FACULTAD DE CIENCIAS EMPRESARIALES

CARRERA DE INGENIERA DE SISTEMAS DE

INFORMACIN Y GESTIN

BUENAS PRCTICAS EN LA GESTIN DE PROYECTOS DE

IMPLEMENTACIN DE SEGURIDAD INFORMTICA
PERIMETRAL EN LOS DATA CENTER DE CLIENTES
EMPRESARIALES

Tesis para optar por el Ttulo Profesional de:

Ingeniero de Sistemas de Informacin y Gestin

XXX

LIMA PER
2015

COPIA DEL ACTA DE SUSTENTACIN

DEDICATORIA

Dedico esta tesis a mi Familia por

el Apoyo incondicional para el logro
de mis metas.

AGRADECIMIENTOS

Agradezco a Dios por guiarme

y mi alma mter por forjarme mi
futuro como profesional.

NDICE GENERAL
COPIA DEL ACTA DE SUSTENTACIN........................................................................II
DEDICATORIA.............................................................................................................. III
AGRADECIMIENTOS...................................................................................................IV
NDICE GENERAL........................................................................................................V
INDICE DE FIGURAS..................................................................................................IX
INDICE DE TABLAS......................................................................................................X
INDICE DE ANEXOS....................................................................................................XI
RESUMEN..................................................................................................................XII
ABSTRACT.................................................................................................................. 13
CAPTULO I.................................................................................................................14
INTRODUCCIN......................................................................................................... 14
INTRODUCCIN......................................................................................................... 15
1.

PLANTEAMIENTO DEL PROBLEMA Y JUSTIFICACION.....................................17

1.1 Planteamiento del Problema..........................................................................17
1.1.1 Formulacin de la Pregunta de Investigacin.......................................18
1.1.1.1 Pregunta General......................................................................18
1.1.1.2 Preguntas Especficas...............................................................19
1.2 Justificacin....................................................................................................19
1.2.1 Justificacin Terica..............................................................................19
1.2.2 Justificacin Prctica.............................................................................19
1.3 Delimitacin y Alcance...................................................................................19
1.4 Objetivos........................................................................................................20
1.4.1 Objetivo General...................................................................................20
1.4.2 Objetivos Especficos............................................................................20
1.5 Antecedentes de la Investigacin...................................................................20
1.6 Marco Terico.................................................................................................21
1.6.1 Seguridad de la Informacin.................................................................21
1.6.2 Normas ISO..........................................................................................22
1.6.2.1 ISO 27000.................................................................................22
1.6.2.2 ISO 27001.................................................................................22
1.6.2.3 ISO 27002.................................................................................23

1.6.2.4 ISO 9001...................................................................................23

1.6.3 COBIT...................................................................................................24
1.6.4 Gestin de Proyectos - PMBOK............................................................24
1.6.5 Gestin de Servicios de Infraestructura Tecnolgica - ITIL...................25
1.6.6 Ciclo de Deming....................................................................................26
1.6.7 Polticas Tecnolgicas...........................................................................27
1.6.8 Amenazas.............................................................................................31
1.6.9 Sistema Gestin de Seguridad de la Informacin - SGSI......................36
1.6.10 Gestin de Riesgos............................................................................37
1.6.10.1

Normatividad........................................................................38

1.6.11 Seguridad de la Red...........................................................................39

1.6.11.1

Red Plana sin seguridad.......................................................39

1.6.11.2

Seguridad Perimetral............................................................40

1.6.12 Empresa.............................................................................................42
1.6.12.1

Cortez SAC...........................................................................42

1.6.12.2

rea de Implementacin de proyectos de seguridad............42

1.6.12.3

rea de Ventas.....................................................................42

1.6.12.4

rea de Post-venta...............................................................42

1.7 Hiptesis General...........................................................................................43

1.7.1 Hiptesis Especficas de Investigacin 1..............................................43
1.7.2 Hiptesis Especficas de Investigacin 2..............................................44
CAPTULO II................................................................................................................45
MATERIALES Y MTODOS........................................................................................45
2.

MATERIALES Y MTODOS.................................................................................46
2.1 Materiales......................................................................................................46
2.1.1 Personal................................................................................................46
2.1.2 Materiales.............................................................................................46
2.1.3 Tiempo..................................................................................................46
2.1.4 Equipamiento........................................................................................48
2.1.4.1 Equipo Firewall..........................................................................48
2.1.5 Situacin y exigencia del problema.......................................................48
2.2 Mtodos......................................................................................................... 48
2.2.1 Procedimientos o Mtodos....................................................................48
6

2.2.2 Diseo de Investigacin........................................................................48

2.2.2.1 No Experimental........................................................................48
2.2.3 Tipo de Investigacin............................................................................49
2.2.3.1 Descriptiva.................................................................................49
2.2.3.2 Analtica.....................................................................................49
2.2.4 Enfoque de investigacin......................................................................49
2.2.5 Delimitacin y definicin de la poblacin de estudio.............................50
2.2.5.1 Poblacin y Muestra..................................................................50
2.2.6 Aplicar criterios para seleccionar muestra de estudio...........................50
2.2.6.1 Tcnicas de recoleccin de datos..............................................50
2.2.7 Variables...............................................................................................51
2.2.7.1 Definicin Operacional de las Variables.....................................51
2.2.8 Criterios de inclusin y exclusin..........................................................52
2.2.8.1 Criterios de Inclusin.................................................................52
2.2.8.2 Criterios de Exclusin................................................................53
2.2.9 Anlisis de confiabilidad del instrumento de investigacin....................53
2.2.10 Anlisis de validez del instrumento de investigacin...........................53
CAPTULO III............................................................................................................... 55
RESULTADOS.............................................................................................................55
3.

RESULTADOS......................................................................................................56
3.1 Aplicacin de la Norma ISO 27001................................................................56
3.2 Aplicacin de la Norma ISO 27002................................................................56
3.3 Diseo de la Red Perimetral..........................................................................57
3.4 Seleccin de equipos de Seguridad Perimetral..............................................59
3.4.1 Equipo Firewall.....................................................................................59
3.4.2 Comparativo de equipos Firewall..........................................................60
3.4.3 Solucin de equipo Firewall elegido......................................................61
3.4.4 Configuracin del Firewall.....................................................................62
3.5 Resultados de la implementacin...................................................................63
3.6 SEGURIDAD INFORMTICA PERIMETRAL EN EQUIPOS CORTAFUEGOS..........65
3.6.1 Equipos.................................................................................................66
3.6.1.1 El Firewall..................................................................................66
3.6.2 Configuracin de cortafuegos...............................................................66
7

3.6.2.1 Restricciones en el firewall........................................................66

3.6.3 Polticas y procedimientos de seguridad de la informacin...................66
3.6.3.1 Polticas de firewall alineadas con el ISO 27002.......................67
3.6.3.2 Control de Acceso.....................................................................68
3.6.4 Gestin de procesos usando PDCA......................................................69
DISCUSIN.................................................................................................................71
CONCLUSIONES Y RECOMENDACIONES...............................................................72
Conclusiones........................................................................................................ 72
Recomendaciones................................................................................................73
REFERENCIAS BIBLIOGRFICAS.............................................................................74
GLOSARIO.................................................................................................................. 76
ANEXOS...................................................................................................................... 88

INDICE DE FIGURAS
Figura 1. Seguridad de la informacin...............................................................22
Figura 2. Gobierno TI..........................................................................................24
Figura 3. PMBOK v5 reas de Conocimiento.................................................25
Figura 4. Gestin de Servicios ITIL....................................................................26
Figura 5. Ciclo de mejora contina: PHVA.........................................................27
Figura 6: La confidencialidad de los datos.........................................................28
Figura 7. Algunos mecanismos para salvaguardar la confidencialidad de los
datos...................................................................................................................29
Figura 8. Integridad.............................................................................................29
Figura 9. Sistema de No Repudio......................................................................30
Figura 10. Control de Acceso.............................................................................30
Figura 11. Disponibilidad....................................................................................30
Figura 12. Amenazas Humanas.........................................................................31
Figura 13. Amenazas de Hardware....................................................................34
Figura 14. Amenazas de Red.............................................................................34
Figura 15. ISMS Framework...............................................................................38
Figura 16. Red Plana sin Seguridad...................................................................39
Figura 17. Seguridad Perimetral en Redes........................................................40
Figura 18. Casos de xito de Seguridad informtica.........................................41
Figura 19. Cortafuegos FORTINET....................................................................47
Figura 20. Red Perimetral...................................................................................56
Figura 21. Topologa Propuesta.........................................................................57
Figura 22. Top Selling Models Matrix.................................................................61
Figura 23. Polticas de Seguridad......................................................................65
Figura 24. Gestin de procesos usando PDCA.................................................68

INDICE DE TABLAS
Tabla 1. Cronograma de actividades piloto EP-ER............................................46
Tabla 2. Definicin Operacional de las Variables...............................................51
Tabla 3. Comparativo de Marcas de Firewall.....................................................59
Tabla 4. Caractersticas y Costos de Equipos Firewall......................................60
Tabla 5. Procesos as-is (actual) y procesos to-be (futuro).................................62
Tabla 6. Buenas prcticas en Gestin de Proyectos.........................................69
Tabla 7. Gestin del alcance..............................................................................69

10

INDICE DE ANEX
ANEXO A. Normas de Seguridad Cloud............................................................87
Y

11

RESUMEN

En esta, investigacin titulada, Buenas Prcticas en la Gestin de

Proyectos de Implementacin de Seguridad Informtica Perimetral en los Data
Center de Clientes Empresariales, el objetivo es desplegar el uso de buenas
prcticas en seguridad de la informacin perimetral aplicando las Normas ISO
27001 e ISO 27002 que son atendidos por la empresa Cortez SAC.
Este estudio es aplicado.

No Experimental. La empresa tiene 16

usuarios tcnicos y 8 gerentes de TI. Tambin 1 ingeniero de Redes y

Seguridad Informtica. La poblacin total es de 32 personas.
Analizaremos dos proyectos de implementacin de la red perimetral en
los clientes "Empresa Editora del Per" y "El Roco". (El proyecto-1 sin buenas
prcticas y el proyecto-2 migracin con buenas prcticas).
Como instrumento

se utiliza la entrevista, mediante preguntas

especficas al responsable de seguridad informtica del cliente, temas como

diseo de la red perimetral, configuracin del Firewall, configuracin de equipos
reemplazados vs configuracin de los equipos nuevos.
Los resultados fueron no esperados por los administradores de
seguridad y de redes del cliente debido por las nuevas soluciones, pero
presentndola de otra forma, logrando minimizar al mximo las probabilidades
de sufrir impactos negativos y prdidas originados por la falta de seguridad.
En conclusin, existen muchas deficiencias en la gran mayora de
organizaciones en materia de seguridad, consideran cara y complicada, pero
es ms caro es sufrir las consecuencias por la falta de seguridad en el sistema
de informacin. Finalmente conocer los elementos a implementar, adquirir la
certificacin Estndar Internacional, evaluacin para el anlisis y solucionar los
problemas de seguridad.
Palabras Claves: Seguridad de Informacin, ISO 27001, ISO 27002, Red
Perimetral

12

ABSTRACT
In this, research entitled, "Best Practices in Project Management
Implementation Information Security Perimeter in the Data Center Business
Clients", the aim is to deploy the use of best practices in security perimeter
information by applying the ISO 27001 standards and ISO 27002 that are
served by the company Cortez SAC.
This study is applied. Experimental No. In the company 16 technical
users and 8 IT managers. Engineer also 1 Networking and Security. The total
population is 32 people.
We discuss two projects implementing the perimeter network clients
"Company Editor of Peru" and "El Rocio". (The project-1 without good practices
and project-2 migration with good practice).
As the interview instrument used by the person responsible for specific
client computer security topics such as perimeter network design, configuration
Firewall configuration settings vs replaced equipment new equipment questions.
The results were not expected by security administrators and network
client due to new solutions, but presenting it in another way, achieving full
minimize the chances of suffering negative impacts and losses caused by the
lack of security.
In conclusion, there are many shortcomings in the vast majority of
security organizations, considered expensive and complicated, but more
expensive is to suffer the consequences of the lack of security in the information
system. Finally know the elements to implement, acquire the International
Standard certification, analysis and evaluation for solving security problems.

Keywords: Information Security, ISO 27001, ISO 27002, Perimeter Network

13

14

CAPTULO I
INTRODUCCIN

15

INTRODUCCIN

Actualmente hay diferentes tipos de tecnologas las cuales van en

aumento, dejando atrs la parte de seguridad en la informacin. Dando como
resultado un gran nmero de huecos en seguridad, los cuales se pueden
corregir con atenciones y cuidados, con un listado de buenas prcticas y
polticas de seguridad. Esos huecos de seguridad, tambin se deben a la falta
de comunicacin y de capacitacin de los interesados los cuales se convierten
en el eslabn ms dbil en la cadena de seguridad.
Por lo cual, en el siguiente trabajo se describen las responsabilidades de
cada integrante de la empresa y las recomendaciones que deben seguir los
interesados.
Este trabajo escrito, es un conjunto de recomendaciones basadas en la
experiencia, en algunas polticas de seguridad y en un estndar para el control
de la tecnologa de la informacin, como lo es COBIT. Con el fin de
proporcionarles a los usuarios, encargados y administradores, temas actuales
de seguridad en la informacin y en el centro de cmputo, dando como
resultado la certeza de que se est asegurando lo mejor posible.
En este trabajo, se tienen como objetivos:
- Disear buenas prcticas para la seguridad en la empresa.
- Proporcionar buenas prcticas de seguridad fsica y perimetral a los
integrantes en la empresa.
- Promover el concepto de seguridad.
- Promover la importancia de las buenas prcticas entre los
administradores y usuarios.
- Difundir las buenas prcticas en la empresa.
16

Se pretende evaluar el conocimiento en la empresa, desde la

organizacin, servicios de seguridad y las tareas de los principales autores en
la empresa, mecanismos de seguridad, entre otras actividades, esto para
brindar una mejor seguridad interna y externa en la empresa.
Al identificar y analizar los servicios en la empresa, se van elaborando
medidas preventivas, como realizar un anlisis para detectar los posibles
riesgos, implementando cierto grado de seguridad en los servicios de la
empresa, as como controles que ayudan a proporcionar un mejor entorno en la
seguridad de la empresa.
Se brinda la importancia de identificar y comprender las polticas de
seguridad y las buenas prcticas, saber que para cada recurso hay
lineamientos a seguir. Y la importancia de la informacin para tomar las
medidas necesarias e impedir su prdida.
Se encuentra tambin una metodologa propuesta, que contiene
conceptos como: seguridad, vulnerabilidades y amenazas de igual manera la
forma de la estructura de la organizacin y los diferentes dispositivos en el
centro de cmputo por medio de una encuesta para identificar el estado inicial
o actual de la empresa con sus respectivos requerimientos.
Con la informacin recopilada en este trabajo se pretende proporcionar
una gua para la implementacin de la seguridad en la empresa, as como
tambin promover el concepto de seguridad, difundiendo las buenas prcticas
con diferentes mtodos, para que los integrantes del centro las conozcan y las
lleven a cabo.
El principal objetivo de este trabajo es la aplicacin de la Norma ISO
27001 e ISO 27002, mtodos y estrategias para el diseo, elaboracin,
implementacin, retroalimentacin y difusin de las buenas prcticas de
seguridad para optimizar la manera en que se resguarda la informacin y el
lugar de trabajo.

17

1.

PLANTEAMIENTO DEL PROBLEMA Y JUSTIFICACION

El presente trabajo propone una estrategia para implementar proyectos

de seguridad informtica perimetral usando las buenas prcticas en Seguridad

de la Informacin basado en las normas ISO 27001 e ISO 27002.
Es precisamente, en la gestin de este tipo de proyectos, donde se ha
observado que algunos integrantes de nuestros equipos de ventas y soporte
tcnico no aplican las mejores prcticas lo que ocasiona retrasos en los
entregables, problemas de vulnerabilidad en la red perimetral de los centros de
datos de clientes empresariales, insatisfaccin por parte de los clientes y
exceso en los costos del proyecto. Por el lado del cliente, el personal que
administra la seguridad y redes tambin adolece de competencias en seguridad
de la Informacin.
La aplicacin de las Normas ISO 27001 ha permitido ordenar nuestro
trabajo funcional, estableciendo reglas de control basados en Polticas y
Procedimientos que debemos seguir para una correcta Gestin de Riesgos en
nuestros clientes.
La aplicacin de la Norma ISO 27002 ha permitido estandarizar y
gestionar nuestro trabajo tcnico aplicado a la seguridad informtica perimetral,
empezando por dos dominios bsicos, el ambiente de seguridad fsica y el
control de accesos a los sistemas de informacin.
Por tal motivo, se presenta una estrategia comprobada en las dos
ltimas implementaciones realizadas, que nos ha permitido demostrar la
validez de la aplicacin de buenas prcticas en la Seguridad de la Informacin;
que venimos desplegando a los diversos equipos de trabajo que implementan
proyectos de seguridad informtica perimetral.

18

1.1

Planteamiento del Problema

La formacin acadmica, entrenamiento y experiencia que adquieren los

Ingenieros de Sistemas que se especializan como Administradores de

Seguridad Informtica y Redes a lo largo de su desarrollo profesional, les
permiten identificar cuando no existe una adecuada gestin de los proyectos de
seguridad informtica, lo que se complica porque tambin deben gestionar el
aprovisionamiento de los equipos y componentes de la red perimetral y
mantener protegida la red interna y externa de la empresa.
Se ha observado que en la empresa Cortez SAC no hay una adecuada
coordinacin tcnica con el rea de ventas cuando se ganan proyectos de
altas, migracin o upgrade de equipos de seguridad perimetral, ya que por la
rapidez en entregar el RFP el encargado de la relacin comercial con el cliente
muchas veces no incluye la recomendacin tcnica de los ingenieros
especialistas sobre los equipos ofrecidos en la fase de ventas y genera que el
permetro de la red interna y externa est expuesta a amenazas y riesgos
Tambin se debe mejorar la gestin de tiempos, costos, entregables y
recursos necesarios para cumplir con los servicios ofrecidos a los clientes; se
debe mejorar la asignacin de recursos en los data centers , ha ocurrido que el
ingeniero encargado de gestionar la seguridad informtica en el cliente por falta
de un asistente tcnico ha tenido que atender incidentes de 2do nivel que le
obliga a dejar sus actividades de implementacin de la seguridad perimetral , lo
que a su vez repercute en incumplir con los tiempos acordados de
implementacin del proyecto.
Por tal razn, para mantener segura la red informtica perimetral de los
data centers de los clientes se deben aplicar las buenas prcticas en Seguridad
de la Informacin en la gestin de proyectos y servicios de seguridad
informtica.

19

1.1.1 Formulacin de la Pregunta de Investigacin

1.1.1.1

Pregunta General

En qu medida el uso de buenas prcticas en Seguridad de la

Informacin ha permitido implementar exitosamente los proyectos de
seguridad informtica perimetral en los data center de clientes
empresariales?

1.1.1.2

Preguntas Especficas
De qu manera la aplicacin de la Norma ISO 27001 ha influido

en una gestin adecuada de la seguridad de la informacin en la data

center de clientes empresariales?
De qu manera la aplicacin de la norma ISO 27002 ha
controlado el acceso externo e interno a los servicios informticos para
mantener la red perimetral libre de amenazas e intrusiones en los data
center de clientes empresariales?

1.2 Justificacin
1.2.1 Justificacin Terica
Diversas investigaciones y casos de xito sobre proyectos de seguridad
informtica, han permitido demostrar que el uso de las buenas prcticas en
Seguridad de la Informacin permite garantizar la gestin adecuada de los
riesgos y servicios de seguridad informtica en la red perimetral externo e
interno de la empresa.
Las buenas prcticas estn soportadas por las Normas ISO 27001 e ISO
27002.

1.2.2 Justificacin Prctica

La aplicacin de la Normas ISO 27001 e ISO 27002 de Buenas
Prcticas en Gestin de Sistemas de Seguridad de Informacin permitir
ordenar el trabajo del personal, estandarizando procesos e implementar
proyectos exitosos, en tiempo, presupuesto, calidad y satisfaccin del cliente;
20

adems, contar con personal certificado y/o con experiencia en diversos

equipos y componentes de redes y seguridad informtica que implementamos
o a los que damos soporte tcnico.

1.3 Delimitacin y Alcance

Esta investigacin aplicada considera las reas de Ventas, tiene un
alcance especfico entre las dos reas analizadas, pues el personal que las
integran cumplen roles y tienen competencias tcnicas para la gestin de
seguridad informtica que desarrollan en los clientes de Lima y provincias.

1.4 Objetivos
1.4.1 Objetivo General
Desplegar el uso de buenas prcticas en seguridad de la informacin
para la gestin de proyectos de seguridad informtica perimetral en los data
center de clientes empresariales.

1.4.2 Objetivos Especficos

Aplicar la Norma ISO 27001 para gestionar la Seguridad de la
Informacin en la data center de clientes empresariales.
Aplicar la Norma ISO 27002 para controlar el acceso externo e interno
de los servicios informticos y mantener segura la red perimetral contra
amenazas e intrusiones en la data center de clientes empresariales.

1.5 Antecedentes de la Investigacin

La empresa actualmente no aplica las buenas prcticas en gestin de
seguridad de la informacin y en seguridad informtica perimetral. El avance
tecnolgico hace que aparezcan nuevos equipos y sistemas ms robustos de
mejor rendimiento, calidad y costo; a la vez, otros equipos quedan obsoletos a
nivel tcnico y son reemplazados. Debido a que en los proyectos de
implementacin de seguridad perimetral hemos venido trabajando con equipos
21

de un mismo fabricante, y por su uso continuo conocemos de memoria las

especificaciones de los nuevos equipos.
El uso de nuevas soluciones de seguridad perimetral sobre todo en la
migracin de configuracin de un equipo a otro traa consigo resultados no
esperados por los administradores de seguridad y de redes del cliente
ocasionando retrasos en demostrar que las funcionalidades con el nuevo
equipo de seguridad son las mismas pero presentado de otra forma.

1.6 Marco Terico

La aplicacin y uso de las Tecnologas de la Informacin se da en
diferentes campos de aplicacin y para la gestin adecuada de dichos servicios
existen buenas prcticas que guan el uso de la infraestructura tecnolgica
existente. A continuacin, se describen buenas prcticas y estndares que
soportan la gestin de proyectos de seguridad informtica perimetral, entre los
principales estn.

1.6.1 Seguridad de la Informacin

Segn Lpez y Quezada (2006): en su libro Fundamentos de
Seguridad Informtica, El trmino seguridad de la informacin se
refiere a la prevencin y a la proteccin, a travs de ciertos
mecanismos, para evitar que ocurra de manera accidental o
intencional la transferencia, modificacin, fusin o destruccin no
autorizada de la informacin. (p. 23)

Debido a que la informacin es un activo no menos importante que otros

activos comerciales, es esencial para cualquier negocio u organizacin contar
con las medidas adecuadas de proteccin de la informacin, especialmente en
la actualidad, donde la informacin se difunde a travs de miles y miles de
redes

interconectadas.

Esto

multiplica

la

cantidad

vulnerabilidades a las que queda expuesta la informacin.

22

de

amenazas

La informacin puede existir en muchas formas, por ejemplo, puede

estar impresa o escrita en papel, almacenada electrnicamente, transmitida por
correo o utilizando medios electrnicos, hablada en una conversacin, etc. Sea
cual sea la forma en la que se tenga la informacin, debe estar en todo caso
protegida.
La seguridad de la informacin se logra implementando un conjunto
adecuado de controles, polticas, procesos, procedimientos, estructuras
organizacionales, y otras acciones que hagan que la informacin pueda ser
accedida slo por aquellas personas que estn debidamente autorizadas para
hacerlo.

Figura 1. Seguridad de la informacin.

1.6.2 Normas ISO

1.6.2.1

ISO 27000
En fase de desarrollo. Contendr trminos y definiciones que se

emplean en toda la serie 27000. La aplicacin de cualquier estndar

necesita de un vocabulario claramente definido, que evite distintas
interpretaciones de conceptos tcnicos y de gestin. Esta norma ser
gratuita, a diferencia de las dems de la serie, que tendrn un coste.
ISO 27000 en espaol, (2016): La BSI (British Standards
Institution) desde 1901 ha sido la primera organizacin de
certificacin a nivel mundial, ha publicado normas como: BS
5750, ao 1979 - ahora ISO 9001. BS 7750, ao 1992 ahora ISO 14001. BS 8800, ao 1996 - ahora OHSAS
23

18001. La norma BS7799 se public en 1995 con el fin de

recomendar buenas prcticas para la gestin de la
seguridad de la informacin. Esta fue adoptada por ISO en
el ao 2000, como ISO 17799. (Consultado 15.04.2016)

1.6.2.2

ISO 27001
ISO 27001 en Espaol, (2016): Es la norma principal de
requisitos del sistema de gestin de seguridad de la
informacin. Tiene su origen en la BS 7799-2:2002 y es la
norma con arreglo a la cual se certifican por auditores
externos los SGSI de las organizaciones. Fue publicada el
15 de Octubre de 2005 y sustituye a la BS 7799-2,
habindose establecido unas condiciones de transicin para
aquellas empresas certificadas en esta ltima. (Consultado
15.04.2016)

1.6.2.3

ISO 27002
ISO 27001 en espaol, (2016): Cambio de nomenclatura de
ISO 17799:2005 realizada el 1 de Julio de 2007. Es una gua
de buenas prcticas que describe los objetivos de control y
controles recomendables en cuanto a seguridad de la
informacin. No es certificable. Contiene 39 objetivos de
control y 133 controles, agrupados en 11 dominios.
(Consultado 15.04.2016)
A travs de este documento se puede identificar un marco de

trabajo ms amplio para una organizacin cuando se desea implementar

polticas de seguridad.

1.6.2.4

ISO 9001
ISO 9001 en espaol, (2016): Define los requerimientos para los
sistemas de gestin de calidad. Aunque a primera vista la gestin
de calidad y la gestin de seguridad de la informacin no tienen
mucho en comn, lo cierto es que aproximadamente el 25% de

24

los requisitos de ISO 27001 y de ISO 9001 son los mismos:

control de documentos, auditora interna, revisin por parte de la
direccin, medidas correctivas, definicin de objetivos y gestin
de competencias. Esto quiere decir que si una empresa ha
implementado ISO 9001 le resultar mucho ms sencillo
implementar ISO 27001. (Consultado 15.04.2016)

1.6.3 COBIT
Segn el estudio de INFORMATION SYSTEMS AUDIT AND
CONTROL ASSOCIATION (2012): COBIT 5 es un marco de
gobierno de TI y herramientas de apoyo que permite a los
administradores para cerrar la brecha entre las necesidades de
control, cuestiones tcnicas y los riesgos empresariales. COBIT
permite el desarrollo de una poltica clara y de buenas prcticas
para el control de TI en las organizaciones. COBIT enfatiza el
cumplimiento normativo, ayuda a las organizaciones a aumentar el
valor alcanzado desde IT, permite la alineacin y simplifica la
implementacin del marco de gobierno de TI y el control de las
empresas. (p.5)

Figura 2. Gobierno TI

25

1.6.4 Gestin de Proyectos - PMBOK

Segn (Gua del PMBOK) -Quinta edicin (2013): Una gua para
el Cuerpo Proyecto de Gestin del Conocimiento refleja la
colaboracin y el conocimiento de los directores de proyectos de
trabajo y proporciona los fundamentos de la gestin de proyectos
que se aplican a una amplia gama de proyectos. Esta norma
internacionalmente reconocida ofrece a los administradores de
proyectos las herramientas esenciales para la prctica de la
gestin del proyecto y entregar resultados de la organizacin. (p.1)

Figura 3. PMBOK v5 reas de Conocimiento

1.6.5 Gestin de Servicios de Infraestructura Tecnolgica - ITIL

Muoz y Martnez (2012): en su Proyecto de Caracterizacin de
Procesos de Gestin de TI basados en COBIT 5 y mapeo con ISO27002, ITIL,
CMMI DEV, PMBOK, para la implementacin en la industria Editorial, dicen:
The Official Introduction to the ITIL La Information Technology
Infrastructure Library (ITIL) define los requisitos de estructura y
habilidades organizacionales de una organizacin de tecnologa de
la informacin y un conjunto de procedimientos y prcticas de
gestin operativa estndar para permitir la organizacin gestionar
una

operacin

de

TI

la

infraestructura

asociada.

Los

procedimientos y prcticas operativas son independientes y se

26

aplican a todos los aspectos dentro de la infraestructura de TI. La

figura 1.2 muestra la estructura circular de mejora continua que
aplica ITIL para la gestin de servicios de Infraestructura
tecnolgica en las organizaciones. (p.29)

Figura 4. Gestin de Servicios ITIL.

1.6.6 Ciclo de Deming

Segn Deming (1982):
Mejorando la calidad es posible aumentar la productividad
PDCA son las siglas en ingls del conocido Ciclo de Deming: Plan-DoCheck-Act (Planificar- Hacer- Verificar- Actuar). (El PDCA lo componen 4
etapas cclicas, de forma que una vez acabada la etapa final se debe volver a
la primera y repetir el ciclo de nuevo, de forma que las actividades son
reevaluadas peridicamente para incorporar nuevas mejoras. La aplicacin de
esta metodologa est enfocada principalmente para ser usada en empresas y
organizaciones.

27

Figura 5. Ciclo de mejora continua: PHVA.

1.6.7 Polticas Tecnolgicas

Segn Julio Csar Vsquez Paiva (2013) en su investigacin de
Polticas Tecnolgicas Directas e Indirectas, las polticas
tecnolgicas son todas las acciones que realiza el Estado, en pro
de contribuir a la creacin y fortalecimiento dela innovacin
tecnolgica tanto en el mbito pblico como privado para as
mejorar el sistema tecnolgico del pas y as promover y elevar el
nivel de vida de sus habitantes. (p.45)
Dentro de estas polticas pueden diferenciarse dos tipos segn su forma
de aplicarse, pero las cuales tienen el mismo fin en comn, promover el nivel
tecnolgico de las empresas tanto pblicas como privadas, las cuales son las
siguientes:
Polticas directas o explcitas: las cuales son los decretos de ley, leyes creadas
para motivar instituciones, proyectos, incentivos, entre otros, los cuales tienen
como fin llevar a cabo los planes tecnolgicos del Estado.
28

Polticas indirectas o implcitas: las cuales son estrategias que tienen fines
directo en el rea poltica, social, cultural o econmica pero que ocasiona
efectos secundarios en el mbito tecnolgico Servicios de Seguridad Informtica.

Un servicio de seguridad informtica es aquel que mejora la seguridad de un

sistema de informacin y el flujo de informacin de una organizacin. Los

servicios estn dirigidos a evitar los ataques de seguridad y utilizan uno o ms
mecanismos de seguridad para proveer el servicio.
Segn Microsoft Encarta (2016):
Seguridad es cualidad de seguro y define a este a su vez como
libre y exento de todo peligro, dao o riesgo. (p.9)

Clasificacin

Confidencialidad
Autenticacin
Integridad
No repudio
Control de acceso
Disponibilidad

a.

Confidencialidad
Servicio de seguridad o condicin que asegura que la informacin no

pueda estar disponible o ser descubierta por o para personas, entidades o

procesos no autorizados. Tambin puede verse como la capacidad del sistema
para evitar que personas no autorizadas puedan acceder a la informacin
almacenada en l.

Figura 6: La confidencialidad de los datos.

b.

Autenticacin

29

Es el servicio que trata de asegurar que una comunicacin sea

autntica, es decir, verificar que el origen de los datos es el correcto, quin los
envi y cundo fueron enviados y recibidos tambin sean correctos. Algunos
mtodos de autenticacin son: Biomtricos, Tarjetas inteligentes, Mtodos
clsicos basados en contrasea, etc.

Figura 7. Algunos mecanismos para salvaguardar la confidencialidad de los datos.

c.

Integridad
Servicio de seguridad que garantiza que la informacin sea modificada,

incluyendo su creacin y borrado, slo por el personal autorizado.

Figura 8. Integridad.

d.

No repudio
El no repudio sirve a los emisores o a los receptores para negar un

mensaje transmitido. Por lo que cuando un mensaje es enviado, el receptor

puede probar que el mensaje fue enviado por el presunto emisor. De manera
similar, cuando un mensaje es recibido, el remitente puede probar que el
mensaje fue recibido por el presunto receptor.

30

Figura 9. Sistema de No Repudio.

e.

Control de Acceso
Un control de acceso se ejecuta con el fin de que un usuario sea

identificado y autenticado de manera exitosa para que entonces le sea

permitido el acceso. El control de acceso puede ejecutarse de acuerdo con los
niveles de seguridad y puede ejecutarse mediante la administracin de la red o
por una entidad individual de acuerdo con las polticas de control de acceso.

Figura 10. Control de Acceso.

f.

Disponibilidad
En un entorno donde las comunicaciones juegan un papel importante es

necesario asegurar que la red est siempre disponible.

31

Figura 11. Disponibilidad.

1.6.8 Amenazas
Microsoft (2016):
La Amenaza es la probabilidad de ocurrencia de un suceso
potencialmente desastroso durante cierto periodo de tiempo, en un
sitio dado. En general el concepto de amenaza se refiere a un
peligro latente o factor de riesgo externo, de un sistema o de un
sujeto expuesto, expresada matemticamente como la probabilidad
de exceder un nivel de ocurrencia de un suceso con una cierta
intensidad, en un sitio especfico y durante un tiempo de exposicin
determinado. (Consultado 15.04.2016).
Una amenaza se representa a travs de una persona, una circunstancia
o evento, un fenmeno o una idea maliciosa, las cuales pueden provocar dao
en los sistemas de informacin, produciendo prdidas materiales, financieras o
de otro tipo. Las amenazas son mltiples desde una inundacin, un fallo
elctrico o una organizacin criminal o terrorista. As, una amenaza es todo
aquello que intenta o pretende destruir.

a.

Amenazas Humanas
Surge por ignorancia en el manejo de la informacin, por descuido, por

negligencia, por inconformidad. Para este caso se pueden considerar a los

hackers, crakers, phreakers, carding, trashing, gurs, lamers o scriptkiddies,
copyhackers, bucaneros, newbie, wannabers, samurai, creadores de virus y los
que se listan a continuacin:

32

Figura 12. Amenazas Humanas.

Ingeniera social: es la manipulacin de las personas para convencerlas de

que ejecuten acciones o actos que normalmente no realizan de forma que
revelen datos indispensables que permitan superar las barreras de seguridad.
Esta tcnica es una de las ms usadas y efectivas al momento de averiguar
nombres de usuarios y contraseas.
Ingeniera social inversa: consiste en la generacin, por parte de los intrusos,
de una situacin inversa a la original en la ingeniera social. En este caso el
intruso publicita de alguna manera que es capaz de brindar ayuda a los
usuarios y stos lo llaman ante algn imprevisto. El intruso aprovechar esta
oportunidad para pedir informacin necesaria para solucionar el problema del
usuario y el propio.
Robo: Las computadoras son las posesiones ms valiosas de la empresa y se
encuentran expuestas. Es frecuente que los operadores utilicen las
computadoras de las empresas para realizar trabajos privados o para otras
organizaciones y de esta manera robar tiempo de mquina.
Fraude: Cada ao millones de dlares son sustrados de las empresas y, en
muchas ocasiones, las computadoras son utilizadas para dichos fines. Es uno
de los problemas ms habituales de las Organizaciones, sea del tipo que sea y
a todos los niveles, ya que se refiere al perjuicio econmico patrimonial

33

realizado con nimo de lucro y llevado a cabo con engao. El fraude no trata
ms que lograr un beneficio ilegal reduciendo las propiedades de la compaa.
Sabotaje: El sabotaje ha sido utilizado desde la antigedad, partiendo del
axioma de una eficiencia mxima, con unos medios y un riesgo mnimo para el
saboteador. Para lograr estos fines el saboteador tratar de determinar los
puntos dbiles de la organizacin y estudiar las posibilidades de acceder a las
reas donde mayor dao pueda hacer. Es el peligro ms temido en los centros
de procesamiento de datos, ya que ste puede realizarlo un empleado o un
sujeto ajeno a la empresa.
Personal: De los robos, fraudes, sabotajes o accidentes relacionados con los
sistemas, el 73% es causado por el personal de la organizacin propietaria de
dichos sistemas.
Personal interno: Son las amenazas al sistema provenientes del personal del
propio sistema informtico. Los daos causados por el personal pueden ser
accidentales, deliberados o productos de la negligencia. Los recursos y
programas as como la informacin, deben estar especialmente protegidos
contra estos tipos de daos.
Ex-empleado: Generalmente son personas descontentas con la organizacin y
que conocen a la perfeccin la estructura del sistema, por consiguiente, tienen
los conocimientos necesarios para causar cualquier tipo de dao.
Curiosos: Son personas que tienen un alta inters en las nuevas tecnologas,
pero an no tienen la experiencia ni conocimientos bsicos para considerarlos
hacker o crackers, generalmente no se trata de ataques dainos, pero afecta el
entorno de fiabilidad y confiabilidad generado en un sistema.
Terrorista: En esta definicin se engloba a cualquier persona que ataca al
sistema causando un dao de cualquier ndole en l, tienen fines proselitistas o
religiosos.
Intrusos remunerados: Se trata de crackers o piratas con grandes
conocimientos y experiencia, pagados por una tercera parte para robar
34

secretos o simplemente para daar de alguna manera la imagen de la entidad

atacada.

b.

Amenazas de Hardware
Este tipo de amenazas se da por fallas fsicas que se encuentra

presente en cualquier elemento de dispositivos que conforman la computadora.

Los problemas ms identificados para que el suministro de energa falle son el
bajo voltaje, ruido electromagntico, distorsin, interferencias, alto voltaje,
variacin de frecuencia, etc.

Figura 13. Amenazas de Hardware.

c.

Amenazas de Red
Se presenta una amenaza cuando no se calcula bien el flujo de

informacin que va a circular por el canal de comunicacin, es decir, que un

atacante podra saturar el canal de comunicacin provocando la no
disponibilidad de la red. Otro factor es la desconexin del canal.

Figura 14. Amenazas de Red.

35

d.

Amenazas Lgicas
La amenaza se hace presente cuando un diseo bien elaborado de un

mecanismo de seguridad se implementa mal, es decir, no cumple con las

especificaciones del diseo. La comunicacin entre procesos puede resultar
una amenaza cuando un intruso utilice una aplicacin que permita evitar y
recibir informacin, sta podra consistir en enviar contraseas y recibir el
mensaje de contrasea vlida; dndole al intruso elementos para un posible
ataque.
En la mayora de los sistemas, los usuarios no pueden determinar si el
hardware o el software con que funcionan son los que supone que deben ser.
Esto facilita al intruso para que pueda reemplazar un programa sin
conocimiento del usuario y ste pueda inadvertidamente teclear su contrasea
en un programa de entrada falso al cual tambin se le denomina cdigos
maliciosos.
Los tipos de cdigos maliciosos ms comunes son: caballos de Troya,
virus, gusanos, bombas de tiempo y keyloggers.

Caballos de Troya: Es un programa aparentemente til que contiene funciones

escondidas y adems pueden explotar los privilegios de un usuario dando
como resultado una amenaza hacia la seguridad. Un caballo de Troya es ms
peligroso que un administrador del sistema o un usuario con ciertos privilegios,
ya que se introducen al sistema bajo una apariencia totalmente diferente a la
de su objetivo final; esto es, que se presente como informacin perdida o
basura, sin ningn sentido. Pero al cabo de algn tiempo, y esperando la
indicacin del programa, despierta y comienzan a ejecutarse y a mostrar sus
verdaderas intenciones. Tambin pueden aparentar ser un programa de juegos
o entretener al usuario mostrando pantallas de espectculos y sonidos
agradables, mientras realizan operaciones dainas para el sistema.

36

Virus Un virus informtico es un programa informtico malicioso que cuando

una persona confiada lo ejecuta, lleva a cabo tareas que incluyen
fundamentalmente reproducirse a s mismos y en algunos casos desplegar una
carga daina. Las principales formas de propagacin son:
Medios de difusin externos: cualquier dispositivo de almacenamiento que
puede contener un archivo de ordenador, como DVD, o CD, y pueda
conectarse o insertarse en una computadora.
Conexin a la red: Una red es un grupo de ordenadores conectados entre s
para poder intercambiar datos. Internet, que es la fuente virus ms comn, hoy
en da, es una gran red. Los virus pueden usar la conexin de computadora a
computadora.
Las tres vas de propagacin ms ampliamente conocidas son: un archivo
anexo o adjunto al correo electrnico, una transferencia FTP, TELNET, otros
servicios web; y descargar un archivo infectado desde una pgina web, etc.
Gusanos: Son programas que se reproducen a s mismos y no requieren de un
anfitrin, pues se arrastran literalmente por todo el sistema sin necesidad de un
programa que los transporte. Los gusanos se cargan en la memoria y se
posicionan en una determinada direccin, luego se copian en otro lugar y se
borran del que ocupaban, y as sucesivamente, esto hace que queden borrados
los programas o informacin que encuentran a su paso por la memoria, lo que
causa

problemas

de

operacin

prdida

de

datos.

Los

gusanos

frecuentemente se propagan de una computadora a otra a travs de las

conexiones de la red. Los gusanos con frecuencia roban, destruyen o modifican
datos en una computadora. Los gusanos tienen como nica misin la de
colapsar cualquier sistema, ya que son programas que se copian en archivos
distintos en cadena hasta crear miles de rplicas de s mismos.
Bombas de Tiempo: son programas ocultos en la memoria del sistema o en
los discos, dentro de archivos de programas ejecutables con extensin .COM
o .EXE. Esperan una fecha o una hora para explotar. Algunos de estos virus no
son destructivos y slo exhiben mensajes en la pantalla al llegar el momento de
la explosin. Llegado el momento, se activa cuando se ejecuta el programa que
las contiene.

37

Keyloggers: los Keyloggers son programas para el espionaje que plantean

muchos problemas ticos y legales. La funcin del Keyloggers es registrar
todas las pulsaciones del teclado en un archivo del sistema para luego
proceder a su lectura, de esta manera todo lo que se haya escrito, como
nombres de usuario o contraseas queda registrado en un archivo.

1.6.9 Sistema Gestin de Seguridad de la Informacin - SGSI

Gomz A. (2007) afirma:
Un Sistema de Gestin de la Seguridad de la Informacin (SGSI)
consiste en un conjunto de polticas y procedimientos que
normalizan la gestin de la seguridad de la informacin, bien de
toda una organizacin o bien de uno o varios de sus procesos de
negocio. (p.18)
Es importante tener siempre en mente que por Seguridad de la
Informacin se entiende el triple vector de confidencialidad, integridad y
disponibilidad de la misma. Un SGSI debe abordar de forma integral estas tres
vertientes.
Existen diversos estndares, marcos de trabajo o metodologas para
implantar y mantener un SGSI, pero sin duda, la ms socorrida es la serie ISO
27000. Este estndar internacional comprende todo un conjunto de normas
relacionadas con la Seguridad de la Informacin, de entre las que destacan las
ms conocidas: la ISO 27001 y la ISO 27002.

Qu informacin protege un SGSI?

Los activos de informacin de una organizacin, independientemente del
soporte que se encuentren; p. ej., correos electrnicos, informes, escritos
relevantes, pginas web, imgenes, documentos, hojas de clculo, faxes,
presentaciones, contratos, registros de clientes, informacin confidencial de
trabajadores y colaboradores.

38

El SGSI da as la garanta a la empresa de que los riesgos que afectan a

su informacin son conocidos y gestionados. No se debe olvidar, por tanto, que
no hay seguridad total sino seguridad gestionada.

1.6.10 Gestin de Riesgos

Mediante la gestin del riesgo se identifican, evalan y corrigen a niveles
razonables y asumibles en coste todos los riesgos en seguridad que podran
afectar a la informacin. Bsicamente, la seguridad de la informacin es parte
de la gestin global del riesgo en una empresa, hay aspectos que se
superponen con la ciberseguridad, con la gestin de la continuidad del negocio
y con la tecnologa de la informacin:

Figura 15. ISMS Framework.

DMR-Consulting (2005):
Proponen un mtodo llamado Administracin del Riesgo
Operacional (ARO), cuyo objetivo principal es operativizar
una metodologa de trabajo, incorporando los indicadores
necesarios.

1.6.10.1
a.
39

Normatividad
Polticas

qu proteger?, por qu?

simples de entender y fciles de recordar

b.

Procedimientos
Documentos que contienen el quin? cundo? cmo?
de la seguridad informacin dentro de la organizacin.
Las normas dictadas en la elaboracin de la poltica de seguridad,

en algunos casos de forma concreta y en otros de forma ms abstracta,

pero igualmente concluyentes, han de materializarse en una serie de
procedimientos y normas a seguir en la operacin y mantenimiento de
las tareas diarias del MEC, al menos en lo relacionado con las
actividades que de una forma u otra tienen que ver con Internet.

1.6.11 Seguridad de la Red

Cisco, (2004):
El Administrador de la red es el encargo de la configuracin, fallas,
confiabilidad, comportamiento y seguridad en la red (p.25)

1.6.11.1 Red Plana sin seguridad

Hernndez y Huerta (2014), afirman:
Se considera una red de topologa plana, a la red compuesta
nicamente por switches o hubs (actualmente ya no se utilizan los
hubs debido a la baja velocidad de funcionamiento y las altas
probabilidades de colisiones llegando a provocar deterioro e incluso
comprometiendo la operacin de la red), una de las razones por las
cuales

se

sigue

ocupando

esta

topologa

pesar

de

los

inconvenientes, es la facilidad y el bajo costo de implementacin ya

que todos los host estn ubicados en la misma red; por lo tanto, la
adicin de un nuevo host o de otro dispositivo es relativamente fcil.
(p. 78)
Las caractersticas de una red de comunicaciones sin seguridad son:

40

Red plana sin segmentar.

Publicacin de servicios internos: base de datos.
No hay elementos de monitorizacin.

No se filtra trfico de entrada ni salida.

No se verifica malware o spam en el correo

electrnico.

Cliente remoto accede directamente a los servicios.

Figura 16. Red Plana sin Seguridad

1.6.11.2 Seguridad Perimetral

Tirado (2012), en su tesis SISTEMA DE SEGURIDAD
PERIMETRAL INSTALACION Y CONFIGURACION DE
ENDIAN FIREWALL:
Es el Agregado de Hardware, Software y polticas para
proteger una red en la que se tiene confianza (intranet) de
otras redes en las que no se tiene confianza (extranet,
internet).

Las mltiples amenazas y puntos de vulnerabilidad de los

sistemas de informacin hacen obligatorio que las empresas cuenten
con todos los recursos de seguridad necesarios para proteger sus
negocios. Proteja su informacin, sus redes, sus datos, sus
aplicaciones de los diferentes delitos informticos y todo tipo de
malware existente.
Actualmente es necesario contar con una arquitectura de red con
mltiples dispositivos fsicos hardware y software tales como
41

La arquitectura y elementos de red que proveen de seguridad al

permetro de una red interna frente a otra que generalmente es
Internet:

Cortafuegos.
Sistemas de Deteccin y Prevencin de Intrusos.
Pasarelas antivirus y antispam.
Honeypots.

Figura 17. Seguridad Perimetral en Redes

42

Figura 18. Casos de xito de Seguridad informtica.

43

1.6.12 Empresa
1.6.12.1 Cortez SAC.
La empresa Cortez SAC, es la institucin que brinda servicios
especializados

en

seguridad

informtica

redes

clientes

empresariales que pertenecen al sector pblico y privado a nivel

nacional. Son ingenieros freelance que ofrecen servicios a grandes
operadores de servicios de telecomunicaciones.

1.6.12.2 rea de Implementacin de proyectos de

seguridad
Lo integran Ingenieros especializados en Redes y Seguridad
Informtica, cumplen dos funciones: implementar proyectos de
seguridad y soporte en la actualizacin de polticas en los equipos de
seguridad perimetral.

1.6.12.3 rea de Ventas

Conformado por personal administrativo con conocimientos
tcnicos bsicos para establecer negociacin y proponer a los clientes
nuevos activos tecnolgicos de seguridad informtica.

1.6.12.4 rea de Post-venta

Conformado por Ingenieros, con conocimientos de redes y
seguridad informtica, que residen en los locales de los clientes para
brindar soporte tcnico y mantenimiento de los equipos existentes.

44

1.7 Hiptesis General

La aplicacin de buenas prcticas en seguridad de la informacin permite
gestionar adecuadamente los proyectos de seguridad informtica perimetral en
los centros de datos de clientes empresariales.

1.7.1 Hiptesis Especficas de Investigacin 1

A. Hiptesis especficas 1 (HE1)
La aplicacin de la Norma ISO 27001 permite gestionar adecuadamente
la Seguridad de la Informacin en los centros de datos de clientes
empresariales.
B. Indicador 1: Indicador: Gestin de Riesgos de Seguridad
Informtica

Ia1: Gestin de Riesgos de Seguridad Informtica antes de aplicar la

Norma ISO 27001.

Id1: Gestin de Riesgos de Seguridad Informtica despus de aplicar

la Norma ISO 27001.
C. Hiptesis Estadstica 1:
Hiptesis Nula (H0): La aplicacin de la Norma ISO 27001 no permite
gestionar adecuadamente la Seguridad de la Informacin en los centros de
datos de clientes empresariales.
H0 = Ia1 Id1 0
Hiptesis Alternativa (HA): La aplicacin de la Norma ISO 27001 permite
gestionar adecuadamente la Seguridad de la Informacin en los centros de
datos de clientes empresariales.

45

HA = Ia1 Id1 < 0

Se deduce que el indicador con la Norma ISO 27001 es mejor que el indicador
sin la Norma ISO 27001.

46

1.7.2 Hiptesis Especficas de Investigacin 2

A. Hiptesis especficas 2 (HE2)
El control de los accesos a los servicios informticos externos e internos,
permite proteger la red perimetral contra amenazas e intrusiones en los centros
de datos de clientes empresariales.
B. Indicador 1: Indicador: Diseo de la Red Perimetral

Ia1: Diseo de la red perimetral antes de aplicar la Norma ISO 27001 .

Id1: Diseo de la red perimetral despus de aplicar la Norma ISO
27001.
C. Hiptesis Estadstica 2:
Hiptesis Nula (H0): La aplicacin de la Norma ISO 27001 no permite el
diseo de la red perimetral en los centros de datos de clientes empresariales.
H0 = Ia2 Id2 0
Hiptesis Alternativa (HA): La aplicacin de la Norma ISO 27001 permite
el diseo de la red perimetral en los centros de datos de clientes empresariales.
HA = Ia2 Id2 < 0
Se deduce que el indicador con la Norma ISO 27001 es mejor que el indicador
sin la Norma ISO 27001.

47

48

CAPTULO II
MATERIALES Y MTODOS

49

2. MATERIALES Y MTODOS
2.1 Materiales
2.1.1 Personal
Jorge Aliaga, asistente de red seguridad de la empresa Editora del Per. CCNA
y CCNA Security? (Cliente 1)
Juan Valderrama, asistente de red y seguridad de la empresa El Roco. CCNA
y CCNA Security? (cliente 2)
El Sr. Alejandro Cortez, Supervisor de redes y seguridad perteneciente a
CORTEZ SAC y que brinda soporte a los dos clientes.

CCNA SECURITY,

CCSA, CCSP, NSE4, ITI, CompTIA Securtity

2.1.2 Materiales
Se usaron herramientas y servicios de uso libre y licenciado, disponible
en la nube o instalado en estaciones clientes:

Herramientas ofimticas: Google Apps.

Herramientas ofimticas: Microsoft Office.
Herramientas de diagramacin: Microsoft Visio
Servicios de videoconferencia: Google Hangouts.
Correo electrnico: Gmail.

2.1.3 Tiempo
El plan de trabajo consider las siguientes actividades que se muestran en la
tabla 2.x

50

Tabla 1
Cronograma de actividades piloto EP-ER
ACTIVIDAD

TIEMPO

ENTREGABLE

1. Identificar problema cliente 1

2d

Entrevista de campo

2. Identificar problema cliente 2

4d

Entrevista de campo (Trujillo)

3.Anlisis del problemas en

2d

Lista de problemas de seguridad y redes

clientes
4.Anlisis de problemas a nivel

3d

Lista de gaps en equipos de seguridad y redes

interno
5.Resumen de problemas y

2d

Matriz de problema, gaps y soluciones

soluciones
6.Diseo funcional-tcnico de la

15d

probables
Buenas prcticas en seguridad informtica

solucin
7. Presentar propuesta

4d

perimetral, SGSI, ISO 27001, ISO 27002

Propuesta funcional y tcnico de la solucin

8. Evaluar propuesta

2d

Aprobar propuesta

9. Aplicar propuesta en cliente

5d

Checklist PHVA

10. Presentar resultados

3d

Resultados

11.Mejorar propuesta

2d

Propuesta mejorada

12. Aprobar propuesta

1d

Propuesta aprobada

13. Desplegar solucin a nivel

2d

Implementacin de equipos de seguridad y

interno
14.Desplegar solucin en

5d

redes
Capacitacin y entrenamiento en seguridad y

clientes
15. Cierre del piloto

2d

redes a clientes
Lecciones aprendidas, VB de clientes, VB de
equipo interno

Fuente: Elaboracin propia

51

2.1.4 Equipamiento
2.1.4.1

Equipo Firewall

Figura 19. Cortafuegos FORTINET

2.1.5 Situacin y exigencia del problema

Se visitaron los data center de los clientes elegidos, Lima y Trujillo. Se
requiere validar la mayor cantidad de problemas tcnicos relacionados a
seguridad y redes, por eso se viaj a Trujillo para analizar los problemas que se
presentan en el cliente-2 que tiene las arquitecturas de redes WAN y LAN ms
complejas y extensas, a las que damos servicios.

2.2 Mtodos
2.2.1 Procedimientos o Mtodos
Se usaron los siguientes procedimientos y mtodos:
Normas ISO 27001
Normas ISO 27002.
Modelo SGSI.

2.2.2 Diseo de Investigacin

De acuerdo al propsito de la investigacin, naturaleza de los problemas
y objetivos formulados en el trabajo, el presente estudio rene las condiciones
suficientes para ser calificado como un "Trabajo de Investigacin Aplicado". Es
No Experimental.

2.2.2.1

No Experimental
La investigacin no experimental es aquella que se realiza sin

manipular deliberadamente variables. Se basa fundamentalmente en la

observacin de fenmenos tal y como se dan en su contexto natural para
analizarlos con posterioridad. En este tipo de investigacin no hay
condiciones ni estmulos a los cuales se expongan los sujetos del
estudio. Los sujetos son observados en su ambiente natural.
52

2.2.3 Tipo de Investigacin

De acuerdo al propsito de la investigacin, naturaleza de los problemas
y objetivos formulados en el trabajo, el presente estudio rene las condiciones
suficientes para ser calificado como un "Trabajo de Investigacin Aplicado". Es
Descriptiva y Analtica

2.2.3.1

Descriptiva
Es descriptiva porque, se describi la situacin actual de la

gestin de proyectos de seguridad informtica en las empresas EEP y

ER. Se seleccion los componentes del problema a investigar y se
recolect la informacin sobre cada uno de ellos, para as describir el
tema del estudio.

2.2.3.2

Analtica
La informacin obtenida mediante la descripcin de la situacin

actual de los proyectos de implementacin de seguridad informtica

perimetral, permiti evaluar los equipos de seguridad informtica
adecuados con la necesidad del cliente, asimismo, permiti analizar los
parmetros de configuracin requeridos para considerarlos dentro de las
Polticas de Seguridad Informtica Perimetral.

2.2.4 Enfoque de investigacin

El enfoque de la investigacin ser mixto, cualitativo y cuantitativo:
Segn Hernndez, Fernndez & Baptista, (2014):
Cuantitativo porque consiste en utilizar la recoleccin y el anlisis de
datos para contestar preguntas de investigacin y probar la hiptesis
establecida previamente, y confa en la medicin numrica, el conteo para
establecer con exactitud patrones de comportamiento en una poblacin
Se tomar el enfoque cualitativo porque se pretende obtener la
recoleccin de datos para conocer o medir el fenmeno en estudio y
encontrar soluciones para la misma; la cual trae consigo la afirmacin o
negacin de la hiptesis establecida en dicho estudio.

53

2.2.5 Delimitacin y definicin de la poblacin de estudio

La seguridad informtica perimetral, puede analizarse revisando tres
aspectos tcnicos:
Diseo de la red perimetral.
Equipos de seguridad perimetral instalados.
Configuracin del Firewall.
Para analizar la situacin real ser necesario entrevistar a los responsables de
seguridad de los clientes para conocer la situacin actual. La investigacin se
har en clientes empresariales que residen en Lima y Trujillo.

2.2.5.1

Poblacin y Muestra

Poblacin
La poblacin en estudio comprende 08 clientes empresariales se
brinda servicios de seguridad informtica a sus centros de datos, ah
interactan 16 usuarios tcnicos y 8 gerentes de TI. Nuestro equipo est
conformado por 1 ingeniero de Redes y Seguridad Informtica. La
poblacin total estimada es de 32 personas.

Muestra
Analizaremos dos proyectos de implementacin de la red
perimetral en los clientes "Empresa Editora del Peru" y "El Roco". (El
proyecto-1 sin buenas prcticas y el proyecto-2 migracin con buenas
prcticas).

2.2.6 Aplicar criterios para seleccionar muestra de estudio

2.2.6.1

Tcnicas de recoleccin de datos

a. Entrevista
La entrevista se utiliz para profundizar en la bsqueda de la
informacin tcnica sobre el tema en estudio, mediante preguntas
especficas realizadas al responsable de seguridad informtica del
cliente, temas como diseo de la red perimetral, configuracin del

54

Firewall, configuracin de equipos reemplazados vs configuracin de los

equipos nuevos.

b. Observacin Directa
Mediante esta tcnica, se realizaron visitas a cada data center
para revisar la configuracin fsica y lgica de los equipos y
componentes de seguridad, segn los estndares del fabricante y
alineado a las buenas prcticas en Seguridad de la Informacin.

2.2.7 Variables
Variable independiente: Buenas prcticas en Seguridad de la Informacin.
Variable dependiente: Seguridad Informtica Perimetral.

2.2.7.1

Definicin Operacional de las Variables

Con respecto a las Buenas prcticas en Seguridad de la Informacin, se

escogieron tres indicadores basados en la Norma ISO 27001:

Gestin de Riesgos de Seguridad Informtica.

Polticas y Procedimientos de Seguridad Informtica.
Equipos Certificados en Seguridad Informtica.

Con respecto a la Seguridad informtica Perimetral, se eligieron dos

indicadores que hacen posible la gestin por parte del asistente de
seguridad:

Diseo de la red perimetral.

Configuracin del Firewall.

La aplicacin de estos cinco indicadores permite al rea de seguridad y

redes gestionar la seguridad informtica perimetral de manera integral.

55

Tabla 2.
Definicin Operacional de las Variables

Fuente: Elaboracin propia

2.2.8 Criterios de inclusin y exclusin

Debido a la variedad y complejidad de modelos de equipos cortafuegos,
se opt por incluir en la muestra al equipo Fortinet FG-100D, FG-800C y los
parmetros de configuracin que corresponden a Polticas del Cortafuegos
incluidas el filtrado web, filtrado de aplicaciones, antivirus e IPS. El resto de
equipos y parmetros de configuracin no se consideran.

2.2.8.1

Criterios de Inclusin

Equipos cortafuegos Fortinet, modelo FG-100D y FG 800C

Parmetros de configuracin de polticas del cortafuego de

seguridad perimetral.

2.2.8.2

Criterios de Exclusin
Todos los equipos cortafuegos que no son de la marca Fortinet.

Todos los equipos marcan Fortinet que no del modelo FG-100D Y FG800C
56

Se excluyen todos los parmetros de configuracin que no

corresponden a Polticas del cortafuego para seguridad perimetral.

2.2.9 Anlisis de confiabilidad del instrumento de investigacin

Para (Juan Bogliaccini, 2005), la determinacin de la confiabilidad de un
instrumento es til para los investigadores ya que no solo ayuda a interpretar
un

resultado,

sino

porque

proporciona

sugerencia

si

se

necesitan

modificaciones del instrumento.

Segn Kerlirger, citado por Roberto Marroqun Pea, define la
confiabilidad como el grado en que un instrumento produce resultados
consistentes y coherentes. Es decir, que en su aplicacin repetida al mismo
sujeto u objetos produce resultados iguales.
En la presente investigacin se cont con el apoyo de 3 expertos, los
cuales evaluaron la validez del instrumento llamado reporte mensual en donde
se observan cada informacin relevante para la medicin de los indicadores de
las variables relacionadas, as mismo, la matriz de operacionalizacin de la
variable, cuyos resultados obtenidos, segn el formato de validacin de
instrumento.

2.2.10 Anlisis de validez del instrumento de investigacin

La validez del contenido generalmente se evala a travs de un papel o
juicio de expertos, y en muy pocas ocasiones la evaluacin est basada en
datos empricos. Es por ello que el juicio de expertos en muchas reas es una
parte importante de la informacin cuando las observaciones experimentales
estn limitadas. El juicio de expertos es el conjunto de opiniones, valoraciones
y recomendaciones basadas sobre la experiencia y conocimiento de una elite
experta para desarrollar visiones a largo plazo; evaluar la validez, factibilidad o
deficiencias de los elementos o etapas de un proyecto; y obtener parmetros o
mediciones ciertos, bajo la premisa de que las diversas opiniones combinadas
entre s proponen mejores resultados que una sola opinin. (Annimo, 2010).

57

CAPTULO III
RESULTADOS

58

3. RESULTADOS
3.1 Aplicacin de la Norma ISO 27001
Es la norma principal de la serie y contiene los requisitos del Sistema de
Gestin de Seguridad de la Informacin. En su Anexo A, enumera en forma de
resumen los objetivos de control y controles que desarrolla la ISO 27002:2005 para
que sean seleccionados por las organizaciones en el desarrollo de sus SGSI.

3.2 Aplicacin de la Norma ISO 27002

La ISO 27002 consiste en una gua de buenas prcticas que permiten a
las organizaciones mejorar la seguridad de su informacin. Con este fin, define
una serie de objetivos de control y gestin que deberan ser perseguidos por
las organizaciones.
stos se hallan distribuidos en diferentes dominios que abarcan de una
forma integral todos los aspectos que han de ser tenidos en cuenta por las
organizaciones.

Dominios de la ISO 27002

Los dominios que estructura la ISO 27002 son once (11):

La poltica de seguridad.
Los aspectos organizativos de la seguridad de la informacin.
La gestin de activos.
La seguridad ligada a los recursos humanos.
La seguridad fsica y ambiental.
La gestin de las comunicaciones y de las operaciones.
Los controles de acceso a la informacin.
La adquisicin, desarrollo y mantenimiento de los sistemas de informacin.
La gestin de incidentes en la seguridad de la informacin.
La gestin de la continuidad del negocio.
Los aspectos de cumplimiento legal y normativo.

3.3 Diseo de la Red Perimetral

Las directivas marcadas por la poltica de seguridad definida, nos
fuerzan a disear nuestra red como dos permetros claramente definidos.

59

Un permetro interior, en el que se situarn todos los recursos sensibles

a un posible ataque, aislado del permetro exterior donde se situarn los
recursos menos sensibles, o que inevitablemente por motivos funcionales
deban estar en contacto con el mundo exterior de forma menos rgida. El
permetro interior est aislado o protegido del permetro exterior y del resto de
Internet, por medio de un dispositivo en el que se centralizan la mayora de las
medidas: el firewall.

Figura 20. Red Perimetral.

En un ambiente con firewall se tiene lo siguiente:

Proteccin de informacin privada: Define que usuarios de la red y qu
informacin va a obtener cada uno de ellos.
Optimizacin de acceso: Define de manera directa los protocolos a utilizarse.
Proteccin de intrusos: Protege de intrusos externos restringiendo los accesos
a la red.

Un creciente porcentaje de los llamados ataques basados en contenido

como virus, gusanos y caballos de Troya son introducidos en organizaciones a
travs de las actividades ms inocuas como la navegacin Web. Esta
tendencia continuar en tanto las organizaciones sigan adoptando esquemas
de comunicacin en tiempo real como aplicaciones Web y mensajera
instantnea para mantenerse competitivos. Desafortunadamente, los sistemas
de proteccin convencionales como los firewalls tradicionales carecen del
hardware requerido para llevar a cabo un anlisis intensivo de los paquetes de
60

datos y contenido, necesarios para detectar estas amenazas sin afectar el

desempeo de las aplicaciones de red. Como resultado la mayora de las
organizaciones estn expuestas peligrosamente a estos ataques.
Es la solucin de administracin unificada de amenazas en tiempo real
que le ofrece la mayor proteccin a su red de datos, utilizando la ltima
generacin en Sistemas de Seguridad FortiGate de Fortinet, ofreciendo un
rango completo de protecciones: firewall, VPN, deteccin y prevencin de
intrusos, administracin de ancho de banda, antivirus de borde, antispam y
filtrado de contenido web.

Figura 21. Topologa Propuesta.

3.4 Seleccin de equipos de Seguridad Perimetral

3.4.1 Equipo Firewall
Es la herramienta fundamental que nos va a permitir implementar el
modelo de seguridad definido por la poltica de seguridad es un dispositivo que
se site entre el permetro interior y el exterior de nuestra red. A este
dispositivo, tradicionalmente, en la jerga informtica se le denomina firewall (en
61

castellano es cortafuegos. Dado que es el componente ms crtico e importante

en todo el diseo del sistema de seguridad, la eleccin de este elemento debe
ser muy concienzuda. Generalizando un poco, los firewalls se pueden dividir en
tres grandes categoras:

a. Firewalls basados en filtrado de paquetes

Son aquellos dispositivos que estando conectados a ambos permetros
(interior y exterior), dejan pasar a su travs paquetes IP en funcin de unas
determinadas reglas. Estos firewalls conceptualmente trabajan a nivel de red, y
son capaces de filtrar trfico en funcin de direcciones de IP, protocolos, y
nmeros de puerto de TCP o UDP.

b. Firewalls basados en proxies

Son aquellos dispositivos que estando conectados a ambos permetros
(interior y exterior), no dejan pasar a su travs paquetes IP. Esto en jerga
informtica se denomina ip-forwarding desactivado. La comunicacin se
produce por medio de programas denominados proxies, que se ejecutan en el
firewall. Este tipo de sistemas tambin se denominan bastion host. Desde el
punto de vista conceptual, este tipo de firewalls funciona a nivel de aplicacin.

c. Firewalls con transparencia o de tercera generacin

Recientemente han aparecido en el mercado dispositivos que van un
paso ms all en la tecnologa de firewalls. Se trata de los firewalls de tercera
generacin o transparentes. La caracterstica primordial de estos sistemas es
que admiten paquetes no destinados a ellos mismos, de forma similar a como
lo hacen los routers, y en funcin de una serie de reglas y configuraciones, son
capaces de arrancar los proxies correspondientes automticamente y conectar
con el destinatario inicial.

3.4.2 Comparativo de equipos Firewall

Los equipos se deben seleccionar de acuerdo a las siguientes
caractersticas que se encuentra en la red del cliente:
62

Ancho de banda total (puede ser de uno o ms enlaces con los que
cuente el cliente)
Cantidad de usuarios
Cantidad de sesiones
Que actividades realiza la empresa
Con que equipos de seguridad cuenta
En el caso de migracin de un equipo de seguridad de otra marca se
deber verificar las funcionalidades que tiene el equipo para as demostrar el
cliente que nuestro equipo fortinet lo tiene o cumple de otra forma.
Tabla 3
Comparativo de Marcas de Firewall

Fuente: Recuperado de: www.apesoft.org

Tabla 4
Caractersticas y Costos de Equipos Firewall
CARACTERISTICA

DEFINICIN

PRECIO APROXIMADO

Firewall

Trfico que puede soportar el

Throughput

firewall

IPS/NGFW

Velocidad en la que el firewall

$$< entre $5000 -

Throughput

puede inspeccionar el trfico

$15000

Antivirus

de entrada
Velocidad a la que el servidor

$$$ entre $15000 -

63

$< $5000

Throughput

de seguridad puede

$25000

inspeccionar el trfico entrante

Switch Ports

con Antivirus habilitado.

Nmero de puertos 1GE &

Certifications

10GE
Industria certificaciones de

$$$$ > $ 25000

terceros para la seguridad

otorgan al producto.
Fuente: Elaboracin propia

3.4.3 Solucin de equipo Firewall elegido

Forticare
Soporte 24x7 en casi todo el mundo
Los productos fortinet reciben el apoyo tcnico por Forticare con personal de
apoyo en las Amricas, Europa, Medio Oriente y Asia forticare ofrece mltiples
opciones para Forticare contratos a medida para que puedan recibir el apoyo
adecuado a las necesidades de su organizacin
Forticare 1-866-648-4638

64

3.4.4 Configuracin del Firewall

Figura 22. Top Selling Models Matrix

65

3.5 Resultados de la implementacin

Tabla 5
Procesos as-is (actual) y procesos to-be (futuro)
VENTAS

IMPLEMENTACIN

POST

PROYECTO TCNICOS

VENTA

1. Atender pedido
cliente
2. Solicitar evaluacin

ENTREGABLE
RFC, incidente

3. Atender a Ventas

SOW

3.1 Asignar especialista

FICHA TECNICA

tcnica

3.2 Evaluar necesidad de cliente

3.3 Validar caractersticas

tcnicas

Topologa actual
Proyeccin de crecimiento
Sesiones concurrentes
Evaluar arquitectura
Ficha tcnica: topologa sugerida

3.4 Preparar informe de

recomendacin de equipos
4. Negociar con cliente

5. Programar servicio

7. Soporte post-

4.1 Revisar informe de

5.1 Implementacin nueva

venta

SLA

recomendacin de

5.2 Migracin

7.1 Manual

equipos

5.3 Plan de Implementacin

tcnico

4.2 Iniciar cotizacin

5.4 Polticas, procedimientos y

7.2 Polticas y

4.3 Venta de equipos

checklist de diseo y

Normas de

configuracin.

Seguridad.

5.5 PHVA

7.3 Gestin

5.6 Documentar trabajo realizado

procesos PHVA

5.7 Manual tcnico para cliente

7.4 Buenas

Gestin

5.8 Manual tcnico post-venta

prcticas ITIL

Incidentes

Gestin proyectos

SGSI

PHVA

5.7 Lista de entregables para

cliente
6. Cierre de proyecto

5.8 Cierre del servicio

6.1. VB

Lecciones
aprendidas

Fuente: Elaboracin propia

66

PROCESOS TO-BE (FUTURO)

Fuente: Elaboracin propia

67

3.6 SEGURIDAD INFORMTICA PERIMETRAL EN EQUIPOS

CORTAFUEGOS
Segn Andrade, Espinoza y Gonzales (Sistema para diagnosticar
seguridades

de

equipos

de

Firewall,

2014)

(http://repositorio.cisc.ug.edu.ec/jspui/handle/123/208), la seguridad informtica

perimetral puede ser de software o hardware; y es aquel que comprueba la
informacin procedente de Internet o una red y a continuacin, deniega o
permite el paso de sta al equipo, en funcin de la configuracin del firewall. De
este modo, un firewall ayuda a impedir que los hackers y software
malintencionado obtengan acceso al equipo. Se desarrollar un sistema que
haga posible la comparacin de datos extrados de un firewall de hardware
(router) contra las buenas polticas de seguridad, que los administradores de
red han establecido de acuerdo a las necesidades de la organizacin. Se ha
determinado las buenas polticas mediante entrevistas a algunos expertos del
rea. Debido a que los administradores de red tienen que desarrollar todo lo
concerniente a la seguridad de sus sistemas, ya que se expone la organizacin
privada de sus datos as como la infraestructura de su red a los Expertos de
Internet. El sistema a desarrollar tendr la capacidad de analizar y almacenar
los datos extrados en una base de datos, implementar seguridades de acceso
al sistema, manejar perfiles de consultor y revisor con sus debidos permisos o
restricciones. Generar reportes del anlisis, y los resultados de la auditoria de
firewall (Router). Crear una bitcora de los diversos accesos al mismo para
que sean utilizados como pistas de Auditoria. Lo ms importante del sistema a
desarrollar es que podr dar sugerencias al auditor acerca de las
vulnerabilidades

del

router

emitiendo

los

respectivos

reportes

recomendaciones para mitigar dichas vulnerabilidades. Cabe recalcar que la

decisin la toma el auditor de sistemas.

68

3.6.1 Equipos
3.6.1.1

El Firewall

3.6.2 Configuracin de cortafuegos

3.6.2.1

Restricciones en el firewall
La parte ms importante de estas tareas se realizan en el firewall,

concretamente la de permitir o denegar determinados servicios en

funcin de los distintos usuarios y su ubicacin. Definimos tres grandes
grupos de usuarios:

Usuarios internos con permiso de salida para servicios restringidos.

Resto de usuarios internos con permiso de salida para servicios no

restringidos.

Usuarios externos con permiso de entrada desde el exterior.

3.6.3 Polticas y procedimientos de seguridad de la informacin

Lista de polticas y procedimientos propuestos para una gestin de
seguridad de la informacin.
Confidencialidad
Integridad
Disponibilidad

Figura 23. Polticas de Seguridad

69

La configuracin de polticas permite controlar la instalacin y ejecucin

de aplicaciones por parte de los usuarios.

3.6.3.1

Polticas de firewall alineadas con el ISO 27002

a. Gestin de comunicaciones y operaciones

Responsabilidades y procedimientos de operacin.

Documentacin de los procedimientos de operacin.
Gestin de cambios.
Segregacin de tareas.
Separacin de los recursos de desarrollo, prueba y

operacin.
b. Gestin de la provisin de servicios por terceros.
Provisin de los servicios
Supervisin y revisin de los servicios prestados por
terceros.
Gestin del cambio en los servicios prestados por
terceros.
c. Planificacin y aceptacin del sistema.
Gestin de capacidades.
Aceptacin del sistema.
d. Proteccin contra el cdigo malicioso y descargable.
Controles contra el cdigo malicioso.
Controles contra el cdigo descargado en el cliente.
e. Copias de seguridad.
Copias de seguridad de la informacin.
f.

Gestin de la seguridad de las redes.

Controles de red.
Seguridad de los servicios de red.

g. Manipulacin de los soportes.

Gestin de soportes extrables.
Retirada de soportes.
Procedimientos de manipulacin de la informacin.
10.7.4 Seguridad de la documentacin del sistema.
h. Intercambio de informacin.
Polticas y procedimientos de intercambio de
informacin.
Acuerdos de intercambio.
Soportes fsicos en trnsito.
70

 Mensajera electrnica.
Sistemas de informacin empresariales.
i.

Servicios de comercio electrnico.

Comercio electrnico.
Transacciones en lnea.
Informacin pblicamente disponible.

j.

Supervisin.

3.6.3.2
a.

Registros de auditora.
Supervisin del uso del sistema.
Proteccin de la informacin de los registros.
Registros de administracin y operacin.
Registro de fallos.
Sincronizacin del reloj.

Control de Acceso.
Requisitos de negocio para el control de acceso.
Poltica de control de acceso.

b.

Gestin de acceso de usuario.

c.

Registro de usuario.
Gestin de privilegios.
Gestin de contraseas de usuario.
Revisin de los derechos de acceso de usuario.

Responsabilidades de usuario.
Uso de contraseas.
Equipo de usuario desatendido.
Poltica de puesto de trabajo despejado y pantalla
limpia.

d. Control de acceso a la red.

Poltica de uso de los servicios en red.

Autenticacin de usuario para conexiones externas.
Identificacin de los equipos en las redes.
Proteccin de los puertos de diagnstico y

configuracin remotos.
Segregacin de las redes.
Control de la conexin a la red.
Control de encaminamiento (routing) de red.
e. Control de acceso al sistema operativo.

71

Procedimientos seguros de inicio de sesin.

Identificacin y autenticacin de usuario.
Sistema de gestin de contraseas.
Uso de los recursos del sistema.

 Desconexin automtica de sesin.

Limitacin del tiempo de conexin.
f.

Control de acceso a las aplicaciones y a la informacin.

Restriccin del acceso a la informacin.
Aislamiento de sistemas sensibles

3.6.4 Gestin de procesos usando PDCA.

En la fase PLAN se realiza la evaluacin de las amenazas, riesgos e
impactos. En la fase DO, se seleccionan e implementan los controles que
reduzcan el riesgo a los niveles considerados como aceptables y en CHECK y
ACT se cierra y reinicia el ciclo de vida con la recogida de evidencias y
readaptacin de los controles segn los nuevos niveles obtenidos y requeridos.
Es un proceso cclico sin fin que permite la mejor adaptacin de la seguridad al
cambio continuo que se produce en la empresa y su entorno.

Figura 24. Gestin de procesos usando PDCA

72

Tabla 6
Buenas prcticas en Gestin de Proyectos

Fuente: Aplicacin de la empresa que nos permite realizar una seguimiento a los
proyectos

Tabla 7
Gestin del alcance

Fuente: Aplicacin de la empresa que nos permite realizar una seguimiento a los
proyectos

73

DISCUSIN

Los sistemas de seguridad tiene un papel central, con un amplio abanico

de elementos como son firewall, sistema de prevencin de intrusos,
gestores de lo, proxies, antivirus todos estos elementos exigen la
existencia de sus correspondientes procesos de gestin y de un equipo
de personas responsables de su ejecucin.

A la hora de realizar la completa instalacin, configuracin y puesta en

marcha de un entorno de seguridad perimetral, la primera clave para el
xito de todo el proceso es la eleccin de una metodologa para llevarlo
a cabo, de un ciclo de vida del proyecto.Esta metodologa puede
basarse en la secuencia clsica que se inicia con la fase de diseo,
seguida de la adquisicin de equipos, implantacin y pruebas Dicha
metodologa seguida con rigor, pero con cierto grado de flexibilidad
resulta un factor de xito para todo el proyecto. Pero este ciclo de vida
no empieza con la adjudicacin del proyecto, se inicia ya en la fase de
oferta donde los principales aspectos de diseo deben abordarse con la
suficiente profundidad como para estimar con precisin el equipamiento
incluido.

Para esta discucin de desarrollar las buenas practicas en la gestin de

proyectos de implementacin de seguridad informatica perimetral en los
data centar de clientes empresariales es necesario considerar el
despliegue de un entorno de seguridad adecuado considerando todo lo
ya antes mencionado acerca de las metodologias aplicadas es
conveniente un enfoque con visin global, que incluya metodologa,
tecnologa y organizacin. A nivel metodolgico, todas las fases son
importantes y la puesta en produccin es el mejor indicador de un
trabajo bien organizado y planificado. A nivel tecnolgico el reto es la
ptima integracin, la seguridad y la disponibilidad. Pero son las
necesidades de la organizacin las que orientan todo lo anterior

74

CONCLUSIONES Y RECOMENDACIONES

Conclusiones
Luego de estudiar el Estndar Internacional ISO/IEC 27002, se puede ver
cmo muchos de los aspectos resaltados por este Estndar son aspectos
generales que muchas organizaciones los toman en cuenta an sin tener el
certificado ISO/IEC 27002. Pero tambin existen muchas deficiencias en la
gran mayora de organizaciones en materia de seguridad. Algunos podran
considerar que apegarse a este tipo de estndares es en cierta forma cara y
complicada, pero en realidad resulta mucho ms caro sufrir las consecuencias
que suele traer la falta de seguridad en un importante sistema de informacin.
El hecho de cumplir a cabalidad con el Estndar Internacional ISO/IEC
27002 no garantiza al 100% que no se tendrn problemas de seguridad, pues
la seguridad al 100% no existe. Lo que s se logra es minimizar al mximo las
probabilidades de sufrir impactos negativos y prdidas originados por la falta de
seguridad.
Este documento proporciona una idea bastante clara de cmo se debe
trabajar en materia de seguridad de tecnologas de informacin al apegarse a
un Estndar Internacional (y por lo tanto mundialmente aceptado y conocido)
como lo es el ISO/IEC 27002.

75

Recomendaciones
La primera recomendacin es precisamente implementar el Estndar
Internacional ISO/IEC 27002 a la mayor brevedad posible, o de no ser posible
(por aspectos econmicos, de infraestructura, etc.), por lo menos estudiar el
documento oficial de este Estndar y estar conocedores de todos los
elementos que se pueden implementar y de cmo esto podra beneficiar y
minimizar la posibilidad de problemas por falta de seguridad.
La segunda recomendacin es tener en claro, como ya se dijo, que la
seguridad al 100% no existe pero que s se puede maximizar la seguridad y
minimizar los riesgos por falta de seguridad.
De ser posible, se debera considerar adquirir la certificacin de este
Estndar Internacional, pues esto representa un gran activo no slo por los
beneficios que de por s trae el tener excelentes mecanismos de seguridad,
sino tambin por el prestigio de contar con certificaciones internacionales de
calidad.
Se recomienda tambin tener un equipo de analistas que evalen las
condiciones particulares de una organizacin, pues cada caso es nico, y lo
que a uno le funcion, a otro podra no funcionarle debido a los aspectos
particulares de cada empresa. Por esa razn, se debe estudiar cada caso en
concreto, aunque nunca est de ms aprender de los errores o del xito de
otros.

76

REFERENCIAS BIBLIOGRFICAS
DMR? Consulting. , Nuevo esquema de gestin de riesgos. [en lnea mayo
2005].

Disponible

en:

www.dmr-consulting.com.mx.

[consulta

22.04.2016].
ISO/IEC 17799:2005, Documentacin International standard book numbering
(ISBN)
INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION. COBIT 5
for Information Security. Illinois, Michigan, Estados Unidos de Amrica:
ISACA. 2012.
International Organization for Standarization. About ISO. Extrado el 1 de
octubre, 2008, de http://www.iso.org/iso/about.htm
International Organization for Standarization. Discover ISO. Extrado el 1 de
octubre,
IEC.

2008,

name.htm
IEC
History.

de

http://www.iso.org/iso/about/discover-iso_isos-

Extrado

el

de

octubre,

2008,

de

http://www.iec.ch/about/history/
OCG. Service Transition. ITIL Version 3.
GMEZ VIEITES, lvaro. Enciclopedia de la Seguridad Informtica, Alfa
omega Grupo editor, Mxico, 2007, Primera Edicin.
ERICKSON TIRADO GOYENECHE, (2012) Tesis: Sistema De Seguridad
Perimetral Instalacion Y Configuracion De Endian Firewall- Colombia.
Wikipedia. Electrotecnia. Extrado el 1 de octubre, 2008, de
http://es.wikipedia.org/wiki/Electrotecnia
Wikipedia. International Electrotechnical Commission. Extrado el 1 de octubre,
2008,

de

http://en.wikipedia.org/wiki/International_Electrotechnical_Commission
Wikipedia. IEC JTC1. Extrado el 1 de octubre, 2008, de
http://en.wikipedia.org/wiki/ISO/IEC_JTC1
Wikipedia.
Mtrica.
Extrado
el
1
de
http://es.wikipedia.org/wiki/M%C3%89TRICA
Wikipedia. Criptografa. Extrado el 1 de

octubre,
octubre,

2008,

de

2008,

de

http://es.wikipedia.org/wiki/Criptograf%C3%ADa
ngelo Benvenuto Vera (2006) Implementacin de Sistemas ERP, su impacto
en La Gestin de la Empresa e Integracin con otras TIC. CAPIV
REVIEW Vol. 4 2006.
Carrera, A., Caldart, A.,
Latinoamericano

77

Cornejo,

M.,

2011.

La

agenda

del

CEO

PLAN DIRECTOR DE SEGURIDAD Y EVALUACIONES DE SEGURIDAD

https://www.s21sec.com/es/servicios/compliance/plan-director-deseguridad-y-evaluaciones-de-seguridad
ISO 27000 en Espaol, [En lnea] <http://www.iso27000.es/download
/doc_iso27000_all.pdf> [Consultado 15 de Abril de 2016]
Norma ISO 27002: "Cdigo de Buenas Prcticas para la Gestin de la
Seguridad de la Informacin" (antigua Norma ISO/IEC 17799:2005)
Mara Jaquelina Lpez y Cintia Quezada. Fundamentos de seguridad
informtica. UNAM. Facultad de Ingeniera, 2006. Pgina 23

78

GLOSARIO
Investigacin Aplicada o Tecnolgica: Es la utilizacin de los conocimientos
en la prctica, para aplicarlos, en la mayora de los casos, en provecho de la
sociedad.

ISO/IEC 27002: La ISO/IEC 27002:2005 es una gua de buenas prcticas que

describe los objetivos de control y controles recomendables en cuanto a
seguridad de la informacin. No es certificable. Contiene 39 objetivos de control
y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su
apartado correspondiente, la norma ISO 27001 contiene un anexo que resume
los controles de ISO 27002:2005.

ISO/IEC 27004: expone que el tipo de medidas requeridas depender del

tamao y complejidad de la organizacin, de la relacin coste beneficio y del
nivel de integracin de la seguridad de la informacin en los procesos de la
propia organizacin.

La norma ISO27004 establece cmo se deben constituir estas medidas y cmo

se deben documentar e integrar los datos obtenidos en el SGSI.

ISO/IEC 27005: es el estndar internacional que se ocupa de la gestin de

riesgos de seguridad de informacin. La norma suministra las directrices para
la gestin de riesgos de seguridad de la informacin en una empresa,
apoyando particularmente los requisitos del sistema de gestin de seguridad de
la informacin definidos en ISO 27001.

79

Es aplicable a todo tipo de organizaciones que tengan la intencin de gestionar

los riesgos que puedan complicar la seguridad de la informacin de su
organizacin. No recomienda una metodologa concreta, depender de una
serie de factores, como el alcance real del Sistema de Gestin de Seguridad de
la Informacin (SGSI), o el sector comercial de la propia industria.
ISO 22301: especifica los requisitos para un sistema de gestin encargado de
proteger a su empresa de incidentes que provoquen una interrupcin en la
actividad, reducir la probabilidad de que se produzcan y garantizar la
recuperacin de su empresa.
Activo: cualquier cosa que tenga valor para la organizacin.
Amenaza: una causa potencial de un incidente no deseado, el cual puede
resultar en dao a un sistema u organizacin.
Anlisis de riesgo: uso sistemtico de la informacin para identificar las
fuentes y calcular el riesgo.
Control: medios para manejar el riesgo, incluyendo polticas, procedimientos,
lineamientos, prcticas o estructuras organizacionales, las cuales pueden ser
administrativas, tcnicas, de gestin o de naturaleza legal. El control tambin
se utiliza como sinnimo de salvaguarda o contramedida.
Criptografa: es el arte o ciencia de cifrar y descifrar informacin utilizando
tcnicas que hagan posible el intercambio de mensajes de manera segura que
slo puedan ser ledos por las personas a quienes van dirigidos.
Electrotecnia: es la ciencia que estudia las aplicaciones tcnicas de la
electricidad.
Evaluacin del riesgo: proceso de comparar el riesgo estimado con un criterio
de riesgo dado para determinar la importancia del riesgo.

80

Evento de seguridad de la informacin: cualquier evento de seguridad de la

informacin es una ocurrencia identificada del estado de un sistema, servicio o
red, indicando una posible falla en la poltica de seguridad de la informacin o
falla en las salvaguardas, o una situacin previamente desconocida que puede
ser relevante para la seguridad.
Gestin del riesgo: actividades coordinadas para dirigir y controlar una
organizacin con relacin al riesgo.
Incidente de seguridad de la informacin: un incidente de seguridad de la
informacin es indicado por un solo evento o una serie de eventos inesperados
de seguridad de la informacin que tienen una probabilidad significativa de
comprometer las operaciones comerciales y amenazar la seguridad de la
informacin.
Lineamiento: descripcin que aclara qu se debiera hacer y cmo, para lograr
los objetivos establecidos en las polticas.
Medios de procesamiento de la informacin: cualquier sistema, servicio o
infraestructura de procesamiento de la informacin, o los locales fsicos que los
alojan.
Mtrica: es una metodologa de planificacin, desarrollo y mantenimiento de
sistemas de informacin.
Poltica: intencin y direccin general expresada formalmente por la gerencia.
Riesgo: combinacin de la probabilidad de un evento y su ocurrencia.
Seguridad de la informacin: preservacin de confidencialidad, integracin y
disponibilidad de la informacin; adems, tambin puede involucrar otras
propiedades como autenticidad, responsabilidad, no-reputacin y confiabilidad.
Tercera

persona:

persona

organismo

que

es

reconocido

como

independiente de las partes involucradas, con relacin al tem en cuestin.

81

Tratamiento del riesgo: proceso de seleccin e implementacin de medidas

para modificar el riesgo.
Vulnerabilidad: la debilidad de un activo o grupo de activos que puede ser
explotada por una o ms amenazas.
Norma: principio que se impone o se adopta para dirigir la conducta o la
correcta realizacin de una accin o el correcto desarrollo de una actividad.
Buenas prcticas: son aquellas acciones que se caracterizan por haber
logrado cumplir eficazmente las metas planteadas, y que luego de la
evaluacin de resultados, se ha concluido que proporcionan beneficios ptimos
en la mayora de casos, de modo que se son prcticas replicables y tiles para
implementar.
Diferencia entre una norma y una buena prctica: una norma es certificable
por las entidades correspondientes, mientras que una buena prctica no es
certificable, sino que slo se tiene como una buena alternativa por haber sido
demostrado que ha funcionado en la gran mayora de casos.
Vulnerabilidad
Es una debilidad o agujero en la seguridad de la informacin, que se puede dar
por causas como las siguientes, entre muchas otras:
Falta de mantenimiento
Personal sin los conocimientos adecuados o necesarios
Desactualizacin de los sistemas crticos
Amenaza
Es una declaracin intencionada de hacer un dao, como por ejemplo mediante
un virus, un acceso no autorizado o robo. Pero no se debe pensar que
nicamente personas pueden ser los causantes de estos daos, pues existen
otros factores como los eventos naturales, que son capaces de desencadenar

82

daos materiales o prdidas inmateriales en los activos, y son tambin

consideradas como amenazas.

83

Ataque
Es una accin intencional e injustificada (desde el punto de vista del atacado).
Consiste en un intento por romper la seguridad de un sistema o de un
componente del sistema.
Riesgo
Es una potencial explotacin de una vulnerabilidad de un activo de informacin
por una amenaza. Se valora como una funcin del impacto, amenaza,
vulnerabilidad y de la probabilidad de un ataque exitoso.
Atacante
Es alguien que deliberadamente intenta hacer que un sistema de seguridad
falle, encontrando y explotando una vulnerabilidad.
Los atacantes pueden ser internos (que pertenecen a la organizacin) o
externos (que no pertenecen a la organizacin). Respecto a los atacantes
internos, son difciles de detener porque la organizacin est en muchas
maneras forzada a confiar en ellos. Estos conocen cmo trabaja el sistema y
cules son sus debilidades. Quizs el error ms comn de seguridad es gastar
considerables recursos combatiendo a los atacantes externos, ignorando las
amenazas internas.
El Firewall
La herramienta fundamental que nos va a permitir implementar el modelo de
seguridad definido por la poltica de seguridad es un dispositivo que se site
entre el permetro interior y el exterior de nuestra red. A este dispositivo,
tradicionalmente, en la jerga informtica se le denomina firewall, que se podra
traducir al castellano como cortafuegos. Dado que es el componente ms
crtico e importante en todo el diseo del sistema de seguridad, la eleccin de
este elemento debe ser muy concienzuda. Generalizando un poco, los firewalls
se pueden dividir en tres grandes categoras:

a. Firewalls basados en filtrado de paquetes:

84

Son aquellos dispositivos que estando conectados a ambos permetros

(interior y exterior), dejan pasar a su travs paquetes IP en funcin de unas
determinadas reglas. Estos firewalls conceptualmente trabajan a nivel de red, y
son capaces de filtrar trfico en funcin de direcciones de IP, protocolos, y
nmeros de puerto de TCP o UDP.
Normalmente, esta misin la pueden desempear tanto hosts con dos
tarjetas de red, como routers. En el caso de firewalls basados en filtrado de
paquetes, los dispositivos de la red interna han de configurarse con la ruta por
defecto apuntando a este dispositivo, que en funcin de sus reglas, dejar
pasar estos paquetes o los rechazar.
El principal problema de este tipo de firewalls es la limitacin a la hora
de configurar reglas complejas y la falta de flexibilidad en la capacidad de log, o
registro de actividad. Otra limitacin fundamental es la imposibilidad de filtrar
trfico en funcin de informacin contenida en niveles superiores, tales como
URL's, o esquemas de autenticacin fuertes.
b. Firewalls basados en proxies:
Son aquellos dispositivos que estando conectados a ambos permetros
(interior y exterior), no dejan pasar a su travs paquetes IP. Esto en jerga
informtica se denomina ip-forwarding desactivado. La comunicacin se
produce por medio de programas denominados proxies, que se ejecutan en el
firewall. Este tipo de sistemas tambin se denominan bastion host. Desde el
punto de vista conceptual, este tipo de firewalls funciona a nivel de aplicacin.
Un usuario interior que desee hacer uso de un servicio exterior, deber
conectarse primero al firewall, donde el proxy atender su peticin, y en funcin
de la configuracin impuesta en dicho firewall, se conectar al servicio exterior
solicitado y har de puente entre el servicio exterior y el usuario interior. Es
importante notar que para la utilizacin de un servicio externo, dos conexiones
o sockets han de establecerse. Uno desde la mquina interior hasta el firewall,
y otro desde el firewall hasta la mquina que albergue el servicio exterior.
85

En el caso de este tipo de firewalls, los programas clientes deben estar

configurados para redirigir las peticiones al firewall en lugar de al host final.
Esto es trivial en navegadores WWW, como Netscape, Internet Explorer o Lynx,
y en clientes FTP, como WS_FTP y otros. En cambio, aplicaciones tipo
TELNET, no suelen incluir este tipo de soporte, y para ello, lo habitual es
conectar directamente con el firewall y desde all, el proxy nos permite
especificar el destino final de nuestro telnet, que en este caso, sera
encadenado.
La capacidad de logging o registro de actividad es mucho mayor con
este tipo de dispositivos. Informacin tpica registrada por estos sistemas va
desde

el

nombre

de

usuario

que

ha

conseguido

autentificarse

satisfactoriamente, hasta los nombres y tamaos de ficheros transmitidos va

FTP, pasando por los URL's solicitados a travs del proxy HTTP.
c. Firewalls con transparencia o de tercera generacin:
Recientemente han aparecido en el mercado dispositivos que van un
paso ms all en la tecnologa de firewalls. Se trata de los firewalls de tercera
generacin o transparentes. La caracterstica primordial de estos sistemas es
que admiten paquetes no destinados a ellos mismos, de forma similar a como
lo hacen los routers, y en funcin de una serie de reglas y configuraciones, son
capaces de arrancar los proxies correspondientes automticamente y conectar
con el destinatario inicial.
Aparentemente para el usuario, ha conectado con el servidor final,
aunque realmente lo ha hecho con el proxy, que le devuelve los paquetes con
direccin IP origen la del servidor final. Esto implica, que el programa cliente
del usuario no requiere ningn tipo de configuracin. En definitiva, se trata de
firewalls basados en proxies, pero con apariencia y funcionalidad similar a los
basados en filtrado de paquetes.
En esta lnea se sitan productos como BorderWare o Gauntlet [1],
elegido este ltimo como el firewall a utilizar por nuestra organizacin.
86

Gauntlet es un sistema complejo de proxies y programas auxiliares, que

corre en sistemas SunOS con algunas modificaciones al kernel. Desarrollado
por TIS (Trusted Information Systems), nace como versin avanzada del
Firewall-Toolkit, software de libre distribucin muy utilizado en Internet para la
construccin de firewalls. Las ventajas fundamentales de Gauntlet frente al
Toolkit son que incluye un programa de administracin centralizado, una
gestin de logs mucho ms eficiente, soporte de proxies transparentes, y como
ventaja fundamental para la organizacin, est soportado comercialmente.
Seguridad en profundidad en la red externa
Las medidas fundamentales tomadas en el permetro exterior se pueden
resumir en:
Reduccin al mnimo de los servicios TCP/IP ofrecidos por cada
sistema.
Reduccin al mnimo de los usuarios en cada uno de los
sistemas.
Uso extensivo de tcp-wrappers en los servicios necesarios.
Monitorizacin de routers en alerta de trfico sospechoso.
Escaneos peridicos de todo el permetro en busca de posibles
problemas.
Sincronizacin de relojes en todos los sistemas para poder hacer
un seguimiento fiable de logs en el caso de posibles incidentes.
Reduccin al mnimo de los servicios TCP/IP ofrecidos por cada sistema:
Habitualmente los sistemas Unix vienen configurados "de fbrica" con una serie
de servicios TCP/IP activados, que en la gran mayora de los casos nunca se
utilizan, o en otros casos, pueden servir como puerta de acceso relativamente
fcil a posibles intrusos. Entre estos servicios no necesarios, o potencialmente
peligrosos, se desactivaron echo, discard, daytime, chargen, time, nntp, rlogin,
rsh, talk, pop3, tftp, bootp, systat, netstat, y los an ms peligrosos, sendmail,
finger, rexec, NFS, etc. La mayora de estos servicios puede desactivarse
simplemente comentando su lnea correspondiente en el fichero /etc/inetd.conf.
Los servicios que no corren bajo inetd, normalmente se desactivan en los
ficheros de arranque (/etc/rc2.d/*, /etc/rc.d/*, etc.). Una utilidad muy interesante
para chequear que servicios tiene activos un sistema es strobe[2], programa
87

escrito por Julian Assange que escanea todos los puertos, tanto TCP como
UDP, de un sistema, de forma rpida y efectiva.
Reduccin al mnimo de los usuarios en cada uno de los sistemas:
Los servidores externos tienen la responsabilidad de mantener activos distintos
servicios TCP/IP, que sustentan las aplicaciones encargadas de publicar la
informacin

pblica

del

ministerio.

Estas

aplicaciones son

fcilmente

mantenidas con un nico usuario o como mucho dos (root y un usuario noprivilegiado), y dado que se supone que ningn usuario dispone de correo en
ellos y que nadie desarrolla directamente sobre dichas mquinas, no hay
necesidad de mantener ms cuentas de usuarios que las estrictamente
necesarias. Determinadas aplicaciones precisan que todos sus ficheros sean
posedos por un determinado usuario, o que se arranquen en modo set-uid con
la identidad de este usuario. En estos casos, el usuario debe existir en el
fichero general de usuarios /etc/passwd, pero con shell nula, normalmente
/bin/false.
Uso extensivo de tcp-wrappers en los servicios necesarios:
Los tcp-wrappers[3] son un conjunto de utilidades de libre distribucin, escrito
por Wietse Venema, que permite un control de accesos bastante exhaustivo de
los servicios que corren bajo inetd, adems de buena capacidad de log de
peticiones a dichos servicios, ya sean autorizados o no. Bsicamente consiste
en un programa llamado tcpd, que se ejecuta cuando llega una peticin a un
puerto especfico. ste, una vez comprobada la direccin de origen de la
peticin, la verifica contra unas reglas simples, almacenadas en los ficheros
/etc/hosts.allow y /etc/hosts.deny, y en funcin de ellas, decide o no dar paso al
servicio. Adicionalmente, registra, utilizando la utilidad syslog del sistema, la
peticin y su resolucin. Una de las configuraciones avanzadas de este
paquete, permite tambin ejecutar comandos en el propio sistema operativo, en
funcin de la resolucin de la peticin. Por ejemplo, es posible que interese
hacer un finger a una posible mquina atacante, en el caso de un intento de
conexin, para tener ms datos a la hora de una posible investigacin. Este
tipo de comportamiento raya en la estrategia paranoica, que ya vimos cuando
se defini la poltica de seguridad. La modificacin al fichero /etc/inetd.conf son
88

muy sencillas y aparecen perfectamente especificadas en el trabajo "Seguridad

en Redes" de Francisco Cruz Agudo, publicado en el nmero 35 del Boletn de
RedIRIS, que analiza extensamente la instalacin y operacin de algunas de
las herramientas descritas aqu. Una de las ventajas de tcp-wrappers es que al
compilarlo es posible indicar la categora de syslog sobre la cual realizar el
registro de actividad, con lo que resulta bastante sencillo dirigir toda esta
informacin sobre un nico fichero, que puede ser monitorizado regularmente
para detectar intentos de accesos no permitidos. En nuestro caso, los dos
servidores externos, nicamente aceptan conexiones provenientes del firewall,
es decir, del interior (ya que desde el exterior la conexin al firewall est muy
restringida). Slo tienen activos los servicios telnet y ftp, aparte de los
especficos de su misin (WEB, WAIS, DNS, NEWS, etc...). La desconfianza
llega al punto de no permitir las conexiones entre ellos, de forma que si uno de
ellos se ve comprometido, el otro podra mantener su integridad, mientras el
firewall no fuese vulnerado.
Monitorizacin de routers en alerta de trfico sospechoso:
Se han instalado una serie de scripts que obtienen datos de trfico del router
externo a travs de SNMP, a intervalos regulares y los van representando
grficamente a travs de unas pginas HTML, que permiten tener una idea
bastante aproximada del nivel de carga de la red en los distintos periodos del
da. Esta monitorizacin del trfico permite detectar tanto averas en el caso de
ausencia de trfico, como actividades sospechosas si se detecta mucho trfico
a horas no habituales.
Escaneos peridicos de todo el permetro en busca de posibles
problemas:
Circulan por Internet una serie de programas denominados escaneadores. Se
trata de programas en los que una vez definido un host, o un conjunto de ellos
(ya sea por direcciones de IP o por dominios de DNS), se dedican
metdicamente a probar uno por uno todos estos sistemas, intentando
penetrarlos o al menos chequear si poseen vulnerabilidades. Los dos
escaneadores ms utilizados en Internet son: ISS de Christopher Klaus, y
SATAN de Dan Farmer y Wietse Venema. ISS[4] se ha convertido en un
89

producto comercial en sus ltimas versiones, pero las antiguas siguen siendo
interesantes. SATAN [5] es hoy por hoy el escaneador ms avanzado. Adems
de poseer un entorno grfico basado en WEB bastante potente, contiene una
base de datos de vulnerabilidades muy completa. Es muy importante utilizar
peridicamente estas herramientas, dado que nos permitirn conocer la
informacin que un posible atacante obtendra de nuestra red en el caso de
que utilizase dichos programas contra nuestros sistemas.
Sincronizacin de relojes en todos los sistemas:
Teniendo en cuenta que una de las tareas ms importantes a la hora de vigilar
la seguridad de nuestros sistemas es la revisin de logs, es fundamental que
los relojes de los servidores que realizan estos logs estn sincronizados al
objeto de poder hacer el seguimiento de un posible incidente, y tambin el
poder concretar el orden en que sucedieron los hechos. Esto es tambin
fundamental a la hora de contrastar logs con otras organizaciones, en el caso
de que hubiese que hacer una investigacin coordinada con terceras partes.
Dentro de los protocolos de sincronizacin en Internet, existen dos variantes: el
antiguo protocolo TIME (puerto 37), y el ms moderno NTP, que permite una
sincronizacin mucho ms precisa. En nuestro caso, nos hemos sincronizado
va protocolo TIME con un servidor de tiempo en RedIRIS (chico.rediris.es)
desde el firewall, y ste se ha convertido en servidor de tiempo para el resto de
las mquinas tanto del permetro exterior como interior. En un futuro cercano se
plantea crear una estructura basada en NTP con un servidor y mltiples
clientes.
Seguridad en profundidad en la red interna
Debido al modelo de seguridad perimetral definido en la poltica de seguridad,
la red interior queda razonablemente protegida de posibles ataques externos.
De todas formas, es importante no olvidar los posibles problemas de seguridad
que pueden originarse desde el interior de nuestro permetro. Entre este grupo
de problemas podemos clasificar los provocados por usuarios internos o por
intrusiones realizadas desde puntos no controlados de nuestra propia red.
Contra este tipo de problemas, sensiblemente menos probables que los
externos, se deberan aplicar medidas parecidas a las mencionadas en el
90

permetro externo, aadiendo el uso de programas de chequeo de la seguridad

de las passwords elegidas por los usuarios. En este aspecto, el mejor
programa existente en la red es Crack [6], de Alec Muffet, que permite utilizar
un gran nmero de diccionarios y reglas de inferencia a la hora de verificar la
calidad de una contrasea. Otra medida fundamental a la hora de prevenir
accesos desde el exterior por puntos no controlados de nuestra red, es
establecer la prohibicin del uso de mdems con capacidad de llamada
entrante. Si este uso fuese inevitable, como norma, al menos, deberan
utilizarse para ello, sistemas no conectados fsicamente a la red o realizarse
bajo la estricta vigilancia del administrador de red responsable.

91

ANEXOS
ANEXO A. Normas de Seguridad Cloud

Proporcionar nombres nicos para cada instancia en la

nube para facilitar la identificacin de atributos de red.

Registro adecuado de los recursos, tanto fsicos como

virtuales, a lo largo del ciclo de vida de la instancia que permita su
trazabilidad.

No confiar a ojo cerrado en el proveedor de la nube, cada

interaccin debe validarse si necesita autorizacin de demanda y

autenticacin.

Mantener las instancias y los datos cifrados cuando se

almacenan en el disco y durante la migracin entre servidores.

Restringir la utilizacin dinmica de los recursos a niveles

predeterminados para evitar ataques de denegacin interna de servicios.

Destruir las instancias y los datos dados de baja cuando ya

no sean necesarios.

Definir Acuerdos de Niveles de Servicio (SLAs) para cada

instancia de la nube para asegurar la disponibilidad adecuada y la
utilizacin de recursos.

Utilizar una nica gestin para el registro y supervisin del

sistema en la nube.

Restringir el acceso a la consola de control (fsico y virtual)

a los usuarios con roles de negocio definido.

Crear nuevas instancias

slo

con

especificaciones

definidas, probados y aprobados.

Ejecutar aplicaciones a travs de mltiples servidores

fsicos para mejorar la fiabilidad.

Proporcionar autenticacin centralizada y otros servicios de

autorizacin.

Proveer un sistema centralizado de gestin de contraseas

para comunicar informacin confidencial.

Firmar digitalmente los mensajes de control dentro de la

nube para evitar la manipulacin y el uso no autorizado de mensajera.

Restringir la entrada de datos y salida hacia/desde la nube

para mitigar la introduccin de software malicioso y la eliminacin de datos
privados.

92

Registrar el estado actual y la bitcora de ocurrencias de

recursos fsicos y virtuales.

Aislar casos sospechosos y reemplazarlos con instancias

alternativas.

Explorar la nube para identificar instancias no autorizadas,

aislarlos y eliminarlos.

Auditar los registros de utilizacin de recursos para

detectar actividades sospechosas.

Auditoras inopinadas para garantizar el cumplimiento de

polticas de uso de la nube.

93