PLANTEAMIENTO DEL PROBLEMA

Descripción del problema: Actualmente la empresa forestal “kuriche”, posee una

infraestructura de TI en su casa matriz (Data center) ubicada en la zona de Temuco,
además de 04 sucursales en Angol, Lebu, Chillan y Los Ángeles. El acceso de todas
las sucursales a internet es a través del sitio principal o casa matriz, el respaldo de cintas
se hace solo de los datos de la base de datos y se guarda una copia en cintas en la
casa matriz y en una oficina a 5 km (el traslado de las cintas es usando un vehículo
particular. El cableado de la infraestructura de red es categoría 5, los sistemas
operativos de los servidores no se encuentran actualizados, no existe control de
contenido en Internet, el acceso a al edificio corporativo es utilizando una tarjeta “TAG”
RFI. Luego de una auditoría realizada en la empresa se demostró que los usuarios
facilitan sus contraseñas para el ingreso a los recursos de la red, el personal se queja
que la red esta lenta en la navegación a Internet. Los servicios de Base de datos, correo
y servidor web entraron en producción sin pasar por un análisis de seguridad. Los
sistemas operativos de los servidores de bases de datos son MS Windows 2012 R2 ,
correo Linux Centos 7 y Server Web Linux Red Hat 8.0 , las estaciones de trabajo son
todas Windows 7. Los servicios Web que se encuentran en la DMZ publica a menudo
no responde, no existen políticas de seguridad en las estaciones de trabajo y los puertos
USB están liberados, los usuarios pueden utilizar desde la red de la empresa sus
cuentas de correo personales, no hay un producto corporativo de antivirus.

Diagrama de red

A
n
Los
Ánge

Te
Ch mu
illa
DISEÑO DE MATRIZ DE RIESGO (Ejemplo)

En el Cuadro 1, se definirán los valores que calificaran la probabilidad de amenaza

contra cada activo y el Cuadro 2 la magnitud de daño de cada activo contra la amenaza
detectada, al multiplicar entre si estos valores se obtendrá un valor que informara el nivel
de impacto que tendría la amenaza sobre el activo identificado, como lo informa el rango
de valores del Cuadro 3
Cuadro 1. Rango valores magnitud del daño

Baja Mediana Alta

Magnitud del daño 1 2 3

Cuadro 2. Rango valores probabilidad de amenazas

Baja Mediana Alta

Probabilidad de 1 2 3
Amenaza

Cuadro 3. Rango valores nivel de Impacto

Bajo Medio Alto

Nivel de Impacto

I.- MATRIZ DE RIESGO SOLICITADA

Activo Riesgo Impacto Recomendaciones Controles

Nombre Tipo de riesgo Nivel de impacto Recomendaciones Que controles se
del activo del activo del activo en la de mejoras para deben realizar
organización reducir el impacto para evaluar las
del activo recomendaciones
solicitadas

II.- Indique que mejoras realizaría a:

2.1.-- Control de acceso a las dependencias

2.2.- Control de acceso a los recursos de la red

III.- Para los servicios que están en producción, deberán indicar:

3.1.- Recomendaciones (Mejores Prácticas)

3.2.- Herramientas de análisis de seguridad explicando su funcionamiento

IV.- Indicar para servicio de antivirus:

4.1.- Solución de antivirus comercial (justificar con respecto a otras alternativas)

4.2.- Cliente para Server y Estaciones de trabajo

V.- Indique para análisis de posibles ataques Internet e Intranet

5.1.- Solución de IDS o IPS (Justificar)

5.2.- Solución comercial a utilizar (Justificar con respecto a otras alternativas)

VI.- Indique mejoras de seguridad del DATA CENTER para HA

6.1.- En un diagrama

Nota: Dispondrán de la clase de hoy 07/09/2020, para realizar consultas

Fecha de entrega 14/SEP/2020

El informe debe considerar:

- Portada
- Índice
- Desarrollo
- Conclusión
- Bibliografía utilizada