Introducción:

xxxx es una empresa de desarrollo de Software que actualmente se encuentra alquilando 2

pisos de un edificio cerca en Palermo como casa central, donde se encuentran distribuidas
las áreas de Administración, Recursos Humanos, Ventas, Desarrollo, Outsourcing.
El área de Outsourcing cuenta con empleados trabajando en los distintos clientes.
Actualmente la empresa tiene contratada una cantidad total de 50 personas, donde trabajan
10 personas en el edificio central y el resto repartidos entre los distintos clientes.
En cada piso tenemos un switch por el cual se le suministra red a los distintos equipos
(separados en VLAN) que se encuentran en el piso. En el datacenter tenemos un servidor
dedicado para las VPNs de los empleados en los distintos clientes, y desde donde se
suministra internet a los demás switches de cada piso.
El área de outsourcing tiene que tener la posibilidad de poder trabajar remotamente y todos
los empleados cuentan con notebook para poder trabajar libremente por las oficinas.
En cada piso se encuentran 2 salas, donde por piso una es para reuniones con clientes o de
directivos y la otra es para reuniones de equipo. Ambas salas se acceden mediante tarjetas
de seguridad, poseen acceso a la red interna e internet por cable o wifi.
La empresa utiliza una herramienta online en la cual se puede conectar desde internet por
medio de usuario y password.

El outsourcing trabaja con notebooks configuradas específicamente para trabajar e ingresar

a la VPN remotamente, también al desarrollador se le entrega celulares con 4G para
mantener comunicación, el control y la conectividad.

Los desarrolladores pueden trabajar desde cualquier lugar mientras el cliente quiera y/o lo
permita el cliente.

Tecnologías:
Intranet: Información para los empleados y administración
repositorio git: almacena desarrollos del departamento de it de la empresa
sistemas crm/hr: software para manejar el stock y realizar ordenes de compra.
software de administración/cobranzas
Base de datos: base de datos de clientes, proveedores, empleados, transacciones, etc.
VOIP: telefonia ip para la comunicación de la empresa
Mail: el servicios de mail es tercerizado a través de googles apps (for work)
Camaras de seguridad: en casa central y sucursales
FTP: servicio de transferencia de archivos utilizados principalmente para almacenar el video
de la sucursales en casa central.

Topologia General
Análisis de vulnerabilidad

# Activo Amenaza Vulnerabilidad Probabilidad Importancia Id

1 PC Suplantació Contraseñas alta medio 1

Escritorio n de fáciles/ máquinas
identidad logueadas sin supervisión

Robo Falta baja alta 2

de control de acceso

Destrucción Falta baja baja 3

de protección de los
equipos

Spyware / Desconocimiento medio alta 4

Crimeware / de cómo usar internet,
Phishing / páginas peligrosas
Malware

2 Laptops Suplantació Contraseñas fáciles/ medio medio 5

n de máquinas logueadas sin
identidad supervisión

Destrucción Falta baja alta 6

de protección de los
equipos

Robo Posibilidad baja baja 7

 de los empleados de
llevarse el equipo

Divulgación Ambiente medio alta 8

de en el que se encuentra
información el equipo

Spyware Desconocimiento alta medio 9

/ de cómo usar internet,
Crimeware / páginas peligrosas
Phishing /
Malware

3 Telefonía Suplantació Utilización de la línea y medio alta 10

IP n de generación de costos sin
identidad restricción

Robo Falta baja baja 11

de control de acceso

Denegación Seguridad medio medio 12

de Servicio ineficiente servidor de
telefonía

4 Celulares Robo Posibilidad de los baja medio 13

empleados de llevarse el
equipo

Suplantació Contraseñas medio alta 14

n fáciles/ máquinas
de logueadas sin supervisión
identidad

Spyware Desconocimiento medio alta 15

/ de cómo usar internet,
Crimeware / páginas peligrosas
Phishing /
Malware

5 Switches Puertos Máquina en modo medio alta 16

Layer 3 Abiertos promiscuo

6 Routers Vulnerar Contraseñas fáciles baja alta 17

Wifi Contraseña

Acceso Baja medio alta 18

no seguridad
autorizado

Puertos Mala medio alta 19

Abiertos configuración

7 Impresora Divulgación Cualquier medio medio 20

s de persona puede imprimir
información en cualquier lado

8 Servidores Inundación Se encuentra en zona baja alta 21

baja

Incendio No medio alta 22

 dispone un buen sistema
ignífugo

Acceso No alta alta 23

no hay control de acceso
autorizado

Suplantació Contraseñas baja alta 24

n fáciles/ máquinas
de logueadas sin supervisión
identidad

Puertos Mala medio alta 25

Abiertos configuración

Denegación Seguridad medio alta 26

de Servicio ineficiente de servidor

9 Base de Suplantació Mala configuración baja alta 27

Datos n de
identidad

Robo Mala baja alta 28

de configuración
información

10 Fibra Corte Falta de conectividad baja alta 29

Óptica

11 Empleado Spyware / Desconocimiento de alta medio 30

s Crimeware / cómo
Phishing / usar internet, páginas
Malware peligrosas

Divulgación Posibilidad alta alta 31

de de los empleados de
información conocer información
sensible

12 Edificio Inundación Se baja alta 32

encuentra en zona baja

Incendio No medio alta 33

dispone un buen sistema
ignífugo

Políticas de Seguridad

Id Activos Política

1, 5, 14, 17, 24, 27, 28 Definición de parámetros de contraseña robusta (8 caracteres

mínimo, 1 mayúscula y 1 minúscula como mínimo, 1 carácter
numérico, 1 carácter especial)

2, 7, 11, 13, 18, 23 Sistema de control de acceso mediante tarjeta magnética

 3, 6 Capacitación al personal para la correcta preservación del
equipo

4, 9, 15, 30 Capacitación al personal de forma semestral. Instalación

Antivirus y Antimalware

7, 13 Seguro contra robo

8 Contrato de confidencialidad

10 Definición de contraseña para realizar llamados al exterior de la

compañía

12 Usar versionador para permitir trabajar offline.

14 Encriptación del dispositivo

16 Usar protocolo HTTPS

19,25,28 Utilizacion de VLAN

20 Mapeo de impresora mediante logon script sin posibilidad de

modificar la impresora

21, 32 Ubicación en terreno alto

22, 33 Matafuegos especiales para equipos eléctricos y sistema

ignífugo central

26 Utilizar Firewall

29 Tener más de un proveedor de internet

31 Contrato de confidencialidad

La org cuenta con una autoridad certificamente para Certificados para firmar el codigo de
desarrolladores, para VPN y firma digital para recibos de sueldo