Documento elaborado por

Héctor Fernando Vargas Montoya

Ingeniero de sistemas – Msc. Seguridad

Corporación Elpréstamo.com S.A.S

Objeto comercial: Entidad financiera.

Elpréstamo.com S.A.S es una empresa con 70 empleados, que ofrece diferentes servicios
de la banca, dado que es una corporación financiera (Cooperativa), la cual tiene algunos
servicios tecnológicos en la nube (IaaS con Amazon) y de manera local. Posee la siguiente
estructura organizacional:

La entidad posee servicios de préstamos (personales y empresariales), compra de cartera,

cuentas de ahorro, tarjetas de crédito y giros internacionales. La entidad cuenta con 8
sucursales, de las cuales 5 son de la ciudad, 3 en municipios cercados.

La empresa posee conexión entre todas sus sedes, pero tienen salida independiente a
Internet para cada oficina, todos los productos pueden ser adquirir por Internet, los cuales
son validados por personal experto y luego devuelven la llamada. Así mismo, se ofrecen
servicios en las diferentes taquillas de forma presencial.

La empresa ha iniciado hace 6 meses un proyecto para la implementación (y posterior

certificación) de un Sistema de Gestión de Seguridad – SGSI, basado en la norma
ISO/IEC 27001:2013 con algunos controles de la NIST 800-53 (para dar cumplimiento
a la Superfinanciera), el proyecto es de 2 años, fecha en la cual, se hará la auditoria de
certificación, con ello, poder ofrecer los diferentes servicios de seguridad, de igual
 Documento elaborado por
Héctor Fernando Vargas Montoya
Ingeniero de sistemas – Msc. Seguridad

manera, tienen proyectado que dicha certificación puede cubrir también los servicios de
la nube. Así mismo, están incorporando en el proceso de desarrollo rápido Devops, pero
aún falta.

Para la gestión financiera y administrativa de la empresa, tiene servicios tales como el

correo, software para la nómina y para la contabilidad, posee navegación a Internet. Sus
sitios Web se conectan a una base de datos a través de VPN a la nube para actualizar sus
contenidos, también poseen un gestor de contenidos (joomla 3.4).

Una vez procesada la solicitud del servicio por Internet, el sistema envía un correo a un
vendedor para que revise y atienda la solicitud de pedido. Cada empleado tiene su propio
equipo y en cada oficina tienen un sistema auto-gestionado de pagos y reportes, que está
conectado a la red LAN corporativa. Posee una impresora en cada sede (en red). La
conexión entre sedes se hace a través de una red MPLS que se contrata con un proveedor
de servicios de Internet o ISP.
Se cuenta con diferentes tecnologías para procesar sus servicios y atención por taquillas,
cuenta con la siguiente infraestructura:
 1 en Windows 2012, 2 en Windows 2016, 3 en Linux CentOS de gran
procesamiento para las ventas, contabilidad, nómina, sistema de inventario y
procesar las importaciones que realiza.
 El servicio SaaS en la nube provee una solución alterna de movimientos bancarios
que se conecta con la red local a través de una VPN.
 1 Servidor (Linux redhat 6) hacia Internet donde se encuentran los 2 sitios Web
para clientes y proveedores (Montados en Apache versión 2.4), le da también a
los empleados navegación, servicio de correo, chat y video conferencia.
 Elementos de comunicaciones como Router y Switch (entre Cisco y 3com) para
dar conectividad.
 Una red Microsoft para el trabajo en red, las estaciones de trabajo están en
Windows 10.
 El controlador de dominio (Windows Active Directory) posee las siguientes
políticas (entre otras) configuradas:
o Contraseña: Fuerte, 12 caracteres mínimos.
 Documento elaborado por
Héctor Fernando Vargas Montoya
Ingeniero de sistemas – Msc. Seguridad

o Intentos fallidos: Desactivada

o Expiración de password: cada 90 días.
o Control de protector de pantalla y GPO generales para estaciones de
trabajo y servidores.
o Sistema antivirus pago.
 Existe una aplicación Web (en HTML5) que corre en los celulares, no posee
control de contraseñas.
 Hay DMZ en cada sede, dado que cada uno tiene salida hacia Internet y poseen
protecciones básicas a nivel de Firewall (o sea que hay 1 Firewall por cada sede
que debe administrarse).
 La ARP de riesgos profesionales les ha exigido un plan de capacitación ante
accidentes laborales y sistemas de evacuación, pero estos programas aún están en
diseño, sin una implementación a corto plazo.
 Se cuenta con unos lineamientos básicos a nivel d seguridad técnica.
 A nivel de Networking posee:
o Redes inalámbricas configuradas con WEP para todo el personal.
o Sistemas de balanceadores de tráfico A10Network.
 El área de diseño de piezas publicitarias cuenta con equipos MAC conectados a
la red y algunos desarrolladores tienen Linux Ubuntu.
 Cuenta con una pequeña aplicación Web (en HTML5) para Smartphone, que les
permite a algunos vendedores conectarse con el sistema de ventas y de forma
remota, acceder desde la sede del cliente.
 El equipo de seguridad hace parte del área de Tecnología y se cuenta con las
protecciones básicas a nivel de estaciones y server: Antivirus, control de parches,
no instalación de software en server,
 Se cuenta con unos lineamientos básicos a nivel de seguridad técnica.
 Todos los componentes y procesos ofimáticos son administrados por un tercero:
Software base, licenciamiento, entre otros.
 Tiene una VPN desde el firewall hacia los servicios de la nube.
 Se cuenta con un circuito cerrado de televisión, el cual están proyectando conectar
a la red LAN para poderlo administrar desde los puestos de trabajo.
 Documento elaborado por
Héctor Fernando Vargas Montoya
Ingeniero de sistemas – Msc. Seguridad

El acceso a las instalaciones de la empresa posee vigilancia 7x24 a través de una empresa
de vigilancia privada, ésta hace el registro de empleados y equipos informáticos (a la
entrada y salida). Siempre que se permanezca en las instalaciones, es necesario llevar el
carnet de empleado.