido”

como virus, gusanos y caballos de Troya son introducidos en organizaciones a
través de las actividades más inocuas como la navegación Web. Esta
tendencia continuará en tanto las organizaciones sigan adoptando esquemas
de comunicación en tiempo real como aplicaciones Web y mensajería
instantánea para mantenerse competitivos. Desafortunadamente, los sistemas
de protección convencionales como los firewalls tradicionales carecen del

59
hardware requerido para llevar a cabo un análisis intensivo de los paquetes de
datos y contenido, necesarios para detectar estas amenazas sin afectar el
desempeño de las aplicaciones de red. Como resultado la mayoría de las
organizaciones están expuestas peligrosamente a estos ataques.

Es la solución de administración unificada de amenazas en tiempo real

que le ofrece la mayor protección a su red de datos, utilizando la última
generación en Sistemas de Seguridad FortiGate de Fortinet, ofreciendo un
rango completo de protecciones: firewall, VPN, detección y prevención de
intrusos, administración de ancho de banda, antivirus de borde, antispam y
filtrado de contenido web.

Figura 21. Topología Propuesta.

3.4 Selección de equipos de Seguridad Perimetral

3.4.1 Equipo Firewall
Es la herramienta fundamental que nos va a permitir implementar el
modelo de seguridad definido por la política de seguridad es un dispositivo que
se sitúe entre el perímetro interior y el exterior de nuestra red. A este

60
dispositivo, tradicionalmente, en la jerga informática se le denomina firewall (en
castellano es cortafuegos. Dado que es el componente más crítico e importante
en todo el diseño del sistema de seguridad, la elección de este elemento debe
ser muy concienzuda. Generalizando un poco, los firewalls se pueden dividir en
tres grandes categorías:

a. Firewalls basados en filtrado de paquetes

Son aquellos dispositivos que estando conectados a ambos perímetros
(interior y exterior), dejan pasar a su través paquetes IP en función de unas
determinadas reglas. Estos firewalls conceptualmente trabajan a nivel de red, y
son capaces de filtrar tráfico en función de direcciones de IP, protocolos, y
números de puerto de TCP o UDP.

b. Firewalls basados en proxies

Son aquellos dispositivos que estando conectados a ambos perímetros
(interior y exterior), no dejan pasar a su través paquetes IP. Esto en jerga
informática se denomina ip-forwarding desactivado. La comunicación se
produce por medio de programas denominados proxies, que se ejecutan en el
firewall. Este tipo de sistemas también se denominan bastion host. Desde el
punto de vista conceptual, este tipo de firewalls funciona a nivel de aplicación.

c. Firewalls con transparencia o de tercera generación

Recientemente han aparecido en el mercado dispositivos que van un
paso más allá en la tecnología de firewalls. Se trata de los firewalls de tercera
generación o transparentes. La característica primordial de estos sistemas es
que admiten paquetes no destinados a ellos mismos, de forma similar a como
lo hacen los routers, y en función de una serie de reglas y configuraciones, son
capaces de arrancar los proxies correspondientes automáticamente y conectar
con el destinatario inicial.

61
3.4.2 Comparativo de equipos Firewall

Los equipos se deben seleccionar de acuerdo a las siguientes

características que se encuentra en la red del cliente:

Ancho de banda total (puede ser de uno o más enlaces con los que
cuente el cliente)
 Cantidad de usuarios
 Cantidad de sesiones
 Que actividades realiza la empresa
 Con que equipos de seguridad cuenta

En el caso de migración de un equipo de seguridad de otra marca se

deberá verificar las funcionalidades que tiene el equipo para así demostrar el
cliente que nuestro equipo fortinet lo tiene o cumple de otra forma.

Tabla 3
Comparativo de Marcas de Firewall

Fuente: Recuperado de: www.apesoft.org

Tabla 4
Características y Costos de Equipos Firewall
CARACTERISTICA DEFINICIÓN PRECIO APROXIMADO

62
Firewall Tráfico que puede soportar el firewall $< $5000
Throughput

IPS/NGFW Velocidad en la que el firewall puede $$< entre $5000 - $15000

Throughput inspeccionar el tráfico de entrada
Antivirus Velocidad a la que el servidor de $$$ entre $15000 - $25000
Throughput seguridad puede inspeccionar el tráfico
entrante con Antivirus habilitado.
Switch Ports Número de puertos 1GE & 10GE $$$$ > $ 25000
Certifications Industria certificaciones de terceros
para la seguridad otorgan al producto.
Fuente: Elaboración propia

3.4.3 Solución de equipo Firewall elegido

Forticare
Soporte 24x7 en casi todo el mundo
Los productos fortinet reciben el apoyo técnico por Forticare con personal de
apoyo en las Américas, Europa, Medio Oriente y Asia forticare ofrece múltiples
opciones para Forticare contratos a medida para que puedan recibir el apoyo
adecuado a las necesidades de su organización
Forticare 1-866-648-4638

63
3.4.4 Configuración del Firewall

Figura 22. Top Selling Models Matrix

64
3.5 Resultados de la implementación
Tabla 5
Procesos as-is (actual) y procesos to-be (futuro)
VENTAS IMPLEMENTACIÓN POST
PROYECTO TÉCNICOS VENTA ENTREGABLE
1. Atender pedido RFC, incidente
cliente
2. Solicitar evaluación 3. Atender a Ventas SOW
técnica
FICHA TECNICA
3.1 Asignar especialista

3.2 Evaluar necesidad de cliente

3.3 Validar características

técnicas

● Topología actual
● Proyección de
crecimiento
● Sesiones concurrentes
● Evaluar arquitectura
● Ficha técnica: topología
sugerida

3.4 Preparar informe de

recomendación de equipos

4. Negociar con cliente 5. Programar servicio 7. Soporte post- SLA

4.1 Revisar informe de 5.1 Implementación nueva venta
recomendación de 5.2 Migración 7.1 Manual Gestión proyectos
equipos 5.3 Plan de Implementación técnico
4.2 Iniciar cotización 5.4 Políticas, procedimientos y 7.2 Políticas y
SGSI
4.3 Venta de equipos checklist de diseño y Normas de
configuración. Seguridad.
5.5 PHVA 7.3 Gestión PHVA
5.6 Documentar trabajo realizado procesos PHVA
5.7 Manual técnico para cliente 7.4 Buenas Gestión
5.8 Manual técnico post-venta prácticas ITIL Incidentes
5.7 Lista de entregables para
cliente
5.8 Cierre del servicio

6. Cierre de proyecto 6.1. VB Lecciones

aprendidas
Fuente: Elaboración propia

65
 PROCESOS TO-BE (FUTURO)

Fuente: Elaboración propia

66
3.6 SEGURIDAD INFORMÁTICA PERIMETRAL EN EQUIPOS
CORTAFUEGOS
Según Andrade, Espinoza y Gonzales (“Sistema para diagnosticar
seguridades de equipos de Firewall”, 2014)
(http://repositorio.cisc.ug.edu.ec/jspui/handle/123/208), la seguridad informática
perimetral puede ser de software o hardware; y es aquel que comprueba la
información procedente de Internet o una red y a continuación, deniega o
permite el paso de ésta al equipo, en función de la configuración del firewall. De
este modo, un firewall ayuda a impedir que los hackers y software
malintencionado obtengan acceso al equipo. Se desarrollará un sistema que
haga posible la comparación de datos extraídos de un firewall de hardware
(router) contra las buenas políticas de seguridad, que los administradores de
red han establecido de acuerdo a las necesidades de la organización. Se ha
determinado las buenas políticas mediante entrevistas a algunos expertos del
área. Debido a que los administradores de red tienen que desarrollar todo lo
concerniente a la seguridad de sus sistemas, ya que se expone la organización
privada de sus datos así como la infraestructura de su red a los Expertos de
Internet. El sistema a desarrollar tendrá la capacidad de analizar y almacenar
los datos extraídos en una base de datos, implementar seguridades de acceso
al sistema, manejar perfiles de consultor y revisor con sus debidos permisos o
restricciones. Generará reportes del análisis, y los resultados de la auditoria de
firewall (Router). Creará una bitácora de los diversos accesos al mismo para
que sean utilizados como pistas de Auditoria. Lo más importante del sistema a
desarrollar es que podrá dar sugerencias al auditor acerca de las
vulnerabilidades del router emitiendo los respectivos reportes y
recomendaciones para mitigar dichas vulnerabilidades. Cabe recalcar que la
decisión la toma el auditor de sistemas.

67
 3.6.1 Equipos
3.6.1.1 El Firewall

3.6.2 Configuración de cortafuegos

3.6.2.1 Restricciones en el firewall
La parte más importante de estas tareas se realizan en el firewall,
concretamente la de permitir o denegar determinados servicios en
función de los distintos usuarios y su ubicación. Definimos tres grandes
grupos de usuarios:
 Usuarios internos con permiso de salida para servicios restringidos.
 Resto de usuarios internos con permiso de salida para servicios no
restringidos.
 Usuarios externos con permiso de entrada desde el exterior.

3.6.3 Políticas y procedimientos de seguridad de la información

Lista de políticas y procedimientos propuestos para una gestión de
seguridad de la información.
● Confidencialidad
● Integridad
● Disponibilidad

Figura 23. Políticas de Seguridad

68
 La configuración de políticas permite controlar la instalación y ejecución
de aplicaciones por parte de los usuarios.

3.6.3.1 Políticas de firewall alineadas con el ISO 27002

a. Gestión de comunicaciones y operaciones
● Responsabilidades y procedimientos de operación.
● Documentación de los procedimientos de operación.
● Gestión de cambios.
● Segregación de tareas.
● Separación de los recursos de desarrollo, prueba y operación.
b. Gestión de la provisión de servicios por terceros.
● Provisión de los servicios
● Supervisión y revisión de los servicios prestados por terceros.
● Gestión del cambio en los servicios prestados por terceros.
c. Planificación y aceptación del sistema.
● Gestión de capacidades.
● Aceptación del sistema.
d. Protección contra el código malicioso y descargable.
● Controles contra el código malicioso.
● Controles contra el código descargado en el cliente.
e. Copias de seguridad.
● Copias de seguridad de la información.
f. Gestión de la seguridad de las redes.
● Controles de red.
● Seguridad de los servicios de red.
g. Manipulación de los soportes.
● Gestión de soportes extraíbles.
● Retirada de soportes.
● Procedimientos de manipulación de la información. 10.7.4
Seguridad de la documentación del sistema.
h. Intercambio de información.
● Políticas y procedimientos de intercambio de información.
● Acuerdos de intercambio.
● Soportes físicos en tránsito.
● Mensajería electrónica.
● Sistemas de información empresariales.
i. Servicios de comercio electrónico.
● Comercio electrónico.
● Transacciones en línea.

69
 ● Información públicamente disponible.
j. Supervisión.
● Registros de auditoría.
● Supervisión del uso del sistema.
● Protección de la información de los registros.
● Registros de administración y operación.
● Registro de fallos.
● Sincronización del reloj.

3.6.3.2 Control de Acceso.

a. Requisitos de negocio para el control de acceso.
● Política de control de acceso.
b. Gestión de acceso de usuario.
● Registro de usuario.
● Gestión de privilegios.
● Gestión de contraseñas de usuario.
● Revisión de los derechos de acceso de usuario.
c. Responsabilidades de usuario.
● Uso de contraseñas.
● Equipo de usuario desatendido.
● Política de puesto de trabajo despejado y pantalla limpia.
d. Control de acceso a la red.
● Política de uso de los servicios en red.
● Autenticación de usuario para conexiones externas.
● Identificación de los equipos en las redes.
● Protección de los puertos de diagnóstico y configuración
remotos.
● Segregación de las redes.
● Control de la conexión a la red.
● Control de encaminamiento (routing) de red.
e. Control de acceso al sistema operativo.
● Procedimientos seguros de inicio de sesión.
● Identificación y autenticación de usuario.
● Sistema de gestión de contraseñas.
● Uso de los recursos del sistema.
● Desconexión automática de sesión.
● Limitación del tiempo de conexión.
f. Control de acceso a las aplicaciones y a la información.
● Restricción del acceso a la información.
● Aislamiento de sistemas sensibles

70
3.6.4 Gestión de procesos usando PDCA.
En la fase PLAN se realiza la evaluación de las amenazas, riesgos e
impactos. En la fase DO, se seleccionan e implementan los controles que
reduzcan el riesgo a los niveles considerados como aceptables y en CHECK y
ACT se cierra y reinicia el ciclo de vida con la recogida de evidencias y
readaptación de los controles según los nuevos niveles obtenidos y requeridos.
Es un proceso cíclico sin fin que permite la mejor adaptación de la seguridad al
cambio continuo que se produce en la empresa y su entorno.

Figura 24. Gestión de procesos usando PDCA

71
 Tabla 6
Buenas prácticas en Gestión de Proyectos

Fuente: Aplicación de la empresa que nos permite realizar una seguimiento a los
proyectos

Tabla 7
Gestión del alcance

Fuente: Aplicación de la empresa que nos permite realizar una seguimiento a los
proyectos

72
 DISCUSIÓN

 Los sistemas de seguridad tiene un papel central, con un amplio abanico

de elementos como son firewall, sistema de prevención de intrusos,
gestores de lo, proxies, antivirus todos estos elementos exigen la
existencia de sus correspondientes procesos de gestión y de un equipo
de personas responsables de su ejecución.

 A la hora de realizar la completa instalación, configuración y puesta en

marcha de un entorno de seguridad perimetral, la primera clave para el
éxito de todo el proceso es la elección de una metodología para llevarlo
a cabo, de un ciclo de vida del proyecto.Esta metodología puede
basarse en la secuencia clásica que se inicia con la fase de diseño,
seguida de la adquisición de equipos, implantación y pruebas Dicha
metodología seguida con rigor, pero con cierto grado de flexibilidad
resulta un factor de éxito para todo el proyecto. Pero este ciclo de vida
no empieza con la adjudicación del proyecto, se inicia ya en la fase de
oferta donde los principales aspectos de diseño deben abordarse con la
suficiente profundidad como para estimar con precisión el equipamiento
incluido.

 Para esta discución de desarrollar las buenas practicas en la gestión de

proyectos de implementación de seguridad informatica perimetral en los
data centar de clientes empresariales es necesario considerar el
despliegue de un entorno de seguridad adecuado considerando todo lo
ya antes mencionado acerca de las metodologias aplicadas es
conveniente un enfoque con visión global, que incluya metodología,
tecnología y organización. A nivel metodológico, todas las fases son
importantes y la puesta en producción es el mejor indicador de un
trabajo bien organizado y planificado. A nivel tecnológico el reto es la
óptima integración, la seguridad y la disponibilidad. Pero son las
necesidades de la organización las que orientan todo lo anterior

73
 CONCLUSIONES Y RECOMENDACIONES

Conclusiones

Luego de estudiar el Estándar Internacional ISO/IEC 27002, se puede ver

cómo muchos de los aspectos resaltados por este Estándar son aspectos
generales que muchas organizaciones los toman en cuenta aún sin tener el
certificado ISO/IEC 27002. Pero también existen muchas deficiencias en la
gran mayoría de organizaciones en materia de seguridad. Algunos podrían
considerar que apegarse a este tipo de estándares es en cierta forma cara y
complicada, pero en realidad resulta mucho más caro sufrir las consecuencias
que suele traer la falta de seguridad en un importante sistema de información.

El hecho de cumplir a cabalidad con el Estándar Internacional ISO/IEC

27002 no garantiza al 100% que no se tendrán problemas de seguridad, pues
la seguridad al 100% no existe. Lo que sí se logra es minimizar al máximo las
probabilidades de sufrir impactos negativos y pérdidas originados por la falta de
seguridad.

Este documento proporciona una idea bastante clara de cómo se debe

trabajar en materia de seguridad de tecnologías de información al apegarse a
un Estándar Internacional (y por lo tanto mundialmente aceptado y conocido)
como lo es el ISO/IEC 27002.

74
 Recomendaciones

La primera recomendación es precisamente implementar el Estándar

Internacional ISO/IEC 27002 a la mayor brevedad posible, o de no ser posible
(por aspectos económicos, de infraestructura, etc.), por lo menos estudiar el
documento oficial de este Estándar y estar conocedores de todos los
elementos que se pueden implementar y de cómo esto podría beneficiar y
minimizar la posibilidad de problemas por falta de seguridad.

La segunda recomendación es tener en claro, como ya se dijo, que la

seguridad al 100% no existe pero que sí se puede maximizar la seguridad y
minimizar los riesgos por falta de seguridad.

De ser posible, se debería considerar adquirir la certificación de este

Estándar Internacional, pues esto representa un gran activo no sólo por los
beneficios que de por sí trae el tener excelentes mecanismos de seguridad,
sino también por el prestigio de contar con certificaciones internacionales de
calidad.

Se recomienda también tener un equipo de analistas que evalúen las

condiciones particulares de una organización, pues cada caso es único, y lo
que a uno le funcionó, a otro podría no funcionarle debido a los aspectos
particulares de cada empresa. Por esa razón, se debe estudiar cada caso en
concreto, aunque nunca está de más aprender de los errores o del éxito de
otros.

75
 REFERENCIAS BIBLIOGRÁFICAS

DMR? Consulting. , Nuevo esquema de gestión de riesgos. [en línea mayo

2005]. Disponible en: www.dmr-consulting.com.mx. [consulta
22.04.2016].
ISO/IEC 17799:2005, Documentación – International standard book numbering
(ISBN)
INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION. COBIT 5
for Information Security. Illinois, Michigan, Estados Unidos de América:
ISACA. 2012.
International Organization for Standarization. About ISO. Extraído el 1 de
octubre, 2008, de http://www.iso.org/iso/about.htm
International Organization for Standarization. Discover ISO. Extraído el 1 de
octubre, 2008, de http://www.iso.org/iso/about/discover-iso_isos-
name.htm
IEC. IEC History. Extraído el 1 de octubre, 2008, de
http://www.iec.ch/about/history/
OCG. Service Transition. ITIL Version 3.
GÓMEZ VIEITES, Álvaro. Enciclopedia de la Seguridad Informática, Alfa
omega Grupo editor, México, 2007, Primera Edición.
ERICKSON TIRADO GOYENECHE, (2012) Tesis: Sistema De Seguridad
Perimetral Instalacion Y Configuracion De Endian Firewall- Colombia.
Wikipedia. Electrotecnia. Extraído el 1 de octubre, 2008, de
http://es.wikipedia.org/wiki/Electrotecnia
Wikipedia. International Electrotechnical Commission. Extraído el 1 de octubre,
2008, de
http://en.wikipedia.org/wiki/International_Electrotechnical_Commission
Wikipedia. IEC JTC1. Extraído el 1 de octubre, 2008, de
http://en.wikipedia.org/wiki/ISO/IEC_JTC1
Wikipedia. Métrica. Extraído el 1 de octubre, 2008, de
http://es.wikipedia.org/wiki/M%C3%89TRICA
Wikipedia. Criptografía. Extraído el 1 de octubre, 2008, de
http://es.wikipedia.org/wiki/Criptograf%C3%ADa
Ángelo Benvenuto Vera (2006) Implementación de Sistemas ERP, su impacto
en La Gestión de la Empresa e Integración con otras TIC. CAPIV
REVIEW Vol. 4 2006.
Carrera, A., Caldart, A., Cornejo, M., 2011. La agenda del CEO
Latinoamericano

76
PLAN DIRECTOR DE SEGURIDAD Y EVALUACIONES DE SEGURIDAD
https://www.s21sec.com/es/servicios/compliance/plan-director-de-
seguridad-y-evaluaciones-de-seguridad
ISO 27000 en Español, [En línea] <http://www.iso27000.es/download
/doc_iso27000_all.pdf> [Consultado 15 de Abril de 2016]
Norma ISO 27002: "Código de Buenas Prácticas para la Gestión de la
Seguridad de la Información" (antigua Norma ISO/IEC 17799:2005)
María Jaquelina López y Cintia Quezada. Fundamentos de seguridad
informática. UNAM. Facultad de Ingeniería, 2006. Página 23

77
 GLOSARIO

Investigación Aplicada o Tecnológica: Es la utilización de los conocimientos

en la práctica, para aplicarlos, en la mayoría de los casos, en provecho de la
sociedad.

ISO/IEC 27002: La ISO/IEC 27002:2005 es una guía de buenas prácticas que

describe los objetivos de control y controles recomendables en cuanto a
seguridad de la información. No es certificable. Contiene 39 objetivos de control
y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su
apartado correspondiente, la norma ISO 27001 contiene un anexo que resume
los controles de ISO 27002:2005.

ISO/IEC 27004: expone que el tipo de medidas requeridas dependerá del

tamaño y complejidad de la organización, de la relación coste beneficio y del
nivel de integración de la seguridad de la información en los procesos de la
propia organización.

La norma ISO27004 establece cómo se deben constituir estas medidas y cómo

se deben documentar e integrar los datos obtenidos en el SGSI.

ISO/IEC 27005: es el estándar internacional que se ocupa de la gestión de

riesgos de seguridad de información. La norma suministra las directrices para
la gestión de riesgos de seguridad de la información en una empresa,
apoyando particularmente los requisitos del sistema de gestión de seguridad de
la información definidos en ISO 27001.

Es aplicable a todo tipo de organizaciones que tengan la intención de gestionar

los riesgos que puedan complicar la seguridad de la información de su
organización. No recomienda una metodología concreta, dependerá de una
serie de factores, como el alcance real del Sistema de Gestión de Seguridad de
la Información (SGSI), o el sector comercial de la propia industria.

78
ISO 22301: especifica los requisitos para un sistema de gestión encargado de
proteger a su empresa de incidentes que provoquen una interrupción en la
actividad, reducir la probabilidad de que se produzcan y garantizar la
recuperación de su empresa.

Activo: cualquier cosa que tenga valor para la organización.

Amenaza: una causa potencial de un incidente no deseado, el cual puede

resultar en daño a un sistema u organización.

Análisis de riesgo: uso sistemático de la información para identificar las

fuentes y calcular el riesgo.

Control: medios para manejar el riesgo, incluyendo políticas, procedimientos,

lineamientos, prácticas o estructuras organizacionales, las cuales pueden ser
administrativas, técnicas, de gestión o de naturaleza legal. El control también
se utiliza como sinónimo de salvaguarda o contramedida.

Criptografía: es el arte o ciencia de cifrar y descifrar información utilizando

técnicas que hagan posible el intercambio de mensajes de manera segura que
sólo puedan ser leídos por las personas a quienes van dirigidos.

Electrotecnia: es la ciencia que estudia las aplicaciones técnicas de la

electricidad.

Evaluación del riesgo: proceso de comparar el riesgo estimado con un criterio

de riesgo dado para determinar la importancia del riesgo.

Evento de seguridad de la información: cualquier evento de seguridad de la

información es una ocurrencia identificada del estado de un sistema, servicio o
red, indicando una posible falla en la política de seguridad de la información o
falla en las salvaguardas, o una situación previamente desconocida que puede
ser relevante para la seguridad.

79
Gestión del riesgo: actividades coordinadas para dirigir y controlar una
organización con relación al riesgo.

Incidente de seguridad de la información: un incidente de seguridad de la

información es indicado por un solo evento o una serie de eventos inesperados
de seguridad de la información que tienen una probabilidad significativa de
comprometer las operaciones comerciales y amenazar la seguridad de la
información.

Lineamiento: descripción que aclara qué se debiera hacer y cómo, para lograr
los objetivos establecidos en las políticas.

Medios de procesamiento de la información: cualquier sistema, servicio o

infraestructura de procesamiento de la información, o los locales físicos que los
alojan.

Métrica: es una metodología de planificación, desarrollo y mantenimiento de

sistemas de información.

Política: intención y dirección general expresada formalmente por la gerencia.

Riesgo: combinación de la probabilidad de un evento y su ocurrencia.

Seguridad de la información: preservación de confidencialidad, integración y

disponibilidad de la información; además, también puede involucrar otras
propiedades como autenticidad, responsabilidad, no-reputación y confiabilidad.

Tercera persona: persona u organismo que es reconocido como

independiente de las partes involucradas, con relación al ítem en cuestión.

Tratamiento del riesgo: proceso de selección e implementación de medidas

para modificar el riesgo.

80
Vulnerabilidad: la debilidad de un activo o grupo de activos que puede ser
explotada por una o más amenazas.

Norma: principio que se impone o se adopta para dirigir la conducta o la

correcta realización de una acción o el correcto desarrollo de una actividad.

Buenas prácticas: son aquellas acciones que se caracterizan por haber

logrado cumplir eficazmente las metas planteadas, y que luego de la
evaluación de resultados, se ha concluido que proporcionan beneficios óptimos
en la mayoría de casos, de modo que se son prácticas replicables y útiles para
implementar.

Diferencia entre una norma y una buena práctica: una norma es certificable
por las entidades correspondientes, mientras que una buena práctica no es
certificable, sino que sólo se tiene como una buena alternativa por haber sido
demostrado que ha funcionado en la gran mayoría de casos.

Vulnerabilidad
Es una debilidad o agujero en la seguridad de la información, que se puede dar
por causas como las siguientes, entre muchas otras:
● Falta de mantenimiento
● Personal sin los conocimientos adecuados o necesarios
● Desactualización de los sistemas críticos

Amenaza
Es una declaración intencionada de hacer un daño, como por ejemplo mediante
un virus, un acceso no autorizado o robo. Pero no se debe pensar que
únicamente personas pueden ser los causantes de estos daños, pues existen
otros factores como los eventos naturales, que son capaces de desencadenar
daños materiales o pérdidas inmateriales en los activos, y son también
consideradas como amenazas.

81
Ataque
Es una acción intencional e injustificada (desde el punto de vista del atacado).
Consiste en un intento por romper la seguridad de un sistema o de un
componente del sistema.

Riesgo
Es una potencial explotación de una vulnerabilidad de un activo de información
por una amenaza. Se valora como una función del impacto, amenaza,
vulnerabilidad y de la probabilidad de un ataque exitoso.

Atacante
Es alguien que deliberadamente intenta hacer que un sistema de seguridad
falle, encontrando y explotando una vulnerabilidad.
Los atacantes pueden ser internos (que pertenecen a la organización) o
externos (que no pertenecen a la organización). Respecto a los atacantes
internos, son difíciles de detener porque la organización está en muchas
maneras forzada a confiar en ellos. Estos conocen cómo trabaja el sistema y
cuáles son sus debilidades. Quizás el error más común de seguridad es gastar
considerables recursos combatiendo a los atacantes externos, ignorando las
amenazas internas.

El Firewall
La herramienta fundamental que nos va a permitir implementar el modelo de
seguridad definido por la política de seguridad es un dispositivo que se sitúe
entre el perímetro interior y el exterior de nuestra red. A este dispositivo,
tradicionalmente, en la jerga informática se le denomina firewall, que se podría
traducir al castellano como cortafuegos. Dado que es el componente más
crítico e importante en todo el diseño del sistema de seguridad, la elección de
este elemento debe ser muy concienzuda. Generalizando un poco, los firewalls
se pueden dividir en tres grandes categorías:

a. Firewalls basados en filtrado de paquetes:

82
 Son aquellos dispositivos que estando conectados a ambos perímetros
(interior y exterior), dejan pasar a su través paquetes IP en función de unas
determinadas reglas. Estos firewalls conceptualmente trabajan a nivel de red, y
son capaces de filtrar tráfico en función de direcciones de IP, protocolos, y
números de puerto de TCP o UDP.

Normalmente, esta misión la pueden desempeñar tanto hosts con dos

tarjetas de red, como routers. En el caso de firewalls basados en filtrado de
paquetes, los dispositivos de la red interna han de configurarse con la ruta por
defecto apuntando a este dispositivo, que en función de sus reglas, dejará
pasar estos paquetes o los rechazará.

El principal problema de este tipo de firewalls es la limitación a la hora

de configurar reglas complejas y la falta de flexibilidad en la capacidad de log, o
registro de actividad. Otra limitación fundamental es la imposibilidad de filtrar
tráfico en función de información contenida en niveles superiores, tales como
URL's, o esquemas de autenticación fuertes.

b. Firewalls basados en proxies:

Son aquellos dispositivos que estando conectados a ambos perímetros

(interior y exterior), no dejan pasar a su través paquetes IP. Esto en jerga
informática se denomina ip-forwarding desactivado. La comunicación se
produce por medio de programas denominados proxies, que se ejecutan en el
firewall. Este tipo de sistemas también se denominan bastion host. Desde el
punto de vista conceptual, este tipo de firewalls funciona a nivel de aplicación.

Un usuario interior que desee hacer uso de un servicio exterior, deberá

conectarse primero al firewall, donde el proxy atenderá su petición, y en función
de la configuración impuesta en dicho firewall, se conectará al servicio exterior
solicitado y hará de puente entre el servicio exterior y el usuario interior. Es
importante notar que para la utilización de un servicio externo, dos conexiones
o sockets han de establecerse. Uno desde la máquina interior hasta el firewall,
y otro desde el firewall hasta la máquina que albergue el servicio exterior.

83
 En el caso de este tipo de firewalls, los programas clientes deben estar
configurados para redirigir las peticiones al firewall en lugar de al host final.
Esto es trivial en navegadores WWW, como Netscape, Internet Explorer o Lynx,
y en clientes FTP, como WS_FTP y otros. En cambio, aplicaciones tipo
TELNET, no suelen incluir este tipo de soporte, y para ello, lo habitual es
conectar directamente con el firewall y desde allí, el proxy nos permite
especificar el destino final de nuestro telnet, que en este caso, sería
encadenado.

La capacidad de logging o registro de actividad es mucho mayor con

este tipo de dispositivos. Información típica registrada por estos sistemas va
desde el nombre de usuario que ha conseguido autentificarse
satisfactoriamente, hasta los nombres y tamaños de ficheros transmitidos vía
FTP, pasando por los URL's solicitados a través del proxy HTTP.

c. Firewalls con transparencia o de tercera generación:

Recientemente han aparecido en el mercado dispositivos que van un

paso más allá en la tecnología de firewalls. Se trata de los firewalls de tercera
generación o transparentes. La característica primordial de estos sistemas es
que admiten paquetes no destinados a ellos mismos, de forma similar a como
lo hacen los routers, y en función de una serie de reglas y configuraciones, son
capaces de arrancar los proxies correspondientes automáticamente y conectar
con el destinatario inicial.

Aparentemente para el usuario, ha conectado con el servidor final,

aunque realmente lo ha hecho con el proxy, que le devuelve los paquetes con
dirección IP origen la del servidor final. Esto implica, que el programa cliente
del usuario no requiere ningún tipo de configuración. En definitiva, se trata de
firewalls basados en proxies, pero con apariencia y funcionalidad similar a los
basados en filtrado de paquetes.

En esta línea se sitúan productos como BorderWare o Gauntlet [1],

elegido este último como el firewall a utilizar por nuestra organización.

84
 Gauntlet es un sistema complejo de proxies y programas auxiliares, que
corre en sistemas SunOS con algunas modificaciones al kernel. Desarrollado
por TIS (Trusted Information Systems), nace como versión avanzada del
Firewall-Toolkit, software de libre distribución muy utilizado en Internet para la
construcción de firewalls. Las ventajas fundamentales de Gauntlet frente al
Toolkit son que incluye un programa de administración centralizado, una
gestión de logs mucho más eficiente, soporte de proxies transparentes, y como
ventaja fundamental para la organización, está soportado comercialmente.

Seguridad en profundidad en la red externa

Las medidas fundamentales tomadas en el perímetro exterior se pueden
resumir en:
● Reducción al mínimo de los servicios TCP/IP ofrecidos por cada sistema.
● Reducción al mínimo de los usuarios en cada uno de los sistemas.
● Uso extensivo de tcp-wrappers en los servicios necesarios.
● Monitorización de routers en alerta de tráfico sospechoso.
● Escaneos periódicos de todo el perímetro en busca de posibles problemas.
● Sincronización de relojes en todos los sistemas para poder hacer un
seguimiento fiable de logs en el caso de posibles incidentes.

Reducción al mínimo de los servicios TCP/IP ofrecidos por cada sistema:

Habitualmente los sistemas Unix vienen configurados "de fábrica" con una serie
de servicios TCP/IP activados, que en la gran mayoría de los casos nunca se
utilizan, o en otros casos, pueden servir como puerta de acceso relativamente
fácil a posibles intrusos. Entre estos servicios no necesarios, o potencialmente
peligrosos, se desactivaron echo, discard, daytime, chargen, time, nntp, rlogin,
rsh, talk, pop3, tftp, bootp, systat, netstat, y los aún más peligrosos, sendmail,
finger, rexec, NFS, etc. La mayoría de estos servicios puede desactivarse
simplemente comentando su línea correspondiente en el fichero /etc/inetd.conf.
Los servicios que no corren bajo inetd, normalmente se desactivan en los
ficheros de arranque (/etc/rc2.d/*, /etc/rc.d/*, etc.). Una utilidad muy interesante
para chequear que servicios tiene activos un sistema es strobe[2], programa
escrito por Julian Assange que escanea todos los puertos, tanto TCP como
UDP, de un sistema, de forma rápida y efectiva.

85
Reducción al mínimo de los usuarios en cada uno de los sistemas:
Los servidores externos tienen la responsabilidad de mantener activos distintos
servicios TCP/IP, que sustentan las aplicaciones encargadas de publicar la
información pública del ministerio. Estas aplicaciones son fácilmente
mantenidas con un único usuario o como mucho dos (root y un usuario no-
privilegiado), y dado que se supone que ningún usuario dispone de correo en
ellos y que nadie desarrolla directamente sobre dichas máquinas, no hay
necesidad de mantener más cuentas de usuarios que las estrictamente
necesarias. Determinadas aplicaciones precisan que todos sus ficheros sean
poseídos por un determinado usuario, o que se arranquen en modo set-uid con
la identidad de este usuario. En estos casos, el usuario debe existir en el
fichero general de usuarios /etc/passwd, pero con shell nula, normalmente
/bin/false.

Uso extensivo de tcp-wrappers en los servicios necesarios:

Los tcp-wrappers[3] son un conjunto de utilidades de libre distribución, escrito
por Wietse Venema, que permite un control de accesos bastante exhaustivo de
los servicios que corren bajo inetd, además de buena capacidad de log de
peticiones a dichos servicios, ya sean autorizados o no. Básicamente consiste
en un programa llamado tcpd, que se ejecuta cuando llega una petición a un
puerto específico. Éste, una vez comprobada la dirección de origen de la
petición, la verifica contra unas reglas simples, almacenadas en los ficheros
/etc/hosts.allow y /etc/hosts.deny, y en función de ellas, decide o no dar paso al
servicio. Adicionalmente, registra, utilizando la utilidad syslog del sistema, la
petición y su resolución. Una de las configuraciones avanzadas de este
paquete, permite también ejecutar comandos en el propio sistema operativo, en
función de la resolución de la petición. Por ejemplo, es posible que interese
hacer un finger a una posible máquina atacante, en el caso de un intento de
conexión, para tener más datos a la hora de una posible investigación. Este
tipo de comportamiento raya en la estrategia paranoica, que ya vimos cuando
se definió la política de seguridad. La modificación al fichero /etc/inetd.conf son
muy sencillas y aparecen perfectamente especificadas en el trabajo "Seguridad
en Redes" de Francisco Cruz Agudo, publicado en el número 35 del Boletín de
RedIRIS, que analiza extensamente la instalación y operación de algunas de

86
las herramientas descritas aquí. Una de las ventajas de tcp-wrappers es que al
compilarlo es posible indicar la categoría de syslog sobre la cual realizar el
registro de actividad, con lo que resulta bastante sencillo dirigir toda esta
información sobre un único fichero, que puede ser monitorizado regularmente
para detectar intentos de accesos no permitidos. En nuestro caso, los dos
servidores externos, únicamente aceptan conexiones provenientes del firewall,
es decir, del interior (ya que desde el exterior la conexión al firewall está muy
restringida). Sólo tienen activos los servicios telnet y ftp, aparte de los
específicos de su misión (WEB, WAIS, DNS, NEWS, etc...). La desconfianza
llega al punto de no permitir las conexiones entre ellos, de forma que si uno de
ellos se ve comprometido, el otro podría mantener su integridad, mientras el
firewall no fuese vulnerado.

Monitorización de routers en alerta de tráfico sospechoso:

Se han instalado una serie de scripts que obtienen datos de tráfico del router
externo a través de SNMP, a intervalos regulares y los van representando
gráficamente a través de unas páginas HTML, que permiten tener una idea
bastante aproximada del nivel de carga de la red en los distintos periodos del
día. Esta monitorización del tráfico permite detectar tanto averías en el caso de
ausencia de tráfico, como actividades sospechosas si se detecta mucho tráfico
a horas no habituales.

Escaneos periódicos de todo el perímetro en busca de posibles

problemas:
Circulan por Internet una serie de programas denominados escaneadores. Se
trata de programas en los que una vez definido un host, o un conjunto de ellos
(ya sea por direcciones de IP o por dominios de DNS), se dedican
metódicamente a probar uno por uno todos estos sistemas, intentando
penetrarlos o al menos chequear si poseen vulnerabilidades. Los dos
escaneadores más utilizados en Internet son: ISS de Christopher Klaus, y
SATAN de Dan Farmer y Wietse Venema. ISS[4] se ha convertido en un
producto comercial en sus últimas versiones, pero las antiguas siguen siendo
interesantes. SATAN [5] es hoy por hoy el escaneador más avanzado. Además
de poseer un entorno gráfico basado en WEB bastante potente, contiene una

87
base de datos de vulnerabilidades muy completa. Es muy importante utilizar
periódicamente estas herramientas, dado que nos permitirán conocer la
información que un posible atacante obtendría de nuestra red en el caso de
que utilizase dichos programas contra nuestros sistemas.

Sincronización de relojes en todos los sistemas:

Teniendo en cuenta que una de las tareas más importantes a la hora de vigilar
la seguridad de nuestros sistemas es la revisión de logs, es fundamental que
los relojes de los servidores que realizan estos logs estén sincronizados al
objeto de poder hacer el seguimiento de un posible incidente, y también el
poder concretar el orden en que sucedieron los hechos. Esto es también
fundamental a la hora de contrastar logs con otras organizaciones, en el caso
de que hubiese que hacer una investigación coordinada con terceras partes.
Dentro de los protocolos de sincronización en Internet, existen dos variantes: el
antiguo protocolo TIME (puerto 37), y el más moderno NTP, que permite una
sincronización mucho más precisa. En nuestro caso, nos hemos sincronizado
vía protocolo TIME con un servidor de tiempo en RedIRIS (chico.rediris.es)
desde el firewall, y éste se ha convertido en servidor de tiempo para el resto de
las máquinas tanto del perímetro exterior como interior. En un futuro cercano se
plantea crear una estructura basada en NTP con un servidor y múltiples
clientes.

Seguridad en profundidad en la red interna

Debido al modelo de seguridad perimetral definido en la política de seguridad,
la red interior queda razonablemente protegida de posibles ataques externos.
De todas formas, es importante no olvidar los posibles problemas de seguridad
que pueden originarse desde el interior de nuestro perímetro. Entre este grupo
de problemas podemos clasificar los provocados por usuarios internos o por
intrusiones realizadas desde puntos no controlados de nuestra propia red.
Contra este tipo de problemas, sensiblemente menos probables que los
externos, se deberían aplicar medidas parecidas a las mencionadas en el
perímetro externo, añadiendo el uso de programas de chequeo de la seguridad
de las passwords elegidas por los usuarios. En este aspecto, el mejor
programa existente en la red es Crack [6], de Alec Muffet, que permite utilizar

88
un gran número de diccionarios y reglas de inferencia a la hora de verificar la
calidad de una contraseña. Otra medida fundamental a la hora de prevenir
accesos desde el exterior por puntos no controlados de nuestra red, es
establecer la prohibición del uso de módems con capacidad de llamada
entrante. Si este uso fuese inevitable, como norma, al menos, deberían
utilizarse para ello, sistemas no conectados físicamente a la red o realizarse
bajo la estricta vigilancia del administrador de red responsable.

89
 ANEXOS

ANEXO A. Normas de Seguridad Cloud

● Proporcionar nombres únicos para cada instancia en la nube para facilitar la
identificación de atributos de red.
● Registro adecuado de los recursos, tanto físicos como virtuales, a lo largo
del ciclo de vida de la instancia que permita su trazabilidad.
● No confiar a ojo cerrado en el proveedor de la nube, cada interacción debe
validarse si necesita autorización de demanda y autenticación.
● Mantener las instancias y los datos cifrados cuando se almacenan en el
disco y durante la migración entre servidores.
● Restringir la utilización dinámica de los recursos a niveles predeterminados
para evitar ataques de denegación interna de servicios.
● Destruir las instancias y los datos dados de baja cuando ya no sean
necesarios.
● Definir Acuerdos de Niveles de Servicio (SLAs) para cada instancia de la
nube para asegurar la disponibilidad adecuada y la utilización de recursos.
● Utilizar una única gestión para el registro y supervisión del sistema en la
nube.
● Restringir el acceso a la consola de control (físico y virtual) a los usuarios
con roles de negocio definido.
● Crear nuevas instancias sólo con especificaciones definidas, probados y
aprobados.
● Ejecutar aplicaciones a través de múltiples servidores físicos para mejorar la
fiabilidad.
● Proporcionar autenticación centralizada y otros servicios de autorización.
● Proveer un sistema centralizado de gestión de contraseñas para comunicar
información confidencial.
● Firmar digitalmente los mensajes de control dentro de la nube para evitar la
manipulación y el uso no autorizado de mensajería.
● Restringir la entrada de datos y salida hacia/desde la nube para mitigar la
introducción de software malicioso y la eliminación de datos privados.
● Registrar el estado actual y la bitácora de ocurrencias de recursos físicos y
virtuales.
● Aislar casos sospechosos y reemplazarlos con instancias alternativas.
● Explorar la nube para identificar instancias no autorizadas, aislarlos y
eliminarlos.
● Auditar los registros de utilización de recursos para detectar actividades
sospechosas.

90
● Auditorías inopinadas para garantizar el cumplimiento de políticas de uso de
la nube.

91