LISTA DE CONTENIDO DEL PROYECTO NEW TIME

INTRODUCCIÓN
1. OBJETIVOS
1.1. Objetivo General
1.2. Objetivo específico
2. CASO ESTUDIO

La empresa NEWTIME, es una empresa que presta servicios de procesamiento de datos y servicios de
almacenamiento de Datos. Esta organización se ha tomado el tiempo necesario para considerar la seguridad como
un elemento importante dentro del negocio, ha decidido contratar una consultoría de seguridad y quiere que la
empresa consultora le realice un diagnóstico de seguridad, así como el diseño e implementación del modelo de seguridad
acorde con el negocio de la empresa.

Descripción del ambiente:

La organización cuenta con su DATA CENTER para mantener sus equipos dedicados a procesamiento y
almacenamiento de Datos. Los servidores dedicados al procesamiento se encuentran en la LAN Sin restricción.
Los equipos de almacenamiento se encuentran en un área perimetral protegidos por un firewall con acceso
permitido a todos los servicios de la red. En la actualidad la organización está ofreciendo a los clientes el servicio
de almacenamiento externo para proteger su información, pero no tiene unas normas de clasificación de
información adecuada. La empresa tiene un switch capa 3 de 48 puertos para recibir a 20 clientes externos con
enlaces dedicados permanentes por cada cliente, estos clientes solo tienen acceso a los servidores de
almacenamiento definidos por la empresa Newtime de Colombia.

Igualmente se tiene un router de frontera que proporciona conectividad con Internet para sus clientes internos y
externos, para los clientes externos se utiliza el enlace de Internet como contingencia a los enlaces dedicados
existentes. Los usuarios internos tienen salida a Internet por el mismo canal, pero lo hacen a través del Proxy sin
ninguna restricción, así mismo se tiene el servicio de transferencia de información para los clientes externos por
Internet. La empresa tiene un servidor Web transaccional en alta disponibilidad ya que tienen una línea de
negocios de comercio electrónico por Internet, este tiene una conexión a un servidor de aplicaciones con el cual se
conecta a la Base de Datos que se encuentra en la red LAN.

En la red LAN se tiene cuatro subredes que están interconectadas entre si, dos corresponden al piso 3 con 20
usuarios cada uno y dos en el piso 6 con 30 usuarios cada uno. El servidor Windows 2003 Server es el servidor de
autenticación, en la organización se tienen dos servidores de correo uno en la red interna y el otro en la zona DMZ
hacia Internet.

La empresa Newtime es consciente de los problemas que se tienen, pero requiere que siempre los usuarios del
área comercial tengan acceso a la información de clientes que se encuentran en el servidor de base de datos en el
cual no hay restricción alguna.

El área de sistemas está encargada de administrar la infraestructura tecnológica e implementó una herramienta
para la gestión de la red con el protocolo SNMP con comunidades públicas de lectura para tener acceso a la
plataforma computacional y comunidades privadas de escritura para realizar cambios sobre la infraestructura en
caso de ser requerido.

La red Interna conmutada ha sido optimizada atendiendo a su máximo rendimiento, se decidió cambiar los equipos
activos (hubs por Switches) que se interconectan entre los diferentes pisos, así mismo decidió cambiar el
direccionamiento, utilizaban un bloque de direcciones clase A (64.0.0.0), y fue cambiado por un esquema de
direccionamiento clase C (200.10.1.0).

Los usuarios administradores tienen acceso desde Internet a los servicios de la empresa por terminal Services sin
protección alguna.
La empresa NEWTIME tiene un plan de continuidad del negocio no documentado en la ciudad de CALI, se tiene
una réplica del DATA CENTER con un canal dedicado sin seguridad, en este se tienen solo los servicios críticos
del negocio, sin pruebas de efectividad.

Los usuarios internos tienen acceso a todas las impresoras de la compañía y no se tiene control sobre la
información que imprimen, de igual manera tienen acceso al servidor de archivos en la cual tienen todas las
unidades de red compartidas de full control (lectura, escritura, listar, modificar, eliminar) permitido.

El departamento de recursos humanos envía una información importante por correo electrónico a las entidades
prestadoras de servicios, esta información es recibida en claro sin ningún nivel de protección. Las entidades
prestadoras solicitan a la compañía que toda la información que se envíe debe estar encriptada y enviada por un
canal seguro.

La organización tiene un área física definida para los servidores de apoyo al negocio, pero no cuenta con las
normas existentes para protección de la información. Así mismo se tiene acceso a esta área sin los controles
adecuados.
Newtime quiere garantizar la disponibilidad sobre toda su infraestructura tecnológica, pero no tiene acuerdos claros
de servicio con sus proveedores de mantenimiento correctivo y preventivo.

El administrador de la red permite que los usuarios de la compañía puedan descargar software no autorizado y
tengan acceso a páginas de almacenamiento personal en la red. El acceso a las aplicaciones de contabilidad se
realizan con usuarios genéricos y de la cual tienen acceso todos los funcionarios del área contable. La empresa no
cuenta con un programa de sensibilización y capacitación en los temas de seguridad informática.

Esta compañía requiere diseñar e implementar una infraestructura de seguridad que se ajuste a su negocio,
igualmente requiere diseñar un modelo de seguridad de acuerdo a las normas internacionales ISO 27001 para
certificar sus procesos de negocio y tener un sistema de gestión de seguridad de la información administrable y
monitoreado.
 3. DIAGNÓSTICO

3.1. CARACTERÍSTICAS DE LA RED

ELEMENTOS DE LA RED
ELEMENTO FUNCION Y CARACTERISTICAS

Escribir cuales son las apreciaciones frente a las condiciones de la empresa y cuáles son los principales problemas

3.2. TOPOLOGÍA DE LA RED ACTUAL

3.3. TOPOLOGÍA DE LA RED PROPUESTA

4. PANORAMA DE RIESGOS
4.1. VULNERABILIDADES

TIPO DE
VULNERABILI
DAD
ACTIVOS VULNERABILIDAD
Técnico –
administrativo –
físico
EJEMPLO: No existen ACL Técnico
Router de
frontera
No existe configuración de los servicios del Router. Técnico
 No se tiene actualización del S.O. Técnico

4.2. AMENAZAS
TIPO DE AMENAZAS
(Naturales,
ACTIVOS AMENAZA
politicosociales, físicas,
humanas)
Robo de información Humana
EJEMPLO: router de frontera Acceso a servicios no permitidos Humana
Menor rendimiento del Router Humana

4.3. CONTROLES

CONTROLES
ACTIVOS CONTROLES (Preventivos, detectivos,
correctivos)
Definir e implementar procedimientos para configurar y restringir
el acceso a los servicios de red o a las aplicaciones, cuando sea
necesario. Correctivo
Router de frontera
Acceso a servicios no permitidos Correctivo
Establecer procedimientos de implementación de actualizaciones
y nuevas versiones para los sistemas operativos Correctivo
 5. LISTA DE CHEQUEO
LISTA DE CHEQUEO
INFORMACION GENERAL
Fecha:          
Datos del Evaluador:
Nombre
:   Telefono:     Mail:
Datos de la Empresa:        
Nombre: Ciudad:     Localidad:
Dirección: Telefono:      
Nombre del Representante: Telefono:     Mail:
CUESTIONARIO SI NO N/A COMENTARIOS
A.5 POLITICA DE SEGURIDAD
A.5.1 Se tiene un documento aprobado de politicas de seguridad de la informacion.   X   No existe un documento en el que se
A.5.2 Se monitorea el cumplimiento de las políticas de seguridad periodicamente.   X   encuentren especificadas las politicas de
A.5.3 Se actualizan periodicamente las políticas de seguridad.   X   seguridad de la información.
A.6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACION
A.6.1 Participa la Dirección en los temas de seguridad de la información.   X    
A.6.2 Existe un comité de seguridad de la información.   X    
Estan definidas claramente las responsabilidades de las personas que
A.6.3
intervienen en la seguridad de la información.   X    
Existen acuerdos de No-divulgación o Confidencialidad de la información para
A.6.4
contratistas y terceros.   X    

6. RECOMENDACIONES TECNICAS

7. CONCLUSIONES DEL TRABAJO