DISERTACION MODULO 3

Introducción Modulo 3:

En la siguiente fase, se hará entrega del Modulo número 3 del Proyecto realizado para la empresa
“Portafolio S.A.” la cual requiere incorporar un análisis de riesgos a la infraestructura de redes, se
gestionará un completo informe de evaluación, diagnóstico y creación de una guía de referencia que
ayude a mejorar la actual política de seguridad, que permita al área de TI identificar las posibles
fallas u omisiones cometidas en la instalación e implementación de los servicios y en base a las
recomendaciones técnicas reconfigurar adecuadamente.

Planteamiento del Caso:

Utilizando como base la configuración del caso Nº1 donde la empresa “Portafolio S.A” es una
empresa del rubro financiero que se encarga del proceso de inversiones a través de transacción de la
Bolsa de Santiago, para generar una mayor rentabilidad a sus clientes. Esta compañía en los últimos
años ha crecido exponencialmente, ya que en su comienzo solo estaba en Santiago, pero el éxito
tenido, ha permitido ampliarla.
Se debe crear una estrategia para dar niveles aceptables de seguridad a la organización de manera
que su operación y expansión no ponga en riesgo las operaciones.

Roles y responsables:

La dirección de proyectos es la aplicación de conocimientos, habilidades, herramientas y técnicas,

las cuales componen actividades en el proyecto para satisfacer los requisitos que este involucra. La
dirección se logra mediante la aplicación de los diferentes procesos realizados por un equipo de
trabajo que desarrolla el proyecto mediante los siguientes cargos:

 Director del Proyecto

 Coordinador del Proyecto
 Ingenieros Especialistas del Área

Requerimientos del Módulo 3:

  Identificar las vulnerabilidades en activos como, Software, Aplicaciones y Equipos de
cómputo que requieran mantener la confidencialidad.
 Determinar los tipos de vulnerabilidades o amenazas, en activos definidos por la
organización.
 Evidenciar los hallazgos mediante los informes ejecutivos, técnicos, y matriz de
vulnerabilidades.

Levantamiento de requerimientos:

En este punto se evidenciaron todos los requerimientos necesarios para así obtener el
aseguramiento, la confidencialidad e integridad de los datos y de la información de la empresa.

Hardware

 Los gabinetes deberán encontrarse cerrados en todo momento y solo el encargado tendrá la
disposición de sus respectivas llaves de acceso, además tendrá que presentar un informe al jefe de
seguridad cuando se realicen modificaciones, detallando quien se encontrará a cargo de dicho
trabajo y adjuntando ambas firmas al ticket de gestión.

 El cableado deberá encontrarse correctamente etiquetado y ordenado según lo establecido por la

norma asociada.

 La sala de servidores y/o equipos deberá permanecer cerrada en todo momento y con un control
biométrico.

 Los puertos USB deberán de estar bloqueados y sólo se podrá acceder con un dispositivo
proporcionado por la misma empresa.

 No se permitirá el uso equipos personales de trabajo como por ejemplo, tablet, notebook,etc.

 Los puertos no utilizados deberán encontrarse desactivados.

 Se propone agregar un Firewall ASA para prevenir y proteger la red privada ante posibles ataques
informáticos.

 La capa de acceso de las sucursales debe estar sincronizadas con mac-address.

 Desactivación de puertos en caso de vulnerabilidades en la capa de acceso.

Software

Se utilizarán las siguientes configuraciones en los dispositivos correspondientes:

 Todas las interfaces que no se utilicen se deberán dejar en estado “down” en switches y routers.

 La seguridad de puertos sobre las interfaces que se pueden acceder y restringir a través de la
dirección Mac sobre quién puede conectarse a un determinado puerto del switch y ejecutar una
acción cuando una Mac no reconocida entre cómo violación de seguridad.

 Se utilizará DHCP snooping, donde sólo los paquetes de confianza se envían a los clientes.

 Se aplicara Spanning-Tree para evitar que se generen bucles.

 Las Vlan deberán estar correctamente configuradas y segmentadas.

 Se debe aplicar IPsec en modo transporte para la comunicación cifrada o modo túnel para el
cifrado de paquete ip y encapsulado.

 Lista de control de acceso (ACL), para permitir o denegar protocolos, puertos o direcciones ip.

 Se debe aplicar Comunicación segura SSL,TLS o SSH.

Politicas de seguridad:

Personal interno de la organización

Todas las políticas de seguridad mencionadas anteriormente se deberán cumplir estrictamente con el
fin de conservar la información, el sistema de la empresa y dando como garantía la integridad,
confidencialidad y la disponibilidad de los recursos de información. Su cumplimiento debe ser
obligatorio y todos los trabajadores son responsables y se deja estipulado de forma contractual.
Ante lo mencionado anteriormente, se deberá contar con una organización interna donde se
definirán roles y responsabilidades, comúnmente denominada “área de seguridad informática”,
lugar donde constantemente se realiza un monitoreo del cumplimiento de estas políticas de
seguridad.

Personas externas a la organización

La empresa Portafolio S.A deberá tener especial cuidado con el acceso a la información por parte de
personas externas a la asociación. Por lo anterior, el acceso a la información debe ser limitada a lo
mínimo para cumplir con el objetivo de trabajo. Los accesos externos deberán ser autorizados por el
personal encargado de la integridad de la información y se deberá firmar un acuerdo de no
divulgación de los activos de información de la empresa.

Segmentación de la información
La información que maneja Portafolio S.A, debe tener clasificada de acuerdo a los diferentes
intereses para un correcto manejo de la misma, estos son:

 Información de interés para la competencia

 Información que provee acceso a datos o servicios
 Información que tiene un alto riesgo de ser blanco de fraude u otra actividad ilícita.

Análisis de Vulnerabilidades:

En un ambiente donde los riesgos se encuentran en constante cambio, las amenazas son dinámicas y
los recursos son limitados, resulta fundamental priorizar la aplicación de medidas de seguridad,
luego de identificar las vulnerabilidades. Sin embargo, la complejidad radica en definir una escala y
los criterios que permitan transformar los datos obtenidos en información.

Una herramienta que aborda esta problemática y que ha sido adoptada por una cantidad importante
de organizaciones y compañías enfocadas en seguridad, es Common Vulnerability Score System
(CVSS).

Criticidad en vulnerabilidades:

A continuación, se presenta una descripción de la clasificación de cada vulnerabilidad:

Prueba de Escenarios:
A continuación, se definen los sectores desde donde el consultor o administrador realizará las
pruebas de seguridad

En la siguiente imagen podemos apreciar el diagrama de escenarios de análisis. Dentro de estas

escenas es donde se realizarán los distintos análisis de vulnerabilidades con la herramienta de
scanner, realizando pruebas de intrusión a la red de servidores y estaciones de trabajo dentro de la
red WAN, donde los objetivos están definidos por test de caja blanca.

Sistemas de gestión de seguridad de la información:

Un Sistema de Gestión de la Seguridad de la Información (SGSI) es un conjunto de políticas de

administración de la información. Un sistema de gestión de seguridad de la información según la
ISO 27001 genera una garantía con la que sabemos que puede realizar una adecuada gestión de la
seguridad de la información en la organización. Para ello, se debe realizar un tratamiento según los
efectos que se pueden producir sobre la información de la organización.

El Sistema de Gestión de Seguridad de la Información según la norma ISO 27001 genera un

proceso de mejora continua y de gran flexibilidad frente a los cambios que se pueden producir en la
empresa refiriéndonos al proceso de negocio y a la tecnología, ya que esta avanza a una gran
velocidad.

Estándar ISO 27001:

El estándar internacional ISO 27001, genera todos los requisitos necesarios para poder implementar
un completo sistema de gestión de seguridad de la información de una forma rápida y sencilla.
Diagrama de red:

En el siguiente diagrama de la red de la empresa Portafolio S.A podemos evidenciar las sucursales
ya robustecidas con switch y etherchannel para conservar la confidencialidad, disponibilidad y
redundancia.

Como se había dicho anteriormente se tuvo que reutilizar los switch de las oficinas 3 y 4 para
utilizarlos en la capa de core y se agregaron switch de capa 2 en cada una de las sucursales que lo
requería.

También nos dimos cuenta que faltaba segmentación de vlan en cada una de las sucursales y se
arregló como se evidencia en la imágen

Por otro lado, el logo de nessus se ve representado para demostrar en donde se realizó el análisis de
las vulnerabilidades.

Como se ejemplifica en la imagen, en las capas de acceso se propone agregar switches a las oficinas
remotas 1,2,5 y 6

ya que en la red actual no contaban con estos dispositivos. La agregación de estos logrará una mejor
distribución, por lo tanto, una mayor seguridad. También se propone cambiar los switches de las
oficinas remotas 3 y 4 por switches de capa 2 ya que se encontraban switches de capa 3 los cuales
tendrán un mejor rendimiento en la capa core, abaratando costos al cliente.

En la distribución se cambió el cableado que tenía R5 el cual mediante un cable llegaba a R6 y R7,
ahora llega mediante 2 cables por separado. Asimismo, se agregó un nuevo proveedor en caso de
que el principal falle.

En la capa Core los switch de capa 3 que estaban en la oficina remota 3 y 4 se cambiaron a esta
capa junto al switch 1 y 2 con enlaces EtherChannel, tal cual como se explica en la imagen. Del
mismo modo se agregó otro router junto al router 3 ya que era el único al cual llegaban todos los
datos y no tenía un respaldo en caso de que este dejara de funcionar.

Por otra parte, se agregó un segundo backbone de la empresa Movistar, muy similar a Entel.

En este caso en R5 queremos permitir todo lo que venga de servicios de internet, pero queremos
bloquear todos los datos que pueden ser privados y de importancia que vengan de las oficinas
remotas.
Análisis de la red y Gestiones preventivas:

Se propone agregar un Firewall ASA para prevenir y proteger la red privada ante posibles ataques
informáticos.

Cuadro Gartner:
Como se puede observar en la imagen del cuadro Gantner, Microsoft es el líder de este cuadrante

mágico y por esta razón es que decidimos ocupar productos de esta compañía tecnológica, junto a

otras tecnologías necesarias para llevar a cabo el desarrollo del proyecto tales como se puede

apreciar la marca especialista de telecomunicaciones Cisco también nos otorgará sus servicios para

la funcionalidad de la red.

Análisis de la red:

Para el progreso de este análisis se realiza en primer lugar un levantamiento de información de los
servicios más críticos de la organización, la recopilación de la información se obtiene a través de
entrevistas con el personal de TI.

El tipo de estudio que contempla este proyecto es la investigación aplicada, ya que su principal
objetivo, se basa en resolver un problema práctico de gestión de vulnerabilidades, con un alcance
determinado y limitado. De este modo se generan pocos aportes al conocimiento científico desde un
punto de vista teórico, pero se logran poner en práctica los conocimientos adquiridos en el
desarrollo de cada una de estas etapas.

Herramienta de Escaneo de vulnerabilidades:

Profesionales y organizaciones de todo el mundo utilizan Nessus para minimizar los riesgos de TI y
garantizar el cumplimiento. Nessus cuenta con descubrimiento de activos de alta velocidad,
auditoría de configuración, creación de perfiles de destino, detección de malware, descubrimiento
de datos confidenciales y más.

Nessus es el escáner de vulnerabilidades más popular y es utilizado en más de 75.000

organizaciones en todo el mundo. muchas organizaciones alrededor del mundo se están dando
cuenta de los importantes ahorros de costes que estas reciben mediante el uso de Nessus como
herramienta de auditoría de sistemas de información para búsqueda de fallas críticas de seguridad.

Escaneo de vulnerabilidades: (2 diapositivas)

El cliente Nessus cuyo rol es el de configurar y lanzar el escáner desde el target seleccionado por el
usuario. La aplicación en el lado del cliente se basa en un GUI (Interfaz Gráfica de Usuario) en el
cual tendremos a nuestra disposición una serie de plantillas de escaneo como se puede observar en
la figura.
-

Target:

La última parte de la arquitectura antes comentada es el “target” hacia el que se dirige el

escaneo, ya que, dependiendo del host objetivo el usuario debe de configurar determinados
parámetros de la herramienta.

Análisis y Resultados:

En este punto se realiza el análisis de vulnerabilidades a 15 dispositivos, 6 estaciones de trabajo, 8

dispositivos de comunicación de red y 1 servidor.

Como se puede observar en la Tabla n°1. Descripción de vulnerabilidades según severidad se

analizaron los resultados según la severidad de tipo Crítica o Alta.

Resultados estaciones de usuario:

Como resultado verificamos que existe una vulnerabilidad de ejecución remota de código en los Servicios de
Escritorio remoto, anteriormente conocidos como Servicios de Terminal Server, cuando un atacante no
autenticado se conecta al sistema de destino mediante RDP y envía solicitudes especialmente diseñadas.

Esta vulnerabilidad es la autenticación previa y no requiere interacción del usuario.

 Un atacante que explotara con éxito esta vulnerabilidad podría ejecutar código arbitrario en el
sistema de destino.

 Un atacante podría instalar programas; ver, cambiar o eliminar datos; o crear nuevas cuentas con
plenos derechos de usuario.

Microsoft ha lanzado un conjunto de parches para Windows XP, 2003, 2008, 7 y 2008 R2.y que ayudan a
mitigar el riesgo ante esta vulnerabilidad

Recomendaciones:

 Un análisis de vulnerabilidades como buena práctica de la gestión de riesgo se deberá ejecutar

periódicamente al menos una vez cada 6 meses para conocer si presentan nuevos fallos dentro de la red.
 Al realizar el análisis, se deberá tener conocimiento acerca de la infraestructura analizada, poder
determinar y cruzar la información mostrada por el resultado del estudio realizado junto con la
información de administración, para así de esta manera poder determinar el impacto a la hora del análisis
junto con los resultados.

 El análisis de vulnerabilidades con Nessus, herramienta utilizada para el análisis dentro del proyecto está
diseñado para que cualquier ingeniero administrador de redes, esté en la capacidad de poder realizar este
tipo de análisis.

 Las pruebas de intuición no significarán nada, si estas no se encuentran debidamente documentadas por el
administrador, o para que quede como registro de actividad.

 Siempre se debe gestionar un plan de acción respecto a las vulnerabilidades de severidad Crítica y Alta,
un plan que sirve para mitigar de forma casi de inmediata una remediación al respecto, siguiendo
posteriormente con las vulnerabilidades de severidad media.

Plan de Continuidad del Negocio:

El objetivo del BRP es que debe reducir la pérdida de vida, potencial de heridas, deterioro en las
instalaciones y la pérdida de activos y registros.

Para lograr esto, evalúa cada departamento para asegurar que se tomen todas las medidas
pertinentes. Mediante la implementación simultánea del BRP, recuperación de desastres y
continuidad de negocios debes estabilizar tu compañía después de un desastre. Asegúra de poner en
práctica los procedimientos con la prioridad correcta: empleados, clientes, instalaciones, activos y
luego los registros.

10 pasos para la gestión de comunicaciones en crisis

1.- Anticipar la crisis.

2.- Mantener un equipo de manejo de crisis entrenado.
3.- Contar con un plan de manejo de crisis documentado.
4.- Definir y entrenar al vocero autorizado.
5.- Establecer el sistema de notificación.
6.- Monitorear los medios de comunicación convencionales y las redes sociales.
7.- Identificar y conocer las partes interesadas.
8.- Desarrolle comunicados preliminares.
9.- Finalice y adapte mensajes claves.
10.- Realice un análisis post-crisis.

Gestión de administración de la información de la empresa:

A continuación, se presenta la forma en la que se propone administrar la información de la empresa.

Plan de Recuperación de Desastres:

Un desastre podría ser el resultado de un daño importante a una parte de las operaciones, la pérdida
total de una instalación o la incapacidad de los empleados para acceder a las instalaciones, generado
por algún tipo de desastre natural, una contingencia sanitaria o una huelga, por ejemplo.

Para el desarrollo y aplicación del plan de recuperación de desastres se deben considerar las
siguientes actividades:

puntos:

a. Desarrollar una política de continuidad del negocio

Todas las actividades deben estar alineadas con los objetivos de continuidad de negocio,
por lo que un punto de partida puede ser el desarrollo de una política encargada de
establecer el marco de operación de los planes, así como la clasificación de los sistemas o
aplicaciones para identificar aquellos que sean considerados como críticos.

Resumen de actividades:
Actividades de preparación:

 Revisar y validar las herramientas del sistema que soportan las funciones críticas de la
organización.
 Definir las políticas y procedimientos de respaldo y recuperación de software, datos,
equipos y comunicaciones para restaurar las funciones críticas de la organización.
  Participar con el área responsable de contratos en el mantenimiento y vigencia de los
contratos o convenios establecidos con estos proveedores para atender necesidades
inmediatas en casos de desastres.
 Elaborar y mantener un directorio de proveedores de bienes y servicios informáticos.

Actividades de Respuesta y Recuperación:

 Participar en la evaluación de daños en la infraestructura tecnológica, en los sistemas y en

las comunicaciones.
 Estimar el tiempo de reparación o reemplazo de equipos y/o sistemas afectados por una
contingencia o que presenten fallas.
 Coordinar el rescate de equipos para que no sufran mayor daño.
 Montar y organizar los equipos y sistemas en las instalaciones alternas de trabajo.
 Restaurar y reconstruir archivos vitales.
 Reanudar los servicios de comunicaciones que soportan los procesos identificados como
críticos, tanto oficinas corporativas y sucursales.
 Asistir en la recuperación de los datos protegidos de las computadoras personales y de las
redes locales.
 Restablecer el acceso a la red local y a los sistemas de cómputo centralizados.
 Obtener los datos protegidos (Back-up) conservados fuera de la empresa.
 Contactar a los proveedores de bienes y servicios de la infraestructura tecnológica que sean
necesarios para apoyar la recuperación.
 Coordinar todas las actividades de soporte para la restauración.

Estrategia de Recuperación:
Tal como se mencionó en las premisas de planeación identificadas anteriormente, este Plan de
Recuperación está basado en el hecho de que no hay acceso a los servicios de cómputo centrales o
las instalaciones donde se ubica el Centro de Cómputo han sido inhabilitadas o estarán inaccesibles
por completo por un período inaceptable.

Las estrategias a seguir serán acordes a la magnitud y duración esperada del incidente y se deberán
tomar en cuenta los siguientes aspectos:

 Evaluación de los daños

 Evaluación del tiempo estimado de la recuperación.
 Análisis exhaustivo para determinar las acciones específicas que deberán seguirse de
acuerdo al tipo de incidente.