Académique Documents
Professionnel Documents
Culture Documents
XXX
LIMA PER
2015
DEDICATORIA
AGRADECIMIENTOS
NDICE GENERAL
COPIA DEL ACTA DE SUSTENTACIN........................................................................II
DEDICATORIA.............................................................................................................. III
AGRADECIMIENTOS...................................................................................................IV
NDICE GENERAL........................................................................................................V
INDICE DE FIGURAS..................................................................................................IX
INDICE DE TABLAS......................................................................................................X
INDICE DE ANEXOS....................................................................................................XI
RESUMEN..................................................................................................................XII
ABSTRACT.................................................................................................................. 13
CAPTULO I.................................................................................................................14
INTRODUCCIN......................................................................................................... 14
INTRODUCCIN......................................................................................................... 15
1.
Normatividad........................................................................38
1.6.11.2
Seguridad Perimetral............................................................40
1.6.12 Empresa.............................................................................................42
1.6.12.1
Cortez SAC...........................................................................42
1.6.12.2
1.6.12.3
rea de Ventas.....................................................................42
1.6.12.4
rea de Post-venta...............................................................42
MATERIALES Y MTODOS.................................................................................46
2.1 Materiales......................................................................................................46
2.1.1 Personal................................................................................................46
2.1.2 Materiales.............................................................................................46
2.1.3 Tiempo..................................................................................................46
2.1.4 Equipamiento........................................................................................48
2.1.4.1 Equipo Firewall..........................................................................48
2.1.5 Situacin y exigencia del problema.......................................................48
2.2 Mtodos......................................................................................................... 48
2.2.1 Procedimientos o Mtodos....................................................................48
6
RESULTADOS......................................................................................................56
3.1 Aplicacin de la Norma ISO 27001................................................................56
3.2 Aplicacin de la Norma ISO 27002................................................................56
3.3 Diseo de la Red Perimetral..........................................................................57
3.4 Seleccin de equipos de Seguridad Perimetral..............................................59
3.4.1 Equipo Firewall.....................................................................................59
3.4.2 Comparativo de equipos Firewall..........................................................60
3.4.3 Solucin de equipo Firewall elegido......................................................61
3.4.4 Configuracin del Firewall.....................................................................62
3.5 Resultados de la implementacin...................................................................63
3.6 SEGURIDAD INFORMTICA PERIMETRAL EN EQUIPOS CORTAFUEGOS..........65
3.6.1 Equipos.................................................................................................66
3.6.1.1 El Firewall..................................................................................66
3.6.2 Configuracin de cortafuegos...............................................................66
7
INDICE DE FIGURAS
Figura 1. Seguridad de la informacin...............................................................22
Figura 2. Gobierno TI..........................................................................................24
Figura 3. PMBOK v5 reas de Conocimiento.................................................25
Figura 4. Gestin de Servicios ITIL....................................................................26
Figura 5. Ciclo de mejora contina: PHVA.........................................................27
Figura 6: La confidencialidad de los datos.........................................................28
Figura 7. Algunos mecanismos para salvaguardar la confidencialidad de los
datos...................................................................................................................29
Figura 8. Integridad.............................................................................................29
Figura 9. Sistema de No Repudio......................................................................30
Figura 10. Control de Acceso.............................................................................30
Figura 11. Disponibilidad....................................................................................30
Figura 12. Amenazas Humanas.........................................................................31
Figura 13. Amenazas de Hardware....................................................................34
Figura 14. Amenazas de Red.............................................................................34
Figura 15. ISMS Framework...............................................................................38
Figura 16. Red Plana sin Seguridad...................................................................39
Figura 17. Seguridad Perimetral en Redes........................................................40
Figura 18. Casos de xito de Seguridad informtica.........................................41
Figura 19. Cortafuegos FORTINET....................................................................47
Figura 20. Red Perimetral...................................................................................56
Figura 21. Topologa Propuesta.........................................................................57
Figura 22. Top Selling Models Matrix.................................................................61
Figura 23. Polticas de Seguridad......................................................................65
Figura 24. Gestin de procesos usando PDCA.................................................68
INDICE DE TABLAS
Tabla 1. Cronograma de actividades piloto EP-ER............................................46
Tabla 2. Definicin Operacional de las Variables...............................................51
Tabla 3. Comparativo de Marcas de Firewall.....................................................59
Tabla 4. Caractersticas y Costos de Equipos Firewall......................................60
Tabla 5. Procesos as-is (actual) y procesos to-be (futuro).................................62
Tabla 6. Buenas prcticas en Gestin de Proyectos.........................................69
Tabla 7. Gestin del alcance..............................................................................69
10
INDICE DE ANEX
ANEXO A. Normas de Seguridad Cloud............................................................87
Y
11
RESUMEN
12
ABSTRACT
In this, research entitled, "Best Practices in Project Management
Implementation Information Security Perimeter in the Data Center Business
Clients", the aim is to deploy the use of best practices in security perimeter
information by applying the ISO 27001 standards and ISO 27002 that are
served by the company Cortez SAC.
This study is applied. Experimental No. In the company 16 technical
users and 8 IT managers. Engineer also 1 Networking and Security. The total
population is 32 people.
We discuss two projects implementing the perimeter network clients
"Company Editor of Peru" and "El Rocio". (The project-1 without good practices
and project-2 migration with good practice).
As the interview instrument used by the person responsible for specific
client computer security topics such as perimeter network design, configuration
Firewall configuration settings vs replaced equipment new equipment questions.
The results were not expected by security administrators and network
client due to new solutions, but presenting it in another way, achieving full
minimize the chances of suffering negative impacts and losses caused by the
lack of security.
In conclusion, there are many shortcomings in the vast majority of
security organizations, considered expensive and complicated, but more
expensive is to suffer the consequences of the lack of security in the information
system. Finally know the elements to implement, acquire the International
Standard certification, analysis and evaluation for solving security problems.
14
CAPTULO I
INTRODUCCIN
15
INTRODUCCIN
17
1.
18
1.1
19
Pregunta General
1.1.1.2
Preguntas Especficas
De qu manera la aplicacin de la Norma ISO 27001 ha influido
1.2 Justificacin
1.2.1 Justificacin Terica
Diversas investigaciones y casos de xito sobre proyectos de seguridad
informtica, han permitido demostrar que el uso de las buenas prcticas en
Seguridad de la Informacin permite garantizar la gestin adecuada de los
riesgos y servicios de seguridad informtica en la red perimetral externo e
interno de la empresa.
Las buenas prcticas estn soportadas por las Normas ISO 27001 e ISO
27002.
1.4 Objetivos
1.4.1 Objetivo General
Desplegar el uso de buenas prcticas en seguridad de la informacin
para la gestin de proyectos de seguridad informtica perimetral en los data
center de clientes empresariales.
interconectadas.
Esto
multiplica
la
cantidad
22
de
amenazas
ISO 27000
En fase de desarrollo. Contendr trminos y definiciones que se
1.6.2.2
ISO 27001
ISO 27001 en Espaol, (2016): Es la norma principal de
requisitos del sistema de gestin de seguridad de la
informacin. Tiene su origen en la BS 7799-2:2002 y es la
norma con arreglo a la cual se certifican por auditores
externos los SGSI de las organizaciones. Fue publicada el
15 de Octubre de 2005 y sustituye a la BS 7799-2,
habindose establecido unas condiciones de transicin para
aquellas empresas certificadas en esta ltima. (Consultado
15.04.2016)
1.6.2.3
ISO 27002
ISO 27001 en espaol, (2016): Cambio de nomenclatura de
ISO 17799:2005 realizada el 1 de Julio de 2007. Es una gua
de buenas prcticas que describe los objetivos de control y
controles recomendables en cuanto a seguridad de la
informacin. No es certificable. Contiene 39 objetivos de
control y 133 controles, agrupados en 11 dominios.
(Consultado 15.04.2016)
A travs de este documento se puede identificar un marco de
1.6.2.4
ISO 9001
ISO 9001 en espaol, (2016): Define los requerimientos para los
sistemas de gestin de calidad. Aunque a primera vista la gestin
de calidad y la gestin de seguridad de la informacin no tienen
mucho en comn, lo cierto es que aproximadamente el 25% de
24
1.6.3 COBIT
Segn el estudio de INFORMATION SYSTEMS AUDIT AND
CONTROL ASSOCIATION (2012): COBIT 5 es un marco de
gobierno de TI y herramientas de apoyo que permite a los
administradores para cerrar la brecha entre las necesidades de
control, cuestiones tcnicas y los riesgos empresariales. COBIT
permite el desarrollo de una poltica clara y de buenas prcticas
para el control de TI en las organizaciones. COBIT enfatiza el
cumplimiento normativo, ayuda a las organizaciones a aumentar el
valor alcanzado desde IT, permite la alineacin y simplifica la
implementacin del marco de gobierno de TI y el control de las
empresas. (p.5)
Figura 2. Gobierno TI
25
operacin
de
TI
la
infraestructura
asociada.
Los
27
Polticas indirectas o implcitas: las cuales son estrategias que tienen fines
directo en el rea poltica, social, cultural o econmica pero que ocasiona
efectos secundarios en el mbito tecnolgico Servicios de Seguridad Informtica.
Clasificacin
Confidencialidad
Autenticacin
Integridad
No repudio
Control de acceso
Disponibilidad
a.
Confidencialidad
Servicio de seguridad o condicin que asegura que la informacin no
b.
Autenticacin
29
c.
Integridad
Servicio de seguridad que garantiza que la informacin sea modificada,
Figura 8. Integridad.
d.
No repudio
El no repudio sirve a los emisores o a los receptores para negar un
30
e.
Control de Acceso
Un control de acceso se ejecuta con el fin de que un usuario sea
f.
Disponibilidad
En un entorno donde las comunicaciones juegan un papel importante es
31
1.6.8 Amenazas
Microsoft (2016):
La Amenaza es la probabilidad de ocurrencia de un suceso
potencialmente desastroso durante cierto periodo de tiempo, en un
sitio dado. En general el concepto de amenaza se refiere a un
peligro latente o factor de riesgo externo, de un sistema o de un
sujeto expuesto, expresada matemticamente como la probabilidad
de exceder un nivel de ocurrencia de un suceso con una cierta
intensidad, en un sitio especfico y durante un tiempo de exposicin
determinado. (Consultado 15.04.2016).
Una amenaza se representa a travs de una persona, una circunstancia
o evento, un fenmeno o una idea maliciosa, las cuales pueden provocar dao
en los sistemas de informacin, produciendo prdidas materiales, financieras o
de otro tipo. Las amenazas son mltiples desde una inundacin, un fallo
elctrico o una organizacin criminal o terrorista. As, una amenaza es todo
aquello que intenta o pretende destruir.
a.
Amenazas Humanas
Surge por ignorancia en el manejo de la informacin, por descuido, por
32
33
realizado con nimo de lucro y llevado a cabo con engao. El fraude no trata
ms que lograr un beneficio ilegal reduciendo las propiedades de la compaa.
Sabotaje: El sabotaje ha sido utilizado desde la antigedad, partiendo del
axioma de una eficiencia mxima, con unos medios y un riesgo mnimo para el
saboteador. Para lograr estos fines el saboteador tratar de determinar los
puntos dbiles de la organizacin y estudiar las posibilidades de acceder a las
reas donde mayor dao pueda hacer. Es el peligro ms temido en los centros
de procesamiento de datos, ya que ste puede realizarlo un empleado o un
sujeto ajeno a la empresa.
Personal: De los robos, fraudes, sabotajes o accidentes relacionados con los
sistemas, el 73% es causado por el personal de la organizacin propietaria de
dichos sistemas.
Personal interno: Son las amenazas al sistema provenientes del personal del
propio sistema informtico. Los daos causados por el personal pueden ser
accidentales, deliberados o productos de la negligencia. Los recursos y
programas as como la informacin, deben estar especialmente protegidos
contra estos tipos de daos.
Ex-empleado: Generalmente son personas descontentas con la organizacin y
que conocen a la perfeccin la estructura del sistema, por consiguiente, tienen
los conocimientos necesarios para causar cualquier tipo de dao.
Curiosos: Son personas que tienen un alta inters en las nuevas tecnologas,
pero an no tienen la experiencia ni conocimientos bsicos para considerarlos
hacker o crackers, generalmente no se trata de ataques dainos, pero afecta el
entorno de fiabilidad y confiabilidad generado en un sistema.
Terrorista: En esta definicin se engloba a cualquier persona que ataca al
sistema causando un dao de cualquier ndole en l, tienen fines proselitistas o
religiosos.
Intrusos remunerados: Se trata de crackers o piratas con grandes
conocimientos y experiencia, pagados por una tercera parte para robar
34
b.
Amenazas de Hardware
Este tipo de amenazas se da por fallas fsicas que se encuentra
c.
Amenazas de Red
Se presenta una amenaza cuando no se calcula bien el flujo de
d.
Amenazas Lgicas
La amenaza se hace presente cuando un diseo bien elaborado de un
36
problemas
de
operacin
prdida
de
datos.
Los
gusanos
37
38
DMR-Consulting (2005):
Proponen un mtodo llamado Administracin del Riesgo
Operacional (ARO), cuyo objetivo principal es operativizar
una metodologa de trabajo, incorporando los indicadores
necesarios.
1.6.10.1
a.
39
Normatividad
Polticas
b.
Procedimientos
Documentos que contienen el quin? cundo? cmo?
de la seguridad informacin dentro de la organizacin.
Las normas dictadas en la elaboracin de la poltica de seguridad,
se
sigue
ocupando
esta
topologa
pesar
de
los
40
electrnico.
Cortafuegos.
Sistemas de Deteccin y Prevencin de Intrusos.
Pasarelas antivirus y antispam.
Honeypots.
42
43
1.6.12 Empresa
1.6.12.1 Cortez SAC.
La empresa Cortez SAC, es la institucin que brinda servicios
especializados
en
seguridad
informtica
redes
clientes
44
45
46
47
48
CAPTULO II
MATERIALES Y MTODOS
49
2. MATERIALES Y MTODOS
2.1 Materiales
2.1.1 Personal
Jorge Aliaga, asistente de red seguridad de la empresa Editora del Per. CCNA
y CCNA Security? (Cliente 1)
Juan Valderrama, asistente de red y seguridad de la empresa El Roco. CCNA
y CCNA Security? (cliente 2)
El Sr. Alejandro Cortez, Supervisor de redes y seguridad perteneciente a
CORTEZ SAC y que brinda soporte a los dos clientes.
CCNA SECURITY,
2.1.2 Materiales
Se usaron herramientas y servicios de uso libre y licenciado, disponible
en la nube o instalado en estaciones clientes:
2.1.3 Tiempo
El plan de trabajo consider las siguientes actividades que se muestran en la
tabla 2.x
50
Tabla 1
Cronograma de actividades piloto EP-ER
ACTIVIDAD
TIEMPO
ENTREGABLE
2d
Entrevista de campo
4d
2d
clientes
4.Anlisis de problemas a nivel
3d
interno
5.Resumen de problemas y
2d
soluciones
6.Diseo funcional-tcnico de la
15d
probables
Buenas prcticas en seguridad informtica
solucin
7. Presentar propuesta
4d
8. Evaluar propuesta
2d
Aprobar propuesta
5d
Checklist PHVA
3d
Resultados
11.Mejorar propuesta
2d
Propuesta mejorada
1d
Propuesta aprobada
2d
interno
14.Desplegar solucin en
5d
redes
Capacitacin y entrenamiento en seguridad y
clientes
15. Cierre del piloto
2d
redes a clientes
Lecciones aprendidas, VB de clientes, VB de
equipo interno
51
2.1.4 Equipamiento
2.1.4.1
Equipo Firewall
2.2 Mtodos
2.2.1 Procedimientos o Mtodos
Se usaron los siguientes procedimientos y mtodos:
Normas ISO 27001
Normas ISO 27002.
Modelo SGSI.
2.2.2.1
No Experimental
La investigacin no experimental es aquella que se realiza sin
2.2.3.1
Descriptiva
Es descriptiva porque, se describi la situacin actual de la
2.2.3.2
Analtica
La informacin obtenida mediante la descripcin de la situacin
53
2.2.5.1
Poblacin y Muestra
Poblacin
La poblacin en estudio comprende 08 clientes empresariales se
brinda servicios de seguridad informtica a sus centros de datos, ah
interactan 16 usuarios tcnicos y 8 gerentes de TI. Nuestro equipo est
conformado por 1 ingeniero de Redes y Seguridad Informtica. La
poblacin total estimada es de 32 personas.
Muestra
Analizaremos dos proyectos de implementacin de la red
perimetral en los clientes "Empresa Editora del Peru" y "El Roco". (El
proyecto-1 sin buenas prcticas y el proyecto-2 migracin con buenas
prcticas).
a. Entrevista
La entrevista se utiliz para profundizar en la bsqueda de la
informacin tcnica sobre el tema en estudio, mediante preguntas
especficas realizadas al responsable de seguridad informtica del
cliente, temas como diseo de la red perimetral, configuracin del
54
b. Observacin Directa
Mediante esta tcnica, se realizaron visitas a cada data center
para revisar la configuracin fsica y lgica de los equipos y
componentes de seguridad, segn los estndares del fabricante y
alineado a las buenas prcticas en Seguridad de la Informacin.
2.2.7 Variables
Variable independiente: Buenas prcticas en Seguridad de la Informacin.
Variable dependiente: Seguridad Informtica Perimetral.
2.2.7.1
55
Tabla 2.
Definicin Operacional de las Variables
2.2.8.1
Criterios de Inclusin
seguridad perimetral.
2.2.8.2
Criterios de Exclusin
Todos los equipos cortafuegos que no son de la marca Fortinet.
Todos los equipos marcan Fortinet que no del modelo FG-100D Y FG800C
56
resultado,
sino
porque
proporciona
sugerencia
si
se
necesitan
57
CAPTULO III
RESULTADOS
58
3. RESULTADOS
3.1 Aplicacin de la Norma ISO 27001
Es la norma principal de la serie y contiene los requisitos del Sistema de
Gestin de Seguridad de la Informacin. En su Anexo A, enumera en forma de
resumen los objetivos de control y controles que desarrolla la ISO 27002:2005 para
que sean seleccionados por las organizaciones en el desarrollo de sus SGSI.
59
Ancho de banda total (puede ser de uno o ms enlaces con los que
cuente el cliente)
Cantidad de usuarios
Cantidad de sesiones
Que actividades realiza la empresa
Con que equipos de seguridad cuenta
En el caso de migracin de un equipo de seguridad de otra marca se
deber verificar las funcionalidades que tiene el equipo para as demostrar el
cliente que nuestro equipo fortinet lo tiene o cumple de otra forma.
Tabla 3
Comparativo de Marcas de Firewall
DEFINICIN
PRECIO APROXIMADO
Firewall
Throughput
firewall
IPS/NGFW
Throughput
$15000
Antivirus
de entrada
Velocidad a la que el servidor
63
$< $5000
Throughput
de seguridad puede
$25000
Certifications
10GE
Industria certificaciones de
64
65
IMPLEMENTACIN
POST
PROYECTO TCNICOS
VENTA
1. Atender pedido
cliente
2. Solicitar evaluacin
ENTREGABLE
RFC, incidente
3. Atender a Ventas
SOW
FICHA TECNICA
tcnica
Topologa actual
Proyeccin de crecimiento
Sesiones concurrentes
Evaluar arquitectura
Ficha tcnica: topologa sugerida
5. Programar servicio
7. Soporte post-
venta
SLA
recomendacin de
5.2 Migracin
7.1 Manual
equipos
tcnico
7.2 Polticas y
checklist de diseo y
Normas de
configuracin.
Seguridad.
5.5 PHVA
7.3 Gestin
procesos PHVA
7.4 Buenas
Gestin
prcticas ITIL
Incidentes
Gestin proyectos
SGSI
PHVA
Lecciones
aprendidas
66
67
de
equipos
de
Firewall,
2014)
del
router
emitiendo
los
respectivos
reportes
68
3.6.1 Equipos
3.6.1.1
El Firewall
Restricciones en el firewall
La parte ms importante de estas tareas se realizan en el firewall,
69
3.6.3.1
operacin.
b. Gestin de la provisin de servicios por terceros.
Provisin de los servicios
Supervisin y revisin de los servicios prestados por
terceros.
Gestin del cambio en los servicios prestados por
terceros.
c. Planificacin y aceptacin del sistema.
Gestin de capacidades.
Aceptacin del sistema.
d. Proteccin contra el cdigo malicioso y descargable.
Controles contra el cdigo malicioso.
Controles contra el cdigo descargado en el cliente.
e. Copias de seguridad.
Copias de seguridad de la informacin.
f.
Mensajera electrnica.
Sistemas de informacin empresariales.
i.
j.
Supervisin.
3.6.3.2
a.
Registros de auditora.
Supervisin del uso del sistema.
Proteccin de la informacin de los registros.
Registros de administracin y operacin.
Registro de fallos.
Sincronizacin del reloj.
Control de Acceso.
Requisitos de negocio para el control de acceso.
Poltica de control de acceso.
b.
c.
Registro de usuario.
Gestin de privilegios.
Gestin de contraseas de usuario.
Revisin de los derechos de acceso de usuario.
Responsabilidades de usuario.
Uso de contraseas.
Equipo de usuario desatendido.
Poltica de puesto de trabajo despejado y pantalla
limpia.
configuracin remotos.
Segregacin de las redes.
Control de la conexin a la red.
Control de encaminamiento (routing) de red.
e. Control de acceso al sistema operativo.
71
72
Tabla 6
Buenas prcticas en Gestin de Proyectos
Fuente: Aplicacin de la empresa que nos permite realizar una seguimiento a los
proyectos
Tabla 7
Gestin del alcance
Fuente: Aplicacin de la empresa que nos permite realizar una seguimiento a los
proyectos
73
DISCUSIN
74
CONCLUSIONES Y RECOMENDACIONES
Conclusiones
Luego de estudiar el Estndar Internacional ISO/IEC 27002, se puede ver
cmo muchos de los aspectos resaltados por este Estndar son aspectos
generales que muchas organizaciones los toman en cuenta an sin tener el
certificado ISO/IEC 27002. Pero tambin existen muchas deficiencias en la
gran mayora de organizaciones en materia de seguridad. Algunos podran
considerar que apegarse a este tipo de estndares es en cierta forma cara y
complicada, pero en realidad resulta mucho ms caro sufrir las consecuencias
que suele traer la falta de seguridad en un importante sistema de informacin.
El hecho de cumplir a cabalidad con el Estndar Internacional ISO/IEC
27002 no garantiza al 100% que no se tendrn problemas de seguridad, pues
la seguridad al 100% no existe. Lo que s se logra es minimizar al mximo las
probabilidades de sufrir impactos negativos y prdidas originados por la falta de
seguridad.
Este documento proporciona una idea bastante clara de cmo se debe
trabajar en materia de seguridad de tecnologas de informacin al apegarse a
un Estndar Internacional (y por lo tanto mundialmente aceptado y conocido)
como lo es el ISO/IEC 27002.
75
Recomendaciones
La primera recomendacin es precisamente implementar el Estndar
Internacional ISO/IEC 27002 a la mayor brevedad posible, o de no ser posible
(por aspectos econmicos, de infraestructura, etc.), por lo menos estudiar el
documento oficial de este Estndar y estar conocedores de todos los
elementos que se pueden implementar y de cmo esto podra beneficiar y
minimizar la posibilidad de problemas por falta de seguridad.
La segunda recomendacin es tener en claro, como ya se dijo, que la
seguridad al 100% no existe pero que s se puede maximizar la seguridad y
minimizar los riesgos por falta de seguridad.
De ser posible, se debera considerar adquirir la certificacin de este
Estndar Internacional, pues esto representa un gran activo no slo por los
beneficios que de por s trae el tener excelentes mecanismos de seguridad,
sino tambin por el prestigio de contar con certificaciones internacionales de
calidad.
Se recomienda tambin tener un equipo de analistas que evalen las
condiciones particulares de una organizacin, pues cada caso es nico, y lo
que a uno le funcion, a otro podra no funcionarle debido a los aspectos
particulares de cada empresa. Por esa razn, se debe estudiar cada caso en
concreto, aunque nunca est de ms aprender de los errores o del xito de
otros.
76
REFERENCIAS BIBLIOGRFICAS
DMR? Consulting. , Nuevo esquema de gestin de riesgos. [en lnea mayo
2005].
Disponible
en:
www.dmr-consulting.com.mx.
[consulta
22.04.2016].
ISO/IEC 17799:2005, Documentacin International standard book numbering
(ISBN)
INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION. COBIT 5
for Information Security. Illinois, Michigan, Estados Unidos de Amrica:
ISACA. 2012.
International Organization for Standarization. About ISO. Extrado el 1 de
octubre, 2008, de http://www.iso.org/iso/about.htm
International Organization for Standarization. Discover ISO. Extrado el 1 de
octubre,
IEC.
2008,
name.htm
IEC
History.
de
http://www.iso.org/iso/about/discover-iso_isos-
Extrado
el
de
octubre,
2008,
de
http://www.iec.ch/about/history/
OCG. Service Transition. ITIL Version 3.
GMEZ VIEITES, lvaro. Enciclopedia de la Seguridad Informtica, Alfa
omega Grupo editor, Mxico, 2007, Primera Edicin.
ERICKSON TIRADO GOYENECHE, (2012) Tesis: Sistema De Seguridad
Perimetral Instalacion Y Configuracion De Endian Firewall- Colombia.
Wikipedia. Electrotecnia. Extrado el 1 de octubre, 2008, de
http://es.wikipedia.org/wiki/Electrotecnia
Wikipedia. International Electrotechnical Commission. Extrado el 1 de octubre,
2008,
de
http://en.wikipedia.org/wiki/International_Electrotechnical_Commission
Wikipedia. IEC JTC1. Extrado el 1 de octubre, 2008, de
http://en.wikipedia.org/wiki/ISO/IEC_JTC1
Wikipedia.
Mtrica.
Extrado
el
1
de
http://es.wikipedia.org/wiki/M%C3%89TRICA
Wikipedia. Criptografa. Extrado el 1 de
octubre,
octubre,
2008,
de
2008,
de
http://es.wikipedia.org/wiki/Criptograf%C3%ADa
ngelo Benvenuto Vera (2006) Implementacin de Sistemas ERP, su impacto
en La Gestin de la Empresa e Integracin con otras TIC. CAPIV
REVIEW Vol. 4 2006.
Carrera, A., Caldart, A.,
Latinoamericano
77
Cornejo,
M.,
2011.
La
agenda
del
CEO
78
GLOSARIO
Investigacin Aplicada o Tecnolgica: Es la utilizacin de los conocimientos
en la prctica, para aplicarlos, en la mayora de los casos, en provecho de la
sociedad.
79
80
persona:
persona
organismo
que
es
reconocido
como
82
83
Ataque
Es una accin intencional e injustificada (desde el punto de vista del atacado).
Consiste en un intento por romper la seguridad de un sistema o de un
componente del sistema.
Riesgo
Es una potencial explotacin de una vulnerabilidad de un activo de informacin
por una amenaza. Se valora como una funcin del impacto, amenaza,
vulnerabilidad y de la probabilidad de un ataque exitoso.
Atacante
Es alguien que deliberadamente intenta hacer que un sistema de seguridad
falle, encontrando y explotando una vulnerabilidad.
Los atacantes pueden ser internos (que pertenecen a la organizacin) o
externos (que no pertenecen a la organizacin). Respecto a los atacantes
internos, son difciles de detener porque la organizacin est en muchas
maneras forzada a confiar en ellos. Estos conocen cmo trabaja el sistema y
cules son sus debilidades. Quizs el error ms comn de seguridad es gastar
considerables recursos combatiendo a los atacantes externos, ignorando las
amenazas internas.
El Firewall
La herramienta fundamental que nos va a permitir implementar el modelo de
seguridad definido por la poltica de seguridad es un dispositivo que se site
entre el permetro interior y el exterior de nuestra red. A este dispositivo,
tradicionalmente, en la jerga informtica se le denomina firewall, que se podra
traducir al castellano como cortafuegos. Dado que es el componente ms
crtico e importante en todo el diseo del sistema de seguridad, la eleccin de
este elemento debe ser muy concienzuda. Generalizando un poco, los firewalls
se pueden dividir en tres grandes categoras:
el
nombre
de
usuario
que
ha
conseguido
autentificarse
escrito por Julian Assange que escanea todos los puertos, tanto TCP como
UDP, de un sistema, de forma rpida y efectiva.
Reduccin al mnimo de los usuarios en cada uno de los sistemas:
Los servidores externos tienen la responsabilidad de mantener activos distintos
servicios TCP/IP, que sustentan las aplicaciones encargadas de publicar la
informacin
pblica
del
ministerio.
Estas
aplicaciones son
fcilmente
mantenidas con un nico usuario o como mucho dos (root y un usuario noprivilegiado), y dado que se supone que ningn usuario dispone de correo en
ellos y que nadie desarrolla directamente sobre dichas mquinas, no hay
necesidad de mantener ms cuentas de usuarios que las estrictamente
necesarias. Determinadas aplicaciones precisan que todos sus ficheros sean
posedos por un determinado usuario, o que se arranquen en modo set-uid con
la identidad de este usuario. En estos casos, el usuario debe existir en el
fichero general de usuarios /etc/passwd, pero con shell nula, normalmente
/bin/false.
Uso extensivo de tcp-wrappers en los servicios necesarios:
Los tcp-wrappers[3] son un conjunto de utilidades de libre distribucin, escrito
por Wietse Venema, que permite un control de accesos bastante exhaustivo de
los servicios que corren bajo inetd, adems de buena capacidad de log de
peticiones a dichos servicios, ya sean autorizados o no. Bsicamente consiste
en un programa llamado tcpd, que se ejecuta cuando llega una peticin a un
puerto especfico. ste, una vez comprobada la direccin de origen de la
peticin, la verifica contra unas reglas simples, almacenadas en los ficheros
/etc/hosts.allow y /etc/hosts.deny, y en funcin de ellas, decide o no dar paso al
servicio. Adicionalmente, registra, utilizando la utilidad syslog del sistema, la
peticin y su resolucin. Una de las configuraciones avanzadas de este
paquete, permite tambin ejecutar comandos en el propio sistema operativo, en
funcin de la resolucin de la peticin. Por ejemplo, es posible que interese
hacer un finger a una posible mquina atacante, en el caso de un intento de
conexin, para tener ms datos a la hora de una posible investigacin. Este
tipo de comportamiento raya en la estrategia paranoica, que ya vimos cuando
se defini la poltica de seguridad. La modificacin al fichero /etc/inetd.conf son
88
producto comercial en sus ltimas versiones, pero las antiguas siguen siendo
interesantes. SATAN [5] es hoy por hoy el escaneador ms avanzado. Adems
de poseer un entorno grfico basado en WEB bastante potente, contiene una
base de datos de vulnerabilidades muy completa. Es muy importante utilizar
peridicamente estas herramientas, dado que nos permitirn conocer la
informacin que un posible atacante obtendra de nuestra red en el caso de
que utilizase dichos programas contra nuestros sistemas.
Sincronizacin de relojes en todos los sistemas:
Teniendo en cuenta que una de las tareas ms importantes a la hora de vigilar
la seguridad de nuestros sistemas es la revisin de logs, es fundamental que
los relojes de los servidores que realizan estos logs estn sincronizados al
objeto de poder hacer el seguimiento de un posible incidente, y tambin el
poder concretar el orden en que sucedieron los hechos. Esto es tambin
fundamental a la hora de contrastar logs con otras organizaciones, en el caso
de que hubiese que hacer una investigacin coordinada con terceras partes.
Dentro de los protocolos de sincronizacin en Internet, existen dos variantes: el
antiguo protocolo TIME (puerto 37), y el ms moderno NTP, que permite una
sincronizacin mucho ms precisa. En nuestro caso, nos hemos sincronizado
va protocolo TIME con un servidor de tiempo en RedIRIS (chico.rediris.es)
desde el firewall, y ste se ha convertido en servidor de tiempo para el resto de
las mquinas tanto del permetro exterior como interior. En un futuro cercano se
plantea crear una estructura basada en NTP con un servidor y mltiples
clientes.
Seguridad en profundidad en la red interna
Debido al modelo de seguridad perimetral definido en la poltica de seguridad,
la red interior queda razonablemente protegida de posibles ataques externos.
De todas formas, es importante no olvidar los posibles problemas de seguridad
que pueden originarse desde el interior de nuestro permetro. Entre este grupo
de problemas podemos clasificar los provocados por usuarios internos o por
intrusiones realizadas desde puntos no controlados de nuestra propia red.
Contra este tipo de problemas, sensiblemente menos probables que los
externos, se deberan aplicar medidas parecidas a las mencionadas en el
90
91
ANEXOS
ANEXO A. Normas de Seguridad Cloud
slo
con
especificaciones
92
aislarlos y eliminarlos.
93