Vista previa del material en texto
FACULTAD DE CIENCIAS EMPRESARIALES CARRERA DE INGENIERÍA DE SISTEMAS DE INFORMACIÓN Y GESTIÓN “BUENAS PRÁCTICAS EN LA GESTIÓN DE PROYECTOS DE IMPLEMENTACIÓN DE SEGURIDAD INFORMÁTICA PERIMETRAL EN LOS DATA CENTER DE CLIENTES EMPRESARIALES” Tesis para optar por el Título Profesional de: Ingeniero de Sistemas de Información y Gestión XXX LIMA – PERÚ 2015 1 COPIA DEL ACTA DE SUSTENTACIÓN 2 DEDICATORIA Dedico esta tesis a mi Familia por el Apoyo incondicional para el logro de mis metas. 3 AGRADECIMIENTOS Agradezco a Dios por guiarme y mi alma máter por forjarme mi futuro como profesional. 4 ÍNDICE GENERAL COPIA DEL ACTA DE SUSTENTACIÓN........................................................................II DEDICATORIA.............................................................................................................. III AGRADECIMIENTOS................................................................................................... IV ÍNDICE GENERAL........................................................................................................V INDICE DE FIGURAS.................................................................................................. IX INDICE DE TABLAS......................................................................................................X INDICE DE ANEXOS....................................................................................................XI RESUMEN..................................................................................................................XII ABSTRACT..................................................................................................................13 CAPÍTULO I.................................................................................................................14 INTRODUCCIÓN.........................................................................................................14 INTRODUCCIÓN.........................................................................................................15 1. PLANTEAMIENTO DEL PROBLEMA Y JUSTIFICACION.....................................17 1.1 Planteamiento del Problema..........................................................................17 1.1.1 Formulación de la Pregunta de Investigación.......................................18 1.1.1.1 Pregunta General......................................................................18 1.1.1.2 Preguntas Específicas...............................................................19 1.2 Justificación....................................................................................................19 1.2.1 Justificación Teórica..............................................................................19 1.2.2 Justificación Práctica.............................................................................19 1.3 Delimitación y Alcance...................................................................................19 1.4 Objetivos........................................................................................................20 1.4.1 Objetivo General...................................................................................20 1.4.2 Objetivos Específicos............................................................................20 1.5 Antecedentes de la Investigación...................................................................20 1.6 Marco Teórico.................................................................................................21 1.6.1 Seguridad de la Información.................................................................21 1.6.2 Normas ISO..........................................................................................22 1.6.2.1 ISO 27000.................................................................................22 1.6.2.2 ISO 27001.................................................................................22 1.6.2.3 ISO 27002.................................................................................23 5 1.6.2.4 ISO 9001...................................................................................23 1.6.3 COBIT...................................................................................................24 1.6.4 Gestión de Proyectos - PMBOK............................................................24 1.6.5 Gestión de Servicios de Infraestructura Tecnológica - ITIL...................25 1.6.6 Ciclo de Deming....................................................................................26 1.6.7 Políticas Tecnológicas...........................................................................27 1.6.8 Amenazas.............................................................................................31 1.6.9 Sistema Gestión de Seguridad de la Información - SGSI......................36 1.6.10 Gestión de Riesgos............................................................................37 1.6.10.1 Normatividad........................................................................38 1.6.11 Seguridad de la Red...........................................................................39 1.6.11.1 Red Plana sin seguridad.......................................................39 1.6.11.2 Seguridad Perimetral............................................................40 1.6.12 Empresa.............................................................................................42 1.6.12.1 Cortez SAC...........................................................................42 1.6.12.2 Área de Implementación de proyectos de seguridad............42 1.6.12.3 Área de Ventas.....................................................................42 1.6.12.4 Área de Post-venta...............................................................42 1.7 Hipótesis General...........................................................................................43 1.7.1 Hipótesis Específicas de Investigación 1..............................................43 1.7.2 Hipótesis Específicas de Investigación 2..............................................44 CAPÍTULO II................................................................................................................45 MATERIALES Y MÉTODOS........................................................................................45 2. MATERIALES Y MÉTODOS.................................................................................46 2.1 Materiales......................................................................................................46 2.1.1 Personal................................................................................................46 2.1.2 Materiales.............................................................................................46 2.1.3 Tiempo..................................................................................................46 2.1.4 Equipamiento........................................................................................48 2.1.4.1 Equipo Firewall..........................................................................48 2.1.5 Situación y exigencia del problema.......................................................48 2.2 Métodos.........................................................................................................48 2.2.1 Procedimientos o Métodos....................................................................48 6 2.2.2 Diseño de Investigación........................................................................48 2.2.2.1 No Experimental........................................................................48 2.2.3 Tipo de Investigación............................................................................49 2.2.3.1 Descriptiva.................................................................................49 2.2.3.2 Analítica.....................................................................................492.2.4 Enfoque de investigación......................................................................49 2.2.5 Delimitación y definición de la población de estudio.............................50 2.2.5.1 Población y Muestra..................................................................50 2.2.6 Aplicar criterios para seleccionar muestra de estudio...........................50 2.2.6.1 Técnicas de recolección de datos..............................................50 2.2.7 Variables...............................................................................................51 2.2.7.1 Definición Operacional de las Variables.....................................51 2.2.8 Criterios de inclusión y exclusión..........................................................52 2.2.8.1 Criterios de Inclusión.................................................................52 2.2.8.2 Criterios de Exclusión................................................................53 2.2.9 Análisis de confiabilidad del instrumento de investigación....................53 2.2.10 Análisis de validez del instrumento de investigación...........................53 CAPÍTULO III...............................................................................................................55 RESULTADOS.............................................................................................................55 3. RESULTADOS......................................................................................................56 3.1 Aplicación de la Norma ISO 27001................................................................56 3.2 Aplicación de la Norma ISO 27002................................................................56 3.3 Diseño de la Red Perimetral..........................................................................57 3.4 Selección de equipos de Seguridad Perimetral..............................................59 3.4.1 Equipo Firewall.....................................................................................59 3.4.2 Comparativo de equipos Firewall..........................................................60 3.4.3 Solución de equipo Firewall elegido......................................................61 3.4.4 Configuración del Firewall.....................................................................62 3.5 Resultados de la implementación...................................................................63 3.6 SEGURIDAD INFORMÁTICA PERIMETRAL EN EQUIPOS CORTAFUEGOS..........65 3.6.1 Equipos.................................................................................................66 3.6.1.1 El Firewall..................................................................................66 3.6.2 Configuración de cortafuegos...............................................................66 7 3.6.2.1 Restricciones en el firewall........................................................66 3.6.3 Políticas y procedimientos de seguridad de la información...................66 3.6.3.1 Políticas de firewall alineadas con el ISO 27002.......................67 3.6.3.2 Control de Acceso.....................................................................68 3.6.4 Gestión de procesos usando PDCA......................................................69 DISCUSIÓN.................................................................................................................71 CONCLUSIONES Y RECOMENDACIONES...............................................................72 Conclusiones........................................................................................................72 Recomendaciones................................................................................................73 REFERENCIAS BIBLIOGRÁFICAS.............................................................................74 GLOSARIO..................................................................................................................76 ANEXOS......................................................................................................................88 8 INDICE DE FIGURAS Figura 1. Seguridad de la información...............................................................22 Figura 2. Gobierno TI..........................................................................................24 Figura 3. PMBOK v5 – Áreas de Conocimiento.................................................25 Figura 4. Gestión de Servicios ITIL....................................................................26 Figura 5. Ciclo de mejora continúa: PHVA.........................................................27 Figura 6: La confidencialidad de los datos.........................................................28 Figura 7. Algunos mecanismos para salvaguardar la confidencialidad de los datos...................................................................................................................29 Figura 8. Integridad.............................................................................................29 Figura 9. Sistema de No Repudio......................................................................30 Figura 10. Control de Acceso.............................................................................30 Figura 11. Disponibilidad....................................................................................30 Figura 12. Amenazas Humanas.........................................................................31 Figura 13. Amenazas de Hardware....................................................................34 Figura 14. Amenazas de Red.............................................................................34 Figura 15. ISMS Framework...............................................................................38 Figura 16. Red Plana sin Seguridad...................................................................39 Figura 17. Seguridad Perimetral en Redes........................................................40 Figura 18. Casos de éxito de Seguridad informática.........................................41 Figura 19. Cortafuegos FORTINET....................................................................47 Figura 20. Red Perimetral...................................................................................56 Figura 21. Topología Propuesta.........................................................................57 Figura 22. Top Selling Models Matrix.................................................................61 Figura 23. Políticas de Seguridad......................................................................65 Figura 24. Gestión de procesos usando PDCA.................................................68 9 INDICE DE TABLAS Tabla 1. Cronograma de actividades piloto EP-ER............................................46 Tabla 2. Definición Operacional de las Variables...............................................51 Tabla 3. Comparativo de Marcas de Firewall.....................................................59 Tabla 4. Características y Costos de Equipos Firewall......................................60 Tabla 5. Procesos as-is (actual) y procesos to-be (futuro).................................62 Tabla 6. Buenas prácticas en Gestión de Proyectos.........................................69 Tabla 7. Gestión del alcance..............................................................................69 10 INDICE DE ANEX ANEXO A. Normas de Seguridad Cloud............................................................87 Y 11 RESUMEN En esta, investigación titulada, “Buenas Prácticas en la Gestión de Proyectos de Implementación de Seguridad Informática Perimetral en los Data Center de Clientes Empresariales”, el objetivo es desplegar el uso de buenas prácticas en seguridad de la información perimetral aplicando las Normas ISO 27001 e ISO 27002 que son atendidos por la empresa Cortez SAC. Este estudio es aplicado. No Experimental.La empresa tiene 16 usuarios técnicos y 8 gerentes de TI. También 1 ingeniero de Redes y Seguridad Informática. La población total es de 32 personas. Analizaremos dos proyectos de implementación de la red perimetral en los clientes "Empresa Editora del Perú" y "El Rocío". (El proyecto-1 sin buenas prácticas y el proyecto-2 migración con buenas prácticas). Como instrumento se utiliza la entrevista, mediante preguntas específicas al responsable de seguridad informática del cliente, temas como diseño de la red perimetral, configuración del Firewall, configuración de equipos reemplazados vs configuración de los equipos nuevos. Los resultados fueron no esperados por los administradores de seguridad y de redes del cliente debido por las nuevas soluciones, pero presentándola de otra forma, logrando minimizar al máximo las probabilidades de sufrir impactos negativos y pérdidas originados por la falta de seguridad. En conclusión, existen muchas deficiencias en la gran mayoría de organizaciones en materia de seguridad, consideran cara y complicada, pero es más caro es sufrir las consecuencias por la falta de seguridad en el sistema de información. Finalmente conocer los elementos a implementar, adquirir la certificación Estándar Internacional, evaluación para el análisis y solucionar los problemas de seguridad. Palabras Claves: Seguridad de Información, ISO 27001, ISO 27002, Red Perimetral 12 ABSTRACT In this, research entitled, "Best Practices in Project Management Implementation Information Security Perimeter in the Data Center Business Clients", the aim is to deploy the use of best practices in security perimeter information by applying the ISO 27001 standards and ISO 27002 that are served by the company Cortez SAC. This study is applied. Experimental No. In the company 16 technical users and 8 IT managers. Engineer also 1 Networking and Security. The total population is 32 people. We discuss two projects implementing the perimeter network clients "Company Editor of Peru" and "El Rocio". (The project-1 without good practices and project-2 migration with good practice). As the interview instrument used by the person responsible for specific client computer security topics such as perimeter network design, configuration Firewall configuration settings vs replaced equipment new equipment questions. The results were not expected by security administrators and network client due to new solutions, but presenting it in another way, achieving full minimize the chances of suffering negative impacts and losses caused by the lack of security. In conclusion, there are many shortcomings in the vast majority of security organizations, considered expensive and complicated, but more expensive is to suffer the consequences of the lack of security in the information system. Finally know the elements to implement, acquire the International Standard certification, analysis and evaluation for solving security problems. Keywords: Information Security, ISO 27001, ISO 27002, Perimeter Network 13 14 CAPÍTULO I INTRODUCCIÓN 15 INTRODUCCIÓN Actualmente hay diferentes tipos de tecnologías las cuales van en aumento, dejando atrás la parte de seguridad en la información. Dando como resultado un gran número de huecos en seguridad, los cuales se pueden corregir con atenciones y cuidados, con un listado de buenas prácticas y políticas de seguridad. Esos huecos de seguridad, también se deben a la falta de comunicación y de capacitación de los interesados los cuales se convierten en el eslabón más débil en la cadena de seguridad. Por lo cual, en el siguiente trabajo se describen las responsabilidades de cada integrante de la empresa y las recomendaciones que deben seguir los interesados. Este trabajo escrito, es un conjunto de recomendaciones basadas en la experiencia, en algunas políticas de seguridad y en un estándar para el control de la tecnología de la información, como lo es COBIT. Con el fin de proporcionarles a los usuarios, encargados y administradores, temas actuales de seguridad en la información y en el centro de cómputo, dando como resultado la certeza de que se está asegurando lo mejor posible. En este trabajo, se tienen como objetivos: - Diseñar buenas prácticas para la seguridad en la empresa. - Proporcionar buenas prácticas de seguridad física y perimetral a los integrantes en la empresa. - Promover el concepto de seguridad. - Promover la importancia de las buenas prácticas entre los administradores y usuarios. - Difundir las buenas prácticas en la empresa. 16 Se pretende evaluar el conocimiento en la empresa, desde la organización, servicios de seguridad y las tareas de los principales autores en la empresa, mecanismos de seguridad, entre otras actividades, esto para brindar una mejor seguridad interna y externa en la empresa. Al identificar y analizar los servicios en la empresa, se van elaborando medidas preventivas, como realizar un análisis para detectar los posibles riesgos, implementando cierto grado de seguridad en los servicios de la empresa, así como controles que ayudan a proporcionar un mejor entorno en la seguridad de la empresa. Se brinda la importancia de identificar y comprender las políticas de seguridad y las buenas prácticas, saber que para cada recurso hay lineamientos a seguir. Y la importancia de la información para tomar las medidas necesarias e impedir su pérdida. Se encuentra también una metodología propuesta, que contiene conceptos como: seguridad, vulnerabilidades y amenazas de igual manera la forma de la estructura de la organización y los diferentes dispositivos en el centro de cómputo por medio de una encuesta para identificar el estado inicial o actual de la empresa con sus respectivos requerimientos. Con la información recopilada en este trabajo se pretende proporcionar una guía para la implementación de la seguridad en la empresa, así como también promover el concepto de seguridad, difundiendo las buenas prácticas con diferentes métodos, para que los integrantes del centro las conozcan y las lleven a cabo. El principal objetivo de este trabajo es la aplicación de la Norma ISO 27001 e ISO 27002, métodos y estrategias para el diseño, elaboración, implementación, retroalimentación y difusión de las buenas prácticas de seguridad para optimizar la manera en que se resguarda la información y el lugar de trabajo. 17 1. PLANTEAMIENTO DEL PROBLEMA Y JUSTIFICACION El presente trabajo propone una estrategia para implementar proyectos de seguridad informática perimetral usando las buenas prácticas en Seguridad de la Información basado en las normas ISO 27001 e ISO 27002. Es precisamente, en la gestión de este tipo de proyectos, donde se ha observado que algunos integrantes de nuestros equipos de ventas y soporte técnico no aplican las mejores prácticas lo que ocasiona retrasos en los entregables, problemas de vulnerabilidad en la red perimetral de los centros de datos de clientes empresariales, insatisfacción por parte de los clientes y exceso en los costos del proyecto. Por el lado del cliente, el personal que administra la seguridad y redes también adolece de competencias en seguridad de la Información. La aplicación de las Normas ISO 27001 ha permitido ordenar nuestro trabajo funcional, estableciendo reglas de control basados en Políticas y Procedimientos que debemos seguir para una correcta Gestión de Riesgos en nuestros clientes. La aplicación de la Norma ISO 27002 ha permitido estandarizar y gestionar nuestro trabajo técnico aplicado a la seguridad informática perimetral, empezando por dos dominios básicos, elambiente de seguridad física y el control de accesos a los sistemas de información. Por tal motivo, se presenta una estrategia comprobada en las dos últimas implementaciones realizadas, que nos ha permitido demostrar la validez de la aplicación de buenas prácticas en la Seguridad de la Información; que venimos desplegando a los diversos equipos de trabajo que implementan proyectos de seguridad informática perimetral. 18 1.1 Planteamiento del Problema La formación académica, entrenamiento y experiencia que adquieren los Ingenieros de Sistemas que se especializan como Administradores de Seguridad Informática y Redes a lo largo de su desarrollo profesional, les permiten identificar cuando no existe una adecuada gestión de los proyectos de seguridad informática, lo que se complica porque también deben gestionar el aprovisionamiento de los equipos y componentes de la red perimetral y mantener protegida la red interna y externa de la empresa. Se ha observado que en la empresa Cortez SAC no hay una adecuada coordinación técnica con el área de ventas cuando se ganan proyectos de altas, migración o upgrade de equipos de seguridad perimetral, ya que por la rapidez en entregar el RFP el encargado de la relación comercial con el cliente muchas veces no incluye la recomendación técnica de los ingenieros especialistas sobre los equipos ofrecidos en la fase de ventas y genera que el perímetro de la red interna y externa esté expuesta a amenazas y riesgos También se debe mejorar la gestión de tiempos, costos, entregables y recursos necesarios para cumplir con los servicios ofrecidos a los clientes; se debe mejorar la asignación de recursos en los data centers , ha ocurrido que el ingeniero encargado de gestionar la seguridad informática en el cliente por falta de un asistente técnico ha tenido que atender incidentes de 2do nivel que le obliga a dejar sus actividades de implementación de la seguridad perimetral , lo que a su vez repercute en incumplir con los tiempos acordados de implementación del proyecto. Por tal razón, para mantener segura la red informática perimetral de los data centers de los clientes se deben aplicar las buenas prácticas en Seguridad de la Información en la gestión de proyectos y servicios de seguridad informática. 19 1.1.1 Formulación de la Pregunta de Investigación 1.1.1.1 Pregunta General ¿En qué medida el uso de buenas prácticas en Seguridad de la Información ha permitido implementar exitosamente los proyectos de seguridad informática perimetral en los data center de clientes empresariales? 1.1.1.2 Preguntas Específicas ¿De qué manera la aplicación de la Norma ISO 27001 ha influido en una gestión adecuada de la seguridad de la información en la data center de clientes empresariales? ¿De qué manera la aplicación de la norma ISO 27002 ha controlado el acceso externo e interno a los servicios informáticos para mantener la red perimetral libre de amenazas e intrusiones en los data center de clientes empresariales? 1.2 Justificación 1.2.1 Justificación Teórica Diversas investigaciones y casos de éxito sobre proyectos de seguridad informática, han permitido demostrar que el uso de las buenas prácticas en Seguridad de la Información permite garantizar la gestión adecuada de los riesgos y servicios de seguridad informática en la red perimetral externo e interno de la empresa. Las buenas prácticas están soportadas por las Normas ISO 27001 e ISO 27002. 1.2.2 Justificación Práctica La aplicación de la Normas ISO 27001 e ISO 27002 de Buenas Prácticas en Gestión de Sistemas de Seguridad de Información permitirá ordenar el trabajo del personal, estandarizando procesos e implementar proyectos exitosos, en tiempo, presupuesto, calidad y satisfacción del cliente; 20 además, contar con personal certificado y/o con experiencia en diversos equipos y componentes de redes y seguridad informática que implementamos o a los que damos soporte técnico. 1.3 Delimitación y Alcance Esta investigación aplicada considera las áreas de Ventas, tiene un alcance específico entre las dos áreas analizadas, pues el personal que las integran cumplen roles y tienen competencias técnicas para la gestión de seguridad informática que desarrollan en los clientes de Lima y provincias. 1.4 Objetivos 1.4.1 Objetivo General Desplegar el uso de buenas prácticas en seguridad de la información para la gestión de proyectos de seguridad informática perimetral en los data center de clientes empresariales. 1.4.2 Objetivos Específicos Aplicar la Norma ISO 27001 para gestionar la Seguridad de la Información en la data center de clientes empresariales. Aplicar la Norma ISO 27002 para controlar el acceso externo e interno de los servicios informáticos y mantener segura la red perimetral contra amenazas e intrusiones en la data center de clientes empresariales. 1.5 Antecedentes de la Investigación La empresa actualmente no aplica las buenas prácticas en gestión de seguridad de la información y en seguridad informática perimetral. El avance tecnológico hace que aparezcan nuevos equipos y sistemas más robustos de mejor rendimiento, calidad y costo; a la vez, otros equipos quedan obsoletos a nivel técnico y son reemplazados. Debido a que en los proyectos de implementación de seguridad perimetral hemos venido trabajando con equipos 21 de un mismo fabricante, y por su uso continuo conocemos de memoria las especificaciones de los nuevos equipos. El uso de nuevas soluciones de seguridad perimetral sobre todo en la migración de configuración de un equipo a otro traía consigo resultados no esperados por los administradores de seguridad y de redes del cliente ocasionando retrasos en demostrar que las funcionalidades con el nuevo equipo de seguridad son las mismas pero presentado de otra forma. 1.6 Marco Teórico La aplicación y uso de las Tecnologías de la Información se da en diferentes campos de aplicación y para la gestión adecuada de dichos servicios existen buenas prácticas que guían el uso de la infraestructura tecnológica existente. A continuación, se describen buenas prácticas y estándares que soportan la gestión de proyectos de seguridad informática perimetral, entre los principales están. 1.6.1 Seguridad de la Información Según López y Quezada (2006): en su libro Fundamentos de Seguridad Informática, “El término seguridad de la información se refiere a la prevención y a la protección, a través de ciertos mecanismos, para evitar que ocurra de manera accidental o intencional la transferencia, modificación, fusión o destrucción no autorizada de la información”. (p. 23) Debido a que la información es un activo no menos importante que otros activos comerciales, es esencial para cualquier negocio u organización contar con las medidas adecuadas de protección de la información, especialmente en la actualidad, donde la información se difunde a través de miles y miles de redes interconectadas. Esto multiplica la cantidad de amenazas y vulnerabilidades a las que queda expuesta la información. 22 La información puede existir en muchas formas, por ejemplo, puede estar impresa o escrita en papel, almacenada electrónicamente, transmitida por correo o utilizando medios electrónicos, hablada en una conversación, etc. Sea cual sea la forma en la que se tenga la información, debe estar en todo caso protegida. La seguridad de la información se logra implementando un conjunto adecuado de controles, políticas, procesos, procedimientos, estructuras organizacionales, y otras acciones que hagan que la información pueda ser accedida sólo por aquellas personas que están debidamente autorizadas para hacerlo. Figura1. Seguridad de la información. 1.6.2 Normas ISO 1.6.2.1 ISO 27000 En fase de desarrollo. Contendrá términos y definiciones que se emplean en toda la serie 27000. La aplicación de cualquier estándar necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos técnicos y de gestión. Esta norma será gratuita, a diferencia de las demás de la serie, que tendrán un coste. ISO 27000 en español, (2016): La BSI (British Standards Institution) desde 1901 ha sido la primera organización de certificación a nivel mundial, ha publicado normas como: BS 5750, año 1979 - ahora ISO 9001. BS 7750, año 1992 - ahora ISO 14001. BS 8800, año 1996 - ahora OHSAS 23 18001. La norma BS7799 se publicó en 1995 con el fin de recomendar buenas prácticas para la gestión de la seguridad de la información. Esta fue adoptada por ISO en el año 2000, como ISO 17799. (Consultado 15.04.2016) 1.6.2.2 ISO 27001 ISO 27001 en Español, (2016): Es la norma principal de requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. Fue publicada el 15 de Octubre de 2005 y sustituye a la BS 7799-2, habiéndose establecido unas condiciones de transición para aquellas empresas certificadas en esta última. (Consultado 15.04.2016) 1.6.2.3 ISO 27002 ISO 27001 en español, (2016): Cambio de nomenclatura de ISO 17799:2005 realizada el 1 de Julio de 2007. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. (Consultado 15.04.2016) A través de este documento se puede identificar un marco de trabajo más amplio para una organización cuando se desea implementar políticas de seguridad. 1.6.2.4 ISO 9001 ISO 9001 en español, (2016): Define los requerimientos para los sistemas de gestión de calidad. Aunque a primera vista la gestión de calidad y la gestión de seguridad de la información no tienen mucho en común, lo cierto es que aproximadamente el 25% de 24 los requisitos de ISO 27001 y de ISO 9001 son los mismos: control de documentos, auditoría interna, revisión por parte de la dirección, medidas correctivas, definición de objetivos y gestión de competencias. Esto quiere decir que si una empresa ha implementado ISO 9001 le resultará mucho más sencillo implementar ISO 27001. (Consultado 15.04.2016) 1.6.3 COBIT Según el estudio de INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION (2012): COBIT 5 es un marco de gobierno de TI y herramientas de apoyo que permite a los administradores para cerrar la brecha entre las necesidades de control, cuestiones técnicas y los riesgos empresariales. COBIT permite el desarrollo de una política clara y de buenas prácticas para el control de TI en las organizaciones. COBIT enfatiza el cumplimiento normativo, ayuda a las organizaciones a aumentar el valor alcanzado desde IT, permite la alineación y simplifica la implementación del marco de gobierno de TI y el control de las empresas. (p.5) Figura 2. Gobierno TI 25 1.6.4 Gestión de Proyectos - PMBOK Según (Guía del PMBOK®) -Quinta edición (2013): Una guía para el Cuerpo Proyecto de Gestión del Conocimiento refleja la colaboración y el conocimiento de los directores de proyectos de trabajo y proporciona los fundamentos de la gestión de proyectos que se aplican a una amplia gama de proyectos. Esta norma internacionalmente reconocida ofrece a los administradores de proyectos las herramientas esenciales para la práctica de la gestión del proyecto y entregar resultados de la organización. (p.1) Figura 3. PMBOK v5 – Áreas de Conocimiento 1.6.5 Gestión de Servicios de Infraestructura Tecnológica - ITIL Muñoz y Martínez (2012): en su Proyecto de Caracterización de Procesos de Gestión de TI basados en COBIT 5 y mapeo con ISO27002, ITIL, CMMI DEV, PMBOK, para la implementación en la industria Editorial, dicen: The Official Introduction to the ITIL La Information Technology Infrastructure Library (ITIL) define los requisitos de estructura y habilidades organizacionales de una organización de tecnología de la información y un conjunto de procedimientos y prácticas de gestión operativa estándar para permitir la organización gestionar una operación de TI y la infraestructura asociada. Los procedimientos y prácticas operativas son independientes y se 26 aplican a todos los aspectos dentro de la infraestructura de TI. La figura 1.2 muestra la estructura circular de mejora continua que aplica ITIL para la gestión de servicios de Infraestructura tecnológica en las organizaciones. (p.29) Figura 4. Gestión de Servicios ITIL. 1.6.6 Ciclo de Deming Según Deming (1982): “Mejorando la calidad es posible aumentar la productividad” PDCA son las siglas en inglés del conocido “Ciclo de Deming”: Plan-Do- Check-Act (Planificar- Hacer- Verificar- Actuar). (El PDCA lo componen 4 etapas cíclicas, de forma que una vez acabada la etapa final se debe volver a la primera y repetir el ciclo de nuevo, de forma que las actividades son reevaluadas periódicamente para incorporar nuevas mejoras. La aplicación de esta metodología está enfocada principalmente para ser usada en empresas y organizaciones. 27 http://www.pdcahome.com/5202/ciclo-pdca/ Figura 5. Ciclo de mejora continua: PHVA. 1.6.7 Políticas Tecnológicas Según Julio César Vásquez Paiva (2013) en su investigación de “Políticas Tecnológicas Directas e Indirectas”, las políticas tecnológicas son todas las acciones que realiza el Estado, en pro de contribuir a la creación y fortalecimiento dela innovación tecnológica tanto en el ámbito público como privado para así mejorar el sistema tecnológico del país y así promover y elevar el nivel de vida de sus habitantes. (p.45) Dentro de estas políticas pueden diferenciarse dos tipos según su forma de aplicarse, pero las cuales tienen el mismo fin en común, promover el nivel tecnológico de las empresas tanto públicas como privadas, las cuales son las siguientes: ● Políticas directas o explícitas: las cuales son los decretos de ley, leyes creadas para motivar instituciones, proyectos, incentivos, entre otros, los cuales tienen como fin llevar a cabo los planes tecnológicos del Estado. 28 ● Políticas indirectas o implícitas: las cuales son estrategias que tienen fines directo en el área política, social, cultural o económica pero que ocasiona efectos secundarios en el ámbito tecnológico Servicios de Seguridad Informática. ● Un servicio de seguridad informática es aquel que mejora la seguridad de un sistema de información y el flujo de información de una organización. Los servicios están dirigidos a evitar los ataques de seguridad y utilizan uno o más mecanismos de seguridad para proveer el servicio. Según Microsoft Encarta (2016): “Seguridad es cualidad de seguro y define a este a su vez como libre y exento de todo peligro, daño o riesgo”. (p.9) Clasificación ● Confidencialidad ● Autenticación ● Integridad ● No repudio ● Control de acceso ● Disponibilidad a. Confidencialidad Servicio de seguridad o condición que asegura que la información no pueda estar disponible o ser descubierta por o para personas, entidades o procesos no autorizados. También puede verse como la capacidad del sistema para evitar que personas no autorizadas puedan acceder a la información almacenada en él. Figura 6: La confidencialidad de los datos. b. Autenticación 29 Es el servicio que tratade asegurar que una comunicación sea auténtica, es decir, verificar que el origen de los datos es el correcto, quién los envió y cuándo fueron enviados y recibidos también sean correctos. Algunos métodos de autenticación son: Biométricos, Tarjetas inteligentes, Métodos clásicos basados en contraseña, etc. Figura 7. Algunos mecanismos para salvaguardar la confidencialidad de los datos. c. Integridad Servicio de seguridad que garantiza que la información sea modificada, incluyendo su creación y borrado, sólo por el personal autorizado. Figura 8. Integridad. d. No repudio El no repudio sirve a los emisores o a los receptores para negar un mensaje transmitido. Por lo que cuando un mensaje es enviado, el receptor puede probar que el mensaje fue enviado por el presunto emisor. De manera similar, cuando un mensaje es recibido, el remitente puede probar que el mensaje fue recibido por el presunto receptor. 30 Figura 9. Sistema de No Repudio. e. Control de Acceso Un control de acceso se ejecuta con el fin de que un usuario sea identificado y autenticado de manera exitosa para que entonces le sea permitido el acceso. El control de acceso puede ejecutarse de acuerdo con los niveles de seguridad y puede ejecutarse mediante la administración de la red o por una entidad individual de acuerdo con las políticas de control de acceso. Figura 10. Control de Acceso. f. Disponibilidad En un entorno donde las comunicaciones juegan un papel importante es necesario asegurar que la red esté siempre disponible. 31 Figura 11. Disponibilidad. 1.6.8 Amenazas Microsoft (2016): La Amenaza es la probabilidad de ocurrencia de un suceso potencialmente desastroso durante cierto periodo de tiempo, en un sitio dado. En general el concepto de amenaza se refiere a un peligro latente o factor de riesgo externo, de un sistema o de un sujeto expuesto, expresada matemáticamente como la probabilidad de exceder un nivel de ocurrencia de un suceso con una cierta intensidad, en un sitio específico y durante un tiempo de exposición determinado. (Consultado 15.04.2016). Una amenaza se representa a través de una persona, una circunstancia o evento, un fenómeno o una idea maliciosa, las cuales pueden provocar daño en los sistemas de información, produciendo pérdidas materiales, financieras o de otro tipo. Las amenazas son múltiples desde una inundación, un fallo eléctrico o una organización criminal o terrorista. Así, una amenaza es todo aquello que intenta o pretende destruir. a. Amenazas Humanas Surge por ignorancia en el manejo de la información, por descuido, por negligencia, por inconformidad. Para este caso se pueden considerar a los hackers, crakers, phreakers, carding, trashing, gurús, lamers o scriptkiddies, copyhackers, bucaneros, newbie, wannabers, samurai, creadores de virus y los que se listan a continuación: 32 http://redyseguridad.fi-p.unam.mx/proyectos/seguridad/Amenazas.php Figura 12. Amenazas Humanas. Ingeniería social: es la manipulación de las personas para convencerlas de que ejecuten acciones o actos que normalmente no realizan de forma que revelen datos indispensables que permitan superar las barreras de seguridad. Esta técnica es una de las más usadas y efectivas al momento de averiguar nombres de usuarios y contraseñas. Ingeniería social inversa: consiste en la generación, por parte de los intrusos, de una situación inversa a la original en la ingeniería social. En este caso el intruso publicita de alguna manera que es capaz de brindar ayuda a los usuarios y éstos lo llaman ante algún imprevisto. El intruso aprovechará esta oportunidad para pedir información necesaria para solucionar el problema del usuario y el propio. Robo: Las computadoras son las posesiones más valiosas de la empresa y se encuentran expuestas. Es frecuente que los operadores utilicen las computadoras de las empresas para realizar trabajos privados o para otras organizaciones y de esta manera robar tiempo de máquina. Fraude: Cada año millones de dólares son sustraídos de las empresas y, en muchas ocasiones, las computadoras son utilizadas para dichos fines. Es uno de los problemas más habituales de las Organizaciones, sea del tipo que sea y a todos los niveles, ya que se refiere al perjuicio económico patrimonial 33 realizado con ánimo de lucro y llevado a cabo con engaño. El fraude no trata más que lograr un beneficio ilegal reduciendo las propiedades de la compañía. Sabotaje: El sabotaje ha sido utilizado desde la antigüedad, partiendo del axioma de “una eficiencia máxima, con unos medios y un riesgo mínimo para el saboteador. Para lograr estos fines el saboteador tratará de determinar los puntos débiles de la organización y estudiará las posibilidades de acceder a las áreas donde mayor daño pueda hacer. Es el peligro más temido en los centros de procesamiento de datos, ya que éste puede realizarlo un empleado o un sujeto ajeno a la empresa. Personal: De los robos, fraudes, sabotajes o accidentes relacionados con los sistemas, el 73% es causado por el personal de la organización propietaria de dichos sistemas. Personal interno: Son las amenazas al sistema provenientes del personal del propio sistema informático. Los daños causados por el personal pueden ser accidentales, deliberados o productos de la negligencia. Los recursos y programas así como la información, deben estar especialmente protegidos contra estos tipos de daños. Ex-empleado: Generalmente son personas descontentas con la organización y que conocen a la perfección la estructura del sistema, por consiguiente, tienen los conocimientos necesarios para causar cualquier tipo de daño. Curiosos: Son personas que tienen un alta interés en las nuevas tecnologías, pero aún no tienen la experiencia ni conocimientos básicos para considerarlos hacker o crackers, generalmente no se trata de ataques dañinos, pero afecta el entorno de fiabilidad y confiabilidad generado en un sistema. Terrorista: En esta definición se engloba a cualquier persona que ataca al sistema causando un daño de cualquier índole en él, tienen fines proselitistas o religiosos. Intrusos remunerados: Se trata de crackers o piratas con grandes conocimientos y experiencia, pagados por una tercera parte para robar 34 secretos o simplemente para dañar de alguna manera la imagen de la entidad atacada. b. Amenazas de Hardware Este tipo de amenazas se da por fallas físicas que se encuentra presente en cualquier elemento de dispositivos que conforman la computadora. Los problemas más identificados para que el suministro de energía falle son el bajo voltaje, ruido electromagnético, distorsión, interferencias, alto voltaje, variación de frecuencia, etc. Figura 13. Amenazas de Hardware. c. Amenazas de Red Se presenta una amenaza cuando no se calcula bien el flujo de información que va a circular por el canal de comunicación, es decir, que un atacante podría saturar el canal de comunicación provocando la no disponibilidad de la red. Otro factor es la desconexión del canal. Figura 14. Amenazas de Red. 35 d. Amenazas Lógicas La amenaza se hace presente cuando un diseño bien elaborado de un mecanismo de seguridad se implementa mal, es decir, no cumple con las especificaciones del diseño. La comunicación entre procesos puede resultar una amenaza cuando un intruso utilice una aplicación que permita evitar y recibir información, ésta podría consistir en enviar contraseñas y recibir el mensaje de contraseña válida; dándole al intruso elementos para un posible ataque. En la mayoría de los sistemas, los usuarios no pueden determinar si el hardware o el software con que funcionan son los que supone que deben ser. Esto facilita al intruso para que pueda reemplazar un programasin conocimiento del usuario y éste pueda inadvertidamente teclear su contraseña en un programa de entrada falso al cual también se le denomina códigos maliciosos. Los tipos de códigos maliciosos más comunes son: caballos de Troya, virus, gusanos, bombas de tiempo y keyloggers. Caballos de Troya: Es un programa aparentemente útil que contiene funciones escondidas y además pueden explotar los privilegios de un usuario dando como resultado una amenaza hacia la seguridad. Un caballo de Troya es más peligroso que un administrador del sistema o un usuario con ciertos privilegios, ya que se introducen al sistema bajo una apariencia totalmente diferente a la de su objetivo final; esto es, que se presente como información perdida o basura, sin ningún sentido. Pero al cabo de algún tiempo, y esperando la indicación del programa, despierta y comienzan a ejecutarse y a mostrar sus verdaderas intenciones. También pueden aparentar ser un programa de juegos o entretener al usuario mostrando pantallas de espectáculos y sonidos agradables, mientras realizan operaciones dañinas para el sistema. 36 Virus Un virus informático es un programa informático malicioso que cuando una persona confiada lo ejecuta, lleva a cabo tareas que incluyen fundamentalmente reproducirse a sí mismos y en algunos casos desplegar una carga dañina. Las principales formas de propagación son: ● Medios de difusión externos: cualquier dispositivo de almacenamiento que puede contener un archivo de ordenador, como DVD, o CD, y pueda conectarse o insertarse en una computadora. ● Conexión a la red: Una red es un grupo de ordenadores conectados entre sí para poder intercambiar datos. Internet, que es la fuente virus más común, hoy en día, es una gran red. Los virus pueden usar la conexión de computadora a computadora. ● Las tres vías de propagación más ampliamente conocidas son: un archivo anexo o adjunto al correo electrónico, una transferencia FTP, TELNET, otros servicios web; y descargar un archivo infectado desde una página web, etc. Gusanos: Son programas que se reproducen a sí mismos y no requieren de un anfitrión, pues se arrastran literalmente por todo el sistema sin necesidad de un programa que los transporte. Los gusanos se cargan en la memoria y se posicionan en una determinada dirección, luego se copian en otro lugar y se borran del que ocupaban, y así sucesivamente, esto hace que queden borrados los programas o información que encuentran a su paso por la memoria, lo que causa problemas de operación o pérdida de datos. Los gusanos frecuentemente se propagan de una computadora a otra a través de las conexiones de la red. Los gusanos con frecuencia roban, destruyen o modifican datos en una computadora. Los gusanos tienen como única misión la de colapsar cualquier sistema, ya que son programas que se copian en archivos distintos en cadena hasta crear miles de réplicas de sí mismos. Bombas de Tiempo: son programas ocultos en la memoria del sistema o en los discos, dentro de archivos de programas ejecutables con extensión .COM o .EXE. Esperan una fecha o una hora para explotar. Algunos de estos virus no son destructivos y sólo exhiben mensajes en la pantalla al llegar el momento de la explosión. Llegado el momento, se activa cuando se ejecuta el programa que las contiene. 37 Keyloggers: los Keyloggers son programas para el espionaje que plantean muchos problemas éticos y legales. La función del Keyloggers es registrar todas las pulsaciones del teclado en un archivo del sistema para luego proceder a su lectura, de esta manera todo lo que se haya escrito, como nombres de usuario o contraseñas queda registrado en un archivo. 1.6.9 Sistema Gestión de Seguridad de la Información - SGSI Goméz A. (2007) afirma: “Un Sistema de Gestión de la Seguridad de la Información (SGSI) consiste en un conjunto de políticas y procedimientos que normalizan la gestión de la seguridad de la información, bien de toda una organización o bien de uno o varios de sus procesos de negocio”. (p.18) Es importante tener siempre en mente que por Seguridad de la Información se entiende el triple vector de confidencialidad, integridad y disponibilidad de la misma. Un SGSI debe abordar de forma integral estas tres vertientes. Existen diversos estándares, marcos de trabajo o metodologías para implantar y mantener un SGSI, pero sin duda, la más socorrida es la serie ISO 27000. Este estándar internacional comprende todo un conjunto de normas relacionadas con la Seguridad de la Información, de entre las que destacan las más conocidas: la ISO 27001 y la ISO 27002. ¿Qué información protege un SGSI? Los activos de información de una organización, independientemente del soporte que se encuentren; p. ej., correos electrónicos, informes, escritos relevantes, páginas web, imágenes, documentos, hojas de cálculo, faxes, presentaciones, contratos, registros de clientes, información confidencial de trabajadores y colaboradores. 38 El SGSI da así la garantía a la empresa de que los riesgos que afectan a su información son conocidos y gestionados. No se debe olvidar, por tanto, que no hay seguridad total sino seguridad gestionada. 1.6.10 Gestión de Riesgos Mediante la gestión del riesgo se identifican, evalúan y corrigen a niveles razonables y asumibles en coste todos los riesgos en seguridad que podrían afectar a la información. Básicamente, la seguridad de la información es parte de la gestión global del riesgo en una empresa, hay aspectos que se superponen con la ciberseguridad, con la gestión de la continuidad del negocio y con la tecnología de la información: Figura 15. ISMS Framework. DMR-Consulting (2005): “Proponen un método llamado Administración del Riesgo Operacional (ARO), cuyo objetivo principal es operativizar una metodología de trabajo, incorporando los indicadores necesarios”. 1.6.10.1 Normatividad a. Políticas 39 ●¿qué proteger?, ¿por qué? ●simples de entender y fáciles de recordar b. Procedimientos ●Documentos que contienen el ¿quién? ¿cuándo? ¿cómo? de la seguridad información dentro de la organización. Las normas dictadas en la elaboración de la política de seguridad, en algunos casos de forma concreta y en otros de forma más abstracta, pero igualmente concluyentes, han de materializarse en una serie de procedimientos y normas a seguir en la operación y mantenimiento de las tareas diarias del MEC, al menos en lo relacionado con las actividades que de una forma u otra tienen que ver con Internet. 1.6.11 Seguridad de la Red Cisco, (2004): “El Administrador de la red es el encargo de la configuración, fallas, confiabilidad, comportamiento y seguridad en la red” (p.25) 1.6.11.1 Red Plana sin seguridad Hernández y Huerta (2014), afirman: Se considera una red de topología plana, a la red compuesta únicamente por switches o hubs (actualmente ya no se utilizan los hubs debido a la baja velocidad de funcionamiento y las altas probabilidades de colisiones llegando a provocar deterioro e incluso comprometiendo la operación de la red), una de las razones por las cuales se sigue ocupando esta topología a pesar de los inconvenientes, es la facilidad y el bajo costo de implementación ya que todos los host están ubicados en la misma red; por lo tanto, la adición de un nuevo host o de otro dispositivo es relativamente fácil. (p. 78) Las características de una red de comunicaciones sin seguridad son: ● Red plana sin segmentar. ● Publicación de servicios internos: base de datos. ● No hay elementos de monitorización. 40 ● No se filtra tráfico de entrada ni salida. ● No se verifica malware o spam en el correo electrónico. ● Cliente remotoaccede directamente a los servicios. Figura 16. Red Plana sin Seguridad 1.6.11.2 Seguridad Perimetral Tirado (2012), en su tesis SISTEMA DE SEGURIDAD PERIMETRAL INSTALACION Y CONFIGURACION DE ENDIAN FIREWALL: “Es el Agregado de Hardware, Software y políticas para proteger una red en la que se tiene confianza (intranet) de otras redes en las que no se tiene confianza (extranet, internet)”. Las múltiples amenazas y puntos de vulnerabilidad de los sistemas de información hacen obligatorio que las empresas cuenten con todos los recursos de seguridad necesarios para proteger sus negocios. Proteja su información, sus redes, sus datos, sus aplicaciones de los diferentes delitos informáticos y todo tipo de malware existente. Actualmente es necesario contar con una arquitectura de red con múltiples dispositivos físicos hardware y software tales como 41 La arquitectura y elementos de red que proveen de seguridad al perímetro de una red interna frente a otra que generalmente es Internet: ● Cortafuegos. ● Sistemas de Detección y Prevención de Intrusos. ● Pasarelas antivirus y antispam. ● Honeypots. Figura 17. Seguridad Perimetral en Redes 42 Figura 18. Casos de éxito de Seguridad informática. 43 1.6.12 Empresa 1.6.12.1 Cortez SAC. La empresa Cortez SAC, es la institución que brinda servicios especializados en seguridad informática y redes a clientes empresariales que pertenecen al sector público y privado a nivel nacional. Son ingenieros freelance que ofrecen servicios a grandes operadores de servicios de telecomunicaciones. 1.6.12.2 Área de Implementación de proyectos de seguridad Lo integran Ingenieros especializados en Redes y Seguridad Informática, cumplen dos funciones: implementar proyectos de seguridad y soporte en la actualización de políticas en los equipos de seguridad perimetral. 1.6.12.3 Área de Ventas Conformado por personal administrativo con conocimientos técnicos básicos para establecer negociación y proponer a los clientes nuevos activos tecnológicos de seguridad informática. 1.6.12.4 Área de Post-venta Conformado por Ingenieros, con conocimientos de redes y seguridad informática, que residen en los locales de los clientes para brindar soporte técnico y mantenimiento de los equipos existentes. 44 1.7 Hipótesis General La aplicación de buenas prácticas en seguridad de la información permite gestionar adecuadamente los proyectos de seguridad informática perimetral en los centros de datos de clientes empresariales. 1.7.1 Hipótesis Específicas de Investigación 1 A. Hipótesis específicas 1 (HE1) La aplicación de la Norma ISO 27001 permite gestionar adecuadamente la Seguridad de la Información en los centros de datos de clientes empresariales. B. Indicador 1: Indicador: Gestión de Riesgos de Seguridad Informática Ia1: Gestión de Riesgos de Seguridad Informática antes de aplicar la Norma ISO 27001. Id1: Gestión de Riesgos de Seguridad Informática después de aplicar la Norma ISO 27001. C. Hipótesis Estadística 1: Hipótesis Nula (H0): La aplicación de la Norma ISO 27001 no permite gestionar adecuadamente la Seguridad de la Información en los centros de datos de clientes empresariales. H0 = Ia1 – Id1 ≥ 0 Hipótesis Alternativa (HA): La aplicación de la Norma ISO 27001 permite gestionar adecuadamente la Seguridad de la Información en los centros de datos de clientes empresariales. 45 HA = Ia1 – Id1 < 0 Se deduce que el indicador con la Norma ISO 27001 es mejor que el indicador sin la Norma ISO 27001. 46 1.7.2 Hipótesis Específicas de Investigación 2 A. Hipótesis específicas 2 (HE2) El control de los accesos a los servicios informáticos externos e internos, permite proteger la red perimetral contra amenazas e intrusiones en los centros de datos de clientes empresariales. B. Indicador 1: Indicador: Diseño de la Red Perimetral Ia1: Diseño de la red perimetral antes de aplicar la Norma ISO 27001. Id1: Diseño de la red perimetral después de aplicar la Norma ISO 27001. C. Hipótesis Estadística 2: Hipótesis Nula (H0): La aplicación de la Norma ISO 27001 no permite el diseño de la red perimetral en los centros de datos de clientes empresariales. H0 = Ia2 – Id2 ≥ 0 Hipótesis Alternativa (HA): La aplicación de la Norma ISO 27001 permite el diseño de la red perimetral en los centros de datos de clientes empresariales. HA = Ia2 – Id2 < 0 Se deduce que el indicador con la Norma ISO 27001 es mejor que el indicador sin la Norma ISO 27001. 47 48 CAPÍTULO II MATERIALES Y MÉTODOS 49 2. MATERIALES Y MÉTODOS 2.1 Materiales 2.1.1 Personal ● Jorge Aliaga, asistente de red seguridad de la empresa Editora del Perú. CCNA y CCNA Security? (Cliente 1) ● Juan Valderrama, asistente de red y seguridad de la empresa El Rocío. CCNA y CCNA Security? (cliente 2) ● El Sr. Alejandro Cortez, Supervisor de redes y seguridad perteneciente a CORTEZ SAC y que brinda soporte a los dos clientes. CCNA SECURITY, CCSA, CCSP, NSE4, ITI, CompTIA Securtity 2.1.2 Materiales Se usaron herramientas y servicios de uso libre y licenciado, disponible en la nube o instalado en estaciones clientes: ● Herramientas ofimáticas: Google Apps. ● Herramientas ofimáticas: Microsoft Office. ● Herramientas de diagramación: Microsoft Visio ● Servicios de videoconferencia: Google Hangouts. ● Correo electrónico: Gmail. 2.1.3 Tiempo El plan de trabajo consideró las siguientes actividades que se muestran en la tabla 2.x 50 Tabla 1 Cronograma de actividades piloto EP-ER ACTIVIDAD TIEMPO ENTREGABLE 1. Identificar problema cliente 1 2d Entrevista de campo 2. Identificar problema cliente 2 4d Entrevista de campo (Trujillo) 3.Análisis del problemas en clientes 2d Lista de problemas de seguridad y redes 4.Análisis de problemas a nivel interno 3d Lista de gaps en equipos de seguridad y redes 5.Resumen de problemas y soluciones 2d Matriz de problema, gaps y soluciones probables 6.Diseño funcional-técnico de la solución 15d Buenas prácticas en seguridad informática perimetral, SGSI, ISO 27001, ISO 27002 7. Presentar propuesta 4d Propuesta funcional y técnico de la solución 8. Evaluar propuesta 2d Aprobar propuesta 9. Aplicar propuesta en cliente 5d Checklist PHVA 10. Presentar resultados 3d Resultados 11.Mejorar propuesta 2d Propuesta mejorada 12. Aprobar propuesta 1d Propuesta aprobada 13. Desplegar solución a nivel interno 2d Implementación de equipos de seguridad y redes 14.Desplegar solución en clientes 5d Capacitación y entrenamiento en seguridad y redes a clientes 15. Cierre del piloto 2d Lecciones aprendidas, VB de clientes, VB de equipo interno Fuente: Elaboración propia 51 2.1.4 Equipamiento 2.1.4.1 Equipo Firewall Figura 19. Cortafuegos FORTINET 2.1.5 Situación y exigencia del problema Se visitaron los data center de los clientes elegidos, Lima y Trujillo. Se requiere validar la mayor cantidad de problemas técnicos relacionados a seguridad y redes, por eso se viajó a Trujillo para analizar los problemas que se presentan en el cliente-2 que tiene las arquitecturas de redes WAN y LAN más complejas y extensas, a las que damos servicios. 2.2 Métodos 2.2.1 Procedimientos o Métodos Se usaron los siguientes procedimientos y métodos: ● Normas ISO 27001 ● Normas ISO 27002. ● Modelo SGSI. 2.2.2 Diseño de Investigación De acuerdo al propósito de la investigación, naturaleza de los problemas y objetivos formulados en el trabajo, el presente estudio reúne las condiciones suficientes para ser calificado como un "Trabajo de Investigación Aplicado". Es No Experimental. 2.2.2.1 No Experimental La investigación no experimental es aquella que se realiza sin manipular deliberadamente variables. Se basa fundamentalmente en la observación de fenómenos tal y como se dan en su contexto natural para analizarlos con posterioridad. Eneste tipo de investigación no hay condiciones ni estímulos a los cuales se expongan los sujetos del estudio. Los sujetos son observados en su ambiente natural. 52 2.2.3 Tipo de Investigación De acuerdo al propósito de la investigación, naturaleza de los problemas y objetivos formulados en el trabajo, el presente estudio reúne las condiciones suficientes para ser calificado como un "Trabajo de Investigación Aplicado". Es Descriptiva y Analítica 2.2.3.1 Descriptiva Es descriptiva porque, se describió la situación actual de la gestión de proyectos de seguridad informática en las empresas EEP y ER. Se seleccionó los componentes del problema a investigar y se recolectó la información sobre cada uno de ellos, para así describir el tema del estudio. 2.2.3.2 Analítica La información obtenida mediante la descripción de la situación actual de los proyectos de implementación de seguridad informática perimetral, permitió evaluar los equipos de seguridad informática adecuados con la necesidad del cliente, asimismo, permitió analizar los parámetros de configuración requeridos para considerarlos dentro de las Políticas de Seguridad Informática Perimetral. 2.2.4 Enfoque de investigación El enfoque de la investigación será mixto, cualitativo y cuantitativo: Según Hernández, Fernández & Baptista, (2014): Cuantitativo porque consiste en utilizar la recolección y el análisis de datos para contestar preguntas de investigación y probar la hipótesis establecida previamente, y confía en la medición numérica, el conteo para establecer con exactitud patrones de comportamiento en una población Se tomará el enfoque cualitativo porque se pretende obtener la recolección de datos para conocer o medir el fenómeno en estudio y encontrar soluciones para la misma; la cual trae consigo la afirmación o negación de la hipótesis establecida en dicho estudio. 53 2.2.5 Delimitación y definición de la población de estudio La seguridad informática perimetral, puede analizarse revisando tres aspectos técnicos: ● Diseño de la red perimetral. ● Equipos de seguridad perimetral instalados. ● Configuración del Firewall. Para analizar la situación real será necesario entrevistar a los responsables de seguridad de los clientes para conocer la situación actual. La investigación se hará en clientes empresariales que residen en Lima y Trujillo. 2.2.5.1 Población y Muestra Población La población en estudio comprende 08 clientes empresariales se brinda servicios de seguridad informática a sus centros de datos, ahí interactúan 16 usuarios técnicos y 8 gerentes de TI. Nuestro equipo está conformado por 1 ingeniero de Redes y Seguridad Informática. La población total estimada es de 32 personas. Muestra Analizaremos dos proyectos de implementación de la red perimetral en los clientes "Empresa Editora del Peru" y "El Rocío". (El proyecto-1 sin buenas prácticas y el proyecto-2 migración con buenas prácticas). 2.2.6 Aplicar criterios para seleccionar muestra de estudio 2.2.6.1 Técnicas de recolección de datos a. Entrevista La entrevista se utilizó para profundizar en la búsqueda de la información técnica sobre el tema en estudio, mediante preguntas específicas realizadas al responsable de seguridad informática del cliente, temas como diseño de la red perimetral, configuración del 54 Firewall, configuración de equipos reemplazados vs configuración de los equipos nuevos. b. Observación Directa Mediante esta técnica, se realizaron visitas a cada data center para revisar la configuración física y lógica de los equipos y componentes de seguridad, según los estándares del fabricante y alineado a las buenas prácticas en Seguridad de la Información. 2.2.7 Variables ● Variable independiente: Buenas prácticas en Seguridad de la Información. ● Variable dependiente: Seguridad Informática Perimetral. 2.2.7.1 Definición Operacional de las Variables Con respecto a las Buenas prácticas en Seguridad de la Información, se escogieron tres indicadores basados en la Norma ISO 27001: ● Gestión de Riesgos de Seguridad Informática. ● Políticas y Procedimientos de Seguridad Informática. ● Equipos Certificados en Seguridad Informática. Con respecto a la Seguridad informática Perimetral, se eligieron dos indicadores que hacen posible la gestión por parte del asistente de seguridad: ● Diseño de la red perimetral. ● Configuración del Firewall. La aplicación de estos cinco indicadores permite al área de seguridad y redes gestionar la seguridad informática perimetral de manera integral. 55 Tabla 2. Definición Operacional de las Variables Fuente: Elaboración propia 2.2.8 Criterios de inclusión y exclusión Debido a la variedad y complejidad de modelos de equipos cortafuegos, se optó por incluir en la muestra al equipo Fortinet FG-100D, FG-800C y los parámetros de configuración que corresponden a Políticas del Cortafuegos incluidas el filtrado web, filtrado de aplicaciones, antivirus e IPS. El resto de equipos y parámetros de configuración no se consideran. 2.2.8.1 Criterios de Inclusión ● Equipos cortafuegos Fortinet, modelo FG-100D y FG 800C ● Parámetros de configuración de políticas del cortafuego de seguridad perimetral. 2.2.8.2 Criterios de Exclusión Todos los equipos cortafuegos que no son de la marca Fortinet. Todos los equipos marcan Fortinet que no del modelo FG-100D Y FG- 800C 56 Se excluyen todos los parámetros de configuración que no corresponden a Políticas del cortafuego para seguridad perimetral. 2.2.9 Análisis de confiabilidad del instrumento de investigación Para (Juan Bogliaccini, 2005), la determinación de la confiabilidad de un instrumento es útil para los investigadores ya que no solo ayuda a interpretar un resultado, sino porque proporciona sugerencia si se necesitan modificaciones del instrumento. Según Kerlirger, citado por Roberto Marroquín Peña, define la confiabilidad como el grado en que un instrumento produce resultados consistentes y coherentes. Es decir, que en su aplicación repetida al mismo sujeto u objetos produce resultados iguales. En la presente investigación se contó con el apoyo de 3 expertos, los cuales evaluaron la validez del instrumento llamado reporte mensual en donde se observan cada información relevante para la medición de los indicadores de las variables relacionadas, así mismo, la matriz de operacionalización de la variable, cuyos resultados obtenidos, según el formato de validación de instrumento. 2.2.10 Análisis de validez del instrumento de investigación La validez del contenido generalmente se evalúa a través de un papel o juicio de expertos, y en muy pocas ocasiones la evaluación está basada en datos empíricos. Es por ello que el juicio de expertos en muchas áreas es una parte importante de la información cuando las observaciones experimentales están limitadas. El juicio de expertos es el conjunto de opiniones, valoraciones y recomendaciones basadas sobre la experiencia y conocimiento de una elite experta para desarrollar visiones a largo plazo; evaluar la validez, factibilidad o deficiencias de los elementos o etapas de un proyecto; y obtener parámetros o mediciones ciertos, bajo la premisa de que las diversas opiniones combinadas entre sí proponen mejores resultados que una sola opinión. (Anónimo, 2010). 57 CAPÍTULO III RESULTADOS 58 3. RESULTADOS 3.1 Aplicación de la Norma ISO 27001 Es la norma principal de la serie y contiene los requisitos del Sistema de Gestión de Seguridad de la Información. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005 para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI. 3.2 Aplicación de la Norma ISO 27002 La ISO27002 consiste en una guía de buenas prácticas que permiten a las organizaciones mejorar la seguridad de su información. Con este fin, define una serie de objetivos de control y gestión que deberían ser perseguidos por las organizaciones. Éstos se hallan distribuidos en diferentes dominios que abarcan de una forma integral todos los aspectos que han de ser tenidos en cuenta por las organizaciones. Dominios de la ISO 27002 ● Los dominios que estructura la ISO 27002 son once (11): ● La política de seguridad. ● Los aspectos organizativos de la seguridad de la información. ● La gestión de activos. ● La seguridad ligada a los recursos humanos. ● La seguridad física y ambiental. ● La gestión de las comunicaciones y de las operaciones. ● Los controles de acceso a la información. ● La adquisición, desarrollo y mantenimiento de los sistemas de información. ● La gestión de incidentes en la seguridad de la información. ● La gestión de la continuidad del negocio. ● Los aspectos de cumplimiento legal y normativo. 3.3 Diseño de la Red Perimetral Las directivas marcadas por la política de seguridad definida, nos fuerzan a diseñar nuestra red como dos perímetros claramente definidos. 59 Un perímetro interior, en el que se situarán todos los recursos sensibles a un posible ataque, aislado del perímetro exterior donde se situarán los recursos menos sensibles, o que inevitablemente por motivos funcionales deban estar en contacto con el mundo exterior de forma menos rígida. El perímetro interior está aislado o protegido del perímetro exterior y del resto de Internet, por medio de un dispositivo en el que se centralizan la mayoría de las medidas: el firewall. Figura 20. Red Perimetral. En un ambiente con firewall se tiene lo siguiente: ● Protección de información privada: Define que usuarios de la red y qué información va a obtener cada uno de ellos. ● Optimización de acceso: Define de manera directa los protocolos a utilizarse. ● Protección de intrusos: Protege de intrusos externos restringiendo los accesos a la red. Un creciente porcentaje de los llamados “ataques basados en contenido” como virus, gusanos y caballos de Troya son introducidos en organizaciones a través de las actividades más inocuas como la navegación Web. Esta tendencia continuará en tanto las organizaciones sigan adoptando esquemas de comunicación en tiempo real como aplicaciones Web y mensajería instantánea para mantenerse competitivos. Desafortunadamente, los sistemas de protección convencionales como los firewalls tradicionales carecen del hardware requerido para llevar a cabo un análisis intensivo de los paquetes de 60 datos y contenido, necesarios para detectar estas amenazas sin afectar el desempeño de las aplicaciones de red. Como resultado la mayoría de las organizaciones están expuestas peligrosamente a estos ataques. Es la solución de administración unificada de amenazas en tiempo real que le ofrece la mayor protección a su red de datos, utilizando la última generación en Sistemas de Seguridad FortiGate de Fortinet, ofreciendo un rango completo de protecciones: firewall, VPN, detección y prevención de intrusos, administración de ancho de banda, antivirus de borde, antispam y filtrado de contenido web. Figura 21. Topología Propuesta. 3.4 Selección de equipos de Seguridad Perimetral 3.4.1 Equipo Firewall Es la herramienta fundamental que nos va a permitir implementar el modelo de seguridad definido por la política de seguridad es un dispositivo que se sitúe entre el perímetro interior y el exterior de nuestra red. A este dispositivo, tradicionalmente, en la jerga informática se le denomina firewall (en 61 castellano es cortafuegos. Dado que es el componente más crítico e importante en todo el diseño del sistema de seguridad, la elección de este elemento debe ser muy concienzuda. Generalizando un poco, los firewalls se pueden dividir en tres grandes categorías: a. Firewalls basados en filtrado de paquetes Son aquellos dispositivos que estando conectados a ambos perímetros (interior y exterior), dejan pasar a su través paquetes IP en función de unas determinadas reglas. Estos firewalls conceptualmente trabajan a nivel de red, y son capaces de filtrar tráfico en función de direcciones de IP, protocolos, y números de puerto de TCP o UDP. b. Firewalls basados en proxies Son aquellos dispositivos que estando conectados a ambos perímetros (interior y exterior), no dejan pasar a su través paquetes IP. Esto en jerga informática se denomina ip-forwarding desactivado. La comunicación se produce por medio de programas denominados proxies, que se ejecutan en el firewall. Este tipo de sistemas también se denominan bastion host. Desde el punto de vista conceptual, este tipo de firewalls funciona a nivel de aplicación. c. Firewalls con transparencia o de tercera generación Recientemente han aparecido en el mercado dispositivos que van un paso más allá en la tecnología de firewalls. Se trata de los firewalls de tercera generación o transparentes. La característica primordial de estos sistemas es que admiten paquetes no destinados a ellos mismos, de forma similar a como lo hacen los routers, y en función de una serie de reglas y configuraciones, son capaces de arrancar los proxies correspondientes automáticamente y conectar con el destinatario inicial. 3.4.2 Comparativo de equipos Firewall Los equipos se deben seleccionar de acuerdo a las siguientes características que se encuentra en la red del cliente: 62 Ancho de banda total (puede ser de uno o más enlaces con los que cuente el cliente) Cantidad de usuarios Cantidad de sesiones Que actividades realiza la empresa Con que equipos de seguridad cuenta En el caso de migración de un equipo de seguridad de otra marca se deberá verificar las funcionalidades que tiene el equipo para así demostrar el cliente que nuestro equipo fortinet lo tiene o cumple de otra forma. Tabla 3 Comparativo de Marcas de Firewall Fuente: Recuperado de: www.apesoft.org Tabla 4 Características y Costos de Equipos Firewall CARACTERISTICA DEFINICIÓN PRECIO APROXIMADO Firewall Throughput Tráfico que puede soportar el firewall $< $5000 IPS/NGFW Throughput Velocidad en la que el firewall puede inspeccionar el tráfico de entrada $$< entre $5000 - $15000 Antivirus Velocidad a la que el servidor $$$ entre $15000 - 63 Throughput de seguridad puede inspeccionar el tráfico entrante con Antivirus habilitado. $25000 Switch Ports Número de puertos 1GE & 10GE $$$$ > $ 25000 Certifications Industria certificaciones de terceros para la seguridad otorgan al producto. Fuente: Elaboración propia 3.4.3 Solución de equipo Firewall elegido Forticare Soporte 24x7 en casi todo el mundo Los productos fortinet reciben el apoyo técnico por Forticare con personal de apoyo en las Américas, Europa, Medio Oriente y Asia forticare ofrece múltiples opciones para Forticare contratos a medida para que puedan recibir el apoyo adecuado a las necesidades de su organización Forticare 1-866-648-4638 64 3.4.4 Configuración del Firewall Figura 22. Top Selling Models Matrix 65 3.5 Resultados de la implementación Tabla 5 Procesos as-is (actual) y procesos to-be (futuro) VENTAS IMPLEMENTACIÓN PROYECTO TÉCNICOS POST VENTA ENTREGABLE 1. Atender pedido cliente RFC, incidente 2. Solicitar evaluación técnica 3. Atender a Ventas 3.1 Asignar especialista 3.2 Evaluar necesidad de cliente 3.3 Validar características técnicas Topología actual Proyección de crecimiento Sesiones concurrentes Evaluar arquitectura Ficha técnica: topología sugerida 3.4 Preparar informe de recomendación de equipos SOW FICHA TECNICA 4. Negociar con cliente 4.1 Revisar informe de recomendación de equipos 4.2 Iniciar cotización 4.3 Ventade equipos 5. Programar servicio 5.1 Implementación nueva 5.2 Migración 5.3 Plan de Implementación 5.4 Políticas, procedimientos y checklist de diseño y configuración. 5.5 PHVA 5.6 Documentar trabajo realizado 5.7 Manual técnico para cliente 5.8 Manual técnico post-venta 5.7 Lista de entregables para cliente 5.8 Cierre del servicio 7. Soporte post- venta 7.1 Manual técnico 7.2 Políticas y Normas de Seguridad. 7.3 Gestión procesos PHVA 7.4 Buenas prácticas ITIL SLA Gestión proyectos SGSI PHVA Gestión Incidentes 6. Cierre de proyecto 6.1. VB Lecciones aprendidas Fuente: Elaboración propia 66 PROCESOS TO-BE (FUTURO) Fuente: Elaboración propia 67 3.6 SEGURIDAD INFORMÁTICA PERIMETRAL EN EQUIPOS CORTAFUEGOS Según Andrade, Espinoza y Gonzales (“Sistema para diagnosticar seguridades de equipos de Firewall”, 2014) (http://repositorio.cisc.ug.edu.ec/jspui/handle/123/208), la seguridad informática perimetral puede ser de software o hardware; y es aquel que comprueba la información procedente de Internet o una red y a continuación, deniega o permite el paso de ésta al equipo, en función de la configuración del firewall. De este modo, un firewall ayuda a impedir que los hackers y software malintencionado obtengan acceso al equipo. Se desarrollará un sistema que haga posible la comparación de datos extraídos de un firewall de hardware (router) contra las buenas políticas de seguridad, que los administradores de red han establecido de acuerdo a las necesidades de la organización. Se ha determinado las buenas políticas mediante entrevistas a algunos expertos del área. Debido a que los administradores de red tienen que desarrollar todo lo concerniente a la seguridad de sus sistemas, ya que se expone la organización privada de sus datos así como la infraestructura de su red a los Expertos de Internet. El sistema a desarrollar tendrá la capacidad de analizar y almacenar los datos extraídos en una base de datos, implementar seguridades de acceso al sistema, manejar perfiles de consultor y revisor con sus debidos permisos o restricciones. Generará reportes del análisis, y los resultados de la auditoria de firewall (Router). Creará una bitácora de los diversos accesos al mismo para que sean utilizados como pistas de Auditoria. Lo más importante del sistema a desarrollar es que podrá dar sugerencias al auditor acerca de las vulnerabilidades del router emitiendo los respectivos reportes y recomendaciones para mitigar dichas vulnerabilidades. Cabe recalcar que la decisión la toma el auditor de sistemas. 68 3.6.1 Equipos 3.6.1.1 El Firewall 3.6.2 Configuración de cortafuegos 3.6.2.1 Restricciones en el firewall La parte más importante de estas tareas se realizan en el firewall, concretamente la de permitir o denegar determinados servicios en función de los distintos usuarios y su ubicación. Definimos tres grandes grupos de usuarios: Usuarios internos con permiso de salida para servicios restringidos. Resto de usuarios internos con permiso de salida para servicios no restringidos. Usuarios externos con permiso de entrada desde el exterior. 3.6.3 Políticas y procedimientos de seguridad de la información Lista de políticas y procedimientos propuestos para una gestión de seguridad de la información. ● Confidencialidad ● Integridad ● Disponibilidad Figura 23. Políticas de Seguridad 69 La configuración de políticas permite controlar la instalación y ejecución de aplicaciones por parte de los usuarios. 3.6.3.1 Políticas de firewall alineadas con el ISO 27002 a. Gestión de comunicaciones y operaciones ● Responsabilidades y procedimientos de operación. ● Documentación de los procedimientos de operación. ● Gestión de cambios. ● Segregación de tareas. ● Separación de los recursos de desarrollo, prueba y operación. b. Gestión de la provisión de servicios por terceros. ● Provisión de los servicios ● Supervisión y revisión de los servicios prestados por terceros. ● Gestión del cambio en los servicios prestados por terceros. c. Planificación y aceptación del sistema. ● Gestión de capacidades. ● Aceptación del sistema. d. Protección contra el código malicioso y descargable. ● Controles contra el código malicioso. ● Controles contra el código descargado en el cliente. e. Copias de seguridad. ● Copias de seguridad de la información. f. Gestión de la seguridad de las redes. ● Controles de red. ● Seguridad de los servicios de red. g. Manipulación de los soportes. ● Gestión de soportes extraíbles. ● Retirada de soportes. ● Procedimientos de manipulación de la información. 10.7.4 Seguridad de la documentación del sistema. h. Intercambio de información. ● Políticas y procedimientos de intercambio de información. ● Acuerdos de intercambio. ● Soportes físicos en tránsito. 70 ● Mensajería electrónica. ● Sistemas de información empresariales. i. Servicios de comercio electrónico. ● Comercio electrónico. ● Transacciones en línea. ● Información públicamente disponible. j. Supervisión. ● Registros de auditoría. ● Supervisión del uso del sistema. ● Protección de la información de los registros. ● Registros de administración y operación. ● Registro de fallos. ● Sincronización del reloj. 3.6.3.2 Control de Acceso. a. Requisitos de negocio para el control de acceso. ● Política de control de acceso. b. Gestión de acceso de usuario. ● Registro de usuario. ● Gestión de privilegios. ● Gestión de contraseñas de usuario. ● Revisión de los derechos de acceso de usuario. c. Responsabilidades de usuario. ● Uso de contraseñas. ● Equipo de usuario desatendido. ● Política de puesto de trabajo despejado y pantalla limpia. d. Control de acceso a la red. ● Política de uso de los servicios en red. ● Autenticación de usuario para conexiones externas. ● Identificación de los equipos en las redes. ● Protección de los puertos de diagnóstico y configuración remotos. ● Segregación de las redes. ● Control de la conexión a la red. ● Control de encaminamiento (routing) de red. e. Control de acceso al sistema operativo. ● Procedimientos seguros de inicio de sesión. ● Identificación y autenticación de usuario. ● Sistema de gestión de contraseñas. ● Uso de los recursos del sistema. 71 ● Desconexión automática de sesión. ● Limitación del tiempo de conexión. f. Control de acceso a las aplicaciones y a la información. ● Restricción del acceso a la información. ● Aislamiento de sistemas sensibles 3.6.4 Gestión de procesos usando PDCA. En la fase PLAN se realiza la evaluación de las amenazas, riesgos e impactos. En la fase DO, se seleccionan e implementan los controles que reduzcan el riesgo a los niveles considerados como aceptables y en CHECK y ACT se cierra y reinicia el ciclo de vida con la recogida de evidencias y readaptación de los controles según los nuevos niveles obtenidos y requeridos. Es un proceso cíclico sin fin que permite la mejor adaptación de la seguridad al cambio continuo que se produce en la empresa y su entorno. Figura 24. Gestión de procesos usando PDCA 72 Tabla 6 Buenas prácticas en Gestión de Proyectos Fuente: Aplicación de la empresa que nos permite realizar una seguimiento a los proyectos Tabla 7 Gestión del alcance Fuente: Aplicación de la empresa que nos permite realizar una seguimiento a los proyectos 73 DISCUSIÓN Los sistemas de seguridad tiene un papel central, con un amplio abanico de elementos como son firewall, sistema de prevención de intrusos, gestores de lo, proxies, antivirus todos estos elementos exigen la existencia de sus correspondientes procesos de gestión y de un equipo de personas responsables de su ejecución. A la hora de realizar la completa instalación, configuración y puesta en marcha de un entorno de seguridad perimetral, la primera clave para el éxito de todo el proceso es la elección de unametodología para llevarlo a cabo, de un ciclo de vida del proyecto.Esta metodología puede basarse en la secuencia clásica que se inicia con la fase de diseño, seguida de la adquisición de equipos, implantación y pruebas Dicha metodología seguida con rigor, pero con cierto grado de flexibilidad resulta un factor de éxito para todo el proyecto. Pero este ciclo de vida no empieza con la adjudicación del proyecto, se inicia ya en la fase de oferta donde los principales aspectos de diseño deben abordarse con la suficiente profundidad como para estimar con precisión el equipamiento incluido. Para esta discución de desarrollar las buenas practicas en la gestión de proyectos de implementación de seguridad informatica perimetral en los data centar de clientes empresariales es necesario considerar el despliegue de un entorno de seguridad adecuado considerando todo lo ya antes mencionado acerca de las metodologias aplicadas es conveniente un enfoque con visión global, que incluya metodología, tecnología y organización. A nivel metodológico, todas las fases son importantes y la puesta en producción es el mejor indicador de un trabajo bien organizado y planificado. A nivel tecnológico el reto es la óptima integración, la seguridad y la disponibilidad. Pero son las necesidades de la organización las que orientan todo lo anterior 74 CONCLUSIONES Y RECOMENDACIONES Conclusiones Luego de estudiar el Estándar Internacional ISO/IEC 27002, se puede ver cómo muchos de los aspectos resaltados por este Estándar son aspectos generales que muchas organizaciones los toman en cuenta aún sin tener el certificado ISO/IEC 27002. Pero también existen muchas deficiencias en la gran mayoría de organizaciones en materia de seguridad. Algunos podrían considerar que apegarse a este tipo de estándares es en cierta forma cara y complicada, pero en realidad resulta mucho más caro sufrir las consecuencias que suele traer la falta de seguridad en un importante sistema de información. El hecho de cumplir a cabalidad con el Estándar Internacional ISO/IEC 27002 no garantiza al 100% que no se tendrán problemas de seguridad, pues la seguridad al 100% no existe. Lo que sí se logra es minimizar al máximo las probabilidades de sufrir impactos negativos y pérdidas originados por la falta de seguridad. Este documento proporciona una idea bastante clara de cómo se debe trabajar en materia de seguridad de tecnologías de información al apegarse a un Estándar Internacional (y por lo tanto mundialmente aceptado y conocido) como lo es el ISO/IEC 27002. 75 http://www.monografias.com/trabajos7/sisinf/sisinf.shtml Recomendaciones La primera recomendación es precisamente implementar el Estándar Internacional ISO/IEC 27002 a la mayor brevedad posible, o de no ser posible (por aspectos económicos, de infraestructura, etc.), por lo menos estudiar el documento oficial de este Estándar y estar conocedores de todos los elementos que se pueden implementar y de cómo esto podría beneficiar y minimizar la posibilidad de problemas por falta de seguridad. La segunda recomendación es tener en claro, como ya se dijo, que la seguridad al 100% no existe pero que sí se puede maximizar la seguridad y minimizar los riesgos por falta de seguridad. De ser posible, se debería considerar adquirir la certificación de este Estándar Internacional, pues esto representa un gran activo no sólo por los beneficios que de por sí trae el tener excelentes mecanismos de seguridad, sino también por el prestigio de contar con certificaciones internacionales de calidad. Se recomienda también tener un equipo de analistas que evalúen las condiciones particulares de una organización, pues cada caso es único, y lo que a uno le funcionó, a otro podría no funcionarle debido a los aspectos particulares de cada empresa. Por esa razón, se debe estudiar cada caso en concreto, aunque nunca está de más aprender de los errores o del éxito de otros. 76 http://www.monografias.com/trabajos15/llave-exito/llave-exito.shtml http://www.monografias.com/trabajos/histoconcreto/histoconcreto.shtml REFERENCIAS BIBLIOGRÁFICAS DMR? Consulting. , Nuevo esquema de gestión de riesgos. [en línea mayo 2005]. Disponible en: www.dmr-consulting.com.mx. [consulta 22.04.2016]. ISO/IEC 17799:2005, Documentación – International standard book numbering (ISBN) INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION. COBIT 5 for Information Security. Illinois, Michigan, Estados Unidos de América: ISACA. 2012. International Organization for Standarization. About ISO. Extraído el 1 de octubre, 2008, de http://www.iso.org/iso/about.htm International Organization for Standarization. Discover ISO. Extraído el 1 de octubre, 2008, de http://www.iso.org/iso/about/discover-iso_isos- name.htm IEC. IEC History. Extraído el 1 de octubre, 2008, de http://www.iec.ch/about/history/ OCG. Service Transition. ITIL Version 3. GÓMEZ VIEITES, Álvaro. Enciclopedia de la Seguridad Informática, Alfa omega Grupo editor, México, 2007, Primera Edición. ERICKSON TIRADO GOYENECHE, (2012) Tesis: Sistema De Seguridad Perimetral Instalacion Y Configuracion De Endian Firewall- Colombia. Wikipedia. Electrotecnia. Extraído el 1 de octubre, 2008, de http://es.wikipedia.org/wiki/Electrotecnia Wikipedia. International Electrotechnical Commission. Extraído el 1 de octubre, 2008, de http://en.wikipedia.org/wiki/International_Electrotechnical_Commission Wikipedia. IEC JTC1. Extraído el 1 de octubre, 2008, de http://en.wikipedia.org/wiki/ISO/IEC_JTC1 Wikipedia. Métrica. Extraído el 1 de octubre, 2008, de http://es.wikipedia.org/wiki/M%C3%89TRICA Wikipedia. Criptografía. Extraído el 1 de octubre, 2008, de http://es.wikipedia.org/wiki/Criptograf%C3%ADa Ángelo Benvenuto Vera (2006) Implementación de Sistemas ERP, su impacto en La Gestión de la Empresa e Integración con otras TIC. CAPIV REVIEW Vol. 4 2006. Carrera, A., Caldart, A., Cornejo, M., 2011. La agenda del CEO Latinoamericano 77 http://www.iec.ch/about/history/ http://www.monografias.com/trabajos11/wind/wind2.shtml http://www.monografias.com/trabajos11/ladocont/ladocont.shtml PLAN DIRECTOR DE SEGURIDAD Y EVALUACIONES DE SEGURIDAD https://www.s21sec.com/es/servicios/compliance/plan-director-de- seguridad-y-evaluaciones-de-seguridad ISO 27000 en Español, [En línea] <http://www.iso27000.es/download /doc_iso27000_all.pdf> [Consultado 15 de Abril de 2016] Norma ISO 27002: "Código de Buenas Prácticas para la Gestión de la Seguridad de la Información" (antigua Norma ISO/IEC 17799:2005) María Jaquelina López y Cintia Quezada. Fundamentos de seguridad informática. UNAM. Facultad de Ingeniería, 2006. Página 23 78 https://www.s21sec.com/es/servicios/compliance/plan-director-de-seguridad-y-evaluaciones-de-seguridad https://www.s21sec.com/es/servicios/compliance/plan-director-de-seguridad-y-evaluaciones-de-seguridad GLOSARIO Investigación Aplicada o Tecnológica: Es la utilización de los conocimientos en la práctica, para aplicarlos, en la mayoría de los casos, en provecho de la sociedad. ISO/IEC 27002: La ISO/IEC 27002:2005 es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO 27001 contiene un anexo que resume los controles de ISO 27002:2005. ISO/IEC 27004: expone que el tipo de medidas requeridas dependerá del tamaño y complejidad de la organización, de la relación coste beneficio y del nivel de integración de la seguridad de la información en los procesos de la propia organización.La norma ISO27004 establece cómo se deben constituir estas medidas y cómo se deben documentar e integrar los datos obtenidos en el SGSI. ISO/IEC 27005: es el estándar internacional que se ocupa de la gestión de riesgos de seguridad de información. La norma suministra las directrices para la gestión de riesgos de seguridad de la información en una empresa, apoyando particularmente los requisitos del sistema de gestión de seguridad de la información definidos en ISO 27001. 79 http://www.isotools.org/normas/riesgos-y-seguridad/iso-27001/#divcontenidoservicios Es aplicable a todo tipo de organizaciones que tengan la intención de gestionar los riesgos que puedan complicar la seguridad de la información de su organización. No recomienda una metodología concreta, dependerá de una serie de factores, como el alcance real del Sistema de Gestión de Seguridad de la Información (SGSI), o el sector comercial de la propia industria. ISO 22301: especifica los requisitos para un sistema de gestión encargado de proteger a su empresa de incidentes que provoquen una interrupción en la actividad, reducir la probabilidad de que se produzcan y garantizar la recuperación de su empresa. Activo: cualquier cosa que tenga valor para la organización. Amenaza: una causa potencial de un incidente no deseado, el cual puede resultar en daño a un sistema u organización. Análisis de riesgo: uso sistemático de la información para identificar las fuentes y calcular el riesgo. Control: medios para manejar el riesgo, incluyendo políticas, procedimientos, lineamientos, prácticas o estructuras organizacionales, las cuales pueden ser administrativas, técnicas, de gestión o de naturaleza legal. El control también se utiliza como sinónimo de salvaguarda o contramedida. Criptografía: es el arte o ciencia de cifrar y descifrar información utilizando técnicas que hagan posible el intercambio de mensajes de manera segura que sólo puedan ser leídos por las personas a quienes van dirigidos. Electrotecnia: es la ciencia que estudia las aplicaciones técnicas de la electricidad. Evaluación del riesgo: proceso de comparar el riesgo estimado con un criterio de riesgo dado para determinar la importancia del riesgo. 80 http://www.monografias.com/trabajos10/nofu/nofu.shtml http://www.monografias.com/trabajos16/ciencia-y-tecnologia/ciencia-y-tecnologia.shtml http://www.monografias.com/trabajos10/fciencia/fciencia.shtml http://www.monografias.com/Arte_y_Cultura/index.shtml http://www.monografias.com/trabajos10/formulac/formulac.shtml#FUNC http://www.monografias.com/trabajos14/nuevmicro/nuevmicro.shtml Evento de seguridad de la información: cualquier evento de seguridad de la información es una ocurrencia identificada del estado de un sistema, servicio o red, indicando una posible falla en la política de seguridad de la información o falla en las salvaguardas, o una situación previamente desconocida que puede ser relevante para la seguridad. Gestión del riesgo: actividades coordinadas para dirigir y controlar una organización con relación al riesgo. Incidente de seguridad de la información: un incidente de seguridad de la información es indicado por un solo evento o una serie de eventos inesperados de seguridad de la información que tienen una probabilidad significativa de comprometer las operaciones comerciales y amenazar la seguridad de la información. Lineamiento: descripción que aclara qué se debiera hacer y cómo, para lograr los objetivos establecidos en las políticas. Medios de procesamiento de la información: cualquier sistema, servicio o infraestructura de procesamiento de la información, o los locales físicos que los alojan. Métrica: es una metodología de planificación, desarrollo y mantenimiento de sistemas de información. Política: intención y dirección general expresada formalmente por la gerencia. Riesgo: combinación de la probabilidad de un evento y su ocurrencia. Seguridad de la información: preservación de confidencialidad, integración y disponibilidad de la información; además, también puede involucrar otras propiedades como autenticidad, responsabilidad, no-reputación y confiabilidad. Tercera persona: persona u organismo que es reconocido como independiente de las partes involucradas, con relación al ítem en cuestión. 81 http://www.monografias.com/trabajos34/planificacion/planificacion.shtml http://www.monografias.com/trabajos11/metods/metods.shtml http://monografias.com/trabajos10/anali/anali.shtml Tratamiento del riesgo: proceso de selección e implementación de medidas para modificar el riesgo. Vulnerabilidad: la debilidad de un activo o grupo de activos que puede ser explotada por una o más amenazas. Norma: principio que se impone o se adopta para dirigir la conducta o la correcta realización de una acción o el correcto desarrollo de una actividad. Buenas prácticas: son aquellas acciones que se caracterizan por haber logrado cumplir eficazmente las metas planteadas, y que luego de la evaluación de resultados, se ha concluido que proporcionan beneficios óptimos en la mayoría de casos, de modo que se son prácticas replicables y útiles para implementar. Diferencia entre una norma y una buena práctica: una norma es certificable por las entidades correspondientes, mientras que una buena práctica no es certificable, sino que sólo se tiene como una buena alternativa por haber sido demostrado que ha funcionado en la gran mayoría de casos. Vulnerabilidad Es una debilidad o agujero en la seguridad de la información, que se puede dar por causas como las siguientes, entre muchas otras: ● Falta de mantenimiento ● Personal sin los conocimientos adecuados o necesarios ● Desactualización de los sistemas críticos Amenaza Es una declaración intencionada de hacer un daño, como por ejemplo mediante un virus, un acceso no autorizado o robo. Pero no se debe pensar que únicamente personas pueden ser los causantes de estos daños, pues existen otros factores como los eventos naturales, que son capaces de desencadenar 82 http://www.monografias.com/trabajos14/dinamica-grupos/dinamica-grupos.shtml http://www.monografias.com/trabajos5/selpe/selpe.shtml daños materiales o pérdidas inmateriales en los activos, y son también consideradas como amenazas. 83 Ataque Es una acción intencional e injustificada (desde el punto de vista del atacado). Consiste en un intento por romper la seguridad de un sistema o de un componente del sistema. Riesgo Es una potencial explotación de una vulnerabilidad de un activo de información por una amenaza. Se valora como una función del impacto, amenaza, vulnerabilidad y de la probabilidad de un ataque exitoso. Atacante Es alguien que deliberadamente intenta hacer que un sistema de seguridad falle, encontrando y explotando una vulnerabilidad. Los atacantes pueden ser internos (que pertenecen a la organización) o externos (que no pertenecen a la organización). Respecto a los atacantes internos, son difíciles de detener porque la organización está en muchas maneras forzada a confiar en ellos. Estos conocen cómo trabaja el sistema y cuáles son sus debilidades. Quizás el error más común de seguridad es gastar considerables recursos combatiendo a los atacantes externos, ignorando las amenazas internas. El Firewall La herramienta fundamental que nos va a permitir implementar el modelo de seguridad definido por la política de seguridad es un dispositivo que se sitúe entre el perímetro interior y el exterior de nuestra red. A este dispositivo, tradicionalmente, en la jerga informática se le denomina firewall, que se podría traducir al castellano como cortafuegos. Dado que es el componente más crítico e importante en todo el diseño del sistema de seguridad, la elección de este elemento debe ser muy concienzuda.Generalizando un poco, los firewalls se pueden dividir en tres grandes categorías: a. Firewalls basados en filtrado de paquetes: 84 Son aquellos dispositivos que estando conectados a ambos perímetros (interior y exterior), dejan pasar a su través paquetes IP en función de unas determinadas reglas. Estos firewalls conceptualmente trabajan a nivel de red, y son capaces de filtrar tráfico en función de direcciones de IP, protocolos, y números de puerto de TCP o UDP. Normalmente, esta misión la pueden desempeñar tanto hosts con dos tarjetas de red, como routers. En el caso de firewalls basados en filtrado de paquetes, los dispositivos de la red interna han de configurarse con la ruta por defecto apuntando a este dispositivo, que en función de sus reglas, dejará pasar estos paquetes o los rechazará. El principal problema de este tipo de firewalls es la limitación a la hora de configurar reglas complejas y la falta de flexibilidad en la capacidad de log, o registro de actividad. Otra limitación fundamental es la imposibilidad de filtrar tráfico en función de información contenida en niveles superiores, tales como URL's, o esquemas de autenticación fuertes. b. Firewalls basados en proxies: Son aquellos dispositivos que estando conectados a ambos perímetros (interior y exterior), no dejan pasar a su través paquetes IP. Esto en jerga informática se denomina ip-forwarding desactivado. La comunicación se produce por medio de programas denominados proxies, que se ejecutan en el firewall. Este tipo de sistemas también se denominan bastion host. Desde el punto de vista conceptual, este tipo de firewalls funciona a nivel de aplicación. Un usuario interior que desee hacer uso de un servicio exterior, deberá conectarse primero al firewall, donde el proxy atenderá su petición, y en función de la configuración impuesta en dicho firewall, se conectará al servicio exterior solicitado y hará de puente entre el servicio exterior y el usuario interior. Es importante notar que para la utilización de un servicio externo, dos conexiones o sockets han de establecerse. Uno desde la máquina interior hasta el firewall, y otro desde el firewall hasta la máquina que albergue el servicio exterior. 85 En el caso de este tipo de firewalls, los programas clientes deben estar configurados para redirigir las peticiones al firewall en lugar de al host final. Esto es trivial en navegadores WWW, como Netscape, Internet Explorer o Lynx, y en clientes FTP, como WS_FTP y otros. En cambio, aplicaciones tipo TELNET, no suelen incluir este tipo de soporte, y para ello, lo habitual es conectar directamente con el firewall y desde allí, el proxy nos permite especificar el destino final de nuestro telnet, que en este caso, sería encadenado. La capacidad de logging o registro de actividad es mucho mayor con este tipo de dispositivos. Información típica registrada por estos sistemas va desde el nombre de usuario que ha conseguido autentificarse satisfactoriamente, hasta los nombres y tamaños de ficheros transmitidos vía FTP, pasando por los URL's solicitados a través del proxy HTTP. c. Firewalls con transparencia o de tercera generación: Recientemente han aparecido en el mercado dispositivos que van un paso más allá en la tecnología de firewalls. Se trata de los firewalls de tercera generación o transparentes. La característica primordial de estos sistemas es que admiten paquetes no destinados a ellos mismos, de forma similar a como lo hacen los routers, y en función de una serie de reglas y configuraciones, son capaces de arrancar los proxies correspondientes automáticamente y conectar con el destinatario inicial. Aparentemente para el usuario, ha conectado con el servidor final, aunque realmente lo ha hecho con el proxy, que le devuelve los paquetes con dirección IP origen la del servidor final. Esto implica, que el programa cliente del usuario no requiere ningún tipo de configuración. En definitiva, se trata de firewalls basados en proxies, pero con apariencia y funcionalidad similar a los basados en filtrado de paquetes. En esta línea se sitúan productos como BorderWare o Gauntlet [1], elegido este último como el firewall a utilizar por nuestra organización. 86 Gauntlet es un sistema complejo de proxies y programas auxiliares, que corre en sistemas SunOS con algunas modificaciones al kernel. Desarrollado por TIS (Trusted Information Systems), nace como versión avanzada del Firewall-Toolkit, software de libre distribución muy utilizado en Internet para la construcción de firewalls. Las ventajas fundamentales de Gauntlet frente al Toolkit son que incluye un programa de administración centralizado, una gestión de logs mucho más eficiente, soporte de proxies transparentes, y como ventaja fundamental para la organización, está soportado comercialmente. Seguridad en profundidad en la red externa Las medidas fundamentales tomadas en el perímetro exterior se pueden resumir en: ● Reducción al mínimo de los servicios TCP/IP ofrecidos por cada sistema. ● Reducción al mínimo de los usuarios en cada uno de los sistemas. ● Uso extensivo de tcp-wrappers en los servicios necesarios. ● Monitorización de routers en alerta de tráfico sospechoso. ● Escaneos periódicos de todo el perímetro en busca de posibles problemas. ● Sincronización de relojes en todos los sistemas para poder hacer un seguimiento fiable de logs en el caso de posibles incidentes. Reducción al mínimo de los servicios TCP/IP ofrecidos por cada sistema: Habitualmente los sistemas Unix vienen configurados "de fábrica" con una serie de servicios TCP/IP activados, que en la gran mayoría de los casos nunca se utilizan, o en otros casos, pueden servir como puerta de acceso relativamente fácil a posibles intrusos. Entre estos servicios no necesarios, o potencialmente peligrosos, se desactivaron echo, discard, daytime, chargen, time, nntp, rlogin, rsh, talk, pop3, tftp, bootp, systat, netstat, y los aún más peligrosos, sendmail, finger, rexec, NFS, etc. La mayoría de estos servicios puede desactivarse simplemente comentando su línea correspondiente en el fichero /etc/inetd.conf. Los servicios que no corren bajo inetd, normalmente se desactivan en los ficheros de arranque (/etc/rc2.d/*, /etc/rc.d/*, etc.). Una utilidad muy interesante para chequear que servicios tiene activos un sistema es strobe[2], programa 87 escrito por Julian Assange que escanea todos los puertos, tanto TCP como UDP, de un sistema, de forma rápida y efectiva. Reducción al mínimo de los usuarios en cada uno de los sistemas: Los servidores externos tienen la responsabilidad de mantener activos distintos servicios TCP/IP, que sustentan las aplicaciones encargadas de publicar la información pública del ministerio. Estas aplicaciones son fácilmente mantenidas con un único usuario o como mucho dos (root y un usuario no- privilegiado), y dado que se supone que ningún usuario dispone de correo en ellos y que nadie desarrolla directamente sobre dichas máquinas, no hay necesidad de mantener más cuentas de usuarios que las estrictamente necesarias. Determinadas aplicaciones precisan que todos sus ficheros sean poseídos por un determinado usuario, o que se arranquen en modo set-uid con la identidad de este usuario. En estos casos, el usuario debe existir en el fichero general de usuarios /etc/passwd, pero con shell nula, normalmente /bin/false. Uso extensivo de tcp-wrappers en los servicios necesarios: Los tcp-wrappers[3] son un conjunto de utilidades de libre distribución, escrito por Wietse Venema, que permite un control de accesos bastante exhaustivo de los servicios que corren bajo inetd, además de buena capacidad de log de peticiones a dichos servicios, ya sean autorizados o no. Básicamente consiste en un programa llamadotcpd, que se ejecuta cuando llega una petición a un puerto específico. Éste, una vez comprobada la dirección de origen de la petición, la verifica contra unas reglas simples, almacenadas en los ficheros /etc/hosts.allow y /etc/hosts.deny, y en función de ellas, decide o no dar paso al servicio. Adicionalmente, registra, utilizando la utilidad syslog del sistema, la petición y su resolución. Una de las configuraciones avanzadas de este paquete, permite también ejecutar comandos en el propio sistema operativo, en función de la resolución de la petición. Por ejemplo, es posible que interese hacer un finger a una posible máquina atacante, en el caso de un intento de conexión, para tener más datos a la hora de una posible investigación. Este tipo de comportamiento raya en la estrategia paranoica, que ya vimos cuando se definió la política de seguridad. La modificación al fichero /etc/inetd.conf son 88 muy sencillas y aparecen perfectamente especificadas en el trabajo "Seguridad en Redes" de Francisco Cruz Agudo, publicado en el número 35 del Boletín de RedIRIS, que analiza extensamente la instalación y operación de algunas de las herramientas descritas aquí. Una de las ventajas de tcp-wrappers es que al compilarlo es posible indicar la categoría de syslog sobre la cual realizar el registro de actividad, con lo que resulta bastante sencillo dirigir toda esta información sobre un único fichero, que puede ser monitorizado regularmente para detectar intentos de accesos no permitidos. En nuestro caso, los dos servidores externos, únicamente aceptan conexiones provenientes del firewall, es decir, del interior (ya que desde el exterior la conexión al firewall está muy restringida). Sólo tienen activos los servicios telnet y ftp, aparte de los específicos de su misión (WEB, WAIS, DNS, NEWS, etc...). La desconfianza llega al punto de no permitir las conexiones entre ellos, de forma que si uno de ellos se ve comprometido, el otro podría mantener su integridad, mientras el firewall no fuese vulnerado. Monitorización de routers en alerta de tráfico sospechoso: Se han instalado una serie de scripts que obtienen datos de tráfico del router externo a través de SNMP, a intervalos regulares y los van representando gráficamente a través de unas páginas HTML, que permiten tener una idea bastante aproximada del nivel de carga de la red en los distintos periodos del día. Esta monitorización del tráfico permite detectar tanto averías en el caso de ausencia de tráfico, como actividades sospechosas si se detecta mucho tráfico a horas no habituales. Escaneos periódicos de todo el perímetro en busca de posibles problemas: Circulan por Internet una serie de programas denominados escaneadores. Se trata de programas en los que una vez definido un host, o un conjunto de ellos (ya sea por direcciones de IP o por dominios de DNS), se dedican metódicamente a probar uno por uno todos estos sistemas, intentando penetrarlos o al menos chequear si poseen vulnerabilidades. Los dos escaneadores más utilizados en Internet son: ISS de Christopher Klaus, y SATAN de Dan Farmer y Wietse Venema. ISS[4] se ha convertido en un 89 producto comercial en sus últimas versiones, pero las antiguas siguen siendo interesantes. SATAN [5] es hoy por hoy el escaneador más avanzado. Además de poseer un entorno gráfico basado en WEB bastante potente, contiene una base de datos de vulnerabilidades muy completa. Es muy importante utilizar periódicamente estas herramientas, dado que nos permitirán conocer la información que un posible atacante obtendría de nuestra red en el caso de que utilizase dichos programas contra nuestros sistemas. Sincronización de relojes en todos los sistemas: Teniendo en cuenta que una de las tareas más importantes a la hora de vigilar la seguridad de nuestros sistemas es la revisión de logs, es fundamental que los relojes de los servidores que realizan estos logs estén sincronizados al objeto de poder hacer el seguimiento de un posible incidente, y también el poder concretar el orden en que sucedieron los hechos. Esto es también fundamental a la hora de contrastar logs con otras organizaciones, en el caso de que hubiese que hacer una investigación coordinada con terceras partes. Dentro de los protocolos de sincronización en Internet, existen dos variantes: el antiguo protocolo TIME (puerto 37), y el más moderno NTP, que permite una sincronización mucho más precisa. En nuestro caso, nos hemos sincronizado vía protocolo TIME con un servidor de tiempo en RedIRIS (chico.rediris.es) desde el firewall, y éste se ha convertido en servidor de tiempo para el resto de las máquinas tanto del perímetro exterior como interior. En un futuro cercano se plantea crear una estructura basada en NTP con un servidor y múltiples clientes. Seguridad en profundidad en la red interna Debido al modelo de seguridad perimetral definido en la política de seguridad, la red interior queda razonablemente protegida de posibles ataques externos. De todas formas, es importante no olvidar los posibles problemas de seguridad que pueden originarse desde el interior de nuestro perímetro. Entre este grupo de problemas podemos clasificar los provocados por usuarios internos o por intrusiones realizadas desde puntos no controlados de nuestra propia red. Contra este tipo de problemas, sensiblemente menos probables que los externos, se deberían aplicar medidas parecidas a las mencionadas en el 90 perímetro externo, añadiendo el uso de programas de chequeo de la seguridad de las passwords elegidas por los usuarios. En este aspecto, el mejor programa existente en la red es Crack [6], de Alec Muffet, que permite utilizar un gran número de diccionarios y reglas de inferencia a la hora de verificar la calidad de una contraseña. Otra medida fundamental a la hora de prevenir accesos desde el exterior por puntos no controlados de nuestra red, es establecer la prohibición del uso de módems con capacidad de llamada entrante. Si este uso fuese inevitable, como norma, al menos, deberían utilizarse para ello, sistemas no conectados físicamente a la red o realizarse bajo la estricta vigilancia del administrador de red responsable. 91 ANEXOS ANEXO A. Normas de Seguridad Cloud ● Proporcionar nombres únicos para cada instancia en la nube para facilitar la identificación de atributos de red. ● Registro adecuado de los recursos, tanto físicos como virtuales, a lo largo del ciclo de vida de la instancia que permita su trazabilidad. ● No confiar a ojo cerrado en el proveedor de la nube, cada interacción debe validarse si necesita autorización de demanda y autenticación. ● Mantener las instancias y los datos cifrados cuando se almacenan en el disco y durante la migración entre servidores. ● Restringir la utilización dinámica de los recursos a niveles predeterminados para evitar ataques de denegación interna de servicios. ● Destruir las instancias y los datos dados de baja cuando ya no sean necesarios. ● Definir Acuerdos de Niveles de Servicio (SLAs) para cada instancia de la nube para asegurar la disponibilidad adecuada y la utilización de recursos. ● Utilizar una única gestión para el registro y supervisión del sistema en la nube. ● Restringir el acceso a la consola de control (físico y virtual) a los usuarios con roles de negocio definido. ● Crear nuevas instancias sólo con especificaciones definidas, probados y aprobados. ● Ejecutar aplicaciones a través de múltiples servidores físicos para mejorar la fiabilidad. ● Proporcionar autenticación centralizada y otros servicios de autorización. ● Proveer un sistema centralizado de gestión de contraseñas para comunicar información confidencial. ● Firmardigitalmente los mensajes de control dentro de la nube para evitar la manipulación y el uso no autorizado de mensajería. ● Restringir la entrada de datos y salida hacia/desde la nube para mitigar la introducción de software malicioso y la eliminación de datos privados. 92 ● Registrar el estado actual y la bitácora de ocurrencias de recursos físicos y virtuales. ● Aislar casos sospechosos y reemplazarlos con instancias alternativas. ● Explorar la nube para identificar instancias no autorizadas, aislarlos y eliminarlos. ● Auditar los registros de utilización de recursos para detectar actividades sospechosas. ● Auditorías inopinadas para garantizar el cumplimiento de políticas de uso de la nube. 93 COPIA DEL ACTA DE SUSTENTACIÓN DEDICATORIA AGRADECIMIENTOS ÍNDICE GENERAL INDICE DE FIGURAS INDICE DE TABLAS INDICE DE ANEX RESUMEN ABSTRACT CAPÍTULO I INTRODUCCIÓN INTRODUCCIÓN 1. PLANTEAMIENTO DEL PROBLEMA Y JUSTIFICACION 1.1 Planteamiento del Problema 1.1.1 Formulación de la Pregunta de Investigación 1.1.1.1 Pregunta General 1.1.1.2 Preguntas Específicas 1.2 Justificación 1.2.1 Justificación Teórica 1.2.2 Justificación Práctica 1.3 Delimitación y Alcance 1.4 Objetivos 1.4.1 Objetivo General 1.4.2 Objetivos Específicos 1.5 Antecedentes de la Investigación 1.6 Marco Teórico 1.6.1 Seguridad de la Información Figura 1. Seguridad de la información. 1.6.2 Normas ISO 1.6.2.1 ISO 27000 1.6.2.2 ISO 27001 1.6.2.3 ISO 27002 1.6.2.4 ISO 9001 1.6.3 COBIT Según el estudio de INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION (2012): COBIT 5 es un marco de gobierno de TI y herramientas de apoyo que permite a los administradores para cerrar la brecha entre las necesidades de control, cuestiones técnicas y los riesgos empresariales. COBIT permite el desarrollo de una política clara y de buenas prácticas para el control de TI en las organizaciones. COBIT enfatiza el cumplimiento normativo, ayuda a las organizaciones a aumentar el valor alcanzado desde IT, permite la alineación y simplifica la implementación del marco de gobierno de TI y el control de las empresas. (p.5) Figura 2. Gobierno TI 1.6.4 Gestión de Proyectos - PMBOK Figura 3. PMBOK v5 – Áreas de Conocimiento 1.6.5 Gestión de Servicios de Infraestructura Tecnológica - ITIL Figura 4. Gestión de Servicios ITIL. 1.6.6 Ciclo de Deming Figura 5. Ciclo de mejora continua: PHVA. 1.6.7 Políticas Tecnológicas Figura 6: La confidencialidad de los datos. Figura 7. Algunos mecanismos para salvaguardar la confidencialidad de los datos. Figura 8. Integridad. Figura 9. Sistema de No Repudio. Figura 10. Control de Acceso. Figura 11. Disponibilidad. 1.6.8 Amenazas Figura 12. Amenazas Humanas. Figura 13. Amenazas de Hardware. Figura 14. Amenazas de Red. 1.6.9 Sistema Gestión de Seguridad de la Información - SGSI 1.6.10 Gestión de Riesgos Figura 15. ISMS Framework. 1.6.10.1 Normatividad 1.6.11 Seguridad de la Red 1.6.11.1 Red Plana sin seguridad Figura 16. Red Plana sin Seguridad 1.6.11.2 Seguridad Perimetral Figura 17. Seguridad Perimetral en Redes Figura 18. Casos de éxito de Seguridad informática. 1.6.12 Empresa 1.6.12.1 Cortez SAC. 1.6.12.2 Área de Implementación de proyectos de seguridad Lo integran Ingenieros especializados en Redes y Seguridad Informática, cumplen dos funciones: implementar proyectos de seguridad y soporte en la actualización de políticas en los equipos de seguridad perimetral. 1.6.12.3 Área de Ventas Conformado por personal administrativo con conocimientos técnicos básicos para establecer negociación y proponer a los clientes nuevos activos tecnológicos de seguridad informática. 1.6.12.4 Área de Post-venta Conformado por Ingenieros, con conocimientos de redes y seguridad informática, que residen en los locales de los clientes para brindar soporte técnico y mantenimiento de los equipos existentes. 1.7 Hipótesis General La aplicación de buenas prácticas en seguridad de la información permite gestionar adecuadamente los proyectos de seguridad informática perimetral en los centros de datos de clientes empresariales. 1.7.1 Hipótesis Específicas de Investigación 1 1.7.2 Hipótesis Específicas de Investigación 2 CAPÍTULO II MATERIALES Y MÉTODOS 2. MATERIALES Y MÉTODOS 2.1 Materiales 2.1.1 Personal 2.1.2 Materiales 2.1.3 Tiempo Tabla 1 Cronograma de actividades piloto EP-ER 2.1.4 Equipamiento 2.1.4.1 Equipo Firewall Figura 19. Cortafuegos FORTINET 2.1.5 Situación y exigencia del problema 2.2 Métodos 2.2.1 Procedimientos o Métodos 2.2.2 Diseño de Investigación 2.2.2.1 No Experimental 2.2.3 Tipo de Investigación 2.2.3.1 Descriptiva 2.2.3.2 Analítica 2.2.4 Enfoque de investigación 2.2.5 Delimitación y definición de la población de estudio 2.2.5.1 Población y Muestra 2.2.6 Aplicar criterios para seleccionar muestra de estudio 2.2.6.1 Técnicas de recolección de datos 2.2.7 Variables 2.2.7.1 Definición Operacional de las Variables Tabla 2. Definición Operacional de las Variables 2.2.8 Criterios de inclusión y exclusión 2.2.8.1 Criterios de Inclusión Equipos cortafuegos Fortinet, modelo FG-100D y FG 800C 2.2.8.2 Criterios de Exclusión 2.2.9 Análisis de confiabilidad del instrumento de investigación 2.2.10 Análisis de validez del instrumento de investigación CAPÍTULO III RESULTADOS 3. RESULTADOS 3.1 Aplicación de la Norma ISO 27001 3.2 Aplicación de la Norma ISO 27002 3.3 Diseño de la Red Perimetral Figura 20. Red Perimetral. Figura 21. Topología Propuesta. 3.4 Selección de equipos de Seguridad Perimetral 3.4.1 Equipo Firewall 3.4.2 Comparativo de equipos Firewall Tabla 3 Comparativo de Marcas de Firewall Tabla 4 Características y Costos de Equipos Firewall 3.4.3 Solución de equipo Firewall elegido 3.4.4 Configuración del Firewall Figura 22. Top Selling Models Matrix 3.5 Resultados de la implementación Tabla 5 Procesos as-is (actual) y procesos to-be (futuro) 3.6 SEGURIDAD INFORMÁTICA PERIMETRAL EN EQUIPOS CORTAFUEGOS 3.6.1 Equipos 3.6.1.1 El Firewall 3.6.2 Configuración de cortafuegos 3.6.2.1 Restricciones en el firewall 3.6.3 Políticas y procedimientos de seguridad de la información Figura 23. Políticas de Seguridad 3.6.3.1 Políticas de firewall alineadas con el ISO 27002 3.6.3.2 Control de Acceso. 3.6.4 Gestión de procesos usando PDCA. Figura 24. Gestión de procesos usando PDCA Tabla 6 Buenas prácticas en Gestión de Proyectos Tabla 7 Gestión del alcance DISCUSIÓN CONCLUSIONES Y RECOMENDACIONES Conclusiones Recomendaciones REFERENCIAS BIBLIOGRÁFICAS GLOSARIO ANEXOS ANEXO A. Normas de Seguridad Cloud
