Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
FACULTAD DE CIENCIAS EMPRESARIALES CARRERA DE INGENIERÍA DE SISTEMAS DE INFORMACIÓN Y GESTIÓN “BUENAS PRÁCTICAS EN LA GESTIÓN DE PROYECTOS DE IMPLEMENTACIÓN DE SEGURIDAD INFORMÁTICA PERIMETRAL EN LOS DATA CENTER DE CLIENTES EMPRESARIALES” Tesis para optar por el Título Profesional de: Ingeniero de Sistemas de Información y Gestión XXX LIMA – PERÚ 2015 1 COPIA DEL ACTA DE SUSTENTACIÓN 2 DEDICATORIA Dedico esta tesis a mi Familia por el Apoyo incondicional para el logro de mis metas. 3 AGRADECIMIENTOS Agradezco a Dios por guiarme y mi alma máter por forjarme mi futuro como profesional. 4 ÍNDICE GENERAL COPIA DEL ACTA DE SUSTENTACIÓN........................................................................II DEDICATORIA.............................................................................................................. III AGRADECIMIENTOS................................................................................................... IV ÍNDICE GENERAL........................................................................................................V INDICE DE FIGURAS.................................................................................................. IX INDICE DE TABLAS......................................................................................................X INDICE DE ANEXOS....................................................................................................XI RESUMEN..................................................................................................................XII ABSTRACT..................................................................................................................13 CAPÍTULO I.................................................................................................................14 INTRODUCCIÓN.........................................................................................................14 INTRODUCCIÓN.........................................................................................................15 1. PLANTEAMIENTO DEL PROBLEMA Y JUSTIFICACION.....................................17 1.1 Planteamiento del Problema..........................................................................17 1.1.1 Formulación de la Pregunta de Investigación.......................................18 1.1.1.1 Pregunta General......................................................................18 1.1.1.2 Preguntas Específicas...............................................................19 1.2 Justificación....................................................................................................19 1.2.1 Justificación Teórica..............................................................................19 1.2.2 Justificación Práctica.............................................................................19 1.3 Delimitación y Alcance...................................................................................19 1.4 Objetivos........................................................................................................20 1.4.1 Objetivo General...................................................................................20 1.4.2 Objetivos Específicos............................................................................20 1.5 Antecedentes de la Investigación...................................................................20 1.6 Marco Teórico.................................................................................................21 1.6.1 Seguridad de la Información.................................................................21 1.6.2 Normas ISO..........................................................................................22 1.6.2.1 ISO 27000.................................................................................22 1.6.2.2 ISO 27001.................................................................................22 1.6.2.3 ISO 27002.................................................................................23 5 1.6.2.4 ISO 9001...................................................................................23 1.6.3 COBIT...................................................................................................24 1.6.4 Gestión de Proyectos - PMBOK............................................................24 1.6.5 Gestión de Servicios de Infraestructura Tecnológica - ITIL...................25 1.6.6 Ciclo de Deming....................................................................................26 1.6.7 Políticas Tecnológicas...........................................................................27 1.6.8 Amenazas.............................................................................................31 1.6.9 Sistema Gestión de Seguridad de la Información - SGSI......................36 1.6.10 Gestión de Riesgos............................................................................37 1.6.10.1 Normatividad........................................................................38 1.6.11 Seguridad de la Red...........................................................................39 1.6.11.1 Red Plana sin seguridad.......................................................39 1.6.11.2 Seguridad Perimetral............................................................40 1.6.12 Empresa.............................................................................................42 1.6.12.1 Cortez SAC...........................................................................42 1.6.12.2 Área de Implementación de proyectos de seguridad............42 1.6.12.3 Área de Ventas.....................................................................42 1.6.12.4 Área de Post-venta...............................................................42 1.7 Hipótesis General...........................................................................................43 1.7.1 Hipótesis Específicas de Investigación 1..............................................43 1.7.2 Hipótesis Específicas de Investigación 2..............................................44 CAPÍTULO II................................................................................................................45 MATERIALES Y MÉTODOS........................................................................................45 2. MATERIALES Y MÉTODOS.................................................................................46 2.1 Materiales......................................................................................................46 2.1.1 Personal................................................................................................46 2.1.2 Materiales.............................................................................................46 2.1.3 Tiempo..................................................................................................46 2.1.4 Equipamiento........................................................................................48 2.1.4.1 Equipo Firewall..........................................................................48 2.1.5 Situación y exigencia del problema.......................................................48 2.2 Métodos.........................................................................................................48 2.2.1 Procedimientos o Métodos....................................................................48 6 2.2.2 Diseño de Investigación........................................................................48 2.2.2.1 No Experimental........................................................................48 2.2.3 Tipo de Investigación............................................................................49 2.2.3.1 Descriptiva.................................................................................49 2.2.3.2 Analítica.....................................................................................492.2.4 Enfoque de investigación......................................................................49 2.2.5 Delimitación y definición de la población de estudio.............................50 2.2.5.1 Población y Muestra..................................................................50 2.2.6 Aplicar criterios para seleccionar muestra de estudio...........................50 2.2.6.1 Técnicas de recolección de datos..............................................50 2.2.7 Variables...............................................................................................51 2.2.7.1 Definición Operacional de las Variables.....................................51 2.2.8 Criterios de inclusión y exclusión..........................................................52 2.2.8.1 Criterios de Inclusión.................................................................52 2.2.8.2 Criterios de Exclusión................................................................53 2.2.9 Análisis de confiabilidad del instrumento de investigación....................53 2.2.10 Análisis de validez del instrumento de investigación...........................53 CAPÍTULO III...............................................................................................................55 RESULTADOS.............................................................................................................55 3. RESULTADOS......................................................................................................56 3.1 Aplicación de la Norma ISO 27001................................................................56 3.2 Aplicación de la Norma ISO 27002................................................................56 3.3 Diseño de la Red Perimetral..........................................................................57 3.4 Selección de equipos de Seguridad Perimetral..............................................59 3.4.1 Equipo Firewall.....................................................................................59 3.4.2 Comparativo de equipos Firewall..........................................................60 3.4.3 Solución de equipo Firewall elegido......................................................61 3.4.4 Configuración del Firewall.....................................................................62 3.5 Resultados de la implementación...................................................................63 3.6 SEGURIDAD INFORMÁTICA PERIMETRAL EN EQUIPOS CORTAFUEGOS..........65 3.6.1 Equipos.................................................................................................66 3.6.1.1 El Firewall..................................................................................66 3.6.2 Configuración de cortafuegos...............................................................66 7 3.6.2.1 Restricciones en el firewall........................................................66 3.6.3 Políticas y procedimientos de seguridad de la información...................66 3.6.3.1 Políticas de firewall alineadas con el ISO 27002.......................67 3.6.3.2 Control de Acceso.....................................................................68 3.6.4 Gestión de procesos usando PDCA......................................................69 DISCUSIÓN.................................................................................................................71 CONCLUSIONES Y RECOMENDACIONES...............................................................72 Conclusiones........................................................................................................72 Recomendaciones................................................................................................73 REFERENCIAS BIBLIOGRÁFICAS.............................................................................74 GLOSARIO..................................................................................................................76 ANEXOS......................................................................................................................88 8 INDICE DE FIGURAS Figura 1. Seguridad de la información...............................................................22 Figura 2. Gobierno TI..........................................................................................24 Figura 3. PMBOK v5 – Áreas de Conocimiento.................................................25 Figura 4. Gestión de Servicios ITIL....................................................................26 Figura 5. Ciclo de mejora continúa: PHVA.........................................................27 Figura 6: La confidencialidad de los datos.........................................................28 Figura 7. Algunos mecanismos para salvaguardar la confidencialidad de los datos...................................................................................................................29 Figura 8. Integridad.............................................................................................29 Figura 9. Sistema de No Repudio......................................................................30 Figura 10. Control de Acceso.............................................................................30 Figura 11. Disponibilidad....................................................................................30 Figura 12. Amenazas Humanas.........................................................................31 Figura 13. Amenazas de Hardware....................................................................34 Figura 14. Amenazas de Red.............................................................................34 Figura 15. ISMS Framework...............................................................................38 Figura 16. Red Plana sin Seguridad...................................................................39 Figura 17. Seguridad Perimetral en Redes........................................................40 Figura 18. Casos de éxito de Seguridad informática.........................................41 Figura 19. Cortafuegos FORTINET....................................................................47 Figura 20. Red Perimetral...................................................................................56 Figura 21. Topología Propuesta.........................................................................57 Figura 22. Top Selling Models Matrix.................................................................61 Figura 23. Políticas de Seguridad......................................................................65 Figura 24. Gestión de procesos usando PDCA.................................................68 9 INDICE DE TABLAS Tabla 1. Cronograma de actividades piloto EP-ER............................................46 Tabla 2. Definición Operacional de las Variables...............................................51 Tabla 3. Comparativo de Marcas de Firewall.....................................................59 Tabla 4. Características y Costos de Equipos Firewall......................................60 Tabla 5. Procesos as-is (actual) y procesos to-be (futuro).................................62 Tabla 6. Buenas prácticas en Gestión de Proyectos.........................................69 Tabla 7. Gestión del alcance..............................................................................69 10 INDICE DE ANEX ANEXO A. Normas de Seguridad Cloud............................................................87 Y 11 RESUMEN En esta, investigación titulada, “Buenas Prácticas en la Gestión de Proyectos de Implementación de Seguridad Informática Perimetral en los Data Center de Clientes Empresariales”, el objetivo es desplegar el uso de buenas prácticas en seguridad de la información perimetral aplicando las Normas ISO 27001 e ISO 27002 que son atendidos por la empresa Cortez SAC. Este estudio es aplicado. No Experimental.La empresa tiene 16 usuarios técnicos y 8 gerentes de TI. También 1 ingeniero de Redes y Seguridad Informática. La población total es de 32 personas. Analizaremos dos proyectos de implementación de la red perimetral en los clientes "Empresa Editora del Perú" y "El Rocío". (El proyecto-1 sin buenas prácticas y el proyecto-2 migración con buenas prácticas). Como instrumento se utiliza la entrevista, mediante preguntas específicas al responsable de seguridad informática del cliente, temas como diseño de la red perimetral, configuración del Firewall, configuración de equipos reemplazados vs configuración de los equipos nuevos. Los resultados fueron no esperados por los administradores de seguridad y de redes del cliente debido por las nuevas soluciones, pero presentándola de otra forma, logrando minimizar al máximo las probabilidades de sufrir impactos negativos y pérdidas originados por la falta de seguridad. En conclusión, existen muchas deficiencias en la gran mayoría de organizaciones en materia de seguridad, consideran cara y complicada, pero es más caro es sufrir las consecuencias por la falta de seguridad en el sistema de información. Finalmente conocer los elementos a implementar, adquirir la certificación Estándar Internacional, evaluación para el análisis y solucionar los problemas de seguridad. Palabras Claves: Seguridad de Información, ISO 27001, ISO 27002, Red Perimetral 12 ABSTRACT In this, research entitled, "Best Practices in Project Management Implementation Information Security Perimeter in the Data Center Business Clients", the aim is to deploy the use of best practices in security perimeter information by applying the ISO 27001 standards and ISO 27002 that are served by the company Cortez SAC. This study is applied. Experimental No. In the company 16 technical users and 8 IT managers. Engineer also 1 Networking and Security. The total population is 32 people. We discuss two projects implementing the perimeter network clients "Company Editor of Peru" and "El Rocio". (The project-1 without good practices and project-2 migration with good practice). As the interview instrument used by the person responsible for specific client computer security topics such as perimeter network design, configuration Firewall configuration settings vs replaced equipment new equipment questions. The results were not expected by security administrators and network client due to new solutions, but presenting it in another way, achieving full minimize the chances of suffering negative impacts and losses caused by the lack of security. In conclusion, there are many shortcomings in the vast majority of security organizations, considered expensive and complicated, but more expensive is to suffer the consequences of the lack of security in the information system. Finally know the elements to implement, acquire the International Standard certification, analysis and evaluation for solving security problems. Keywords: Information Security, ISO 27001, ISO 27002, Perimeter Network 13 14 CAPÍTULO I INTRODUCCIÓN 15 INTRODUCCIÓN Actualmente hay diferentes tipos de tecnologías las cuales van en aumento, dejando atrás la parte de seguridad en la información. Dando como resultado un gran número de huecos en seguridad, los cuales se pueden corregir con atenciones y cuidados, con un listado de buenas prácticas y políticas de seguridad. Esos huecos de seguridad, también se deben a la falta de comunicación y de capacitación de los interesados los cuales se convierten en el eslabón más débil en la cadena de seguridad. Por lo cual, en el siguiente trabajo se describen las responsabilidades de cada integrante de la empresa y las recomendaciones que deben seguir los interesados. Este trabajo escrito, es un conjunto de recomendaciones basadas en la experiencia, en algunas políticas de seguridad y en un estándar para el control de la tecnología de la información, como lo es COBIT. Con el fin de proporcionarles a los usuarios, encargados y administradores, temas actuales de seguridad en la información y en el centro de cómputo, dando como resultado la certeza de que se está asegurando lo mejor posible. En este trabajo, se tienen como objetivos: - Diseñar buenas prácticas para la seguridad en la empresa. - Proporcionar buenas prácticas de seguridad física y perimetral a los integrantes en la empresa. - Promover el concepto de seguridad. - Promover la importancia de las buenas prácticas entre los administradores y usuarios. - Difundir las buenas prácticas en la empresa. 16 Se pretende evaluar el conocimiento en la empresa, desde la organización, servicios de seguridad y las tareas de los principales autores en la empresa, mecanismos de seguridad, entre otras actividades, esto para brindar una mejor seguridad interna y externa en la empresa. Al identificar y analizar los servicios en la empresa, se van elaborando medidas preventivas, como realizar un análisis para detectar los posibles riesgos, implementando cierto grado de seguridad en los servicios de la empresa, así como controles que ayudan a proporcionar un mejor entorno en la seguridad de la empresa. Se brinda la importancia de identificar y comprender las políticas de seguridad y las buenas prácticas, saber que para cada recurso hay lineamientos a seguir. Y la importancia de la información para tomar las medidas necesarias e impedir su pérdida. Se encuentra también una metodología propuesta, que contiene conceptos como: seguridad, vulnerabilidades y amenazas de igual manera la forma de la estructura de la organización y los diferentes dispositivos en el centro de cómputo por medio de una encuesta para identificar el estado inicial o actual de la empresa con sus respectivos requerimientos. Con la información recopilada en este trabajo se pretende proporcionar una guía para la implementación de la seguridad en la empresa, así como también promover el concepto de seguridad, difundiendo las buenas prácticas con diferentes métodos, para que los integrantes del centro las conozcan y las lleven a cabo. El principal objetivo de este trabajo es la aplicación de la Norma ISO 27001 e ISO 27002, métodos y estrategias para el diseño, elaboración, implementación, retroalimentación y difusión de las buenas prácticas de seguridad para optimizar la manera en que se resguarda la información y el lugar de trabajo. 17 1. PLANTEAMIENTO DEL PROBLEMA Y JUSTIFICACION El presente trabajo propone una estrategia para implementar proyectos de seguridad informática perimetral usando las buenas prácticas en Seguridad de la Información basado en las normas ISO 27001 e ISO 27002. Es precisamente, en la gestión de este tipo de proyectos, donde se ha observado que algunos integrantes de nuestros equipos de ventas y soporte técnico no aplican las mejores prácticas lo que ocasiona retrasos en los entregables, problemas de vulnerabilidad en la red perimetral de los centros de datos de clientes empresariales, insatisfacción por parte de los clientes y exceso en los costos del proyecto. Por el lado del cliente, el personal que administra la seguridad y redes también adolece de competencias en seguridad de la Información. La aplicación de las Normas ISO 27001 ha permitido ordenar nuestro trabajo funcional, estableciendo reglas de control basados en Políticas y Procedimientos que debemos seguir para una correcta Gestión de Riesgos en nuestros clientes. La aplicación de la Norma ISO 27002 ha permitido estandarizar y gestionar nuestro trabajo técnico aplicado a la seguridad informática perimetral, empezando por dos dominios básicos, elambiente de seguridad física y el control de accesos a los sistemas de información. Por tal motivo, se presenta una estrategia comprobada en las dos últimas implementaciones realizadas, que nos ha permitido demostrar la validez de la aplicación de buenas prácticas en la Seguridad de la Información; que venimos desplegando a los diversos equipos de trabajo que implementan proyectos de seguridad informática perimetral. 18 1.1 Planteamiento del Problema La formación académica, entrenamiento y experiencia que adquieren los Ingenieros de Sistemas que se especializan como Administradores de Seguridad Informática y Redes a lo largo de su desarrollo profesional, les permiten identificar cuando no existe una adecuada gestión de los proyectos de seguridad informática, lo que se complica porque también deben gestionar el aprovisionamiento de los equipos y componentes de la red perimetral y mantener protegida la red interna y externa de la empresa. Se ha observado que en la empresa Cortez SAC no hay una adecuada coordinación técnica con el área de ventas cuando se ganan proyectos de altas, migración o upgrade de equipos de seguridad perimetral, ya que por la rapidez en entregar el RFP el encargado de la relación comercial con el cliente muchas veces no incluye la recomendación técnica de los ingenieros especialistas sobre los equipos ofrecidos en la fase de ventas y genera que el perímetro de la red interna y externa esté expuesta a amenazas y riesgos También se debe mejorar la gestión de tiempos, costos, entregables y recursos necesarios para cumplir con los servicios ofrecidos a los clientes; se debe mejorar la asignación de recursos en los data centers , ha ocurrido que el ingeniero encargado de gestionar la seguridad informática en el cliente por falta de un asistente técnico ha tenido que atender incidentes de 2do nivel que le obliga a dejar sus actividades de implementación de la seguridad perimetral , lo que a su vez repercute en incumplir con los tiempos acordados de implementación del proyecto. Por tal razón, para mantener segura la red informática perimetral de los data centers de los clientes se deben aplicar las buenas prácticas en Seguridad de la Información en la gestión de proyectos y servicios de seguridad informática. 19 1.1.1 Formulación de la Pregunta de Investigación 1.1.1.1 Pregunta General ¿En qué medida el uso de buenas prácticas en Seguridad de la Información ha permitido implementar exitosamente los proyectos de seguridad informática perimetral en los data center de clientes empresariales? 1.1.1.2 Preguntas Específicas ¿De qué manera la aplicación de la Norma ISO 27001 ha influido en una gestión adecuada de la seguridad de la información en la data center de clientes empresariales? ¿De qué manera la aplicación de la norma ISO 27002 ha controlado el acceso externo e interno a los servicios informáticos para mantener la red perimetral libre de amenazas e intrusiones en los data center de clientes empresariales? 1.2 Justificación 1.2.1 Justificación Teórica Diversas investigaciones y casos de éxito sobre proyectos de seguridad informática, han permitido demostrar que el uso de las buenas prácticas en Seguridad de la Información permite garantizar la gestión adecuada de los riesgos y servicios de seguridad informática en la red perimetral externo e interno de la empresa. Las buenas prácticas están soportadas por las Normas ISO 27001 e ISO 27002. 1.2.2 Justificación Práctica La aplicación de la Normas ISO 27001 e ISO 27002 de Buenas Prácticas en Gestión de Sistemas de Seguridad de Información permitirá ordenar el trabajo del personal, estandarizando procesos e implementar proyectos exitosos, en tiempo, presupuesto, calidad y satisfacción del cliente; 20 además, contar con personal certificado y/o con experiencia en diversos equipos y componentes de redes y seguridad informática que implementamos o a los que damos soporte técnico. 1.3 Delimitación y Alcance Esta investigación aplicada considera las áreas de Ventas, tiene un alcance específico entre las dos áreas analizadas, pues el personal que las integran cumplen roles y tienen competencias técnicas para la gestión de seguridad informática que desarrollan en los clientes de Lima y provincias. 1.4 Objetivos 1.4.1 Objetivo General Desplegar el uso de buenas prácticas en seguridad de la información para la gestión de proyectos de seguridad informática perimetral en los data center de clientes empresariales. 1.4.2 Objetivos Específicos Aplicar la Norma ISO 27001 para gestionar la Seguridad de la Información en la data center de clientes empresariales. Aplicar la Norma ISO 27002 para controlar el acceso externo e interno de los servicios informáticos y mantener segura la red perimetral contra amenazas e intrusiones en la data center de clientes empresariales. 1.5 Antecedentes de la Investigación La empresa actualmente no aplica las buenas prácticas en gestión de seguridad de la información y en seguridad informática perimetral. El avance tecnológico hace que aparezcan nuevos equipos y sistemas más robustos de mejor rendimiento, calidad y costo; a la vez, otros equipos quedan obsoletos a nivel técnico y son reemplazados. Debido a que en los proyectos de implementación de seguridad perimetral hemos venido trabajando con equipos 21 de un mismo fabricante, y por su uso continuo conocemos de memoria las especificaciones de los nuevos equipos. El uso de nuevas soluciones de seguridad perimetral sobre todo en la migración de configuración de un equipo a otro traía consigo resultados no esperados por los administradores de seguridad y de redes del cliente ocasionando retrasos en demostrar que las funcionalidades con el nuevo equipo de seguridad son las mismas pero presentado de otra forma. 1.6 Marco Teórico La aplicación y uso de las Tecnologías de la Información se da en diferentes campos de aplicación y para la gestión adecuada de dichos servicios existen buenas prácticas que guían el uso de la infraestructura tecnológica existente. A continuación, se describen buenas prácticas y estándares que soportan la gestión de proyectos de seguridad informática perimetral, entre los principales están. 1.6.1 Seguridad de la Información Según López y Quezada (2006): en su libro Fundamentos de Seguridad Informática, “El término seguridad de la información se refiere a la prevención y a la protección, a través de ciertos mecanismos, para evitar que ocurra de manera accidental o intencional la transferencia, modificación, fusión o destrucción no autorizada de la información”. (p. 23) Debido a que la información es un activo no menos importante que otros activos comerciales, es esencial para cualquier negocio u organización contar con las medidas adecuadas de protección de la información, especialmente en la actualidad, donde la información se difunde a través de miles y miles de redes interconectadas. Esto multiplica la cantidad de amenazas y vulnerabilidades a las que queda expuesta la información. 22 La información puede existir en muchas formas, por ejemplo, puede estar impresa o escrita en papel, almacenada electrónicamente, transmitida por correo o utilizando medios electrónicos, hablada en una conversación, etc. Sea cual sea la forma en la que se tenga la información, debe estar en todo caso protegida. La seguridad de la información se logra implementando un conjunto adecuado de controles, políticas, procesos, procedimientos, estructuras organizacionales, y otras acciones que hagan que la información pueda ser accedida sólo por aquellas personas que están debidamente autorizadas para hacerlo. Figura1. Seguridad de la información. 1.6.2 Normas ISO 1.6.2.1 ISO 27000 En fase de desarrollo. Contendrá términos y definiciones que se emplean en toda la serie 27000. La aplicación de cualquier estándar necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos técnicos y de gestión. Esta norma será gratuita, a diferencia de las demás de la serie, que tendrán un coste. ISO 27000 en español, (2016): La BSI (British Standards Institution) desde 1901 ha sido la primera organización de certificación a nivel mundial, ha publicado normas como: BS 5750, año 1979 - ahora ISO 9001. BS 7750, año 1992 - ahora ISO 14001. BS 8800, año 1996 - ahora OHSAS 23 18001. La norma BS7799 se publicó en 1995 con el fin de recomendar buenas prácticas para la gestión de la seguridad de la información. Esta fue adoptada por ISO en el año 2000, como ISO 17799. (Consultado 15.04.2016) 1.6.2.2 ISO 27001 ISO 27001 en Español, (2016): Es la norma principal de requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. Fue publicada el 15 de Octubre de 2005 y sustituye a la BS 7799-2, habiéndose establecido unas condiciones de transición para aquellas empresas certificadas en esta última. (Consultado 15.04.2016) 1.6.2.3 ISO 27002 ISO 27001 en español, (2016): Cambio de nomenclatura de ISO 17799:2005 realizada el 1 de Julio de 2007. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. (Consultado 15.04.2016) A través de este documento se puede identificar un marco de trabajo más amplio para una organización cuando se desea implementar políticas de seguridad. 1.6.2.4 ISO 9001 ISO 9001 en español, (2016): Define los requerimientos para los sistemas de gestión de calidad. Aunque a primera vista la gestión de calidad y la gestión de seguridad de la información no tienen mucho en común, lo cierto es que aproximadamente el 25% de 24 los requisitos de ISO 27001 y de ISO 9001 son los mismos: control de documentos, auditoría interna, revisión por parte de la dirección, medidas correctivas, definición de objetivos y gestión de competencias. Esto quiere decir que si una empresa ha implementado ISO 9001 le resultará mucho más sencillo implementar ISO 27001. (Consultado 15.04.2016) 1.6.3 COBIT Según el estudio de INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION (2012): COBIT 5 es un marco de gobierno de TI y herramientas de apoyo que permite a los administradores para cerrar la brecha entre las necesidades de control, cuestiones técnicas y los riesgos empresariales. COBIT permite el desarrollo de una política clara y de buenas prácticas para el control de TI en las organizaciones. COBIT enfatiza el cumplimiento normativo, ayuda a las organizaciones a aumentar el valor alcanzado desde IT, permite la alineación y simplifica la implementación del marco de gobierno de TI y el control de las empresas. (p.5) Figura 2. Gobierno TI 25 1.6.4 Gestión de Proyectos - PMBOK Según (Guía del PMBOK®) -Quinta edición (2013): Una guía para el Cuerpo Proyecto de Gestión del Conocimiento refleja la colaboración y el conocimiento de los directores de proyectos de trabajo y proporciona los fundamentos de la gestión de proyectos que se aplican a una amplia gama de proyectos. Esta norma internacionalmente reconocida ofrece a los administradores de proyectos las herramientas esenciales para la práctica de la gestión del proyecto y entregar resultados de la organización. (p.1) Figura 3. PMBOK v5 – Áreas de Conocimiento 1.6.5 Gestión de Servicios de Infraestructura Tecnológica - ITIL Muñoz y Martínez (2012): en su Proyecto de Caracterización de Procesos de Gestión de TI basados en COBIT 5 y mapeo con ISO27002, ITIL, CMMI DEV, PMBOK, para la implementación en la industria Editorial, dicen: The Official Introduction to the ITIL La Information Technology Infrastructure Library (ITIL) define los requisitos de estructura y habilidades organizacionales de una organización de tecnología de la información y un conjunto de procedimientos y prácticas de gestión operativa estándar para permitir la organización gestionar una operación de TI y la infraestructura asociada. Los procedimientos y prácticas operativas son independientes y se 26 aplican a todos los aspectos dentro de la infraestructura de TI. La figura 1.2 muestra la estructura circular de mejora continua que aplica ITIL para la gestión de servicios de Infraestructura tecnológica en las organizaciones. (p.29) Figura 4. Gestión de Servicios ITIL. 1.6.6 Ciclo de Deming Según Deming (1982): “Mejorando la calidad es posible aumentar la productividad” PDCA son las siglas en inglés del conocido “Ciclo de Deming”: Plan-Do- Check-Act (Planificar- Hacer- Verificar- Actuar). (El PDCA lo componen 4 etapas cíclicas, de forma que una vez acabada la etapa final se debe volver a la primera y repetir el ciclo de nuevo, de forma que las actividades son reevaluadas periódicamente para incorporar nuevas mejoras. La aplicación de esta metodología está enfocada principalmente para ser usada en empresas y organizaciones. 27 http://www.pdcahome.com/5202/ciclo-pdca/ Figura 5. Ciclo de mejora continua: PHVA. 1.6.7 Políticas Tecnológicas Según Julio César Vásquez Paiva (2013) en su investigación de “Políticas Tecnológicas Directas e Indirectas”, las políticas tecnológicas son todas las acciones que realiza el Estado, en pro de contribuir a la creación y fortalecimiento dela innovación tecnológica tanto en el ámbito público como privado para así mejorar el sistema tecnológico del país y así promover y elevar el nivel de vida de sus habitantes. (p.45) Dentro de estas políticas pueden diferenciarse dos tipos según su forma de aplicarse, pero las cuales tienen el mismo fin en común, promover el nivel tecnológico de las empresas tanto públicas como privadas, las cuales son las siguientes: ● Políticas directas o explícitas: las cuales son los decretos de ley, leyes creadas para motivar instituciones, proyectos, incentivos, entre otros, los cuales tienen como fin llevar a cabo los planes tecnológicos del Estado. 28 ● Políticas indirectas o implícitas: las cuales son estrategias que tienen fines directo en el área política, social, cultural o económica pero que ocasiona efectos secundarios en el ámbito tecnológico Servicios de Seguridad Informática. ● Un servicio de seguridad informática es aquel que mejora la seguridad de un sistema de información y el flujo de información de una organización. Los servicios están dirigidos a evitar los ataques de seguridad y utilizan uno o más mecanismos de seguridad para proveer el servicio. Según Microsoft Encarta (2016): “Seguridad es cualidad de seguro y define a este a su vez como libre y exento de todo peligro, daño o riesgo”. (p.9) Clasificación ● Confidencialidad ● Autenticación ● Integridad ● No repudio ● Control de acceso ● Disponibilidad a. Confidencialidad Servicio de seguridad o condición que asegura que la información no pueda estar disponible o ser descubierta por o para personas, entidades o procesos no autorizados. También puede verse como la capacidad del sistema para evitar que personas no autorizadas puedan acceder a la información almacenada en él. Figura 6: La confidencialidad de los datos. b. Autenticación 29 Es el servicio que tratade asegurar que una comunicación sea auténtica, es decir, verificar que el origen de los datos es el correcto, quién los envió y cuándo fueron enviados y recibidos también sean correctos. Algunos métodos de autenticación son: Biométricos, Tarjetas inteligentes, Métodos clásicos basados en contraseña, etc. Figura 7. Algunos mecanismos para salvaguardar la confidencialidad de los datos. c. Integridad Servicio de seguridad que garantiza que la información sea modificada, incluyendo su creación y borrado, sólo por el personal autorizado. Figura 8. Integridad. d. No repudio El no repudio sirve a los emisores o a los receptores para negar un mensaje transmitido. Por lo que cuando un mensaje es enviado, el receptor puede probar que el mensaje fue enviado por el presunto emisor. De manera similar, cuando un mensaje es recibido, el remitente puede probar que el mensaje fue recibido por el presunto receptor. 30 Figura 9. Sistema de No Repudio. e. Control de Acceso Un control de acceso se ejecuta con el fin de que un usuario sea identificado y autenticado de manera exitosa para que entonces le sea permitido el acceso. El control de acceso puede ejecutarse de acuerdo con los niveles de seguridad y puede ejecutarse mediante la administración de la red o por una entidad individual de acuerdo con las políticas de control de acceso. Figura 10. Control de Acceso. f. Disponibilidad En un entorno donde las comunicaciones juegan un papel importante es necesario asegurar que la red esté siempre disponible. 31 Figura 11. Disponibilidad. 1.6.8 Amenazas Microsoft (2016): La Amenaza es la probabilidad de ocurrencia de un suceso potencialmente desastroso durante cierto periodo de tiempo, en un sitio dado. En general el concepto de amenaza se refiere a un peligro latente o factor de riesgo externo, de un sistema o de un sujeto expuesto, expresada matemáticamente como la probabilidad de exceder un nivel de ocurrencia de un suceso con una cierta intensidad, en un sitio específico y durante un tiempo de exposición determinado. (Consultado 15.04.2016). Una amenaza se representa a través de una persona, una circunstancia o evento, un fenómeno o una idea maliciosa, las cuales pueden provocar daño en los sistemas de información, produciendo pérdidas materiales, financieras o de otro tipo. Las amenazas son múltiples desde una inundación, un fallo eléctrico o una organización criminal o terrorista. Así, una amenaza es todo aquello que intenta o pretende destruir. a. Amenazas Humanas Surge por ignorancia en el manejo de la información, por descuido, por negligencia, por inconformidad. Para este caso se pueden considerar a los hackers, crakers, phreakers, carding, trashing, gurús, lamers o scriptkiddies, copyhackers, bucaneros, newbie, wannabers, samurai, creadores de virus y los que se listan a continuación: 32 http://redyseguridad.fi-p.unam.mx/proyectos/seguridad/Amenazas.php Figura 12. Amenazas Humanas. Ingeniería social: es la manipulación de las personas para convencerlas de que ejecuten acciones o actos que normalmente no realizan de forma que revelen datos indispensables que permitan superar las barreras de seguridad. Esta técnica es una de las más usadas y efectivas al momento de averiguar nombres de usuarios y contraseñas. Ingeniería social inversa: consiste en la generación, por parte de los intrusos, de una situación inversa a la original en la ingeniería social. En este caso el intruso publicita de alguna manera que es capaz de brindar ayuda a los usuarios y éstos lo llaman ante algún imprevisto. El intruso aprovechará esta oportunidad para pedir información necesaria para solucionar el problema del usuario y el propio. Robo: Las computadoras son las posesiones más valiosas de la empresa y se encuentran expuestas. Es frecuente que los operadores utilicen las computadoras de las empresas para realizar trabajos privados o para otras organizaciones y de esta manera robar tiempo de máquina. Fraude: Cada año millones de dólares son sustraídos de las empresas y, en muchas ocasiones, las computadoras son utilizadas para dichos fines. Es uno de los problemas más habituales de las Organizaciones, sea del tipo que sea y a todos los niveles, ya que se refiere al perjuicio económico patrimonial 33 realizado con ánimo de lucro y llevado a cabo con engaño. El fraude no trata más que lograr un beneficio ilegal reduciendo las propiedades de la compañía. Sabotaje: El sabotaje ha sido utilizado desde la antigüedad, partiendo del axioma de “una eficiencia máxima, con unos medios y un riesgo mínimo para el saboteador. Para lograr estos fines el saboteador tratará de determinar los puntos débiles de la organización y estudiará las posibilidades de acceder a las áreas donde mayor daño pueda hacer. Es el peligro más temido en los centros de procesamiento de datos, ya que éste puede realizarlo un empleado o un sujeto ajeno a la empresa. Personal: De los robos, fraudes, sabotajes o accidentes relacionados con los sistemas, el 73% es causado por el personal de la organización propietaria de dichos sistemas. Personal interno: Son las amenazas al sistema provenientes del personal del propio sistema informático. Los daños causados por el personal pueden ser accidentales, deliberados o productos de la negligencia. Los recursos y programas así como la información, deben estar especialmente protegidos contra estos tipos de daños. Ex-empleado: Generalmente son personas descontentas con la organización y que conocen a la perfección la estructura del sistema, por consiguiente, tienen los conocimientos necesarios para causar cualquier tipo de daño. Curiosos: Son personas que tienen un alta interés en las nuevas tecnologías, pero aún no tienen la experiencia ni conocimientos básicos para considerarlos hacker o crackers, generalmente no se trata de ataques dañinos, pero afecta el entorno de fiabilidad y confiabilidad generado en un sistema. Terrorista: En esta definición se engloba a cualquier persona que ataca al sistema causando un daño de cualquier índole en él, tienen fines proselitistas o religiosos. Intrusos remunerados: Se trata de crackers o piratas con grandes conocimientos y experiencia, pagados por una tercera parte para robar 34 secretos o simplemente para dañar de alguna manera la imagen de la entidad atacada. b. Amenazas de Hardware Este tipo de amenazas se da por fallas físicas que se encuentra presente en cualquier elemento de dispositivos que conforman la computadora. Los problemas más identificados para que el suministro de energía falle son el bajo voltaje, ruido electromagnético, distorsión, interferencias, alto voltaje, variación de frecuencia, etc. Figura 13. Amenazas de Hardware. c. Amenazas de Red Se presenta una amenaza cuando no se calcula bien el flujo de información que va a circular por el canal de comunicación, es decir, que un atacante podría saturar el canal de comunicación provocando la no disponibilidad de la red. Otro factor es la desconexión del canal. Figura 14. Amenazas de Red. 35 d. Amenazas Lógicas La amenaza se hace presente cuando un diseño bien elaborado de un mecanismo de seguridad se implementa mal, es decir, no cumple con las especificaciones del diseño. La comunicación entre procesos puede resultar una amenaza cuando un intruso utilice una aplicación que permita evitar y recibir información, ésta podría consistir en enviar contraseñas y recibir el mensaje de contraseña válida; dándole al intruso elementos para un posible ataque. En la mayoría de los sistemas, los usuarios no pueden determinar si el hardware o el software con que funcionan son los que supone que deben ser. Esto facilita al intruso para que pueda reemplazar un programasin conocimiento del usuario y éste pueda inadvertidamente teclear su contraseña en un programa de entrada falso al cual también se le denomina códigos maliciosos. Los tipos de códigos maliciosos más comunes son: caballos de Troya, virus, gusanos, bombas de tiempo y keyloggers. Caballos de Troya: Es un programa aparentemente útil que contiene funciones escondidas y además pueden explotar los privilegios de un usuario dando como resultado una amenaza hacia la seguridad. Un caballo de Troya es más peligroso que un administrador del sistema o un usuario con ciertos privilegios, ya que se introducen al sistema bajo una apariencia totalmente diferente a la de su objetivo final; esto es, que se presente como información perdida o basura, sin ningún sentido. Pero al cabo de algún tiempo, y esperando la indicación del programa, despierta y comienzan a ejecutarse y a mostrar sus verdaderas intenciones. También pueden aparentar ser un programa de juegos o entretener al usuario mostrando pantallas de espectáculos y sonidos agradables, mientras realizan operaciones dañinas para el sistema. 36 Virus Un virus informático es un programa informático malicioso que cuando una persona confiada lo ejecuta, lleva a cabo tareas que incluyen fundamentalmente reproducirse a sí mismos y en algunos casos desplegar una carga dañina. Las principales formas de propagación son: ● Medios de difusión externos: cualquier dispositivo de almacenamiento que puede contener un archivo de ordenador, como DVD, o CD, y pueda conectarse o insertarse en una computadora. ● Conexión a la red: Una red es un grupo de ordenadores conectados entre sí para poder intercambiar datos. Internet, que es la fuente virus más común, hoy en día, es una gran red. Los virus pueden usar la conexión de computadora a computadora. ● Las tres vías de propagación más ampliamente conocidas son: un archivo anexo o adjunto al correo electrónico, una transferencia FTP, TELNET, otros servicios web; y descargar un archivo infectado desde una página web, etc. Gusanos: Son programas que se reproducen a sí mismos y no requieren de un anfitrión, pues se arrastran literalmente por todo el sistema sin necesidad de un programa que los transporte. Los gusanos se cargan en la memoria y se posicionan en una determinada dirección, luego se copian en otro lugar y se borran del que ocupaban, y así sucesivamente, esto hace que queden borrados los programas o información que encuentran a su paso por la memoria, lo que causa problemas de operación o pérdida de datos. Los gusanos frecuentemente se propagan de una computadora a otra a través de las conexiones de la red. Los gusanos con frecuencia roban, destruyen o modifican datos en una computadora. Los gusanos tienen como única misión la de colapsar cualquier sistema, ya que son programas que se copian en archivos distintos en cadena hasta crear miles de réplicas de sí mismos. Bombas de Tiempo: son programas ocultos en la memoria del sistema o en los discos, dentro de archivos de programas ejecutables con extensión .COM o .EXE. Esperan una fecha o una hora para explotar. Algunos de estos virus no son destructivos y sólo exhiben mensajes en la pantalla al llegar el momento de la explosión. Llegado el momento, se activa cuando se ejecuta el programa que las contiene. 37 Keyloggers: los Keyloggers son programas para el espionaje que plantean muchos problemas éticos y legales. La función del Keyloggers es registrar todas las pulsaciones del teclado en un archivo del sistema para luego proceder a su lectura, de esta manera todo lo que se haya escrito, como nombres de usuario o contraseñas queda registrado en un archivo. 1.6.9 Sistema Gestión de Seguridad de la Información - SGSI Goméz A. (2007) afirma: “Un Sistema de Gestión de la Seguridad de la Información (SGSI) consiste en un conjunto de políticas y procedimientos que normalizan la gestión de la seguridad de la información, bien de toda una organización o bien de uno o varios de sus procesos de negocio”. (p.18) Es importante tener siempre en mente que por Seguridad de la Información se entiende el triple vector de confidencialidad, integridad y disponibilidad de la misma. Un SGSI debe abordar de forma integral estas tres vertientes. Existen diversos estándares, marcos de trabajo o metodologías para implantar y mantener un SGSI, pero sin duda, la más socorrida es la serie ISO 27000. Este estándar internacional comprende todo un conjunto de normas relacionadas con la Seguridad de la Información, de entre las que destacan las más conocidas: la ISO 27001 y la ISO 27002. ¿Qué información protege un SGSI? Los activos de información de una organización, independientemente del soporte que se encuentren; p. ej., correos electrónicos, informes, escritos relevantes, páginas web, imágenes, documentos, hojas de cálculo, faxes, presentaciones, contratos, registros de clientes, información confidencial de trabajadores y colaboradores. 38 El SGSI da así la garantía a la empresa de que los riesgos que afectan a su información son conocidos y gestionados. No se debe olvidar, por tanto, que no hay seguridad total sino seguridad gestionada. 1.6.10 Gestión de Riesgos Mediante la gestión del riesgo se identifican, evalúan y corrigen a niveles razonables y asumibles en coste todos los riesgos en seguridad que podrían afectar a la información. Básicamente, la seguridad de la información es parte de la gestión global del riesgo en una empresa, hay aspectos que se superponen con la ciberseguridad, con la gestión de la continuidad del negocio y con la tecnología de la información: Figura 15. ISMS Framework. DMR-Consulting (2005): “Proponen un método llamado Administración del Riesgo Operacional (ARO), cuyo objetivo principal es operativizar una metodología de trabajo, incorporando los indicadores necesarios”. 1.6.10.1 Normatividad a. Políticas 39 ●¿qué proteger?, ¿por qué? ●simples de entender y fáciles de recordar b. Procedimientos ●Documentos que contienen el ¿quién? ¿cuándo? ¿cómo? de la seguridad información dentro de la organización. Las normas dictadas en la elaboración de la política de seguridad, en algunos casos de forma concreta y en otros de forma más abstracta, pero igualmente concluyentes, han de materializarse en una serie de procedimientos y normas a seguir en la operación y mantenimiento de las tareas diarias del MEC, al menos en lo relacionado con las actividades que de una forma u otra tienen que ver con Internet. 1.6.11 Seguridad de la Red Cisco, (2004): “El Administrador de la red es el encargo de la configuración, fallas, confiabilidad, comportamiento y seguridad en la red” (p.25) 1.6.11.1 Red Plana sin seguridad Hernández y Huerta (2014), afirman: Se considera una red de topología plana, a la red compuesta únicamente por switches o hubs (actualmente ya no se utilizan los hubs debido a la baja velocidad de funcionamiento y las altas probabilidades de colisiones llegando a provocar deterioro e incluso comprometiendo la operación de la red), una de las razones por las cuales se sigue ocupando esta topología a pesar de los inconvenientes, es la facilidad y el bajo costo de implementación ya que todos los host están ubicados en la misma red; por lo tanto, la adición de un nuevo host o de otro dispositivo es relativamente fácil. (p. 78) Las características de una red de comunicaciones sin seguridad son: ● Red plana sin segmentar. ● Publicación de servicios internos: base de datos. ● No hay elementos de monitorización. 40 ● No se filtra tráfico de entrada ni salida. ● No se verifica malware o spam en el correo electrónico. ● Cliente remotoaccede directamente a los servicios. Figura 16. Red Plana sin Seguridad 1.6.11.2 Seguridad Perimetral Tirado (2012), en su tesis SISTEMA DE SEGURIDAD PERIMETRAL INSTALACION Y CONFIGURACION DE ENDIAN FIREWALL: “Es el Agregado de Hardware, Software y políticas para proteger una red en la que se tiene confianza (intranet) de otras redes en las que no se tiene confianza (extranet, internet)”. Las múltiples amenazas y puntos de vulnerabilidad de los sistemas de información hacen obligatorio que las empresas cuenten con todos los recursos de seguridad necesarios para proteger sus negocios. Proteja su información, sus redes, sus datos, sus aplicaciones de los diferentes delitos informáticos y todo tipo de malware existente. Actualmente es necesario contar con una arquitectura de red con múltiples dispositivos físicos hardware y software tales como 41 La arquitectura y elementos de red que proveen de seguridad al perímetro de una red interna frente a otra que generalmente es Internet: ● Cortafuegos. ● Sistemas de Detección y Prevención de Intrusos. ● Pasarelas antivirus y antispam. ● Honeypots. Figura 17. Seguridad Perimetral en Redes 42 Figura 18. Casos de éxito de Seguridad informática. 43 1.6.12 Empresa 1.6.12.1 Cortez SAC. La empresa Cortez SAC, es la institución que brinda servicios especializados en seguridad informática y redes a clientes empresariales que pertenecen al sector público y privado a nivel nacional. Son ingenieros freelance que ofrecen servicios a grandes operadores de servicios de telecomunicaciones. 1.6.12.2 Área de Implementación de proyectos de seguridad Lo integran Ingenieros especializados en Redes y Seguridad Informática, cumplen dos funciones: implementar proyectos de seguridad y soporte en la actualización de políticas en los equipos de seguridad perimetral. 1.6.12.3 Área de Ventas Conformado por personal administrativo con conocimientos técnicos básicos para establecer negociación y proponer a los clientes nuevos activos tecnológicos de seguridad informática. 1.6.12.4 Área de Post-venta Conformado por Ingenieros, con conocimientos de redes y seguridad informática, que residen en los locales de los clientes para brindar soporte técnico y mantenimiento de los equipos existentes. 44 1.7 Hipótesis General La aplicación de buenas prácticas en seguridad de la información permite gestionar adecuadamente los proyectos de seguridad informática perimetral en los centros de datos de clientes empresariales. 1.7.1 Hipótesis Específicas de Investigación 1 A. Hipótesis específicas 1 (HE1) La aplicación de la Norma ISO 27001 permite gestionar adecuadamente la Seguridad de la Información en los centros de datos de clientes empresariales. B. Indicador 1: Indicador: Gestión de Riesgos de Seguridad Informática Ia1: Gestión de Riesgos de Seguridad Informática antes de aplicar la Norma ISO 27001. Id1: Gestión de Riesgos de Seguridad Informática después de aplicar la Norma ISO 27001. C. Hipótesis Estadística 1: Hipótesis Nula (H0): La aplicación de la Norma ISO 27001 no permite gestionar adecuadamente la Seguridad de la Información en los centros de datos de clientes empresariales. H0 = Ia1 – Id1 ≥ 0 Hipótesis Alternativa (HA): La aplicación de la Norma ISO 27001 permite gestionar adecuadamente la Seguridad de la Información en los centros de datos de clientes empresariales. 45 HA = Ia1 – Id1 < 0 Se deduce que el indicador con la Norma ISO 27001 es mejor que el indicador sin la Norma ISO 27001. 46 1.7.2 Hipótesis Específicas de Investigación 2 A. Hipótesis específicas 2 (HE2) El control de los accesos a los servicios informáticos externos e internos, permite proteger la red perimetral contra amenazas e intrusiones en los centros de datos de clientes empresariales. B. Indicador 1: Indicador: Diseño de la Red Perimetral Ia1: Diseño de la red perimetral antes de aplicar la Norma ISO 27001. Id1: Diseño de la red perimetral después de aplicar la Norma ISO 27001. C. Hipótesis Estadística 2: Hipótesis Nula (H0): La aplicación de la Norma ISO 27001 no permite el diseño de la red perimetral en los centros de datos de clientes empresariales. H0 = Ia2 – Id2 ≥ 0 Hipótesis Alternativa (HA): La aplicación de la Norma ISO 27001 permite el diseño de la red perimetral en los centros de datos de clientes empresariales. HA = Ia2 – Id2 < 0 Se deduce que el indicador con la Norma ISO 27001 es mejor que el indicador sin la Norma ISO 27001. 47 48 CAPÍTULO II MATERIALES Y MÉTODOS 49 2. MATERIALES Y MÉTODOS 2.1 Materiales 2.1.1 Personal ● Jorge Aliaga, asistente de red seguridad de la empresa Editora del Perú. CCNA y CCNA Security? (Cliente 1) ● Juan Valderrama, asistente de red y seguridad de la empresa El Rocío. CCNA y CCNA Security? (cliente 2) ● El Sr. Alejandro Cortez, Supervisor de redes y seguridad perteneciente a CORTEZ SAC y que brinda soporte a los dos clientes. CCNA SECURITY, CCSA, CCSP, NSE4, ITI, CompTIA Securtity 2.1.2 Materiales Se usaron herramientas y servicios de uso libre y licenciado, disponible en la nube o instalado en estaciones clientes: ● Herramientas ofimáticas: Google Apps. ● Herramientas ofimáticas: Microsoft Office. ● Herramientas de diagramación: Microsoft Visio ● Servicios de videoconferencia: Google Hangouts. ● Correo electrónico: Gmail. 2.1.3 Tiempo El plan de trabajo consideró las siguientes actividades que se muestran en la tabla 2.x 50 Tabla 1 Cronograma de actividades piloto EP-ER ACTIVIDAD TIEMPO ENTREGABLE 1. Identificar problema cliente 1 2d Entrevista de campo 2. Identificar problema cliente 2 4d Entrevista de campo (Trujillo) 3.Análisis del problemas en clientes 2d Lista de problemas de seguridad y redes 4.Análisis de problemas a nivel interno 3d Lista de gaps en equipos de seguridad y redes 5.Resumen de problemas y soluciones 2d Matriz de problema, gaps y soluciones probables 6.Diseño funcional-técnico de la solución 15d Buenas prácticas en seguridad informática perimetral, SGSI, ISO 27001, ISO 27002 7. Presentar propuesta 4d Propuesta funcional y técnico de la solución 8. Evaluar propuesta 2d Aprobar propuesta 9. Aplicar propuesta en cliente 5d Checklist PHVA 10. Presentar resultados 3d Resultados 11.Mejorar propuesta 2d Propuesta mejorada 12. Aprobar propuesta 1d Propuesta aprobada 13. Desplegar solución a nivel interno 2d Implementación de equipos de seguridad y redes 14.Desplegar solución en clientes 5d Capacitación y entrenamiento en seguridad y redes a clientes 15. Cierre del piloto 2d Lecciones aprendidas, VB de clientes, VB de equipo interno Fuente: Elaboración propia 51 2.1.4 Equipamiento 2.1.4.1 Equipo Firewall Figura 19. Cortafuegos FORTINET 2.1.5 Situación y exigencia del problema Se visitaron los data center de los clientes elegidos, Lima y Trujillo. Se requiere validar la mayor cantidad de problemas técnicos relacionados a seguridad y redes, por eso se viajó a Trujillo para analizar los problemas que se presentan en el cliente-2 que tiene las arquitecturas de redes WAN y LAN más complejas y extensas, a las que damos servicios. 2.2 Métodos 2.2.1 Procedimientos o Métodos Se usaron los siguientes procedimientos y métodos: ● Normas ISO 27001 ● Normas ISO 27002. ● Modelo SGSI. 2.2.2 Diseño de Investigación De acuerdo al propósito de la investigación, naturaleza de los problemas y objetivos formulados en el trabajo, el presente estudio reúne las condiciones suficientes para ser calificado como un "Trabajo de Investigación Aplicado". Es No Experimental. 2.2.2.1 No Experimental La investigación no experimental es aquella que se realiza sin manipular deliberadamente variables. Se basa fundamentalmente en la observación de fenómenos tal y como se dan en su contexto natural para analizarlos con posterioridad. Eneste tipo de investigación no hay condiciones ni estímulos a los cuales se expongan los sujetos del estudio. Los sujetos son observados en su ambiente natural. 52 2.2.3 Tipo de Investigación De acuerdo al propósito de la investigación, naturaleza de los problemas y objetivos formulados en el trabajo, el presente estudio reúne las condiciones suficientes para ser calificado como un "Trabajo de Investigación Aplicado". Es Descriptiva y Analítica 2.2.3.1 Descriptiva Es descriptiva porque, se describió la situación actual de la gestión de proyectos de seguridad informática en las empresas EEP y ER. Se seleccionó los componentes del problema a investigar y se recolectó la información sobre cada uno de ellos, para así describir el tema del estudio. 2.2.3.2 Analítica La información obtenida mediante la descripción de la situación actual de los proyectos de implementación de seguridad informática perimetral, permitió evaluar los equipos de seguridad informática adecuados con la necesidad del cliente, asimismo, permitió analizar los parámetros de configuración requeridos para considerarlos dentro de las Políticas de Seguridad Informática Perimetral. 2.2.4 Enfoque de investigación El enfoque de la investigación será mixto, cualitativo y cuantitativo: Según Hernández, Fernández & Baptista, (2014): Cuantitativo porque consiste en utilizar la recolección y el análisis de datos para contestar preguntas de investigación y probar la hipótesis establecida previamente, y confía en la medición numérica, el conteo para establecer con exactitud patrones de comportamiento en una población Se tomará el enfoque cualitativo porque se pretende obtener la recolección de datos para conocer o medir el fenómeno en estudio y encontrar soluciones para la misma; la cual trae consigo la afirmación o negación de la hipótesis establecida en dicho estudio. 53 2.2.5 Delimitación y definición de la población de estudio La seguridad informática perimetral, puede analizarse revisando tres aspectos técnicos: ● Diseño de la red perimetral. ● Equipos de seguridad perimetral instalados. ● Configuración del Firewall. Para analizar la situación real será necesario entrevistar a los responsables de seguridad de los clientes para conocer la situación actual. La investigación se hará en clientes empresariales que residen en Lima y Trujillo. 2.2.5.1 Población y Muestra Población La población en estudio comprende 08 clientes empresariales se brinda servicios de seguridad informática a sus centros de datos, ahí interactúan 16 usuarios técnicos y 8 gerentes de TI. Nuestro equipo está conformado por 1 ingeniero de Redes y Seguridad Informática. La población total estimada es de 32 personas. Muestra Analizaremos dos proyectos de implementación de la red perimetral en los clientes "Empresa Editora del Peru" y "El Rocío". (El proyecto-1 sin buenas prácticas y el proyecto-2 migración con buenas prácticas). 2.2.6 Aplicar criterios para seleccionar muestra de estudio 2.2.6.1 Técnicas de recolección de datos a. Entrevista La entrevista se utilizó para profundizar en la búsqueda de la información técnica sobre el tema en estudio, mediante preguntas específicas realizadas al responsable de seguridad informática del cliente, temas como diseño de la red perimetral, configuración del 54 Firewall, configuración de equipos reemplazados vs configuración de los equipos nuevos. b. Observación Directa Mediante esta técnica, se realizaron visitas a cada data center para revisar la configuración física y lógica de los equipos y componentes de seguridad, según los estándares del fabricante y alineado a las buenas prácticas en Seguridad de la Información. 2.2.7 Variables ● Variable independiente: Buenas prácticas en Seguridad de la Información. ● Variable dependiente: Seguridad Informática Perimetral. 2.2.7.1 Definición Operacional de las Variables Con respecto a las Buenas prácticas en Seguridad de la Información, se escogieron tres indicadores basados en la Norma ISO 27001: ● Gestión de Riesgos de Seguridad Informática. ● Políticas y Procedimientos de Seguridad Informática. ● Equipos Certificados en Seguridad Informática. Con respecto a la Seguridad informática Perimetral, se eligieron dos indicadores que hacen posible la gestión por parte del asistente de seguridad: ● Diseño de la red perimetral. ● Configuración del Firewall. La aplicación de estos cinco indicadores permite al área de seguridad y redes gestionar la seguridad informática perimetral de manera integral. 55 Tabla 2. Definición Operacional de las Variables Fuente: Elaboración propia 2.2.8 Criterios de inclusión y exclusión Debido a la variedad y complejidad de modelos de equipos cortafuegos, se optó por incluir en la muestra al equipo Fortinet FG-100D, FG-800C y los parámetros de configuración que corresponden a Políticas del Cortafuegos incluidas el filtrado web, filtrado de aplicaciones, antivirus e IPS. El resto de equipos y parámetros de configuración no se consideran. 2.2.8.1 Criterios de Inclusión ● Equipos cortafuegos Fortinet, modelo FG-100D y FG 800C ● Parámetros de configuración de políticas del cortafuego de seguridad perimetral. 2.2.8.2 Criterios de Exclusión Todos los equipos cortafuegos que no son de la marca Fortinet. Todos los equipos marcan Fortinet que no del modelo FG-100D Y FG- 800C 56 Se excluyen todos los parámetros de configuración que no corresponden a Políticas del cortafuego para seguridad perimetral. 2.2.9 Análisis de confiabilidad del instrumento de investigación Para (Juan Bogliaccini, 2005), la determinación de la confiabilidad de un instrumento es útil para los investigadores ya que no solo ayuda a interpretar un resultado, sino porque proporciona sugerencia si se necesitan modificaciones del instrumento. Según Kerlirger, citado por Roberto Marroquín Peña, define la confiabilidad como el grado en que un instrumento produce resultados consistentes y coherentes. Es decir, que en su aplicación repetida al mismo sujeto u objetos produce resultados iguales. En la presente investigación se contó con el apoyo de 3 expertos, los cuales evaluaron la validez del instrumento llamado reporte mensual en donde se observan cada información relevante para la medición de los indicadores de las variables relacionadas, así mismo, la matriz de operacionalización de la variable, cuyos resultados obtenidos, según el formato de validación de instrumento. 2.2.10 Análisis de validez del instrumento de investigación La validez del contenido generalmente se evalúa a través de un papel o juicio de expertos, y en muy pocas ocasiones la evaluación está basada en datos empíricos. Es por ello que el juicio de expertos en muchas áreas es una parte importante de la información cuando las observaciones experimentales están limitadas. El juicio de expertos es el conjunto de opiniones, valoraciones y recomendaciones basadas sobre la experiencia y conocimiento de una elite experta para desarrollar visiones a largo plazo; evaluar la validez, factibilidad o deficiencias de los elementos o etapas de un proyecto; y obtener parámetros o mediciones ciertos, bajo la premisa de que las diversas opiniones combinadas entre sí proponen mejores resultados que una sola opinión. (Anónimo, 2010). 57 CAPÍTULO III RESULTADOS 58 3. RESULTADOS 3.1 Aplicación de la Norma ISO 27001 Es la norma principal de la serie y contiene los requisitos del Sistema de Gestión de Seguridad de la Información. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005 para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI. 3.2 Aplicación de la Norma ISO 27002 La ISO27002 consiste en una guía de buenas prácticas que permiten a las organizaciones mejorar la seguridad de su información. Con este fin, define una serie de objetivos de control y gestión que deberían ser perseguidos por las organizaciones. Éstos se hallan distribuidos en diferentes dominios que abarcan de una forma integral todos los aspectos que han de ser tenidos en cuenta por las organizaciones. Dominios de la ISO 27002 ● Los dominios que estructura la ISO 27002 son once (11): ● La política de seguridad. ● Los aspectos organizativos de la seguridad de la información. ● La gestión de activos. ● La seguridad ligada a los recursos humanos. ● La seguridad física y ambiental. ● La gestión de las comunicaciones y de las operaciones. ● Los controles de acceso a la información. ● La adquisición, desarrollo y mantenimiento de los sistemas de información. ● La gestión de incidentes en la seguridad de la información. ● La gestión de la continuidad del negocio. ● Los aspectos de cumplimiento legal y normativo. 3.3 Diseño de la Red Perimetral Las directivas marcadas por la política de seguridad definida, nos fuerzan a diseñar nuestra red como dos perímetros claramente definidos. 59 Un perímetro interior, en el que se situarán todos los recursos sensibles a un posible ataque, aislado del perímetro exterior donde se situarán los recursos menos sensibles, o que inevitablemente por motivos funcionales deban estar en contacto con el mundo exterior de forma menos rígida. El perímetro interior está aislado o protegido del perímetro exterior y del resto de Internet, por medio de un dispositivo en el que se centralizan la mayoría de las medidas: el firewall. Figura 20. Red Perimetral. En un ambiente con firewall se tiene lo siguiente: ● Protección de información privada: Define que usuarios de la red y qué información va a obtener cada uno de ellos. ● Optimización de acceso: Define de manera directa los protocolos a utilizarse. ● Protección de intrusos: Protege de intrusos externos restringiendo los accesos a la red. Un creciente porcentaje de los llamados “ataques basados en contenido” como virus, gusanos y caballos de Troya son introducidos en organizaciones a través de las actividades más inocuas como la navegación Web. Esta tendencia continuará en tanto las organizaciones sigan adoptando esquemas de comunicación en tiempo real como aplicaciones Web y mensajería instantánea para mantenerse competitivos. Desafortunadamente, los sistemas de protección convencionales como los firewalls tradicionales carecen del hardware requerido para llevar a cabo un análisis intensivo de los paquetes de 60 datos y contenido, necesarios para detectar estas amenazas sin afectar el desempeño de las aplicaciones de red. Como resultado la mayoría de las organizaciones están expuestas peligrosamente a estos ataques. Es la solución de administración unificada de amenazas en tiempo real que le ofrece la mayor protección a su red de datos, utilizando la última generación en Sistemas de Seguridad FortiGate de Fortinet, ofreciendo un rango completo de protecciones: firewall, VPN, detección y prevención de intrusos, administración de ancho de banda, antivirus de borde, antispam y filtrado de contenido web. Figura 21. Topología Propuesta. 3.4 Selección de equipos de Seguridad Perimetral 3.4.1 Equipo Firewall Es la herramienta fundamental que nos va a permitir implementar el modelo de seguridad definido por la política de seguridad es un dispositivo que se sitúe entre el perímetro interior y el exterior de nuestra red. A este dispositivo, tradicionalmente, en la jerga informática se le denomina firewall (en 61 castellano es cortafuegos. Dado que es el componente más crítico e importante en todo el diseño del sistema de seguridad, la elección de este elemento debe ser muy concienzuda. Generalizando un poco, los firewalls se pueden dividir en tres grandes categorías: a. Firewalls basados en filtrado de paquetes Son aquellos dispositivos que estando conectados a ambos perímetros (interior y exterior), dejan pasar a su través paquetes IP en función de unas determinadas reglas. Estos firewalls conceptualmente trabajan a nivel de red, y son capaces de filtrar tráfico en función de direcciones de IP, protocolos, y números de puerto de TCP o UDP. b. Firewalls basados en proxies Son aquellos dispositivos que estando conectados a ambos perímetros (interior y exterior), no dejan pasar a su través paquetes IP. Esto en jerga informática se denomina ip-forwarding desactivado. La comunicación se produce por medio de programas denominados proxies, que se ejecutan en el firewall. Este tipo de sistemas también se denominan bastion host. Desde el punto de vista conceptual, este tipo de firewalls funciona a nivel de aplicación. c. Firewalls con transparencia o de tercera generación Recientemente han aparecido en el mercado dispositivos que van un paso más allá en la tecnología de firewalls. Se trata de los firewalls de tercera generación o transparentes. La característica primordial de estos sistemas es que admiten paquetes no destinados a ellos mismos, de forma similar a como lo hacen los routers, y en función de una serie de reglas y configuraciones, son capaces de arrancar los proxies correspondientes automáticamente y conectar con el destinatario inicial. 3.4.2 Comparativo de equipos Firewall Los equipos se deben seleccionar de acuerdo a las siguientes características que se encuentra en la red del cliente: 62 Ancho de banda total (puede ser de uno o más enlaces con los que cuente el cliente) Cantidad de usuarios Cantidad de sesiones Que actividades realiza la empresa Con que equipos de seguridad cuenta En el caso de migración de un equipo de seguridad de otra marca se deberá verificar las funcionalidades que tiene el equipo para así demostrar el cliente que nuestro equipo fortinet lo tiene o cumple de otra forma. Tabla 3 Comparativo de Marcas de Firewall Fuente: Recuperado de: www.apesoft.org Tabla 4 Características y Costos de Equipos Firewall CARACTERISTICA DEFINICIÓN PRECIO APROXIMADO Firewall Throughput Tráfico que puede soportar el firewall $< $5000 IPS/NGFW Throughput Velocidad en la que el firewall puede inspeccionar el tráfico de entrada $$< entre $5000 - $15000 Antivirus Velocidad a la que el servidor $$$ entre $15000 - 63 Throughput de seguridad puede inspeccionar el tráfico entrante con Antivirus habilitado. $25000 Switch Ports Número de puertos 1GE & 10GE $$$$ > $ 25000 Certifications Industria certificaciones de terceros para la seguridad otorgan al producto. Fuente: Elaboración propia 3.4.3 Solución de equipo Firewall elegido Forticare Soporte 24x7 en casi todo el mundo Los productos fortinet reciben el apoyo técnico por Forticare con personal de apoyo en las Américas, Europa, Medio Oriente y Asia forticare ofrece múltiples opciones para Forticare contratos a medida para que puedan recibir el apoyo adecuado a las necesidades de su organización Forticare 1-866-648-4638 64 3.4.4 Configuración del Firewall Figura 22. Top Selling Models Matrix 65 3.5 Resultados de la implementación Tabla 5 Procesos as-is (actual) y procesos to-be (futuro) VENTAS IMPLEMENTACIÓN PROYECTO TÉCNICOS POST VENTA ENTREGABLE 1. Atender pedido cliente RFC, incidente 2. Solicitar evaluación técnica 3. Atender a Ventas 3.1 Asignar especialista 3.2 Evaluar necesidad de cliente 3.3 Validar características técnicas Topología actual Proyección de crecimiento Sesiones concurrentes Evaluar arquitectura Ficha técnica: topología sugerida 3.4 Preparar informe de recomendación de equipos SOW FICHA TECNICA 4. Negociar con cliente 4.1 Revisar informe de recomendación de equipos 4.2 Iniciar cotización 4.3 Venta
Compartir