APLICACIONES Y SERVICIOS SEGUROS

Unidad 2 - Fase 3 - Diseño de entorno de servicios seguros

Presentado a:
HERNANDO JOSE PEÑA

Presentado por:
ROGER GARIBELLO MARTINEZ

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA - ECBTI
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
2021

1
 CONTENIDO

INTRODUCCIÓN ............................................................................................................. 3
JUSTIFICACIÓN ............................................................................................................... 4
OBJETIVOS ..................................................................................................................... 5
1.1 OBJETIVOS GENERAL .................................................................................................5
1.2 OBJETIVOS ESPECÍFICOS ............................................................................................5
DESARROLLO DEL TRABAJO............................................................................................ 6
CONCLUSIONES ............................................................................................................ 15
BIBLIOGRAFÍA .............................................................................................................. 16

2
 INTRODUCCIÓN

En los últimos años se han venido implementando tecnologías que buscan reducir
los riesgos y vulnerabilidades a las cuales están sometidas las organizaciones y con
las cuales pueden obtener un mejor beneficio y desempeño.

En este documento se presenta una propuesta tecnológica para la empresa Quality

S.A., dado su bajo nivel de seguridad y vulnerabilidades encontradas en el análisis
realizado en la fase anterior y de esta forma establecer acciones que den una
solución de seguridad a los inconvenientes presentados.

Adicionalmente, cabe mencionar que gestionar la seguridad de la información de

una manera adecuada, permitirá no sólo cumplir con sus obligaciones, sino que
además genera confianza en sus cliente al garantizar que se cuenta con una
infraestructura tecnológica y medidas de seguridad pertinentes y responder
eficientemente con las actividades comerciales de la organización.

3
 JUSTIFICACIÓN

Dentro de los parámetros de desarrollo y comprensión del curso y teniendo en

cuenta el escenario base de estudio, sea hace necesario identificar metodologías
y tecnologías que permitan fortalecer la seguridad de la compañía Quality SAS.

4
 OBJETIVOS

1.1 OBJETIVOS GENERAL

Reconocer los conceptos básicos para el análisis y detección de vulnerabilidades.

1.2 OBJETIVOS ESPECÍFICOS

- Realizar una descripción detallada de la tecnología propuesta

- Describir cada uno de los componentes que hacen parte de ella
- Establecer acciones para mantener la infraestructura segura.

5
 DESARROLLO DEL TRABAJO

Indagar sobre tecnología existente para la implementación de servicios

ON-PREMISES

Es una tecnología referida al uso de los propios servidores de la empresa y el

entorno de TI – en el sitio. Con este modelo de uso, un cliente a menudo compra o
alquila el software licenciado y que es instalado en sus propios servidores o
servidores alquilados. El licenciamiento de software se ejecuta en el centro de datos
de propiedad o hardware alquilado, esto también se llama "inhouse".

A diferencia de la sistematización que se realiza en la nube, los clientes de modelos

on-premises tienen totalmente el control sobre los datos y asumen también la
responsabilidad de los riesgos asociados. El uso del hardware del proveedor no es
posible con on-premises. Claramente es la diferencia del modelo de las alternativas
implementadas en la nube.

Sin embargo, el licenciamiento no sólo asume la responsabilidad, sino también

todos los costos incurridos en el uso del software. Normalmente, incluyen tarifas de
mantenimiento y gastos para ejecutar software y hardware. En cuanto al software
de código abierto, una comunidad cercana a menudo maneja más desarrollo y
corrección de errores en la práctica. La desventaja aquí es que las reclamaciones
de garantía no son posibles. Si es necesario, se puede comprar soporte o suministro
de actualizaciones de software a proveedores de servicios relevantes.

El licenciamiento obtiene acceso al software a través de interfaz de usuario que es

basada en web o una aplicación de escritorio. Las organizaciones que administran
información confidencial tienen a utilizar aplicaciones de escritorio ya que por este
medio logran controlar el acceso no autorizado.

VENTAJAS ON-PREMISES
- Independencia: El licenciamiento es independiente de los proveedores de
servicios externos y del licenciante. El acceso a la información y/o datos
siempre está garantizado, inclusive sin tener conexión a Internet.

6
 - Protección de datos: Con el modelo inhouse, el licenciamiento conserva
todos los datos en sus propios centros de datos; terceros no reciben ningún
acceso a estos datos, facilitando el cumplimiento de las regulaciones legales
de protección de datos, ya que los servidores en la nube a menudo se
encuentran en países con diferentes reglas de protección de datos.

- Integración: El software licenciado es más fácil de integrar en la

infraestructura del cliente e interconectarse con otros programas

- Costos únicos: Los licenciamientos on-premises pagan una tarifa única que
incluye la compra del software y el uso ilimitado. Sin embargo, los costes de
inversión son, en consecuencia, superiores a los de los modelos basados en
suscripciones.

- Control: El licenciamiento obtiene control total sobre todos los datos y pueden
decidir quién obtiene acceso. Los clientes también son responsables del
manejo y uso de los recursos tanto de software como de hardware.

DESVENTAJAS ON-PREMISES

- Falta de soporte: Normalmente, el desarrollo posterior del software es

descontinuado por el fabricante tarde o temprano. Una vez que esto sucede,
el soporte también tiende a llegar a su fin.

- Costos de licencia: Una licencia está limitada a un determinado número de

estaciones de trabajo. Por lo tanto, las empresas con muchos empleados
pueden enfrentar altos costos.

- Hardware: El licenciamiento del software requiere que sea compatible con el

hardware. Por su parte, la responsabilidad del mantenimiento queda a cargo
del cliente.

- Recursos: Aunque los licenciatarios tienen control total sobre el uso del
software, están obligados a confirmar sus propios recursos.

- Costos continuos: Especialmente en el caso de software personalizado,

pueden surgir altos costos continuos para los ajustes de software y
actualizaciones con el fin de mantener el software operativo y corregir
errores.

- Carga de trabajo: Los licenciamientos deben contar con instalación,

actualización, revisiones, corrección de errores, garantizar estabilidad y
realizar copias de seguridad. Por lo que se hace necesario que la

7
 organización cuente contar con personal idóneo y con conocimientos
técnicos suficientes para dicha labor.

1. Realizar el diseño de una nueva propuesta de un ambiente de infraestructura

tecnológica, con herramientas consultadas y que sean viables para su
construcción, el nuevo ambiente deberá de contar con los siguientes servicios
como mínimo: 2

• Base de datos.

MARIADB
MariaDB es una solución de código abierto de MySQL, tiene soporte comercial.
Funciona bajo una licencia pública general de GNU y tiene comandos, API y
bibliotecas similares como MySQL. Dado que MariaDB está cerca de MySQL, se
puede utilizar para trabajar con los mismos tipos de aplicaciones basadas en web.
Además, obtendrá almacenamiento de datos de ubicación extendido, mayor
rendimiento y escalabilidad mejorada. Sus ventajas son las siguientes:

- Alto rendimiento
- Cifrado
- Amplia funcionalidad

MICROSOFT SQL
Microsoft SQL Server es una herramienta completamente comercial, y entre los
DBMS es uno de los más populares. Se enfrenta adecuadamente a la gestión de
datos relacionales, así como al almacenamiento. El lenguaje más utilizado por los
expertos es el Transact-SQL (T-SQL), que viene siendo una extensión de SQL.
MSSQL SERVER se convierte en una gran opción para las organizaciones

- Solución de datos empresariales de extremo a extremo

- Compatibilidad con bases de datos que puedan estar en la nube
- Documentación enriquecida y asistencia comunitaria
- Variedad de versiones

• Servicio web.

8
 JAVASCRIPT
Node.js es actualmente la tecnología más popular en el desarrollo web; es un
entorno en tiempo de ejecución para Javascript en el lado del servidor, en pocas
palabras, permite que Javascript se utilice para el desarrollo del lado del servidor.
Ahora, esto no sería suficiente para hacerlo tan popular como es, el verdadero
estado de la técnica en esta tecnología es el hecho de que ejecuta código
asincrónico en el servidor. Esto aumenta el rendimiento del servidor, haciéndolo
más rápido y capaz de manejar más solicitudes/conexiones. La comunidad de
nodos está creciendo muy rápido y el administrador de paquetes de nodos (NPM)
cuenta con la mayor cantidad de paquetes con más de 650.000 paquetes
disponibles para crear las aplicaciones.

RUBY
Ruby es un lenguaje dinámico potente, que es extremadamente amigable para
principiantes y se centra en la simplicidad y la productividad. Hay un debate en curso
sobre si es más fácil que Python o no, pero digamos que son de aproximadamente
el mismo nivel. Rails, un marco de desarrollo web de MVC Ruby, llevó el lenguaje a
nuevas alturas y se convirtió en el marco de referencia para muchos
desarrolladores, ya que se centra en el prototipado rápido y el patrón de convención
sobre configuración. Rails no es el único marco de rubí por ahí, hay Sinatra, Cuba,
Hanami y algunos otros.

• Servicio de alojamiento de archivos.

SEAFILE
Seafile es un sistema de almacenamiento en la nube de código abierto con
características de protección de privacidad y trabajo en equipo. Las colecciones de
archivos se denominan bibliotecas. Cada biblioteca se puede sincronizar por
separado. Una biblioteca también se puede cifrar con una contraseña elegida por el
usuario. Seafile también da la opción de crear grupos a los usuarios y compartir
archivos más fácilmente. Cuenta con las siguientes funciones:

- Intercambio de archivos y colaboración

- Protección de la privacidad
- Documentos en línea y gestión del conocimiento (Nuevo)
- Sincronización de archivos
- Cliente de escritorio

9
 SYNCTHING
Syncthing es una aplicación punto a punto de código abierto que ofrece servicio de
sincronización de archivos. Disponible para sistemas operativos de Windows, Mac,
Linux, Android, Solaris, Darwin y BSD. Al ser una aplicación de sincronización, tiene
la capacidad de sincronizar archivos entre dispositivos de una red local o entre
dispositivos remotos a través de Internet. Esta aplicación reemplaza la
sincronización propietaria y los servicios en la nube con algo abierto, confiable y
descentralizado. Cuenta con las siguientes funciones:

- Fácil de usar
- Código abierto

• Servicio de CMS.

JOOMLA
Joomla es un software que permite gestionar contenido de código abierto creado
por Mambo. Es relativamente fácil de usar con una interfaz de usuario pulida, flexible
y potente y una comunidad de desarrolladores fuerte. La biblioteca de plugins es lo
suficientemente grande y contiene varios plugins y extensiones de uso gratuito.
Incluye componentes, plugins, plantillas, módulos e idiomas a través de los cuales
los desarrolladores pueden agregar varias capacidades como contenido dinámico y
funciones de búsqueda a una página web. Fue diseñado originalmente como un
CMS de nivel empresarial y por lo tanto puede manejar un gran número de artículos
que WordPress. Tiene cierta curva de aprendizaje y también carece de capacidades
SEO (optimización de motores de búsqueda).

MAGENTO
Es una plataforma de comercio electrónico desarrollada en código abierto, que
alimenta sitios web de negocios, de pequeñas tiendas locales y enormes cadenas
internacionales. Es fácil de integrar con muchos sitios de terceros y servicios de
envío como FedEx y UPS. Es una plataforma particularmente rica en características
y viene con características de SEO (optimización de motores de búsqueda)
integradas, que ofrecen herramientas de marketing en línea que ayudan a los
compradores a calificar y revisar productos. Puede manejar varias tiendas y se
puede personalizar fácilmente. Ofrece mejoras claras sobre cualquiera de sus
predecesores y es actualizado regularmente por diseñadores con el apoyo de la
gran comunidad web magento.

10
• Servicio de ERP.

SAP
SAP significa Aplicaciones y productos del sistema en el tratamiento de datos. SAP
ERP cuenta con diferentes módulos, entre los cuales están el módulo de
contabilidad de activos fino, ventas, financiera, adquisiciones, planeación, entre
otros. Evita la duplicación de datos y ayuda a agilizar el proceso de toma de
decisiones.

ORACLE ERP
Oracle Enterprise Resource Planning (ERP) es un conjunto principal de aplicaciones
de software como servicio (SaaS) de Oracle Cloud. La nube consta de Project
Management, Accounting Hub, Procurement Cloud y Oracle Risk Management. Es
fácil de usar y permite una fácil organización de datos.

2. Realizar una propuesta de acciones necesarias para mantener la nueva

infraestructura de manera segura, puede considerar: firewall, waf, ids/ips,
hids, herramientas de monitoreo, hardenización (CIS Benchmark), etc, puede
apoyarse en un diagrama para explicarlo si es necesario.

• Análisis y gestión de registros

Un registro, en un contexto informático, es la documentación producida

automáticamente y con sello de tiempo de eventos relevantes para un sistema
determinado. Prácticamente todas las aplicaciones y sistemas de software
producen archivos de registro. La gestión de registros son los procesos y políticas
colectivas utilizados para administrar y facilitar la generación, transmisión, análisis,
almacenamiento, archivado y eliminación definitiva de los grandes volúmenes de
datos de registro creados dentro de un sistema de información.

• Evaluación de vulnerabilidades:
El objetivo de una evaluación de vulnerabilidades es validar las configuraciones de
host y producir una lista de vulnerabilidades conocidas existentes en los sistemas
que están en el ámbito. Las pruebas se limitan a comprobaciones relativamente
seguras diseñadas para limitar cualquier impacto negativo a los entornos.

• Endurecimiento y estandarizaciones

11
Este servicio proporciona recomendaciones prácticas que se basan en mejoras de
seguridad que buscan ayudar las organizaciones. Incluyen configuraciones
seguras, herramientas automatizadas, métricas de contenido y seguridad. Las
organizaciones se basan en estándares de seguridad prescriptivos, como los puntos
de referencia de la CEI, los STIGs DISA y los requisitos de seguridad mínimos
internos, para garantizar que se apliquen los controles adecuados.

• Escaneo de penetración
Las pruebas de penetración se realizan para determinar la resistencia del perímetro
de la red contra las amenazas de atacantes remotos a través de Internet. Primero
modela y prueba vectores de ataque técnico potenciales que normalmente tienen el
objetivo de violar la seguridad perimetral y obtener acceso no autorizado a sistemas
y datos confidenciales. Además de los ataques directos tradicionales en la red, el
sistema operativo y las aplicaciones, también se realizarán ciertas pruebas del lado
cliente para probar que tan eficientes son los sistemas de detección de virus y
malware y los servidores proxy de correo electrónico.

• Escaneo de aplicaciones web

El servicio de escaneo de aplicaciones web aprovecha las herramientas y tecnología
de escaneo de aplicaciones líderes en la industria (por ejemplo, Qualys) para
evaluar la seguridad de la red de las aplicaciones web del cliente e identificar
defectos que podrían amenazar su presencia en línea y/o la confidencialidad de la
información. Estos servicios ayudan a identificar vulnerabilidades con las
aplicaciones web y, por lo tanto, permiten a los clientes proteger sus aplicaciones
web mientras mantienen el cumplimiento.

• Informes de cumplimiento
Los servicios de informes de cumplimiento deben basarse en plantillas de informes
de cumplimiento predefinidas, como PCI DSS, FISMA, GLBA, SOX, HIPAA e ISO
27001, etc. Se realiza recopilando, analizando y archivando registros de eventos de
Windows y syslogs recibidos de la infraestructura de red del cliente. Esto ayuda a
las organizaciones a conservar y/o archivar datos de registro durante un período de
tiempo personalizado. Archivar datos de registro durante un período de tiempo
flexible ayuda a los administradores a realizar análisis forenses en los registros
archivados para cumplir con los requisitos de auditoría de cumplimiento, investigar
los robos de datos y realizar un seguimiento de los intrusos de red.

• Gestión de dispositivos de seguridad

El servicio de administración de dispositivos de seguridad aborda la supervisión y
administración de seguridad de dispositivos y sistemas de seguridad. Los
dispositivos incluyen firewalls, IDS/ IPS, WAF, SIEM, antivirus y malware, y VPN.
La colaboración con equipos de administración de SP y/o end-client Service y SOC
puede establecer un proceso de administración de copia de seguridad y

12
restauración, incluidos los requisitos de programación para backup de
configuración y backups ad hoc (según sea necesario), en función de las
necesidades de administración de cambios o solución de problemas.

Controles de Seguridad CIS

Los controles CIS son una serie de mejores prácticas que buscan atenuar los
ataques más habituales que se dan en las redes y los sistemas. Dichos controles
fueron desarrollados por profesionales expertos en TI, teniendo como base
información de ataques reales y las defensas utilizadas de manera efectiva.

Los controles de Seguridad CIS, comprenden un conjunto de 20 recomendaciones

de densa informática en torno a la seguridad de las organizaciones, dividas en tres
categorías diferentes: básicas, fundamentales y organizacionales. Cada uno de
estos 20 controles de CIS se divide a su vez en sub-controles1

Adicional de los controles básicos, fundamentales y organizaciones, la última

versión 7.1, los controles CIS se priorizan en Grupos de Implementación (IG),
identificando cuáles sub-controles debería implementar una organización
dependiendo del perfil de riesgo y de los recursos con los que se cuenta. Para mayor
detalle de los controles en la figura 1 se encuentran representados por grupo.

1
¿Qué son y cómo implementar los Controles de Seguridad Crítica CIS?. Portal ManageEngine. [En
línea]: Disponible en: https://www.manageengine.com/latam/controles-de-seguridad-critica-
cis.html#:~:text=Desarrollados%20por%20el%20Center%20for,cumplimiento%20en%20una%20er
a%20de

13
Figura 1. Controles CIS Básicos, Fundamentales y Organizacionales

Fuente: Center for Internet Security.

14
 CONCLUSIONES

- Con el desarrollo de la guía de trabajo se logró afianzar en los conceptos

tecnológicos y metodologías más seguras para implementación en una
organización.
- Se determinó que una tecnología On-promise es la más acertada para el
caso de estudio.
- Se detallaron los componentes que servirán de aporte tecnológico de manera
eficiente para Quality SAS.
- Se proponen diferentes tecnologías que lograran dar mayor seguridad al
entorno tecnológico de Quality SAS.

15
 BIBLIOGRAFÍA

Baca Urbina, G. (2016). Introducción a la seguridad informática. México D.F,

Mexico: Grupo Editorial Patria. (pp 290-319) Recuperado de https://elibro-
net.bibliotecavirtual.unad.edu.co/es/ereader/unad/40458?page=46

Gómez Vieites, Á. (2015). Gestión de incidentes de seguridad informática. Madrid,

Spain: RA-MA Editorial. (pp 15-52) Recuperado de https://elibro-
net.bibliotecavirtual.unad.edu.co/es/ereader/unad/62467?page=13

OWASP. (2017). OWASP Top Ten. Recuperado de https://owasp.org/www-project-

top-ten/

Illa Gay, R. (2019). Seguridad en servidores empresariales. Control y análisis de

configuraciones de seguridad y de vulnerabilidades. (pp 36-43) Recuperado de
http://hdl.handle.net/10609/95326

Peña Hidalgo, H. J. (2020). Vulnerabilidades en servicios informáticos [Archivo de

video]. Recuperado de https://repository.unad.edu.co/handle/10596/38516

16