Documentos de Académico
Documentos de Profesional
Documentos de Cultura
EQUIPO :
AÑO:
2020
ESQUEMA DE ESTUDIO DE VIABILIDAD DEL PROYECTO
ÍNDICE
INTRODUCCIÓN 4
RESUMEN 5
1. PRESENTACIÓN DEL PROYECTO 6
1.1. Título del Proyecto 6
1.2. Ubicación 6
1.3. Persona responsable de la Institución 6
1.4. Descripción de la Institución 6
1.5. Personas responsables del Proyecto 7
1.6. Fecha de elaboración 7
2. DIAGNÓSTICOS Y PROPUESTA 8
2.1. Diagnóstico situacional de la Facultad de Odontología 8
2.2. Identificación de requerimiento 8
2.2.1. Requerimientos Funcionales 8
2.2.2. Requerimientos No Funcionales 9
2.3. Propuesta de solución 9
2.3.1. Propuesta del proyecto 9
2.3.2. Criterios empleados en la selección 9
3.1. Antecedentes 10
3.1.1. Antecedentes Nacionales 10
3.1.2. Antecedentes Internacionales 11
3.2. Definición del problema 12
3.3. Objetivos 12
3.3.1. Objetivo General 12
3.3.2. Objetivos Específicos 12
3.4. Finalidad e importancia 12
3.5. Justificación 13
3.6. Restricciones 14
3.7. Impacto 15
4. DESCRIPCIÓN DEL SISTEMA 16
4.1. Tecnología 16
Ciberseguridad 16
Seguridad Perimetral 16
Amenaza cibernética. 16
Servidor 17
1
Servidor proxy 17
Sistema operativo 17
Linux 18
4.2. Planeación 18
4.3. Diseño 19
4.4. Codificación 19
Instalación de Squid Proxy en Ubuntu 20
Configuración del servidor proxy Squid 20
Configurar el cliente Squid 21
Agregar Squid ACL 21
Configurar la autenticación de proxy 22
Bloquear sitios web en Squid Proxy 23
4.5. Prueba 24
Pruebas desde equipos clientes 24
Probando el servidor squid como servidor web/caché 27
4.6. Lanzamiento 29
5. Gestión del Proceso 30
5.1. Estimaciones del Proyecto 30
5.2. Plan de Proyecto 31
5.2.1. Plan de fases de proceso 31
5.2.1.1. Fase Inicio 31
5.2.1.2. Fase de Elaboración 32
5.2.1.3. Fase de Construcción 32
5.2.1.4. Fase de Transición 33
5.2.2. Calendario de tareas del proyecto 34
5.3. Seguimiento del Control de Proyecto 36
5.3.1. Gestión de Requisitos 36
5.3.2. Gestión de Plazos 37
5.3.3. Gestión de Calidad 40
5.3.4. Gestión de Riesgo 41
5.3.5. Gestión de Configuración 44
6. Evaluación de riesgo técnico 45
6.1 Estimación de riesgo 45
6.1.1. Identificación 46
6.1.1.1. Identificación de activos 46
6.1.1.2. Valoración de Activos 47
6.1.1.3. Identificación de Riesgos 49
6.1.2. Análisis 50
6.1.3. Evaluación 53
6.2. Control de Riesgo 54
2
6.2.1. Planificación 54
6.2.1.1. Plan de Mitigación de Riesgos 54
6.2.2. Supervisión 56
7. Cronograma de Actividades 57
8. Análisis de Costo y Beneficio 62
8.1. Costos 62
8.1.1. Recursos 62
8.1.2. Tecnológicos 62
Sistema de Telecomunicaciones 62
8.1.3. Infraestructuras 63
8.1.4. Insumos 63
8.1.5. Servicios 64
8.1.6. Totales 64
8.2. Beneficios 65
8.2.1. Beneficios Tangibles 65
8.2.2. Beneficios Intangibles 65
8.2.3. Plazos de Beneficios 66
9. Conclusiones y Recomendaciones 68
9.1. Conclusiones 68
9.2. Recomendaciones 69
10. REFERENCIAS BIBLIOGRÁFICAS 70
3
INTRODUCCIÓN
Toda la tecnología mencionada anteriormente, genera que las empresas conecten sus
dispositivos de cómputo y móviles a la internet. redes sociales, correos corporativos,
quedando expuestos contra posibles ataques cibernéticos o correos maliciosos de
sustracción de información. Es ahí donde radica el aumento de procesos de seguridad a la
red, si bien las empresas pueden conseguir el uso de firewalls, honeypots, antivirus,
antispam,donde establecen una barrera sólida que permita la protección de la
infraestructura física y lógica de la información en las empresas.
4
RESUMEN
5
1. PRESENTACIÓN DEL PROYECTO
1.2. Ubicación
La UNFV ostenta con orgullo el nombre del insigne sabio peruano Federico Villarreal,
quien durante su vida incursionó en casi todos los campos del saber humano,
dedicándose íntegramente al estudio de las ciencias, la investigación y a la docencia. El
origen de la Universidad Villarreal se remonta a la época en la que funcionó como filial
6
en Lima de la Universidad Comunal del Centro (UCC) del Perú, fundada en diciembre
de 1959 y que contó con filiales de acuerdo a las especialidades que ofrecía.
La filial de Lima inició sus actividades en una casona alquilada, ubicada en el jirón
Moquegua 262, Lima. Los exámenes de ingreso se fijaron para el mes de agosto de
1960 y las clases se iniciaron el 16 de septiembre del mismo año.
En 1961 se reconoció a la UCC como Universidad Nacional del Centro del Perú. Al
surgir diferencias con la sede central, los docentes y estudiantes de la filial Lima, en
sesión de consejo universitario del 21 de enero de 1963, declararon su autonomía y
solicitaron al gobierno se les reconozca como tal.
El 24 de mayo de 1964 se eligió al doctor Óscar Herrera Marquis como primer rector.
Las primeras facultades fueron: Comercio, Contabilidad y Cálculo Actuarial, siendo su
primer decano el doctor Luis Arana Maradiegue; Economía, Estadística y Finanzas, su
decano el doctor Carlos Manuel Cox; Administración Pública y Privada, su decano el
ingeniero Luis Heysen Incháustegui‚ y Acuicultura y Oceanografía, su decano el doctor
Erwin Schweigger.
2. DIAGNÓSTICOS Y PROPUESTA
Fortalezas Oportunidades
7
arquitectura de la conectividad.
Debilidades Amenazas
Los requerimientos funcionales son aquellos funcionalidades que brinda el proyecto, los
cuales se plantearon de la siguiente manera:
8
con hardware y software, especificaciones del producto, especificaciones del sistema
operativo en el cual se va a diseñar el proyecto. De forma alternativa, definen las
restricciones del sistema como la capacidad de los dispositivos de entrada/salida y la
representación de datos que se utiliza en la interfaz del sistema. Así mismo estos
requerimientos no funcionales se plantearon de la siguiente manera:
- Confiabilidad de la Información
- Portabilidad
- Usabilidad
- Escalabilidad
- Accesibilidad
9
3. PLANTEAMIENTO DEL PROBLEMA
3.1. Antecedentes
Según Salazar Mateo, Janter Edison (2018) en su tesis llamada “Modelo de Seguridad
para el Control del Tráfico de la Red LAN, basado en la ISO/IEC 27002:2013 en Grupo
SUEZ”. En esta investigación se ha desarrollado un modelo de seguridad perimetral
lógico que controle al acceso a internet, y permita gestionar los roles de acceso de los
usuarios finales del Grupo SUEZ. Es decir, se trata de un servidor proxy desarrollado
en Linux Centos que se implementará en la red LAN y que gestionará los permisos de
acceso para navegar en internet, de esta manera se logrará mayor eficiencia del ancho
de banda de la red para un mejor uso del sistema de CONCAR (sistema de
contabilidad) y STARSOFT (sistema de planillas) aplicaciones internas que hacen uso
los colaboradores. El presente modelo de seguridad propuesto en la tesis es utilizado
por su mayor uso y bajo costo en pymes y grandes compañías peruanas.
Según Defaz Calvopiña, Manuel Fernando (2015) en su tesis magistral titulada “La
seguridad perimetral y su incidencia en la calidad de servicio de la red informática para
el gobierno autónomo descentralizado de la provincia de Cotopaxi”. En la investigación
realizada se presenta una solución de seguridad perimetral, que en su primera parte
10
describe el estado actual de la institución, los riesgos, amenazas contra la integridad de
los activos del sistema informático y las contramedidas que pueden ser adoptadas. En
segunda instancia se explica el escenario de trabajo, sus requerimientos y sus
necesidades de seguridad presentando los criterios que fueron tomados en
consideración para la selección de la solución más idónea, se desarrollan los controles
de acceso lógico y las política de seguridad que debe ser aplicada en la solución
seleccionada, para finalmente presentar las conclusiones que se desprenden del
esquema de seguridad perimetral planteado, así como las recomendaciones para
mantener un nivel de seguridad adecuado.
Según Morán Velasco, Jonathan Marcelo (2016) en su tesis titulada “Rediseño de la red
de datos y optimización de la seguridad perimetral para el gobierno autónomo
descentralizado municipal de San Miguel de Urcuqui”. El objetivo fundamental de este
trabajo de investigación consiste en un rediseño de la red de datos y optimización de la
seguridad perimetral para el edificio principal del GADMU, el cual consta de los
siguientes departamentos: Planificación Territorial y Desarrollo, Servicios y Obras
Públicas, Dirección Administrativa, Dirección Financiera, Comunicación, Auditoría,
Fiscalización, Procuraduría, Secretaria General y Concejo Municipal. Se comenzó con
la recopilación de la información en base a aspectos relacionados a redes como: medios
de transmisión, topologías de red, modelos de referencia, direccionamiento IP y tipo de
vulnerabilidades, conjuntamente se obtuvo información sobre infraestructura del
edificio principal (GADMU), sobre el cableado horizontal, cableado vertical, cuarto de
telecomunicaciones, áreas de trabajo, puesta a tierra con la finalidad de determinar el
estado de la red. Luego se planteó la utilización de un modelo jerárquico basado en dos
capas: acceso y núcleo colapsado con el cual se estructura la nueva red, cada capa con
las configuraciones respectivas para solucionar problemas en aspectos de: dominios de
broadcast, fallos de enlace físicos, control de tráfico entre departamentos, logrando
mejorar el rendimiento, flexibilidad y facilitando la administración. Para verificar el
funcionamiento se realizan las simulaciones respectivas en GNS3 con el cual se
pretende validar las configuraciones realizadas demostrando su operatividad. Se realizó
un análisis de riesgos y vulnerabilidades mediante la metodología Margerit
conjuntamente con la elección de equipo seguridad perimetral comparando JUNIPER y
CISCO y determinando la mejor opción para su implementación. Mediante la norma
ISO/IEC/IEEE 29148 se determina el sistema operativo para los servidores FTP y
PROXY SQUID. Para determinar si el proyecto es factible se realiza un análisis
costo/beneficio.
3.3. Objetivos
11
3.3.2. Objetivos Específicos
12
● Equilibra el tráfico en entrada hacia los distintos servidores en los cuales están
almacenados el contenido y los datos de nuestra web, creando un único punto de
acceso que redistribuye las solicitudes a cada servidor para que no se sobrecarguen.
● Comprime las solicitudes de archivos grandes que vienen de los clientes, así como
las respuestas hacia los mismos, disminuyendo el tiempo de carga y reduciendo el
ancho de banda necesario.
● Ofrece servicios geolocalizados, como: discriminar anuncios publicitarios según
determinadas regiones geográficas, ofrecer traducción y localización de páginas web
en distintos idiomas, etc.
3.5. Justificación
3.5.1. Técnica
Los equipos computacionales con los que cuenta actualmente la facultad cumplen con
los requisitos necesarios para la implementación del servidor proxy. En cuanto al
software la característica fundamental del proyecto es la utilización de herramientas
libres como por ejemplo el sistema operativo Linux, esto garantizará la implementación
del servidor a nivel local y a nivel de de web. La tecnología necesaria que se utilizará
tiene la capacidad técnica de soportar todos los datos que requieren los usuarios de la
red sin importar la ubicación en la cual se encuentren dentro de la facultad.
3.5.2. Operativa
El sistema trabajará bajo situaciones de funcionamiento normales (temperatura,
ambiente, personal capacitado, entre otros) lo cual implica poco riesgo de fallas. EL
servidor agilizará los procesos y eliminará la necesidad de efectuar labores tediosas por
parte del personal de la facultad, además reducirá en gran medida los problemas
comunes de la red y se encargará de neutralizar las amenazas a la información.
El uso del servidor proxy mejorará el servicio educativo al tener un control de red,
disminuyendo los tiempos muertos y aumentando la atención de los estudiantes,
aumentando la calidad educativa de la facultad.
Otro de los beneficios importantes de la instalación de servidores virtuales en un centro
de datos, es la recuperación rápida y efectiva de desastres o interrupciones.
Los principales usuarios de la red cuentan con ciertos conocimientos tecnológicos,
además recibirán una capacitación adecuada.
3.5.3. Económica
13
Los requisitos del hardware necesario para la implementación del proyecto son
mínimos lo que permitirá que se puedan utilizar los equipos con los que actualmente
cuenta la facultad, generando un gran reducción de costos. En términos generales la
facultad cuenta con el presupuesto necesario para la implementación del proyecto. Al
tener una mejor seguridad en la Red se evitará pérdidas de información, lo que
garantizará el adecuado funcionamiento del flujo de información en la red de la
facultad, lo que permitirà que no sea necesario realizar gastos derivados de esto en el
futuro.
3.6. Restricciones
3.7. Impacto
Mayor seguridad, una red virtual cuenta con menos puntos de ataque físicos, lo que la
hace más segura. La virtualización es una excelente estrategia de seguridad al momento
de elaborar un plan de backup o recovery.
14
4. DESCRIPCIÓN DEL SISTEMA
4.1. Tecnología
En el trabajo de investigación empleamos las siguientes tecnologías como base para realizar
el diseño de la seguridad perimetral basado en servidor proxy orientado al sistema operativo
Linux.
Ciberseguridad
Fundación Telefónica (2016), la ciberseguridad debe ser considerada un proceso y no una
actividad aislada y diferenciada del resto de los servicios o herramientas informáticas. En el
mundo actual, digitalizado y en el que Internet es ya parte esencial de cualquier servicio,
organización o entorno, la seguridad es una cualidad más que, como la salud en las personas,
hay que cuidar desde el principio y en cuya gestión participa gran cantidad de agentes.
Siguiendo la comparación con la salud, los ciberataques se pueden equiparar a una
enfermedad que debemos ser capaces de prevenir y ante la que debemos ser capaces de
reaccionar, generando los anticuerpos necesarios para volver a la situación de salud inicial.
La ciberseguridad es, en este sentido, un proceso que implica prevención, detección y
reacción o respuesta, y que debe incluir un elemento de aprendizaje para la mejora continua
del propio proceso.
Seguridad Perimetral
El Instituto Nacional de Tecnologías y de la Comunicación (2010) indica que “El término
seguridad perimetral es muy amplio y ha tenido diversas atribuciones a lo largo del tiempo.
El perímetro está formado por las máquinas y los dispositivos que se sitúan en la frontera de
nuestra red, donde ésta interactúa con el exterior, con otras redes. La seguridad perimetral ha
controlado tradicionalmente esta frontera, vigilando las comunicaciones para evitar accesos
no autorizados, salida de datos desde el interior y ataques desde el exterior.
Amenaza cibernética.
Mariano Oscar Gómez (2019), durante la presidencia de Obama se inauguró una nueva
agencia de seguridad informática denominada "Integración de Inteligencia contra la Amenaza
Cibernética (CTIIC)", que tiene como principal tarea evitar que terceros accedan a
información confidencial del Gobierno y detectar a los atacantes. Pero además entre sus
funciones se encuentra analizar la información recopilada por otras agencias
gubernamentales, con el fin de detectar amenazas cibernéticas. En este mismo sentido, el
Departamento de Defensa elaboró el Plan de Cybersecurity Discipline Implementation, con el
fin de reforzar de manera más estricta los requisitos de acceso y reducir el anonimato en sus
redes.
15
Servidor
Juan Desongles Corrales (2006), un servidor web es un programa que funciona en un
ordenador de gran capacidad cuya función principal es facilitar información solicitada por
otros ordenadores en forma de documentos con una estructura específica. El servidor solo
trabaja cuando se solicita información, utilizando un protocolo denominado HTTP. Esta
técnica es muy eficaz ya que el cliente solo necesita una pequeña parte de los recursos del
servidor.
Servidor proxy
Juan Ferrer Martínez (2014), un servidor proxy es un equipo que actúa de intermediario entre
un explorador web (como Internet Explorer) e Internet. Los servidores proxy ayudan a
mejorar el rendimiento en Internet ya que almacenan una copia de las páginas web más
utilizadas. Cuando un explorador solicita una página web almacenada en la colección (su
caché) del servidor proxy, el servidor proxy la proporciona, lo que resulta más rápido que
consultar la Web. Los servidores proxy también ayudan a mejorar la seguridad, ya que filtran
algunos contenidos web y software malintencionado.
Sistema operativo
Oscar Sanchez (2016) indica que “El sistema operativo es un conjunto de programas que
ayuda a los usuarios a explotar las funciones del ordenador. La existencia del sistema
operativo es necesaria para que se ejecuten otros programas en el ordenador. El sistema
operativo simplifica el uso de la máquina y permite, además, obtener un buen rendimiento del
ordenador”.
Linux
Alfonso Guijarro (2020) señala que “Linux es un Sistema Operativo basado en Software
Libre, eficiente y de excelente diseño; conformado por un conjunto de programas los cuales
permiten interactuar con el usuario y ejecutar otros programas. Prácticamente Linux es
considerado un UNIX, de libre distribución creado y evolucionado inicialmente por el
programador finlandés Linus Torvalds en el año de 1991, este sistema operativo ha crecido
ágilmente gracias a la colaboración de una gran cantidad de programadores que se comunican
por Internet, y que han perfeccionado y probado muchos mecanismos para el sistema”.
16
4.2. Planeación
● Instalación de servidores:
❖ Instalar, actualizar y configurar 1 servidor con el sistema operativo
seleccionado.
❖ Conectar el servidor a la red.
❖ Instalar Proxy Squid en el servidor.
● Balanceo de carga y alta disponibilidad de Squid:
❖ Configuración básica de Squid en el servidor.
❖ Configuración del ambiente de alta disponibilidad para la continuidad del
servicio en casa de falla de uno de los nodos.
❖ Utilizar la característica de Microsoft Internet Explorer de corroborar
automáticamente las credenciales de autenticación, sin la necesidad que el
usuario se vuelva a autenticar.
❖ Configurar a Squid la credencial que posibilita o no la utilización de Internet
de cada usuario.
● Monitoreo y alertas.
4.3. Diseño
17
4.4. Codificación
Prerrequisitos
El sistema debe solicitar confirmación: ingrese Y y permita que el proceso se complete por sí
solo.
18
Configuración del servidor proxy Squid
También puede configurar el modo de proxy en transparente si desea evitar que Squid
modifique sus solicitudes y respuestas.
3. Vaya a la opción http_access deny all. Actualmente está configurado para bloquear todo
el tráfico HTTP. Esto significa que no se permite tráfico web.
4. Navegue hasta la opción visible_hostname. Agregue el nombre que desee a esta entrada.
Así es como aparecerá el servidor para cualquiera que intente conectarse. Guarde los cambios
y salga.
Toda esta configuración se ha realizado para configurar su servidor proxy Squid. Ahora,
cambie a su máquina cliente y abra su navegador web.
Si ingresó un nombre de host en el paso 4, debería poder ingresar ese nombre más el puerto
que ha designado. De lo contrario, utilice la dirección IP del sistema que aloja su proxy
Squid.
19
Para probarlo, puede visitar https://whatismyipaddress.com/ip-lookup : si su proxy está
funcionando, su dirección IP debería aparecer como la dirección IP del servidor proxy.
Nota: Después de cada uno de estos pasos, debe guardar y salir, luego reiniciar el servicio
Squid para aplicar la nueva configuración.
Cree una lista de control de acceso editando el archivo squid.conf nuevamente, como en el
Paso 4.
Esto creará una regla que solo permitirá que el sistema en esta dirección IP se conecte. Se
recomienda que comente la línea para identificar la regla:
Puertos abiertos
El sistema le pedirá que ingrese y confirme una contraseña para el nuevo usuario.
20
2. Edite el archivo /etc/squid/squid.conf y agregue las siguientes líneas de comando:
2. En este archivo, agregue los sitios web a bloquear, comenzando con un punto:
.facebook.com
.twitter.com
Nota: El punto especifica que se bloqueen todos los subsitios del sitio principal.
21
Esto le dirá si el servicio se está ejecutando o no.
Luego configure el servicio Squid para que se inicie cuando el sistema se inicie ingresando:
Puede volver a ejecutar el comando de estado ahora para verificar que el servicio esté
funcionando.
4.5. Prueba
En el equipo cliente de la LAN ingresamos al navegador del equipo, en este caso se utiliza
Mozilla Firefox, la mayoría de navegadores tienen maneras diferentes de configurar el
parámetro de proxy, aquí seguiremos estos pasos Edit > Preferences > Advanced Settings.
22
En las configuraciones de conexión seleccionamos Manual proxy configuration: e ingresamos
la dirección IP privada del proxy con el puerto por el que configuramos la escucha del proxy,
por defecto squid trabaja con el 3128, pero esto puede variar si el usuario administrador del
servicio lo prefiere. Finalizamos con OK.
23
Ingresamos a pruebaweb.prueba.net
24
Observamos que nos muestra un mensaje de error, con lo que comprobamos que la
denegación de servicio funciona correctamente.
El servidor squid tiene un caché de todas las páginas que se alojan, así, cada vez que un
cliente accede a una página que ya está registrada en su caché no tiene que ir hasta Internet u
otras redes externas, es sólo cuestión de buscar dentro de su caché y entregarle el resultado de
la página, para probar este funcionamiento bajamos el servicio http en el servidor externo.
25
En el navegador del equipo cliente limpiamos la memoria caché local del navegador.
Notamos cómo
efectivamente, las páginas
visitadas se
almacenan en el servidor
squid.
4.6.
Lanzamiento
Una vez realizada las pruebas sin inconveniente alguno se procede a esta última fase de
lanzamiento, donde además se da a conocer la documentación, manuales de usuario,
capacitación y mantenimiento del Data Center.
26
El objetivo de esta fase es comunicar a todos los interesados de manera formal el arranque del
proyecto en el ámbito técnico y económico, lo cual se realiza a través de una reunión de
lanzamiento. El propósito es conocer el equipo de trabajo en términos de experiencia
profesional, reconocer el objetivo y el alcance del proyecto y tener claridad frente a los
entregables. La idea es homologar las expectativas y alcanzar un mismo nivel de
comprensión respecto al volumen de trabajo necesario.
Descripción Cantidad
Rack cerrado de 42 U 1
Switch 3
Firewall 1
Escalerilla metálica de 15 x 7 cm 1
Router 1
● Mano de obra
Realizado por los integrantes del proyecto.
Descripción Cantidad
Instalación y configuración de 1
servidor Proxy.
Configuración de servidores de la 1
27
facultad.
Configuración de switches de la 1
facultad.
Configuración de ordenadores de la 20
facultad.
Configuración de router 1
PresupuestoCOPIEN EL PRESUPUESTO Y PONGANLO EN OTRO LADO O NO SE
XD
Concepto Monto
3. Máquinas s/. 0
(PC´s, router, switch,
servidor )
28
En esta fase se realizó el diagnóstico general de la facultad de odontología, en cuanto a
esto podremos determinar en qué situación se encuentra la infraestructura y
equipamiento tecnológico, y también los requerimientos que exigen para un correcto
funcionamiento de la seguridad de la información de la facultad, brindados por las
autoridades correspondientes.
Se definieron conceptos relacionados a la seguridad de la información, prevenciones a
la manipulación y robo de información que nos han servido de base para desarrollar
este trabajo de investigación.
29
5.2.1.3. Fase de Construcción
En esta fase se ha relacionado con la implementación de nuestro diseño en cuanto a la
seguridad perimetral con servidor proxy basado en linux, donde evaluaremos los
procedimientos o actividades que nos permitirá realizar correctamente la
implementación.
1. Instalación del sistema operativo Ubuntu en los ordenadores de la facultad.
2. Configuración de las ips de los equipos.
3. Instalar los parches de seguridad disponible para la versión del sistema
operativo.
4. Configurar un muro cortafuegos con system-config-firewall, Firewalld o
Shorewall.
5. Configurar los switch necesarios para el proyecto.
6. Verificar la conectividad de los equipos
7. Configurar el servidor proxy.
8. Configurar el router principal.
9. Implementar códigos de restricción en el servidor proxy.
10.Configurar los accesos a las páginas autorizadas.
30
5.2.2. Calendario de tareas del proyecto
31
proyecto.
32
5.3. Seguimiento del Control de Proyecto
No funcionales
Evaluación de requisitos
33
RNF1 Medio Cumpliendo
34
ubicación de los componentes del
proyecto
35
Instalación y configuración del 2 días -
Sistema de Comunicaciones.
36
5.3.3. Gestión de Calidad
37
ISO 9001 Calidad de organización: pretende mejorar la gestión organizativa de una
organización, mediante el empleo de recursos, procesos e instrucciones inspirados en los
principios de simplificación, eficiencia y eficacia.
Especificación IEEE 802: se centra en definir los niveles más bajos (según el modelo de
referencia OSI o sobre cualquier otro modelo). Concretamente subdivide el segundo nivel, el
de enlace, en dos subniveles: El de Enlace Lógico (LLC), recogido en 802.2, y el de Control
de Acceso al Medio (MAC), subcapa de la capa de Enlace Lógico. El resto de los estándares
actúan tanto en el Nivel Físico, como en el subnivel de Control de Acceso al Medio.
Amenazas de riesgos
Tratamiento de riesgos
La norma ISO/IEC 27005 define 4 formas para tratar el riesgo: aceptar, reducir (aplicar
controles), evitar y transferir el riesgo. Se valora la ocurrencia con los valores bajo, medio y
alto. Se valora el grado de impacto siendo 1 muy bajo hasta 5 muy alto.
A1 Medio 4 Evitar
38
A2 Medio 5 Evitar
A3 Medio 3 Reducir
A4 Medio 3 Reducir
A5 Medio 3 Reducir
A6 Medio 5 Evitar
A7 Medio 4 Evitar
A8 Alto 5 Evitar
39
AMENAZA Mitigación de riesgos
40
Historial de Versiones
Revisado
Versión Hecho por Fecha Motivo
por
Correcciones en
2.3 Alumnos Profesor 28/09/2020 la
documentación
Correcciones en
2.2 Alumnos Profesor 14/09/2020 la
documentación
Correcciones en
2.1 Alumnos Profesor 07/09/2020 la
documentación
41
6. EVALUACIÓN DE RIESGO TÉCNICO
42
6.1.1. Identificación
43
Utilizando esta escala de los criterios de valoración de activos, realizaremos lo
siguiente.
44
6.1.1.3. Identificación de Riesgos
Estos riesgos pueden ser:
●Naturales, físicas o ambientales
●Humanas o accidentales
●Técnicas
●Organizacionales
45
Riesgos Humanas o Accidentales
●Crimen Computacional
●Terrorismo/Vandalismo
●Personal y Usuarios Internos
●Incorrecta Administración del Sistema Informático y de los Derechos de Acceso
●Robo
Riesgos Técnicas
●Falla de Componentes
●Falla en el servicio de proveedores
●Falla de software (Antivirus, Gestor de base de datos, etc)
●Mal funcionamiento de los equipos
●Saturación de la red
Riesgos Organizacionales
●Falta/Insuficiencia de normas
●Uso no controlado de los activos de información
●Falta o insuficiencia Gestión de la Seguridad de la información
●Faltas de licencias de Software
6.1.2. Análisis
En esta sección veremos con exactitud el detalle que presenta cada amenaza considerando el
origen de las amenazas con su respectiva variable.
Las amenazas pueden ser de origen: D (deliberadas), A( accidentales) y E (ambientales). La
letra D se utiliza para todas las acciones deliberadas que tienen como objetivo los activos de
la información. “A” se utiliza para las acciones humanas que pueden dañar accidentalmente
los activos de información y E se utiliza para todos los incidentes que no se basa en las
acciones humanas.
46
desarrollo de sus actividades
47
Incorrecta Administración Fallas en el Sistema Informático. A, D
del Sistema Informático Accesos no autorizados al sistema.
Uso innecesario de recursos.
Riesgos Técnicos
Riesgos Organizacionales
48
facultad.
6.1.3. Evaluación
49
Falla en el Servicio de Medio 3 Estabilizar el pago por los
proveedor servicios de internet.
6.2.1. Planificación
50
Riesgo Humano ● Implementar controles de detección, prevención y
o Accidental recuperación para proteger a la facultad contra códigos
maliciosos, y también implementar procedimientos para el
apropiado manejo del usuario.
● Gestionar la red incluyendo características de seguridad,
niveles de servicio y requerimientos.
● Implementar procedimientos para el control y
almacenamiento de información protegiéndola de divulgación
no autorizada.
● Proteger la documentación de los sistemas de información
con accesos no autorizados.
● Controlar el acceso a páginas web no autorizadas y llevar un
control de ocurrencia del mismo.
● Supervisar constantemente las vulnerabilidades del sistema
de seguridad Perimetral.
● Restringir el intercambio de información al exterior de la
organización.
6.2.2. Supervisión
51
se realizará un control de los posibles ataques informáticos que se puedan realizar a
nuestra seguridad perimetral.
c. Riesgos Tecnicos
En este riesgo, optamos por la revisión y mantenimiento de todos los equipos en un
tiempo dado, para controlar el tiempo de vida de cada dispositivo y así prever la
compra innecesaria de equipos. Así como también reforzar los contratos para tener
personal calificado disponible en ocasiones donde se necesite su servicio rápidamente.
d. Riesgos Organizacionales
En este tipo de casos, se supervisará la implementación de normas iso 27001 para la
gestión de riesgos en TI, también cumplir los estándares de calidad para destacar en el
servicio brindado.
52
7. CRONOGRAMA DE ACTIVIDADES
53
Elaborar el diseño
de modificación 2 días mar mié Guillen Tenorio Marja Antonella
del ambiente 01/09/20 02/09/20
Paredes Nuñez Daniel
físico para la
implementación
del proyecto.
Elaborar el diseño
de los planos y 2 días jue vie Salcedo Buendía Miguel Angel
ubicación de los 03/09/20 04/09/20
Santamaria Chumpitaz Wensell
componentes del
proyecto
Elaborar el diseño
del sistema de 2 días lun mar Silva Rodriguez Carlos
comunicaciones 07/09/20 08/09/20
Tang Puente Geraldinne Alexandra
Elaborar el diseño
del sistema 2 días mié jue Guillen Tenorio Marja Antonella
eléctrico 09/09/20 10/09/20
Paredes Nuñez Daniel
Elaborar el diseño
de seguridad 2 días vie lun Salcedo Buendía Miguel Angel
perimetral 11/09/20 14/09/20
Santamaria Chumpitaz Wensell
Elaborar el diseño
de la red de los 2 días mar mié Silva Rodriguez Carlos
servidores. 15/09/20 16/09/20
Tang Puente Geraldinne Alexandra
Elaborar
documento de 2 días vie lun Guillen Tenorio Marja Antonella
especificaciones 18/09/20 21/09/20
Paredes Nuñez Daniel
de configuración
del servidor.
Presentación del
diseño final del 2 días mar mié Salcedo Buendía Miguel Angel
sistema de 22/09/20 23/09/20
Santamaria Chumpitaz Wensell
servidor proxy.
Elaborar el diseño
de modificación 2 días jue vie Silva Rodriguez Carlos
del ambiente 24/09/20 25/09/20
Tang Puente Geraldinne Alexandra
físico para la
implementación
del proyecto.
54
Revisar la
infraestructura de 3 días lun mié Guillen Tenorio Marja Antonella
la facultad para 28/09/20 30/09/20
Paredes Nuñez Daniel
adecuar el diseño
presentado. Salcedo Buendía Miguel Angel,
Instalación del
sistema eléctrico. 2 días jue vie Santamaria Chumpitaz Wensell
01/10/20 02/10/20
Silva Rodriguez Carlos
55
pruebas
27/10/20 27/10/20 Paredes Nuñez Daniel
56
57
8. ANÁLISIS DE COSTO Y BENEFICIO
8.1. Costos
8.1.2. Tecnológicos
Sistema de Telecomunicaciones
Descripción Cantidad
Precio Unitario Precio Total
Rack cerrado de 42 U
1 S/ 980,00 S/ 980,00
58
Firewall 1 S/ 450,00 S/ 450,00
80
Cableado estructurado categoría 6a S/ 2,00 S/ 160,00
1
Router S/ 800,00 S/ 800,00
1
Ordenador S/. 4,500.00 S/. 4,500.00
Subtotal: S/ 7,940.00
8.1.3. Infraestructuras
Sistema Eléctrico
Subtotal: S/ 7.180,00
8.1.4. Insumos
59
Total S/. 134.90
8.1.5. Servicios
Servicio Monto
8.1.6. Totales
Tecnología S/ 7,940.00
Infraestructura S/ 7,180.00
Insumos
TOTAL: S/ 27,750.00
60
8.2. Beneficios
● Alinear los objetivos del área de sistemas de información con los objetivos
estratégicos de la empresa en temas de seguridad de la información.
● Posicionar el área de sistemas de información como socio estratégico de la
organización para contribuir con el cumplimiento de los objetivos estratégicos dentro
de la institución en lo que a protección y confidencialidad de datos se refiere.
● Generar eficiencia del área de gestión de costos y presupuestos reduciendo labores
operativas y aumentando las labores de análisis.
● Mejorar el clima laboral de todas las áreas a través de la utilización de sistemas
informáticos que reducen la dificultad de las tareas del personal de la organización.
61
Lograr el 100% en la
Beneficios tangibles confidencialidad de la información Mediano Plazo
Garantizar la administración y
disposición de la información de Mediano Plazo
manera inteligente
62
Beneficios intangibles Alinear los objetivos del área de Mediano Plazo
sistemas de información con los
objetivos estratégicos de la empresa
en temas de seguridad de la
información
63
9. CONCLUSIONES Y RECOMENDACIONES
9.1. Conclusiones
64
9.2. Recomendaciones
65
10. REFERENCIAS BIBLIOGRÁFICAS
Salazar Mateo, J. E. (2018). Modelo de Seguridad para el Control del Tráfico de la Red
LAN, basado en la ISO/IEC 27002: 2013 en Grupo SUEZ. Lima. Universidad Cesar
Vallejo.
66