Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Tesis de Seguridad Informatica
Tesis de Seguridad Informatica
XXX
LIMA – PERÚ
2015
1
COPIA DEL ACTA DE SUSTENTACIÓN
2
DEDICATORIA
3
AGRADECIMIENTOS
4
ÍNDICE GENERAL
COPIA DEL ACTA DE SUSTENTACIÓN........................................................................II
DEDICATORIA.............................................................................................................. III
AGRADECIMIENTOS...................................................................................................IV
ÍNDICE GENERAL........................................................................................................V
INDICE DE FIGURAS..................................................................................................IX
INDICE DE TABLAS......................................................................................................X
INDICE DE ANEXOS....................................................................................................XI
RESUMEN..................................................................................................................XII
ABSTRACT.................................................................................................................. 13
CAPÍTULO I.................................................................................................................14
INTRODUCCIÓN......................................................................................................... 14
INTRODUCCIÓN......................................................................................................... 15
1. PLANTEAMIENTO DEL PROBLEMA Y JUSTIFICACION.....................................17
1.1 Planteamiento del Problema..........................................................................17
1.1.1 Formulación de la Pregunta de Investigación.......................................18
1.1.1.1 Pregunta General......................................................................18
1.1.1.2 Preguntas Específicas...............................................................19
1.2 Justificación....................................................................................................19
1.2.1 Justificación Teórica..............................................................................19
1.2.2 Justificación Práctica.............................................................................19
1.3 Delimitación y Alcance...................................................................................19
1.4 Objetivos........................................................................................................20
1.4.1 Objetivo General...................................................................................20
1.4.2 Objetivos Específicos............................................................................20
1.5 Antecedentes de la Investigación...................................................................20
1.6 Marco Teórico.................................................................................................21
1.6.1 Seguridad de la Información.................................................................21
1.6.2 Normas ISO..........................................................................................22
1.6.2.1 ISO 27000.................................................................................22
1.6.2.2 ISO 27001.................................................................................22
1.6.2.3 ISO 27002.................................................................................23
5
1.6.2.4 ISO 9001...................................................................................23
1.6.3 COBIT...................................................................................................24
1.6.4 Gestión de Proyectos - PMBOK............................................................24
1.6.5 Gestión de Servicios de Infraestructura Tecnológica - ITIL...................25
1.6.6 Ciclo de Deming....................................................................................26
1.6.7 Políticas Tecnológicas...........................................................................27
1.6.8 Amenazas.............................................................................................31
1.6.9 Sistema Gestión de Seguridad de la Información - SGSI......................36
1.6.10 Gestión de Riesgos............................................................................37
1.6.10.1 Normatividad........................................................................38
1.6.11 Seguridad de la Red...........................................................................39
1.6.11.1 Red Plana sin seguridad.......................................................39
1.6.11.2 Seguridad Perimetral............................................................40
1.6.12 Empresa.............................................................................................42
1.6.12.1 Cortez SAC...........................................................................42
1.6.12.2 Área de Implementación de proyectos de seguridad............42
1.6.12.3 Área de Ventas.....................................................................42
1.6.12.4 Área de Post-venta...............................................................42
1.7 Hipótesis General...........................................................................................43
1.7.1 Hipótesis Específicas de Investigación 1..............................................43
1.7.2 Hipótesis Específicas de Investigación 2..............................................44
CAPÍTULO II................................................................................................................45
MATERIALES Y MÉTODOS........................................................................................45
2. MATERIALES Y MÉTODOS.................................................................................46
2.1 Materiales......................................................................................................46
2.1.1 Personal................................................................................................46
2.1.2 Materiales.............................................................................................46
2.1.3 Tiempo..................................................................................................46
2.1.4 Equipamiento........................................................................................48
2.1.4.1 Equipo Firewall..........................................................................48
2.1.5 Situación y exigencia del problema.......................................................48
2.2 Métodos......................................................................................................... 48
2.2.1 Procedimientos o Métodos....................................................................48
6
2.2.2 Diseño de Investigación........................................................................48
2.2.2.1 No Experimental........................................................................48
2.2.3 Tipo de Investigación............................................................................49
2.2.3.1 Descriptiva.................................................................................49
2.2.3.2 Analítica.....................................................................................49
2.2.4 Enfoque de investigación......................................................................49
2.2.5 Delimitación y definición de la población de estudio.............................50
2.2.5.1 Población y Muestra..................................................................50
2.2.6 Aplicar criterios para seleccionar muestra de estudio...........................50
2.2.6.1 Técnicas de recolección de datos..............................................50
2.2.7 Variables...............................................................................................51
2.2.7.1 Definición Operacional de las Variables.....................................51
2.2.8 Criterios de inclusión y exclusión..........................................................52
2.2.8.1 Criterios de Inclusión.................................................................52
2.2.8.2 Criterios de Exclusión................................................................53
2.2.9 Análisis de confiabilidad del instrumento de investigación....................53
2.2.10 Análisis de validez del instrumento de investigación...........................53
CAPÍTULO III............................................................................................................... 55
RESULTADOS.............................................................................................................55
3. RESULTADOS......................................................................................................56
3.1 Aplicación de la Norma ISO 27001................................................................56
3.2 Aplicación de la Norma ISO 27002................................................................56
3.3 Diseño de la Red Perimetral..........................................................................57
3.4 Selección de equipos de Seguridad Perimetral..............................................59
3.4.1 Equipo Firewall.....................................................................................59
3.4.2 Comparativo de equipos Firewall..........................................................60
3.4.3 Solución de equipo Firewall elegido......................................................61
3.4.4 Configuración del Firewall.....................................................................62
3.5 Resultados de la implementación...................................................................63
3.6 SEGURIDAD INFORMÁTICA PERIMETRAL EN EQUIPOS CORTAFUEGOS..........65
3.6.1 Equipos.................................................................................................66
3.6.1.1 El Firewall..................................................................................66
3.6.2 Configuración de cortafuegos...............................................................66
7
3.6.2.1 Restricciones en el firewall........................................................66
3.6.3 Políticas y procedimientos de seguridad de la información...................66
3.6.3.1 Políticas de firewall alineadas con el ISO 27002.......................67
3.6.3.2 Control de Acceso.....................................................................68
3.6.4 Gestión de procesos usando PDCA......................................................69
DISCUSIÓN.................................................................................................................71
CONCLUSIONES Y RECOMENDACIONES...............................................................72
Conclusiones........................................................................................................ 72
Recomendaciones................................................................................................73
REFERENCIAS BIBLIOGRÁFICAS.............................................................................74
GLOSARIO.................................................................................................................. 76
ANEXOS...................................................................................................................... 88
8
INDICE DE FIGURAS
9
INDICE DE TABLAS
10
INDICE DE ANEX
11
RESUMEN
12
ABSTRACT
13
14
CAPÍTULO I
INTRODUCCIÓN
15
INTRODUCCIÓN
16
Se pretende evaluar el conocimiento en la empresa, desde la
organización, servicios de seguridad y las tareas de los principales autores en
la empresa, mecanismos de seguridad, entre otras actividades, esto para
brindar una mejor seguridad interna y externa en la empresa.
17
1. PLANTEAMIENTO DEL PROBLEMA Y JUSTIFICACION
18
1.1 Planteamiento del Problema
Por tal razón, para mantener segura la red informática perimetral de los
data centers de los clientes se deben aplicar las buenas prácticas en Seguridad
de la Información en la gestión de proyectos y servicios de seguridad
informática.
19
1.1.1 Formulación de la Pregunta de Investigación
1.1.1.1 Pregunta General
¿En qué medida el uso de buenas prácticas en Seguridad de la
Información ha permitido implementar exitosamente los proyectos de
seguridad informática perimetral en los data center de clientes
empresariales?
1.1.1.2 Preguntas Específicas
1.2 Justificación
1.2.1 Justificación Teórica
Las buenas prácticas están soportadas por las Normas ISO 27001 e ISO
27002.
1.2.2 Justificación Práctica
La aplicación de la Normas ISO 27001 e ISO 27002 de Buenas
Prácticas en Gestión de Sistemas de Seguridad de Información permitirá
ordenar el trabajo del personal, estandarizando procesos e implementar
proyectos exitosos, en tiempo, presupuesto, calidad y satisfacción del cliente;
20
además, contar con personal certificado y/o con experiencia en diversos
equipos y componentes de redes y seguridad informática que implementamos
o a los que damos soporte técnico.
1.4 Objetivos
21
de un mismo fabricante, y por su uso continuo conocemos de memoria las
especificaciones de los nuevos equipos.
22
La información puede existir en muchas formas, por ejemplo, puede
estar impresa o escrita en papel, almacenada electrónicamente, transmitida por
correo o utilizando medios electrónicos, hablada en una conversación, etc. Sea
cual sea la forma en la que se tenga la información, debe estar en todo caso
protegida.
23
18001. La norma BS7799 se publicó en 1995 con el fin de
recomendar buenas prácticas para la gestión de la
seguridad de la información. Esta fue adoptada por ISO en
el año 2000, como ISO 17799. (Consultado 15.04.2016)
24
los requisitos de ISO 27001 y de ISO 9001 son los mismos:
control de documentos, auditoría interna, revisión por parte de la
dirección, medidas correctivas, definición de objetivos y gestión
de competencias. Esto quiere decir que si una empresa ha
implementado ISO 9001 le resultará mucho más sencillo
implementar ISO 27001. (Consultado 15.04.2016)
1.6.3 COBIT
Según el estudio de INFORMATION SYSTEMS AUDIT AND
CONTROL ASSOCIATION (2012): COBIT 5 es un marco de
gobierno de TI y herramientas de apoyo que permite a los
administradores para cerrar la brecha entre las necesidades de
control, cuestiones técnicas y los riesgos empresariales. COBIT
permite el desarrollo de una política clara y de buenas prácticas
para el control de TI en las organizaciones. COBIT enfatiza el
cumplimiento normativo, ayuda a las organizaciones a aumentar el
valor alcanzado desde IT, permite la alineación y simplifica la
implementación del marco de gobierno de TI y el control de las
empresas. (p.5)
Figura 2. Gobierno TI
25
1.6.4 Gestión de Proyectos - PMBOK
Según (Guía del PMBOK®) -Quinta edición (2013): Una guía para
el Cuerpo Proyecto de Gestión del Conocimiento refleja la
colaboración y el conocimiento de los directores de proyectos de
trabajo y proporciona los fundamentos de la gestión de proyectos
que se aplican a una amplia gama de proyectos. Esta norma
internacionalmente reconocida ofrece a los administradores de
proyectos las herramientas esenciales para la práctica de la
gestión del proyecto y entregar resultados de la organización. (p.1)
26
figura 1.2 muestra la estructura circular de mejora continua que
aplica ITIL para la gestión de servicios de Infraestructura
tecnológica en las organizaciones. (p.29)
PDCA son las siglas en inglés del conocido “Ciclo de Deming”: Plan-Do-
Check-Act (Planificar- Hacer- Verificar- Actuar). (El PDCA lo componen 4
etapas cíclicas, de forma que una vez acabada la etapa final se debe volver a
la primera y repetir el ciclo de nuevo, de forma que las actividades son
reevaluadas periódicamente para incorporar nuevas mejoras. La aplicación de
esta metodología está enfocada principalmente para ser usada en empresas y
organizaciones.
27
Figura 5. Ciclo de mejora continua: PHVA.
● Políticas directas o explícitas: las cuales son los decretos de ley, leyes
creadas para motivar instituciones, proyectos, incentivos, entre otros, los
cuales tienen como fin llevar a cabo los planes tecnológicos del Estado.
28
● Políticas indirectas o implícitas: las cuales son estrategias que tienen
fines directo en el área política, social, cultural o económica pero que
ocasiona efectos secundarios en el ámbito tecnológico Servicios de
Seguridad Informática.
Clasificación
● Confidencialidad
● Autenticación
● Integridad
● No repudio
● Control de acceso
● Disponibilidad
a. Confidencialidad
Servicio de seguridad o condición que asegura que la información no
pueda estar disponible o ser descubierta por o para personas, entidades o
procesos no autorizados. También puede verse como la capacidad del sistema
para evitar que personas no autorizadas puedan acceder a la información
almacenada en él.
b. Autenticación
29
Es el servicio que trata de asegurar que una comunicación sea
auténtica, es decir, verificar que el origen de los datos es el correcto, quién los
envió y cuándo fueron enviados y recibidos también sean correctos. Algunos
métodos de autenticación son: Biométricos, Tarjetas inteligentes, Métodos
clásicos basados en contraseña, etc.
c. Integridad
Servicio de seguridad que garantiza que la información sea modificada,
incluyendo su creación y borrado, sólo por el personal autorizado.
Figura 8. Integridad.
d. No repudio
El no repudio sirve a los emisores o a los receptores para negar un
mensaje transmitido. Por lo que cuando un mensaje es enviado, el receptor
puede probar que el mensaje fue enviado por el presunto emisor. De manera
similar, cuando un mensaje es recibido, el remitente puede probar que el
mensaje fue recibido por el presunto receptor.
30
Figura 9. Sistema de No Repudio.
e. Control de Acceso
Un control de acceso se ejecuta con el fin de que un usuario sea
identificado y autenticado de manera exitosa para que entonces le sea
permitido el acceso. El control de acceso puede ejecutarse de acuerdo con los
niveles de seguridad y puede ejecutarse mediante la administración de la red o
por una entidad individual de acuerdo con las políticas de control de acceso.
f. Disponibilidad
En un entorno donde las comunicaciones juegan un papel importante es
necesario asegurar que la red esté siempre disponible.
31
1.6.8 Amenazas
Microsoft (2016):
La Amenaza es la probabilidad de ocurrencia de un suceso
potencialmente desastroso durante cierto periodo de tiempo, en un
sitio dado. En general el concepto de amenaza se refiere a un
peligro latente o factor de riesgo externo, de un sistema o de un
sujeto expuesto, expresada matemáticamente como la probabilidad
de exceder un nivel de ocurrencia de un suceso con una cierta
intensidad, en un sitio específico y durante un tiempo de exposición
determinado. (Consultado 15.04.2016).
a. Amenazas Humanas
Surge por ignorancia en el manejo de la información, por descuido, por
negligencia, por inconformidad. Para este caso se pueden considerar a los
hackers, crakers, phreakers, carding, trashing, gurús, lamers o scriptkiddies,
copyhackers, bucaneros, newbie, wannabers, samurai, creadores de virus y los
que se listan a continuación:
32
Ingeniería social: es la manipulación de las personas para convencerlas de
que ejecuten acciones o actos que normalmente no realizan de forma que
revelen datos indispensables que permitan superar las barreras de seguridad.
Esta técnica es una de las más usadas y efectivas al momento de averiguar
nombres de usuarios y contraseñas.
33
Personal: De los robos, fraudes, sabotajes o accidentes relacionados con los
sistemas, el 73% es causado por el personal de la organización propietaria de
dichos sistemas.
Personal interno: Son las amenazas al sistema provenientes del personal del
propio sistema informático. Los daños causados por el personal pueden ser
accidentales, deliberados o productos de la negligencia. Los recursos y
programas así como la información, deben estar especialmente protegidos
contra estos tipos de daños.
Curiosos: Son personas que tienen un alta interés en las nuevas tecnologías,
pero aún no tienen la experiencia ni conocimientos básicos para considerarlos
hacker o crackers, generalmente no se trata de ataques dañinos, pero afecta el
entorno de fiabilidad y confiabilidad generado en un sistema.
b. Amenazas de Hardware
Este tipo de amenazas se da por fallas físicas que se encuentra
presente en cualquier elemento de dispositivos que conforman la computadora.
Los problemas más identificados para que el suministro de energía falle son el
bajo voltaje, ruido electromagnético, distorsión, interferencias, alto voltaje,
variación de frecuencia, etc.
34
Figura 13. Amenazas de Hardware.
c. Amenazas de Red
Se presenta una amenaza cuando no se calcula bien el flujo de
información que va a circular por el canal de comunicación, es decir, que un
atacante podría saturar el canal de comunicación provocando la no
disponibilidad de la red. Otro factor es la desconexión del canal.
d. Amenazas Lógicas
35
En la mayoría de los sistemas, los usuarios no pueden determinar si el
hardware o el software con que funcionan son los que supone que deben ser.
Esto facilita al intruso para que pueda reemplazar un programa sin
conocimiento del usuario y éste pueda inadvertidamente teclear su contraseña
en un programa de entrada falso al cual también se le denomina códigos
maliciosos.
36
● Las tres vías de propagación más ampliamente conocidas son: un
archivo anexo o adjunto al correo electrónico, una transferencia FTP,
TELNET, otros servicios web; y descargar un archivo infectado desde
una página web, etc.
Gusanos: Son programas que se reproducen a sí mismos y no requieren de un
anfitrión, pues se arrastran literalmente por todo el sistema sin necesidad de un
programa que los transporte. Los gusanos se cargan en la memoria y se
posicionan en una determinada dirección, luego se copian en otro lugar y se
borran del que ocupaban, y así sucesivamente, esto hace que queden borrados
los programas o información que encuentran a su paso por la memoria, lo que
causa problemas de operación o pérdida de datos. Los gusanos
frecuentemente se propagan de una computadora a otra a través de las
conexiones de la red. Los gusanos con frecuencia roban, destruyen o modifican
datos en una computadora. Los gusanos tienen como única misión la de
colapsar cualquier sistema, ya que son programas que se copian en archivos
distintos en cadena hasta crear miles de réplicas de sí mismos.
38
Figura 15. ISMS Framework.
DMR-Consulting (2005):
“Proponen un método llamado Administración del Riesgo
Operacional (ARO), cuyo objetivo principal es operativizar
una metodología de trabajo, incorporando los indicadores
necesarios”.
1.6.10.1 Normatividad
a. Políticas
● ¿qué proteger?, ¿por qué?
● simples de entender y fáciles de recordar
b. Procedimientos
● Documentos que contienen el ¿quién? ¿cuándo? ¿cómo? de la
seguridad información dentro de la organización.
39
1.6.11 Seguridad de la Red
Cisco, (2004):
“El Administrador de la red es el encargo de la configuración, fallas,
confiabilidad, comportamiento y seguridad en la red” (p.25)
40
1.6.11.2 Seguridad Perimetral
Tirado (2012), en su tesis SISTEMA DE
SEGURIDAD PERIMETRAL INSTALACION Y
CONFIGURACION DE ENDIAN FIREWALL:
“Es el Agregado de Hardware, Software y políticas
para proteger una red en la que se tiene confianza
(intranet) de otras redes en las que no se tiene confianza
(extranet, internet)”.
41
Figura 18. Casos de éxito de Seguridad informática.
42
1.6.12 Empresa
1.6.12.1 Cortez SAC.
La empresa Cortez SAC, es la institución que brinda servicios
especializados en seguridad informática y redes a clientes
empresariales que pertenecen al sector público y privado a nivel
nacional. Son ingenieros freelance que ofrecen servicios a grandes
operadores de servicios de telecomunicaciones.
43
1.7 Hipótesis General
La aplicación de buenas prácticas en seguridad de la información permite
gestionar adecuadamente los proyectos de seguridad informática perimetral en
los centros de datos de clientes empresariales.
C. Hipótesis Estadística 1:
H0 = Ia1 – Id1 ≥ 0
44
HA = Ia1 – Id1 < 0
Se deduce que el indicador con la Norma ISO 27001 es mejor que el indicador
sin la Norma ISO 27001.
45
1.7.2 Hipótesis Específicas de Investigación 2
C. Hipótesis Estadística 2:
H0 = Ia2 – Id2 ≥ 0
Se deduce que el indicador con la Norma ISO 27001 es mejor que el indicador
sin la Norma ISO 27001.
46
47
CAPÍTULO II
MATERIALES Y MÉTODOS
48
2. MATERIALES Y MÉTODOS
2.1 Materiales
2.1.1 Personal
● Jorge Aliaga, asistente de red seguridad de la empresa Editora del Perú.
CCNA y CCNA Security? (Cliente 1)
● Juan Valderrama, asistente de red y seguridad de la empresa El Rocío.
CCNA y CCNA Security? (cliente 2)
● El Sr. Alejandro Cortez, Supervisor de redes y seguridad perteneciente a
CORTEZ SAC y que brinda soporte a los dos clientes. CCNA SECURITY,
CCSA, CCSP, NSE4, ITI, CompTIA Securtity
2.1.2 Materiales
Se usaron herramientas y servicios de uso libre y licenciado, disponible
en la nube o instalado en estaciones clientes:
● Herramientas ofimáticas: Google Apps.
● Herramientas ofimáticas: Microsoft Office.
● Herramientas de diagramación: Microsoft Visio
● Servicios de videoconferencia: Google Hangouts.
● Correo electrónico: Gmail.
2.1.3 Tiempo
El plan de trabajo consideró las siguientes actividades que se muestran en la
tabla 2.x
49
Tabla 1
Cronograma de actividades piloto EP-ER
ACTIVIDAD TIEMPO ENTREGABLE
1. Identificar problema cliente 1 2d Entrevista de campo
50
2.1.4 Equipamiento
2.1.4.1 Equipo Firewall
2.2 Métodos
2.2.1 Procedimientos o Métodos
Se usaron los siguientes procedimientos y métodos:
● Normas ISO 27001
● Normas ISO 27002.
● Modelo SGSI.
51
2.2.3 Tipo de Investigación
De acuerdo al propósito de la investigación, naturaleza de los problemas
y objetivos formulados en el trabajo, el presente estudio reúne las condiciones
suficientes para ser calificado como un "Trabajo de Investigación Aplicado". Es
Descriptiva y Analítica
2.2.3.1 Descriptiva
Es descriptiva porque, se describió la situación actual de la
gestión de proyectos de seguridad informática en las empresas EEP y
ER. Se seleccionó los componentes del problema a investigar y se
recolectó la información sobre cada uno de ellos, para así describir el
tema del estudio.
2.2.3.2 Analítica
La información obtenida mediante la descripción de la situación
actual de los proyectos de implementación de seguridad informática
perimetral, permitió evaluar los equipos de seguridad informática
adecuados con la necesidad del cliente, asimismo, permitió analizar los
parámetros de configuración requeridos para considerarlos dentro de las
Políticas de Seguridad Informática Perimetral.
52
2.2.5 Delimitación y definición de la población de estudio
La seguridad informática perimetral, puede analizarse revisando tres
aspectos técnicos:
● Diseño de la red perimetral.
● Equipos de seguridad perimetral instalados.
● Configuración del Firewall.
Muestra
Analizaremos dos proyectos de implementación de la red
perimetral en los clientes "Empresa Editora del Peru" y "El Rocío". (El
proyecto-1 sin buenas prácticas y el proyecto-2 migración con buenas
prácticas).
53
Firewall, configuración de equipos reemplazados vs configuración de los
equipos nuevos.
b. Observación Directa
Mediante esta técnica, se realizaron visitas a cada data center
para revisar la configuración física y lógica de los equipos y
componentes de seguridad, según los estándares del fabricante y
alineado a las buenas prácticas en Seguridad de la Información.
2.2.7 Variables
● Variable independiente: Buenas prácticas en Seguridad de la
Información.
● Variable dependiente: Seguridad Informática Perimetral.
54
Tabla 2.
Definición Operacional de las Variables
55
Se excluyen todos los parámetros de configuración que no
corresponden a Políticas del cortafuego para seguridad perimetral.
56
CAPÍTULO III
RESULTADOS
57
3. RESULTADOS
3.1 Aplicación de la Norma ISO 27001
Es la norma principal de la serie y contiene los requisitos del Sistema de
Gestión de Seguridad de la Información. En su Anexo A, enumera en forma de
resumen los objetivos de control y controles que desarrolla la ISO 27002:2005 para
que sean seleccionados por las organizaciones en el desarrollo de sus SGSI.
58
Un perímetro interior, en el que se situarán todos los recursos sensibles
a un posible ataque, aislado del perímetro exterior donde se situarán los
recursos menos sensibles, o que inevitablemente por motivos funcionales
deban estar en contacto con el mundo exterior de forma menos rígida. El
perímetro interior está aislado o protegido del perímetro exterior y del resto de
Internet, por medio de un dispositivo en el que se centralizan la mayoría de las
medidas: el firewall.
59
hardware requerido para llevar a cabo un análisis intensivo de los paquetes de
datos y contenido, necesarios para detectar estas amenazas sin afectar el
desempeño de las aplicaciones de red. Como resultado la mayoría de las
organizaciones están expuestas peligrosamente a estos ataques.
60
dispositivo, tradicionalmente, en la jerga informática se le denomina firewall (en
castellano es cortafuegos. Dado que es el componente más crítico e importante
en todo el diseño del sistema de seguridad, la elección de este elemento debe
ser muy concienzuda. Generalizando un poco, los firewalls se pueden dividir en
tres grandes categorías:
61
3.4.2 Comparativo de equipos Firewall
Ancho de banda total (puede ser de uno o más enlaces con los que
cuente el cliente)
Cantidad de usuarios
Cantidad de sesiones
Que actividades realiza la empresa
Con que equipos de seguridad cuenta
Tabla 3
Comparativo de Marcas de Firewall
Tabla 4
Características y Costos de Equipos Firewall
CARACTERISTICA DEFINICIÓN PRECIO APROXIMADO
62
Firewall Tráfico que puede soportar el firewall $< $5000
Throughput
63
3.4.4 Configuración del Firewall
64
3.5 Resultados de la implementación
Tabla 5
Procesos as-is (actual) y procesos to-be (futuro)
VENTAS IMPLEMENTACIÓN POST
PROYECTO TÉCNICOS VENTA ENTREGABLE
1. Atender pedido RFC, incidente
cliente
2. Solicitar evaluación 3. Atender a Ventas SOW
técnica
FICHA TECNICA
3.1 Asignar especialista
● Topología actual
● Proyección de
crecimiento
● Sesiones concurrentes
● Evaluar arquitectura
● Ficha técnica: topología
sugerida
65
PROCESOS TO-BE (FUTURO)
66
3.6 SEGURIDAD INFORMÁTICA PERIMETRAL EN EQUIPOS
CORTAFUEGOS
Según Andrade, Espinoza y Gonzales (“Sistema para diagnosticar
seguridades de equipos de Firewall”, 2014)
(http://repositorio.cisc.ug.edu.ec/jspui/handle/123/208), la seguridad informática
perimetral puede ser de software o hardware; y es aquel que comprueba la
información procedente de Internet o una red y a continuación, deniega o
permite el paso de ésta al equipo, en función de la configuración del firewall. De
este modo, un firewall ayuda a impedir que los hackers y software
malintencionado obtengan acceso al equipo. Se desarrollará un sistema que
haga posible la comparación de datos extraídos de un firewall de hardware
(router) contra las buenas políticas de seguridad, que los administradores de
red han establecido de acuerdo a las necesidades de la organización. Se ha
determinado las buenas políticas mediante entrevistas a algunos expertos del
área. Debido a que los administradores de red tienen que desarrollar todo lo
concerniente a la seguridad de sus sistemas, ya que se expone la organización
privada de sus datos así como la infraestructura de su red a los Expertos de
Internet. El sistema a desarrollar tendrá la capacidad de analizar y almacenar
los datos extraídos en una base de datos, implementar seguridades de acceso
al sistema, manejar perfiles de consultor y revisor con sus debidos permisos o
restricciones. Generará reportes del análisis, y los resultados de la auditoria de
firewall (Router). Creará una bitácora de los diversos accesos al mismo para
que sean utilizados como pistas de Auditoria. Lo más importante del sistema a
desarrollar es que podrá dar sugerencias al auditor acerca de las
vulnerabilidades del router emitiendo los respectivos reportes y
recomendaciones para mitigar dichas vulnerabilidades. Cabe recalcar que la
decisión la toma el auditor de sistemas.
67
3.6.1 Equipos
3.6.1.1 El Firewall
68
La configuración de políticas permite controlar la instalación y ejecución
de aplicaciones por parte de los usuarios.
69
● Información públicamente disponible.
j. Supervisión.
● Registros de auditoría.
● Supervisión del uso del sistema.
● Protección de la información de los registros.
● Registros de administración y operación.
● Registro de fallos.
● Sincronización del reloj.
70
3.6.4 Gestión de procesos usando PDCA.
En la fase PLAN se realiza la evaluación de las amenazas, riesgos e
impactos. En la fase DO, se seleccionan e implementan los controles que
reduzcan el riesgo a los niveles considerados como aceptables y en CHECK y
ACT se cierra y reinicia el ciclo de vida con la recogida de evidencias y
readaptación de los controles según los nuevos niveles obtenidos y requeridos.
Es un proceso cíclico sin fin que permite la mejor adaptación de la seguridad al
cambio continuo que se produce en la empresa y su entorno.
71
Tabla 6
Buenas prácticas en Gestión de Proyectos
Fuente: Aplicación de la empresa que nos permite realizar una seguimiento a los
proyectos
Tabla 7
Gestión del alcance
Fuente: Aplicación de la empresa que nos permite realizar una seguimiento a los
proyectos
72
DISCUSIÓN
73
CONCLUSIONES Y RECOMENDACIONES
Conclusiones
74
Recomendaciones
75
REFERENCIAS BIBLIOGRÁFICAS
76
PLAN DIRECTOR DE SEGURIDAD Y EVALUACIONES DE SEGURIDAD
https://www.s21sec.com/es/servicios/compliance/plan-director-de-
seguridad-y-evaluaciones-de-seguridad
ISO 27000 en Español, [En línea] <http://www.iso27000.es/download
/doc_iso27000_all.pdf> [Consultado 15 de Abril de 2016]
Norma ISO 27002: "Código de Buenas Prácticas para la Gestión de la
Seguridad de la Información" (antigua Norma ISO/IEC 17799:2005)
María Jaquelina López y Cintia Quezada. Fundamentos de seguridad
informática. UNAM. Facultad de Ingeniería, 2006. Página 23
77
GLOSARIO
78
ISO 22301: especifica los requisitos para un sistema de gestión encargado de
proteger a su empresa de incidentes que provoquen una interrupción en la
actividad, reducir la probabilidad de que se produzcan y garantizar la
recuperación de su empresa.
79
Gestión del riesgo: actividades coordinadas para dirigir y controlar una
organización con relación al riesgo.
Lineamiento: descripción que aclara qué se debiera hacer y cómo, para lograr
los objetivos establecidos en las políticas.
80
Vulnerabilidad: la debilidad de un activo o grupo de activos que puede ser
explotada por una o más amenazas.
Diferencia entre una norma y una buena práctica: una norma es certificable
por las entidades correspondientes, mientras que una buena práctica no es
certificable, sino que sólo se tiene como una buena alternativa por haber sido
demostrado que ha funcionado en la gran mayoría de casos.
Vulnerabilidad
Es una debilidad o agujero en la seguridad de la información, que se puede dar
por causas como las siguientes, entre muchas otras:
● Falta de mantenimiento
● Personal sin los conocimientos adecuados o necesarios
● Desactualización de los sistemas críticos
Amenaza
Es una declaración intencionada de hacer un daño, como por ejemplo mediante
un virus, un acceso no autorizado o robo. Pero no se debe pensar que
únicamente personas pueden ser los causantes de estos daños, pues existen
otros factores como los eventos naturales, que son capaces de desencadenar
daños materiales o pérdidas inmateriales en los activos, y son también
consideradas como amenazas.
81
Ataque
Es una acción intencional e injustificada (desde el punto de vista del atacado).
Consiste en un intento por romper la seguridad de un sistema o de un
componente del sistema.
Riesgo
Es una potencial explotación de una vulnerabilidad de un activo de información
por una amenaza. Se valora como una función del impacto, amenaza,
vulnerabilidad y de la probabilidad de un ataque exitoso.
Atacante
Es alguien que deliberadamente intenta hacer que un sistema de seguridad
falle, encontrando y explotando una vulnerabilidad.
Los atacantes pueden ser internos (que pertenecen a la organización) o
externos (que no pertenecen a la organización). Respecto a los atacantes
internos, son difíciles de detener porque la organización está en muchas
maneras forzada a confiar en ellos. Estos conocen cómo trabaja el sistema y
cuáles son sus debilidades. Quizás el error más común de seguridad es gastar
considerables recursos combatiendo a los atacantes externos, ignorando las
amenazas internas.
El Firewall
La herramienta fundamental que nos va a permitir implementar el modelo de
seguridad definido por la política de seguridad es un dispositivo que se sitúe
entre el perímetro interior y el exterior de nuestra red. A este dispositivo,
tradicionalmente, en la jerga informática se le denomina firewall, que se podría
traducir al castellano como cortafuegos. Dado que es el componente más
crítico e importante en todo el diseño del sistema de seguridad, la elección de
este elemento debe ser muy concienzuda. Generalizando un poco, los firewalls
se pueden dividir en tres grandes categorías:
82
Son aquellos dispositivos que estando conectados a ambos perímetros
(interior y exterior), dejan pasar a su través paquetes IP en función de unas
determinadas reglas. Estos firewalls conceptualmente trabajan a nivel de red, y
son capaces de filtrar tráfico en función de direcciones de IP, protocolos, y
números de puerto de TCP o UDP.
83
En el caso de este tipo de firewalls, los programas clientes deben estar
configurados para redirigir las peticiones al firewall en lugar de al host final.
Esto es trivial en navegadores WWW, como Netscape, Internet Explorer o Lynx,
y en clientes FTP, como WS_FTP y otros. En cambio, aplicaciones tipo
TELNET, no suelen incluir este tipo de soporte, y para ello, lo habitual es
conectar directamente con el firewall y desde allí, el proxy nos permite
especificar el destino final de nuestro telnet, que en este caso, sería
encadenado.
84
Gauntlet es un sistema complejo de proxies y programas auxiliares, que
corre en sistemas SunOS con algunas modificaciones al kernel. Desarrollado
por TIS (Trusted Information Systems), nace como versión avanzada del
Firewall-Toolkit, software de libre distribución muy utilizado en Internet para la
construcción de firewalls. Las ventajas fundamentales de Gauntlet frente al
Toolkit son que incluye un programa de administración centralizado, una
gestión de logs mucho más eficiente, soporte de proxies transparentes, y como
ventaja fundamental para la organización, está soportado comercialmente.
85
Reducción al mínimo de los usuarios en cada uno de los sistemas:
Los servidores externos tienen la responsabilidad de mantener activos distintos
servicios TCP/IP, que sustentan las aplicaciones encargadas de publicar la
información pública del ministerio. Estas aplicaciones son fácilmente
mantenidas con un único usuario o como mucho dos (root y un usuario no-
privilegiado), y dado que se supone que ningún usuario dispone de correo en
ellos y que nadie desarrolla directamente sobre dichas máquinas, no hay
necesidad de mantener más cuentas de usuarios que las estrictamente
necesarias. Determinadas aplicaciones precisan que todos sus ficheros sean
poseídos por un determinado usuario, o que se arranquen en modo set-uid con
la identidad de este usuario. En estos casos, el usuario debe existir en el
fichero general de usuarios /etc/passwd, pero con shell nula, normalmente
/bin/false.
86
las herramientas descritas aquí. Una de las ventajas de tcp-wrappers es que al
compilarlo es posible indicar la categoría de syslog sobre la cual realizar el
registro de actividad, con lo que resulta bastante sencillo dirigir toda esta
información sobre un único fichero, que puede ser monitorizado regularmente
para detectar intentos de accesos no permitidos. En nuestro caso, los dos
servidores externos, únicamente aceptan conexiones provenientes del firewall,
es decir, del interior (ya que desde el exterior la conexión al firewall está muy
restringida). Sólo tienen activos los servicios telnet y ftp, aparte de los
específicos de su misión (WEB, WAIS, DNS, NEWS, etc...). La desconfianza
llega al punto de no permitir las conexiones entre ellos, de forma que si uno de
ellos se ve comprometido, el otro podría mantener su integridad, mientras el
firewall no fuese vulnerado.
87
base de datos de vulnerabilidades muy completa. Es muy importante utilizar
periódicamente estas herramientas, dado que nos permitirán conocer la
información que un posible atacante obtendría de nuestra red en el caso de
que utilizase dichos programas contra nuestros sistemas.
88
un gran número de diccionarios y reglas de inferencia a la hora de verificar la
calidad de una contraseña. Otra medida fundamental a la hora de prevenir
accesos desde el exterior por puntos no controlados de nuestra red, es
establecer la prohibición del uso de módems con capacidad de llamada
entrante. Si este uso fuese inevitable, como norma, al menos, deberían
utilizarse para ello, sistemas no conectados físicamente a la red o realizarse
bajo la estricta vigilancia del administrador de red responsable.
89
ANEXOS
90
● Auditorías inopinadas para garantizar el cumplimiento de políticas de uso de
la nube.
91