NOTA

PROYECTO FINAL DE SEGURIDAD DE LA INFORMACIÓN

TALLER : Fundamentos de Seguridad Información ISO 27001
PROFESOR : Robert Legua Herrera

Alumno: RAYBER MARIO YECKLE ARTEAGA

CASO PRACTICO: EXTREME ADVENTURE TOURS

Extreme Adventure Tours ( EAT) inicio sus operaciones en marzo del 2008. Unas parejas de esposos
fundaron la agencia de viajes con un nuevo enfoque. EAT se especializo en el turismo de aventura
extrema. Sus paquetes más populares son la travesía al Sahara, Tailandia y una expedición canoa en
Canadá.
EAT alquila sus locales comerciales en un edificio de oficinas situado en el centro de la ciudad. Las
parejas de esposos se han centrado en la creación de una red de distribuidores y una agencia de viaje
virtual.

La agencia de viaje ha experimentado un crecimiento impresionante, firmando acuerdos de

colaboración con varias agencias de viajes de interés general. En menos de 18 meses, EAT logro
contar con una red de 75 socios en 20 países. La empresa que ha tenido un sitio web promocional
desde el 2009 inicio su operación de portal de viajes en mayo del 2011. La persona a cargo de la
comercialización está orgullosa de que actualmente tiene más de 76000 miembros registrados en el
sitio web, lo que representa una cartera de clientes calificada y valiosa. EAT ha generado nuevos
ingresos mediante la reventa de las listas de clientes desde el 2009.
El dueño de la empresa cree que Internet permitirá a EAT seguir creciendo a un costo menor que si se
abriera una red de sucursales en el extranjero. La creación de una agencia de viajes virtual donde los
clientes puedan comprar todos sus productos de EAT en línea, permitiéndole extender sus actividades
a nivel mundial. Además, EAT ve la posibilidad de generar ingresos adicionales mediante la adición
de guías personalizadas para su gama de productos y por la venta de espacios publicitarios en su sitio
web. Por ultimo para temas administrativos se cuenta con una Intranet, que facilitara el intercambio de
información entre sus socios, clientes y la oficina central.
Para controlar los costos de operación, EAT opto por adoptar un modelo virtual de negocios
corporativos. La empresa sub contrata la mayor parte de sus operaciones. El sitio web, el centro de
atención telefónica, la contabilidad, el cobro de cuentas vencidas, la búsqueda de socios, el marketing
y la publicidad. Los dueños decidieron concentrase en los procesos que cran valor, la creación de
productos turísticos y la gestión de los socios. Como dato el centro de atención telefónica al cliente le
fue dado a una empresa de la India, la búsqueda y clasificación de los socios a una empresa
norteamericana, el desarrollo de material de marketing fue confiado a varias agencias de publicidad
tras una convocatoria de ofertas.

La empresa actualmente factura 10 millones de dólares canadienses, solo tiene 15 empleados a tiempo
completo y 8 empleados a tiempo parcial que trabajan principalmente desde su casa. Los guías
turísticos son empelados contratados que reciben pagos fijos por todos sus servicios. EAT tiene
una base de datos alrededor de un centenar de guías potenciales pre calificados. Cada vez que se
confirma una gira, EAT lo publica en su intranet y los guías pueden postularse para ser contratados.
Pero en la empresa no tos es felicidad, últimamente se han producido algunos incidentes, por ejemplo,
algunos socios se han quejado por errores en las facturas emitidas por EAT. Algunos
clientes que escribieron mensajes por correo electrónico no recibieron hasta después de varias
semanas.

Desarrollo del Sitio WEB

Para el desarrollo de la página web y el nuevo sistema, EAT hizo varios llamados a licitación y
contrato los servicios de Web Transit, una compáñia consultora de renombre en el ámbito del
comercio electrónico.
La primera etapa consistió en el desarrollo de una Intranet para la administración y la integración del
nuevo sistema contable. El objetivo de la segunda etapa es mejorar la comunicación entre los socios,
guías de turismo asociados, consultores y la sede central, garantizando la consulta remota de bases de
datos y de informes financieros. La intranet también permite entrada de información a distancia, tal
como informes de gatos y hojas de asistencias para acelerar le procesamiento, y, a un costo menor.

La segunda etapa fue trasformar el sitio web promocional en un sitio web transaccional para ser sede
de la agencia de viaje virtual. EAT ha automatizado y simplificado el máximo número de sus
operaciones gracias a los pagos electrónicos y ha integrado en parte la Gestión Electrónica de
Documentos.

Los cambios realizados Internet ocupa un, lugar importante en las operaciones comerciales de EAT.
En primer lugar, los clientes potenciales consultan el sitio web para obtener información sobre los
diferentes productos y servicios ofrecidos, así como la información general sobre la empresa.
El cliente que quiere realizar una orden de compra o consultar una guía de viajes personalizada debe
registrase primero, para ellos debe completar un formulario en pantalla, indicando sus nombres,
información de contacto, correo, número de tarjeta de crédito e información personal (edad, sexo,
áreas de interés, etc.). Al llenar el formulario de inscripción, el cliente acepta recibir un boletín
electrónico de EAT por correo electrónico. También autoriza a promocionar esta información los
socios comerciales, para ser uso con fines promocionales. Solo la información de la tarjeta de crédito
se mantiene en confidencial.
Todo esto se registra en la gran base de datos de EAT. El cliente puede acceder al sitio utilizando su
código de usuario y su contraseña que fue creada considerando que debe contener como mínimo 08
caracteres como política de contraseña. Pude realizar comparar de paquetes en línea turísticos y
pagarlo con total seguridad. A pesar de la automatización del proceso, EAT quiere asegurase de
mantener un servicio de alta calidad para su base de clientes.

Descripción de los Servicios de Información

El sistema de recepción de órdenes de compra y el sistema de administración del sitio web son
versiones personalizadas de software desarrollado especialmente y que son propiedad de Web Transit
para el comercio electrónico en al ámbito de viajes. EAT no tiene acceso a la versión del código de los
programas y sistemas, y todos los cambios deben ser realizados por Web Transit.
El servicio de información esta garantizo por el encargado de mantener el sitio web habilitado
( Webmster) y un administrador de la red. El administrador de la red es responsable del mantenimiento
de todos los sistemas de información y de redes, la gestión de la seguridad, la administración de las
bases de datos, la gestión de incidentes y soporte a los empleados. El Webmaster se encarga
especialmente de actualizar el contenido del sitio web y ayudar al administrador de red con el soporte
al usuario.
Arquitectura del Sistema de Información y descripción de la Red
EAT utiliza el sistema operativo Windows server 2008 incluyendo el servicio de información de
internet de Microsoft IIS para operar el servicio de servidor de internet. Se cuenta con tres servidores.
El primero contiene las bases de datos, segundo tiene todas las aplicaciones para e sistema de toma de
órdenes de compra y el sistema de contabilidad, y el ultimo se dedica a la administración del sitio web
y de los correos electrónicos.

Las estaciones de trabajo son equipos IBM , con sistema operativo Windows XP y Windows 7 con
aplicaciones básicas como Herramientas ofimática, están vinculadas a la red de datos ( LAN ) y con
router que garantiza una conexión permanente a la red e internet.
 Pregunta 01 : Explique Ud. como especialista en seguridad ¿Por qué necesita mi empresa
implementar una ISO 27001? (03 puntos).

La empresa Extreme Adventure Tours (EAT) se requiere implementar por:

 Porque, al implementar un Servidor de Base de Datos, Servidor de aplicaciones y

Servidor web y de correo electrónico se requiere reducir los riesgos de incidentes
de seguridad, identificando cada uno de estos riesgos minimizando y aumentando
el control y su seguridad.
 La implementación de los mecanismos de control de estos 3 servicios a
implementar ayudara que ante cualquier imprevisto de producirse algún problema o
un incidente, la implementación de este ISO 27001 nos ayudara a reducir los daños
y los costos que ocasione.
 La empresa Extreme Aventure Tous (EAT) al implementar el ISO 270001 sus
clientes que adquieren sus aventuras turísticas a través de esta empresa
garantizan que los clientes y las partes interesadas aumenten su confianza con el
uso del aplicativo y los servicios que se prestan.
 También el aplicar los sistemas web, intranet y bases de datos se lograría procesos
de seguridad equilibrados y coordinados entre si .
 La empresa Extreme Aventure Tours (EAT) conseguiría reducir sus costos y aumentar sus
ganancias.

Pregunta 02 : Identifique 03 activos de información y 02 procesos de negocios que Ud.

considera importante para la organización (04 puntos).

 03 activos de información

o El sistema de recepción de órdenes de compra y el sistema de administración del sitio web

o Bases de datos y Informes financieros.
o servidor de internet, servidor de aplicaciones, servidor web.

 02 procesos de negocio
o Procesos de creación de productos turísticos.
o Procesos de la gestión de los socios.

Pregunta 03 : Identifique dos escenarios de amenazas y vulnerabilidades asociadas a los siguientes

procesos identificados e indique los posibles impactos y si el riesgo afectaría a la Confidencialidad,
Integridad y/o Disponibilidad (08 puntos).

 Proceso de Contabilidad
 Información personal de los clientes
 Página web Transaccional
PROCESO 1: PROCESO DE CONTABILIDAD

ID AMENAZA VULNERABILIDAD IMPACTOS C I D

1 INGRESO DE INFORMACIÒN PERSONAL NO CAPACITADO PARA EL INGRESO DE SALIDA DE INFORMACIÒN
INCORRECTA, ERRONEA, E INFORMACIÒN, DESCONOCIMIENTO DE PROCESOS DE INCONSISTENTE QUE GENERAN
INCOMPLETA AL PROCESO DE CONTABILIDAD PERDIDADAS ECONOMICAS, TOMA DE 3 3 2
CONTABILIDAD DECISIONES EQUIVOCADAS

2
NO ACTUALIZACIÒN Y NO ACTULIZACIÒN DE NUEVAS NORMATIVIDADES DE ECONOMICAS, EMPRESA
MEJORAMIENTO DE PROCESOS DE CONTABILIDAD DESACTULIZADA EN SU INFORMACIÒN 2 3 2
CONTABILIDAD ACTUALIZADOS QUE EMITE

PROCESO 2: INFORMACIÒN PERSONAL DE LOS CLIENTES

ID AMENAZA VULNERABILIDAD IMPACTOS C I D

1 PERDIDA DE INFORMACIÒN POR EL SERVIDOR Y SISTEMAS VULNERABLES EN SUS PERDIDAD ECONOMICAS, PERDIDA DE
ATAQUES DE HACKER PUERTOS DE ACCESO A LOS SERVIDORES DE SISTEMAS INFORMACIÒN DE CLIENTE
PROTENCIALES DE LA EMPRESA,
QUIEBRE DE EMPRESA 3 3 2

2 EMPRESA QUE ADMINISTRA LA FALLAS EN SU ADMINISTRACIÒN Y GESTIÒN DE LA PROCESOS DE VENTAS A CLIENTES

INFORMACIÒN DE CLIENTES Y SUS INFORMACIÒN ERRONEOS, INCOMODIDAD DE
PROCESOS MANEJADO POR CLIENTES Y RECLAMOS
INEXPERTOS EN SU ADMINISTRACIÒN 2 3 2
PROCESO 3: PAGINA WEB TRANSACCIONAL

ID AMENAZA VULNERABILIDAD IMPACTOS C I D

1 ATAQUE DE HACKER A SERVIDOR DE PUERTOS DE ACCESO A SERVIDOR WEB DISPONIBLE A PAGINA DE WEB COLAPSADA, PAGINA
PAGINA TRANSACCIONAL PUBLICO SIN SEGURIDAD NI PROTECCIÒN WEB NO FUNCIONAL, ALTERADA

2 2 3

2 PAGINA WEB NO SE PROTEGE DE LOS SPAM, DESINFORMACIÒN AL CLIENTE,

CREACIÒN DE PAGINAS WEB SPAN PUBLICIDAD INNECESARIA, CONTENIDO INNECESARIO INCOMODAIDAD AL USUARIO QUE
DESEA ADQUIRIR SERVICIOS EN LA
EMPRESA Extreme Aventure Tous 2 2 3
(EAT)
Pregunta 04 : Tras el análisis de riesgos realizado, se ha identificado que un 0.5% de las
transacciones electrónicas ( volumen de negocios de 10 millones ) con tarjeta de crédito en el sitio web
de la empresa son de naturaleza fraudulenta y el 70% de estas operaciones proceden de seis países. La
gestión de EAT quiere tomar una decisión sobre el tratamiento de riesgos. Justificar la elección
de los cuatros posibles opciones para hacer frente a este riesgo y las acciones a tomar. (05 puntos).

1. El protocolo SET
Uno de los primeros protocolos diseñado específicamente para proteger los pagos en Internet fue
SET (Secure Electronic Transactions). Este protocolo fue implementado por las grandes
empresas titulares de las marcas de tarjetas (Visa y Masterd Card), con la finalidad de proveer
seguridad al pago mediante tarjetas de crédito, gracias a la autenticación de las partes y al
mantenimiento de la privacidad de sus datos. Al garantizar la inviolabilidad de los mensajes
transmitidos, aporta seguridad a la transacción, impidiendo el acceso a los datos asociados a la
tarjeta, su uso fraudulento y la alteración del mensaje.

El mecanismo empleado por SET se basa en el sistema de cifrado doble, el titular cifra el pedido
con la clave pública del proveedor de bienes y/o servicios (de manera que sólo pueda ser éste
quien descifre el mensaje con su clave privada). La parte referente al pago la cifra con clave
pública de la entidad emisora o adquirente según los casos, siendo éstos los únicos que en su caso
podrán descifrar esta parte del mensaje mediante la aplicación de su clave privada. El proveedor
de bienes al recibir el pedido, remite la orden al emisor quien no tendrá acceso al contenido del
pedido pero sí a los datos necesarios para autorizar o denegar la operación, de esta manera se
garantiza la confidencialidad de la información.

Los niveles de seguridad ofrecidos por SET son bastante altos, aparte de suministrar
confidencialidad a la información, garantiza la autenticidad, la integridad y no repudio del
mensaje. No obstante la utilidad de este protocolo hemos de destacar que en la práctica comercial
no ha tenido mucho éxito, ya que para los usuarios representa un mecanismo complicado al exigir
la autenticación de todas las partes y el uso de la firma electrónica.

2. El protocolo SSL
SSL (Secure Sockets Layer) es un protocolo de uso general que facilita el cifrado de la
información, la autenticación de servidores, la integridad del mensaje y opcionalmente la
autenticación del cliente. SSL suministra servicios de seguridad en los canales de transmisión
entre vendedores y compradores, ocultando los datos intercambiados mediante un algoritmo de
cifrado simétrico que proporciona confidencialidad a la operación. A diferencia del protocolo
SET, carece de capacidad para verificar la validez del número de tarjeta, autorizar la transacción
y procesar la operación con el banco adquirente; su funcionamiento sólo asegura que la
información viaja oculta, si alguna persona intercepta el mensaje no podrá acceder a su
contenido.

3. El protocolo 3D Secure
Este protocolo permite verificar la identidad del titular de la tarjeta a través de Internet,
 garantizando la seguridad de la operación. Su funcionamiento se basa en un método de
autenticación que usa los mecanismos de cifrado empleados por SSL y un software que es
facilitado por el emisor del instrumento de pago. El software se instala en el sitio web del
proveedor de bienes y/o servicios y permite la verificación de la identidad del titular, a la vez que
protege la información y los datos de la tarjeta durante su transmisión, proporcionando
confidencialidad a la transacción.

Para acceder al servicio es necesario darse de alta previamente, para ello, el usuario selecciona
una clave secreta y un mensaje de garantía personal que serán utilizados como mecanismos de
autenticación. La contraseña de seguridad es distinta del PIN (Personal Identificación Number)
que se emplea normalmente en las tarjetas, esta clave es denominada CIP (Código Internet
Personal) y sirve para que el banco emisor pueda autenticar al titular cuando desee utilizar su
tarjeta en Internet.

En el momento de realizar la adquisición del producto o servicio, la tienda se conecta

directamente con la institución financiera a efectos de proceder a la autenticación del titular y a la
verificación del instrumento de pago. Una vez que se han introducido los datos en el formulario
del pedido, se abre la ventana de autorización del pago donde aparece el mensaje personal de
garantía que el usuario ha escogido previamente, al comprobar el mensaje, el titular tiene la
certeza que es la propia institución financiera la que está realizando el proceso de autenticación y
procede a la introducción del CIP. El procedimiento descrito restringe el acceso del proveedor a
la operación de pago, situación que le impide conocer los datos de la tarjeta, protegiendo así la
confidencialidad de la operación.

Frente a SET, el protocolo 3D ofrece la ventaja que no exige al usuario ningún software especial
para su funcionamiento, el sistema es fácil y sencillo de utilizar, ya que sólo se necesita una clave
secreta y el número de la tarjeta. En términos del artículo 40 de la LPCU, éste sería un
mecanismo de pago fácil y seguro.

4. LOS EQUIPOS
La verdad comúnmente aceptada es que no existen equipos que garanticen en un 100% la
seguridad de las transacciones electrónicas de fondos. Ello, si bien es cierto, no implica de
manera alguna que debamos entregarnos sin resistencia a la realidad de tener que trabajar en
un medio infinitamente asimétrico, en el cual personas con elevados conocimientos de
programación y de sistemas pueden vulnerar virtualmente todas las barreras físicas o lógicas
que se interpongan entre el recurso que se quiere proteger y los riesgos que lo acechan.

La mejor manera de proteger los equipos utilizados en los procesos de creación de archivos
planos para pagos y para liberación de dichos pagos en el sistema, consiste en no exponerlos a
ambientes potencialmente peligrosos. El uso exclusivo y dedicado de equipos para estas labores
es aconsejable, ya que si se limita su uso únicamente a la conexión con la sucursal virtual del
banco, se reducen las posibilidades de infección o contaminación por uno de los incontables
virus, malware, key loggers y demás exponentes de la inagotable cantidad de programas
maliciosos que abundan en la Red y que en muchas ocasiones son indetectables para las
contramedidas más comúnmente utilizadas en nuestro medio.

5. Protección: 

Es el conjunto de acciones, elementos y equipos destinados a reducir las consecuencias de la

materialización de un riesgo, tales como segregación de funciones, límites de autoridad,
 encriptación de información, clave de acceso, privilegios de acceso al sistema de información,
etc.

En el caso de las transacciones electrónicas, las medidas de protección resultan fundamentales,

ya que por tratarse de actos no presenciales, cualquiera que posea las claves de acceso los
puede realizar.

Las claves de acceso al sistema deben ser no solo seguras, sino personales y privadas. Una
clave debe tener como mínimo 8 caracteres incluyendo al menos una mayúscula, un número y
un carácter especial. Además de ser cambiada como máximo cada tres meses, debe elevarse a
la categoría de falta disciplinaria grave el darla a conocer a otras personas, dentro o fuera de la
organización.

Otra buena medida la constituye el dedicar un computador de manera exclusiva a la realización

de transacciones, impidiendo que desde el mismo se acceda a la red o a otras páginas distintas
de las de los bancos. Este computador debe dotarse de clave de acceso, antivirus y antimalware
de última generación.

Por otro lado, deben establecerse topes de autoridad a los empleados para efectuar
transacciones hasta un monto; y definir con los bancos los horarios en los cuales se pueden
realizar transferencias. 

Si aprobar el taller quieres, trabajar debes…