Documentos de Académico
Documentos de Profesional
Documentos de Cultura
KATERINNE
FABIAN ANDRES
FACULTAD DE INGENIERÍA
ESPECIALIZACIÓN EN CIBERSEGURIDAD
SANTIAGO DE CALI
2021.
INTRODUCCIÓN
Teniendo en cuenta los conceptos que hemos venido estudiando a lo largo del curso, podemos
evidenciar que los mecanismos de seguridad que se han estandarizado son en efecto, los puntos
centrales para tener un sistema de información seguro con los requisitos normales.
Objetivo General
Objetivos Específicos
• Establecer las capas del modelo de seguridad en profundidad presentadas por el consultor.
• Relacionar los hallazgos encontrados en MediOE Bank, que pilar interviene y el control
encargado de mitigar el riesgo.
Modelo de Defensa en Profundidad Empresa MediOE Bank
El esquema del Modelo de Defensa en Profundidad que se va a plantear para la empresa MediOE
Bank, va a permitir proteger su información debido a los inconvenientes y fallos que viene
presentando por el relajamiento de seguridad en sus sistemas de información.
Para esto, vamos a presentar un esquema base de su arquitectura de red, con los posibles controles
de seguridad, ya que es importante tener en cuenta la interconexión de sus componentes y de esta
manera facilitar el estudio de defensa en profundidad en donde interactúan los protocolos, servicios,
aplicaciones, dispositivos, políticas, personas, seguridad física, entre otros.
Como base debemos tener en cuenta las debilidades que están presentando a nivel de seguridad en
sus sistemas de información, ya que sobre estas deficiencias estamos planteando el Modelo de
Defensa en profundidad:
✔ Han tenido ataques de ingeniería social
✔ Su información (planos de la ubicación de sus servidores) fue expuesta en páginas de
hackers.
✔ Su servicio DNS fue falsificado.
✔ Han tenido ataques de Phishing
✔ Su imagen y reputación se ha visto expuesta.
A nivel interno:
✔ Switches fuera de Soporte y ausencia de mantenimiento
✔ No han realizado labores de segmentación de la red
✔ Instalación de Sniffer en la red por parte de un empleado para conseguir contraseñas de
acceso a los sistemas.
✔ Ingreso no autorizado a estación de trabajo de un gerente.
✔ Robo de información confidencial no cifrada de un gerente.
✔ Propagación por la red de la organización de un virus troyano.
Diagrama de Arquitectura de Red MediOE Bank (Supuesto de acuerdo a la información del caso).
De acuerdo con el esquema base de la arquitectura de red de MediOE Bank, podemos relacionar las
capas o anillos del Modelo de Defensa en profundidad, en el cual proponemos controles y su
relación con los pilares de Seguridad de la Información:
En general podemos observar que en cada una de las capas de seguridad se puede proteger la
información desde sus pilares: confidencialidad, integridad y disponibilidad. Aunque en cada capa, se
puede presentar que los controles de seguridad establecidos permitan proteger un pilar más que
otro, el objetivo general de cada capa es proteger la información de manera transversal teniendo en
cuenta las siguientes premisas:
Sin oficiales Todas las capas Formalizar puestos Disponibilidad 6.1 Organización
de seguridad de trabajo, deberes y Confidencialida interna, segregación
informática funciones en d de funciones, roles,
seguridad. Integridad contacto con
autoridades y grupos
de interés.
El modelo de defensa en profundidad se basa en anillos o capas de seguridad que tienen función de
barrera ante riesgos que se puedan presentar, cada capa que se logre vulnerar debe debilitar el
ataque.
La principal herramienta para iniciar un proceso de implementación de un modelo de defensa en
profundidad es la clasificación de la información y lo valioso de ella.
Se ha identificado los inconvenientes que ha tenido MediOE Bank y las principales decisiones que ha
tomado el consultor para mitigar los riesgos expuestos.
La representación de las medidas de seguridad, se han presentado en un mapa de arquitectura y
esquema en anillos.