Profesional Desarrollo de proyecto

Nombre: Angel Fernndez Ponce Nombre del curso: Bases de la infraestructura tcnica y protecci n de acti!os de infor"aci n Mdulo: '(- )eguridad de la infor"aci n Fecha: *8-Agosto-1+ Bibliografa:

Matrcula:2698191-9 Nombre del profesor: #sar Augusto $art%nez #ant&

Actividad: Proyecto final

,)A#A( -2**./( $anual de Preparaci n al 01a"en #,)A 2**.( $1ico: ,)A#A( 0#-#ouncil( -2**./( 0#-#ouncil )ecurity 2 )ecurity Foundations(

345eti!o: 6esarrollar a tra!s de un caso prctico los conoci"ientos aprendidos durante el curso7 so4re la infraestructura de las 8, y la seguridad de esta incluyendo todas sus redes7 aplicare"os lo aprendido para dar su soluci n a pro4le"as tcnicos de una e"presa en este caso lla"ada Fonel#orp( ,ntroducci n: Fonel#orp es una e"presa 9ue !ende su"inistros electr nicos7 tiene una gran cantidad de sucursales en la repu4lica y en !arios pa%ses7 genera una gran cantidad de utilidades y da e"pleo a un gran n&"ero de personas7 pero :a tenido 4a5as econ "icas de4ido al "al uso de su siste"a operati!o y tcnico7 de4ido a 9ue se :an creado errores en sus !entas por internet e ineficiencias por parte del personal de4ido a 9ue no se tiene un control adecuado de sus tareas y procedi"ientos por su anticuado )37 Fonel#orp 9uiere :acer un ca"4io para contar con los recursos necesarios y el e9uipa"iento para tener "ayor eficacia en su e"presa y 9ue el departa"ento de 8, crezca y se agilice7 uno de los pro4le"as a resol!er es 9ue el presupuesto para 8, :a ido decreciendo pero se propondrn "e5oras en sus siste"as para generar "ayores ganancias y "e5or ser!icio(

Profesional Desarrollo de proyecto

6esarrollo de proyecto: 0n este aparatado propondre"os "e5oras del )3 de Fonel#orp para poder actualizar este y 9ue la e"presa este conectada con "ayor facilidad entre esta7 as% co"o para incre"entar la calidad del ser!icio de !entas( Propuesta de configuraci n de red y protocolo a utilizar( ;na red es un con5unto de dispositi!os interconectados f%sica"ente7 ya sea !%a al"4rica o inal"4rica7 9ue co"parten recursos y 9ue se co"unican entre si a tra!s de reglas -protocolos/ de co"unicaci n( )eg&n su topolog%a las redes se di!iden en: < Anillo: los "ensa5es se "ue!en de nodo a nodo en una sola direcci n cada !ez( Per"ite !erificar 9ue el "ensa5e :a sido reci4ido( < 0strella: usa el "is"o "todo de en!%o y recepci n de "ensa5es 9ue un siste"a telef nico( < Bus: cada co"putadora esta conectada a un seg"ento co"&n de ca4le de red( 0l seg"ento de red se coloca co"o un 4us lineal( 0l ca4le es un seg"ento continuo( = seg&n su rea en: < >A?: es una red de co"unicaciones utilizada por una sola organizaci n a tra!s de una distancia li"itada7 9ue per"ite a los usuarios co"partir infor"aci n y recursos co"o: espacio en disco duro7 i"presoras7 #6 @3$7 etc( < $A?: es una red de alta !elocidad -4anda anc:a/ 9ue da co4ertura en un rea geogrfica e1tensa7 proporciona capacidad de integraci n de "&ltiples ser!icios "ediante la trans"isi n de datos7 !oz y !%deo7 so4re "edios de trans"isi n tales co"o fi4ra ptica y par trenzado -$A? B;#>0/7 la tecnolog%a de pares de co4re se posiciona co"o la red "as grande del "undo una e1celente alternati!a para la creaci n de redes "etropolitanas(

Profesional Desarrollo de proyecto

< AA?: es un tipo de red de co"putadoras capaz de cu4rir distancias desde unos 1** :asta unos 1*** B"7 pro!eyendo de ser!icio a un pa%s o un continente( >a propuesta para Fonel#orp es interconectar y centralizar toda la infraestructura de redes de la e"presa con una red AA? con topolog%a estrella para e1tenderse so4re una "ayor rea geogrfica y contar con un nodo central 9ue ser%a el ser!idor central7 para poder interca"4iar y procesar infor"aci n del :ost con todas las >A?7 con esto se o4tendr%a el poder co"partir recursos7 e9uipos7 infor"aci n y progra"as 9ue se encuentran local"ente o dispersos geogrfica"ente7 4rindar confia4ilidad a la infor"aci n disponiendo de alternati!as de al"acena"iento y seguridad de esta7 trans"itir infor"aci n entre usuarios distantes de la "anera "as rpida( 0l protocolo ser el lengua5e -con5unto de reglas for"ales/ 9ue per"itir co"unicar nodos -co"putadoras/ entre s%( Al encontrar un lengua5e co"&n no e1istirn pro4le"as de co"pati4ilidad entre ellas( 01isten !arios tipos de protocolos7 algunos de ellos son: < C88P: -Cyper8e1t 8ransfer Protocol/( Protocolo usado para acceder a la Ae4 -DDD/( )e encarga de procesar y dar respuestas a las peticiones para !isualizar una pgina De4( < F8P: -File 8ransfer Protocol - Protocolo de transferencia de arc:i!os/( 0s ideal para transferir grandes 4lo9ues de datos por la red( Per"ite en!iar o reci4ir cual9uier tipo de arc:i!os :acia o desde un ser!idor( < 8#P: -8rans"ission #ontrol Protocol - Protocolo de #ontrol de 8rans"isi n/( )e trata del protocolo "s usado de internet( < P3P+: -Post 3ffice Protocol + - Protocolo + de #orreo/( 0s un protocolo estndar para reci4ir "ensa5es de e-"ail( >os "ensa5es de e-"ails en!iados a un ser!idor7 son al"acenados por el ser!idor pop+( #uando el usuario se conecta al "is"o -sa4iendo la direcci n P3P+7 el no"4re de usuario y la contraseEa/7 puede descargar los fic:eros(

Profesional Desarrollo de proyecto

0l protocolo "s con!eniente en este caso ser el 8#P7 el cual to"a lugar entre dos siste"as 9ue se 9uieren co"unicar antes de en!iar cual9uier dato( 0ste ayudar%a de gran for"a a la e"presa7 ya 9ue tendr%an co"unicaci n entre su central7 se ad9uirir un )3 centralizado para toda la e"presa7 para "e5orar la co"unicaci n con la central7 este )3 9ue este diseEado para 4rindar una platafor"a "s producti!a para todo el e9uipo de tra4a5o7 y 9ue sea capaz de crear aplicaciones eficaces y protecci n de datos as% co"o seguridad y fcil ad"inistraci n para el desarrollo y alo5a"iento confia4le de aplicaciones y ser!icios red7 ta"4in donde los usuarios puedan tra4a5ar cola4orati!a"ente o4teniendo un acceso seguro y co"partido7 pero cada 9uien con su usuario y contraseEa para e!itar el "al uso de este7 se de4en de 4lo9uear las paginas a5enas a la e"presa7 co"o las redes sociales o c:ats7 #on este protocolo se per"itir el flu5o de infor"aci n segura y rpida entre e9uipos conectados en la "is"a red( Propuesta de pol%ticas de seguridad >a pol%tica representa el "arco de referencia para la realizaci n de las acciones 9ue se de4en e"prender en una e"presa en un periodo de tie"po( >a pol%tica de4e incluir tres cosas: F9ue de4e"os :acer7 co"o :acer para llegar a :acerlo7 y la "edida e"pleada para e!aluar lo 9ue :e"os :ec:oG( >a seguridad es la ausencia de riesgo o ta"4in a la confianza en algo o alguien( >as pol%ticas de seguridad se ela4oraran to"ando co"o 4ase la cultura de la organizaci n y el conoci"iento especializado de seguridad de los profesionales in!olucrados con su aplicaci n7 se de4e contar principal"ente con confidencialidad7 integridad7 disponi4ilidad7 no repudio y autenticidad( )e tiene 9ue to"ar en cuenta la capacitaci n de los e"pleados respecto a 8,7 tratar de "ini"izar los errores y descuidos7 :ay 9ue tra4a5ar sie"pre de "anera segura7 to"ar en cuenta las 4ases y pol%ticas "%ni"as a seguir en "ateria de configuraci n y ad"inistraci n de la tecnolog%a(

Profesional Desarrollo de proyecto

0ste con5unto de nor"as "arcara la for"a en la 9ue "e "ane5ara la infor"aci n de Fonel#orp co"prendiendo todos los ele"entos de la red7 siste"a7 control de !ulnera4ilidades7 acceso7 etc( Cay 9ue desarrollar un plan para la identificaci n de pro4le"as7 el anlisis de la seguridad en los e9uipos y la re!isi n constante de estos7 actualizando sie"pre los progra"as y anti!irus( Accesos seguros con contraseEas co"ple5as( @edes encriptados( @edes inal"4ricas con seguridad( Acceso a carpetas con per"isos( )eguridad centralizada( FireDalls para e!itar ro4o de infor"aci n7 acceso de :acBers7 etc( Antispa"7 para e!itar el correo 4asura( Anti!irus con actualizaciones auto"ticas( )iste"as de detecci n de intrusos o de generaci n de tra"pas( $onitoreo de la red( @espaldos de la infor"aci n de "anera diaria7 en cintas7 fuera de la oficina7 en "&ltiples sitios7 etc( Prue4as de ata9ues( Blo9ueo de pginas7 redes sociales y c:ats a5enos a la e"presa( 3utlooB

Profesional Desarrollo de proyecto

$anteni"ientos "ensuales7 actualizaciones y reconfiguraci n seguridad a todos los ni!eles(

de

?o a4rir correos7 linBs o descargas sospec:osas o desconocidas( ?o dar infor"aci n personal o de la e"presa a sitios o personas a5enas a esta(

;tilizar paginas seguras( A"4iente cli"tico e1clusi!o a los cuartos de co"putadoras( $anual de respuesta a incidentes

;n incidente es una circunstancia o suceso 9ue sucede de "anera inesperada y 9ue puede afectar al desarrollo de un asunto o negocio( ;n pro4le"a es una dif%cil situaci n o un con5unto de :ec:os o circunstancias 9ue dificultan la consecuci n de alg&n fin( ;n ata9ue es un e!ento7 e1itoso o no7 9ue atenta so4re el 4uen funciona"iento del siste"a( 01isten !arios tipos de incidentes: < Pro!ocados por el :o"4re: P:is:ing: suplantaci n de sitios leg%ti"os por otros destinados a ro4ar datos personales y financieros( $alDare: !ulnera4ilidad de los ser!idores 9ue !inculan las direcciones 9ue recorda"os por otras nu"ricas y ata9ues contra redes inal"4ricas( )pyDare: es un softDare 9ue recopila infor"aci n de un ordenador y despus trans"ite esta infor"aci n a una entidad e1terna sin el conoci"iento o el consenti"iento del propietario del ordenador(

Profesional Desarrollo de proyecto

< Pro!ocados por la naturaleza: ,ncendios 8erre"otos ,nundaciones

< Pro!ocados por los su"inistros Agua >uz Has

Para e!itar estos tipos de incidentes :ay 9ue seguir las pol%ticas de seguridad de la e"presa7 contar con procesos s lidos de la aplicaci n de parc:es y una soluci n anti!irus 9ue detecte a"enazas y prote5a los diferentes puntos !ulnera4les de los progra"as( 0n caso de 9ue se presentara alg&n incidente: < #o"unicar el incidente al departa"ento de 8,( < 0!aluaci n ,nicial( ,ncidente real ,nfor"aci n para in!estigaci n adicional

< #ontenci n del daEo y "ini"izaci n del riego )eguridad :u"ana )eguridad de infor"aci n -confidencial y no confidencial/ )eguridad de e9uipos -:ardDare y softDare/

< ,nterrupci n de ata9ue para continuar con los procesos(

Profesional Desarrollo de proyecto

< ,dentificaci n del tipo y gra!edad del ata9ue( ?aturaleza 3rigen ,ntenci n )iste"as en peligro ,nfor"aci n e1puesta

< Protecci n de prue4as( < ?otificaci n de organis"os e1ternos -si corresponde/ 6eparta"ento legal 6eparta"ento ad"inistrati!o Autoridades 6eparta"ento de 4o"4eros

< 01tintores < @eguladores < Planta < @ecuperar los siste"as( < 6ocu"entar la infor"aci n del incidente( < Ialoraci n del daEo y costos del incidente( @esultados

Profesional Desarrollo de proyecto

0n este apartado re!isare"os las a"enazas "s co"unes :acia los )3 de las e"presas7 as% co"o la "anera de dis"inuir las !ulnera4ilidades y las a"enazas para ser capaces de e!itar ata9ues( @eporte de las posi4les a"enazas a 9ue estn e1puestos( >as a"enazas a las 9ue Fonel#orp est e1puesta pueden ser de distintos tipos co"o: < Iirus < Husanos < 8royanos < AdDare < )pyDare < @ootBits < 01ploits < 6ialers < #ooBies < P:is:ing < )pa" < Bots < )ca"s 0stos progra"as infor"ticos "aliciosos apro!ec:an errores7 puntos d4iles o !ulnera4ilidades en el c digo de otra aplicaci n7 estos progra"as "alicioso utilizan diferentes !%as para sus ata9ues: < @edes sociales

Profesional Desarrollo de proyecto

< Fuga de infor"aci n < A"enazas De4 < A"enazas correo electr nico < )PA$ < $alDare $atriz de dese"peEo con sus o45eti!os y procesos a los 9ue corresponden7 as% co"o las pol%ticas para lograr un e1celente ni!el de ser!icio( 0sta "atriz per"itir conocer en 9ue "edida o porcenta5e es efecti!o el ser!icio de la e"presa7 es fcil y de 4a5o costo con la &nica des!enta5a de 9ue se re9uiere tie"po para el anlisis7 con esta se facilitara enfocar "todos y procedi"ientos para "e5orar el ser!icio de y deter"inar cuales son las causas de los errores to"ando decisiones 9ue 4eneficien a la organizaci n( )u o45eti!o ser "ostrar los resultados financieros y no financieros co"o rendi"iento7 disponi4ilidad7 operaci n y "o!i"iento7 etc(J "oti!aci n7 ayudar en la planeaci n estratgica y contri4uir al logro de "etas organizacionales co"o son el au"ento de las !entas y la satisfacci n total del cliente( 0sta "edir los procesos de: < #alidad < 8ie"po < )er!icio < Fle1i4ilidad -l%neas de !enta/ < #redi4ilidad < Precio < Pago

Profesional Desarrollo de proyecto

Para la e!aluaci n de esto se re!isar el cu"pli"iento de las responsa4ilidades de cada "ie"4ro de la organizaci n in!olucrado en el ser!icio total al cliente( #( ,nfor"e de situaciones en las cuales creas 9ue e1iste una necesidad de esta4lecer o fortalecer sus controles de acceso( >os controles 9ue se utilizaran sern para poder controlar los accesos y pri!ilegios a los recursos indicados7 se de4en crear controles para: < Pol%ticas < 0stndares < $onitoreo < #a"4ios < Procedi"ientos < #ontraseEas < Ad"inistraci n de recursos < ,dentificaci n < Autenticaci n < Autorizaci n de acceso < )eguridad de dispositi!os < #onfiguraciones de red < F%sicos < Personal < 6etecci n de intrusos < #ifrado de datos

Profesional Desarrollo de proyecto

< 8eleco"unicaciones < #arga < Blo9ueo de e9uipos < Fallas < ,ncidentes < Acceso l gico < ;suarios y #ontraseEas < #ircuitos de 8I < #andados < A"4iente < ,nstalaciones #on esto se asegura el trato confidencial7 integro y seguro de la infor"aci n tanto de la e"presa co"o de los clientes( 6ocu"ento detallado de los tipos de controles 9ue se de4er%an i"ple"entar( >os controles a i"ple"entar son de pre!enci n7 detecci n y correcci n: < )eguridad de infor"aci n de redes )egregaci n de trafico FireDalls ,6) #riptograf%a A"4ientales

Profesional Desarrollo de proyecto

< Acceso a las cuentas de todos los usuarios -por parte del nodo central/ < Acceso a la e"presa -,dentificaci n con tar5eta personal/ < Acceso a las co"putadoras - por "edio de un usuario y contraseEa &nicos/ < Blo9ueo de e9uipos tras inacti!idad - para protecci n de infor"aci n/ < Planta de energ%a para las co"putadoras - para e!itar perdida de infor"aci n por luz/ < Anti!irus y softDare actualizados auto"tica"ente -para e!itar ata9ues infor"ticos/ < #opias de respaldo de todos los tra4a5os -para e!itar perdidas de infor"aci n/ < @eporte de incidencias -para "ini"izaci n de daEos /

A continuaci n se "uestran algunas propuestas para la "e5ora de la e"presa: Propuesta $e5orar el ser!icio al cliente( 0le!ar el prestigio y confia4ilidad de la e"presa( 0l !olu"en de !entas se ele!ar%a7 por lo tanto incre"entar%a la de"anda de producci n y distri4uci n( Brindar una capacitaci n peri dica"ente al personal7 y "e5orar el plan de distri4uci n y producci n( 8ie"po en el 9ue el producto es entregado al cliente( 0rrores en la entrega de las solicitudes realizadas por ,nternet( Aplicar el cuestionario )0@IK;A> al cliente( $e5orar la ad"inistraci n de las 4ases de datos( Para tener un control de la entrada y salida de infor"aci n( )e tendr un control u orden en cada departa"ento( 8ener una estructura centralizada( #antidad de registros err neos o inco"pletos en la 4ase de datos(

Profesional Desarrollo de proyecto

Propuesta ,nstalar fireDalls( Kue se realicen "odificaciones en la 4ase de datos sin autorizaci n: #ontar con contraseEas ro4ustas y "odificarlas peri dica"ente( ,nfiltraci n en el in!entario ocasionando un descontrol en las entregas de "ercanc%a: )olo la persona encargada del in!entario podr tener acceso a esta( @egistrar la entrada y salida de cual9uier persona( #ontar con cla!es de accesos para realizar cual9uier "odificaci n en los ordenadores( $onitoreo de u4icaci n de los responsa4les de repartir la "ercanc%a7 en los tie"pos estipulados por el encargado del rea( @esultados: 6e acuerdo a la in!estigaci n y el anlisis realizado7 cree"os 9ue con las propuestas realizadas7 la e"presa Fonel#orp7 solucionar sus pro4le"as7 so4re todo en el aspecto de seguridad de infor"aci n7 ta"4in en cuanto a soporte y calidad en el ser!icio7 y con esto au"entara sus !entas y su presupuesto ser "s alto( #on la !isi n de crecer y ser una e"presa aun "s co"petiti!a(

#onclusi n: 0s de !ital i"portancia en una e"presa7 "antener protegida y segura la infor"aci n7 por eso es necesario7 estar sie"pre actualizado en cuanto a seguridad infor"tica se refiere7 ade"s de capacitar a los e"pleados7 para 9ue 4rinden el "e5or ser!icio7 de esto depende en "uc:o el 1ito de la e"presa(