MODELO DE SEGURIDAD EN PROFUNDIDAD

KATERINNE

LUIS FELIPE CAMPO

FABIAN ANDRES

UNIVERSIDAD AUTÓNOMA DE OCCIDENTE

FACULTAD DE INGENIERÍA

ESPECIALIZACIÓN EN CIBERSEGURIDAD

SANTIAGO DE CALI

2021.
 INTRODUCCIÓN

Teniendo en cuenta los conceptos que hemos venido estudiando a lo largo del curso, podemos
evidenciar que los mecanismos de seguridad que se han estandarizado son en efecto, los puntos
centrales para tener un sistema de información seguro con los requisitos normales.

Lo más importante al momento de diseñar un mecanismo de seguridad en profundidad, es conocer

con qué activos estamos trabajando, conocer la importancia de este.

MediOE Bank ha tenido muchos inconvenientes respecto a la implementación de una buena

protección ante los activos de información y con lo que el consultor contratado por el gerente ha
tomado algunas decisiones que se representan en el siguiente trabajo.
 OBJETIVOS

Objetivo General

Leer, entender y representar el concepto de modelo de seguridad en profundidad, que se ha

presentado como resultado de análisis de MediOE Bank.

Objetivos Específicos

• Conocer el concepto de modelo de seguridad en profundidad.

• Establecer las capas del modelo de seguridad en profundidad presentadas por el consultor.

• Relacionar los hallazgos encontrados en MediOE Bank, que pilar interviene y el control
encargado de mitigar el riesgo.
 Modelo de Defensa en Profundidad Empresa MediOE Bank

El esquema del Modelo de Defensa en Profundidad que se va a plantear para la empresa MediOE
Bank, va a permitir proteger su información debido a los inconvenientes y fallos que viene
presentando por el relajamiento de seguridad en sus sistemas de información.
Para esto, vamos a presentar un esquema base de su arquitectura de red, con los posibles controles
de seguridad, ya que es importante tener en cuenta la interconexión de sus componentes y de esta
manera facilitar el estudio de defensa en profundidad en donde interactúan los protocolos, servicios,
aplicaciones, dispositivos, políticas, personas, seguridad física, entre otros.
Como base debemos tener en cuenta las debilidades que están presentando a nivel de seguridad en
sus sistemas de información, ya que sobre estas deficiencias estamos planteando el Modelo de
Defensa en profundidad:
✔ Han tenido ataques de ingeniería social
✔ Su información (planos de la ubicación de sus servidores) fue expuesta en páginas de
hackers.
✔ Su servicio DNS fue falsificado.
✔ Han tenido ataques de Phishing
✔ Su imagen y reputación se ha visto expuesta.
A nivel interno:
✔ Switches fuera de Soporte y ausencia de mantenimiento
✔ No han realizado labores de segmentación de la red
✔ Instalación de Sniffer en la red por parte de un empleado para conseguir contraseñas de
acceso a los sistemas.
✔ Ingreso no autorizado a estación de trabajo de un gerente.
✔ Robo de información confidencial no cifrada de un gerente.
✔ Propagación por la red de la organización de un virus troyano.
Diagrama de Arquitectura de Red MediOE Bank (Supuesto de acuerdo a la información del caso).
De acuerdo con el esquema base de la arquitectura de red de MediOE Bank, podemos relacionar las
capas o anillos del Modelo de Defensa en profundidad, en el cual proponemos controles y su
relación con los pilares de Seguridad de la Información:

En general podemos observar que en cada una de las capas de seguridad se puede proteger la
información desde sus pilares: confidencialidad, integridad y disponibilidad. Aunque en cada capa, se
puede presentar que los controles de seguridad establecidos permitan proteger un pilar más que
otro, el objetivo general de cada capa es proteger la información de manera transversal teniendo en
cuenta las siguientes premisas:

✔ La información es la primera línea de defensa

✔ Existen varias capas de defensa en el modelo, coordinadas y ordenadas por capacidad.
✔ La pérdida de una línea de defensa debe debilitar el ataque cibernético más no ocasionar la
pérdida de otras líneas de defensa.
✔ Los ataques se presentan desde el interior o exterior de la organización.
A continuación especificamos un poco más los controles que proponemos para cada capa del
modelo de Defensa en profundidad y que aplican para las deficiencias de seguridad de MediOE
Bank.

Hallazgo Capa modelo Controles Pilar seguridad Controles ISO 27001

profundidad propuestos información
involucrada

Sin oficiales Todas las capas Formalizar puestos Disponibilidad 6.1 Organización
de seguridad de trabajo, deberes y Confidencialida interna, segregación
informática funciones en d de funciones, roles,
seguridad. Integridad contacto con
autoridades y grupos
de interés.

Sistemas de Todas las capas Establecer políticas Disponibilidad 5.1 Orientación de la

información de seguridad y Confidencialida dirección para la
con bajo procedimientos. d gestión de la
control de Integridad Seguridad de la
seguridad información.

Ataques 1.Información/Da Concientización, Confidencialida 7.2 Durante la

ingeniería tos. políticas y d ejecución del empleo.
social 2. Seguridad de procedimientos Formación en
Aplicaciones. transversales de seguridad
3.Seguridad de seguridad de la informática.
Host. información,
4.Seguridad de antivirus, análisis y
la Red. remediación de
7.Concientizació vulnerabilidades,
n, políticas y cifrado de datos,
procedimientos. copias de seguridad,
IDS, IPS, parche SO
al día, aplicación de
estándares de
seguridad.

Información 1.Información/Da DLP, cifrado de Confidencialida 8.1 Responsabilidad

confidencial tos. datos, políticas de d por los activos.
expuesta en 3.Seguridad de control acceso, 8.2 Clasificación de la
páginas de Host usuarios-roles- información.
hackers privilegios bien
definidos,
clasificación de la
información, políticas
de contraseñas
robustas.

Servicio DNS 4.Seguridad de Firewall, IPS, IDS, Disponibilidad, 9.2 Gestión de

falsificados la Red. VLANS, DMZ, Integridad Acceso de usuarios.
5. Protección de análisis y 9.4 Control de acceso
Acceso a la red. remediación de a sistemas y
 vulnerabilidades a aplicaciones.
dispositivos de
comunicaciones,
versiones
actualizadas de SO y
parches para
dispositivos de
comunicaciones,
protocolos IPsec,
procedimientos y
políticas para
creación de reglas en
los firewall.

Ataques 1.Información/Da Concientización, Confidencialida 5.1 Orientación de la

phishing tos. políticas y d dirección para la
2. Seguridad de procedimientos gestión de la
Aplicaciones. transversales de Seguridad de la
3.Seguridad de seguridad de información.
Host. información, 13.2 Transferencia de
4.Seguridad de antivirus, análisis y información.
la Red. remediación de
7.Concientizació vulnerabilidades,
n, políticas y cifrado de datos,
procedimientos. copias de seguridad,
IDS, IPS, parches de
SO al día, aplicación
de estándares de
seguridad.

Switches 4.Seguridad de Routers y switches Disponibilidad 14.1 Adquisición,

fuera de la Red. con soporte vigente, desarrollo y
soporte y versiones mantenimiento de
ausencia de actualizadas de SO y sistemas.
mantenimien parches para
to dispositivos de
comunicaciones,
análisis y
remediación de
vulnerabilidad a
dispositivos de
comunicaciones.

Redes no 4.Seguridad de Segmentación de red Confidencialida 13.1 Gestión de la

segmentada la Red. (VLANS), firewall, d, Integridad seguridad de las
s 5. Protección de IPS/IDS, DMZ, redes, controles,
Acceso a la red. análisis y seguridad en los
remediación de servicios, separación
vulnerabilidad a de redes.
dispositivos de
comunicaciones,
 administración
adecuada de firewall,
procedimientos y
políticas para
creación de reglas de
firewall.

Ataque 4.Seguridad de Segmentación de red Confidencialida 9.1 Requisitos del

sniffer la Red. (VLANS), firewall, d negocio para control
(capturar IPS/IDS, NAC, de acceso.
contraseñas) análisis y 9.2 Gestión de
remediación de Acceso de usuarios.
vulnerabilidad a 9.4 Control de acceso
dispositivos de a sistemas y
comunicaciones, aplicaciones.
versiones 11.1 Requerimientos
actualizadas de SO y de negocio para el
parches para control de accesos a
dispositivos de parámetros físicos,
comunicaciones. recintos oficinas,
protección física.

Acceso no 3.Seguridad de Parches de SO al Integridad, 11.1 Establecimiento

autorizado a Host. dia, antivirus con Confidencialida de seguridad
estación de definiciones al dia, d perimetral y de
trabajo doble factor de acceso a oficinas.
autenticación, 12.5 Control de
políticas de control software operacional.
de acceso, usuarios, 8 Responsabilidad
roles y privilegios por los activos.

Robo 1.Información/Da Cifrado de datos, Confidencialida 8.2 Clasificación de la

información- tos. clasificación de la d información.
datos no información, políticas 8.3 Manejo de
cifrados de control acceso, medios.
copias de respaldo, 9.2 Gestión de
deshabilitar puerto Acceso de usuarios.
USB, Agente DLP.

Propagación 1.Información/Da Antivirus con Integridad,Confi 8.3 Manejo de

virus troyano tos. definiciones al día, dencialidad,Disp medios.
en red de la 3.Seguridad de segmentación de onibilidad 12.2 Protección
organización Host red-VLANS,DMZ, contra códigos
4.Seguridad de análisis y maliciosos.
la Red. remediación de 12.3 Copias de
vulnerabilidad a respaldo.
dispositivos de 12.4 Registro
comunicaciones, (Logging y
anti-bot, versiones Seguimiento).
actualizadas de SO y
parches, cifrado de
datos, clasificación
de la información.
 CONCLUSIONES

El modelo de defensa en profundidad se basa en anillos o capas de seguridad que tienen función de
barrera ante riesgos que se puedan presentar, cada capa que se logre vulnerar debe debilitar el
ataque.
La principal herramienta para iniciar un proceso de implementación de un modelo de defensa en
profundidad es la clasificación de la información y lo valioso de ella.
Se ha identificado los inconvenientes que ha tenido MediOE Bank y las principales decisiones que ha
tomado el consultor para mitigar los riesgos expuestos.
La representación de las medidas de seguridad, se han presentado en un mapa de arquitectura y
esquema en anillos.