ANTECEDENTES
En la actualidad hay muchas empresas que utilizan
redes de computadores con la finalidad de
compartir información para agilizar procesos o simplemente evitar la
situación de estar conectando dispositivos de almacenamiento extraíbles en
todas las maquinas.
Dicha tarea resulta beneficiar mucho a las empresas,
pero que pasa cuando en estas empresas no se cuenta con políticas de seguridad,
en el desarrollo de este trabajo se analizaran algunas de las fallas que se
detectaron en la empresa de flores La Conchita ubicada en el municipio de
Facatativá, Cundinamarca.
Del mismo modo se procede a plantear soluciones a la
problemática detectada, dichas sugerencias van desde cronogramas de
mantenimiento preventivo, hasta la implementación de nuevas tecnologías que
garanticen que la información sensible no se vea afectada y que se maneje la
información de manera eficiente.
ESTADO DEL ARTE
Trabajos de
investigación similares que se desarrollan.
TITULO: DEFINICIÓN DE POLÍTICAS DE SEGURIDAD PARA
LA RED VoIP QUE PRESTA EL SERVICIO DE VOZ LOCAL EN GILAT COLOMBIA S.A
AUTOR (ES): MÓNICA LORENA
GÓMEZ CELIS
MODALIDAD: PRÁCTICA
EMPRESARIA
DESCRIPCIÓN: Este
trabajo propone dar solución a los posibles problemas de seguridad en la red
VoIP que presta el servicio de voz local de Gilat Colombia, para complementar y fortalecer la
disponibilidad, confidencialidad e integridad de la infraestructura de la red
de voz a través del diseño de políticas, procedimientos y controles de
seguridad con el fin de asegurar de la continuidad de los principios de
seguridad establecidos.
TITULO: RIESGOS, AMENAZAS Y VULNERABILIDADES DE LOS
SISTEMAS DE INFORMACIÓN GEOGRÁFICA
AUTOR (ES): CASTRO BOLAÑOS
DUVAN ERNESTO, ROJAS MORA ANGELA DAYANA.
DESCRIPCIÓN: El
presente trabajo se orienta a realizar un análisis de riesgos de un sistema de información
geográfica, en el que se tratan las técnicas de seguridad de la norma ISO/IEC
27001:2005, y la gestión de riesgos de la seguridad de la norma ISO 27005.
Se pretende identificar
los riesgos con mayor probabilidad de suceso ante un análisis de
impacto/probabilidad, y así mismo establecer los controles o medidas de
protección correspondientes al riesgo para proteger los activos de la organización.
TITULO: PROCEDIMIENTO PARA REALIZAR EL RESPALDO DE
INFORMACIÓN SIGUIENDO LAS BUENAS PRÁCTICAS EN UNA EMPRESA DE CONTAC CENTER
AUTOR (ES): DANIEL
CORONEL CUADROS
MODALIDAD: PRACTICA
EMPRESARIAL
DESCRIPCIÓN: El
proyecto fue desarrollado en una empresa de contact center que presentaba
problemas en la realización de backup's, donde se analizó las vulnerabilidades
en la actividad de respaldo de información, luego se diseñó y se elaboró un
proceso de realización de backup's y restauración, generando la documentación
de procesos como: cronogramas, manuales de procedimientos y formatos para
registro de información.
MARCO TEÓRICO
La seguridad en la web,
es de gran importancia en los diferentes sitios web. Se invierten muchos
recursos para garantizar que los servicios brinden opciones de seguridad. Los
ataques a nivel de aplicación son una amenaza constante y van aumentando contra
la seguridad Web en la cual se utiliza una gran variedad de medios para
vulnerar el sitio o las bases de datos, comprometiendo información almacenada
de gran valor para la empresa.
A medida que se conecta
el mundo, la necesidad de seguridad en los procedimientos usados para compartir
la información se vuelve más importante. Desde muchos puntos de vista, podemos
creer sin dudar que el punto más crítico de la seguridad del Internet, lo
tienen las piezas que intervienen de forma directa con las masas de usuarios,
los servidores web entre otros.
En la actualidad las
organizaciones necesitan seguir una política de seguridad para prevenir el
acceso no autorizado de usuarios a sitios web y bases de datos de la compañía,
ya que todos los datos están almacenados en bases de datos al obtener un indicio se pueden
extraer estos datos para luego venderlos.
Esto en cuanto al buen
funcionamiento de los diversos equipos con los que cuente la empresa, para ello
se deben tener políticas de seguridad, que comprendan mantenimiento preventivo
y correctivo de todos los dispositivos con los que cuenta la empresa, crear
tablas de valorización de activos de empresa.
La problemática
identificada es el Sistema de Información de la empresa Flores La Conchita de
la ciudad de Bojacá, Cundinamarca, el cual presenta varias fallas que se
describirán a continuación; esto incluye el hardware, el software y los
funcionarios que tienen acceso al sistema de información.
Presenta fallas en el
sistema de información a nivel de hardware, software, funcionalidad en el
procesamiento, seguridad en la red de interna e instalaciones que carecen de
planes de contingencia, sumados a media operatividad de los sistemas por falta
de capacitación de los operadores.
MARCO CONCEPTUAL
Esta
investigación busca, identifica y analiza las vulnerabilidades que tiene el
Sistema de Información de la empresa Flores La Conchita, con el propósito de
ofrecer una solución a estas vulnerabilidades, para mantener la disponibilidad,
la integridad y la confidencialidad de la información de la empresa, activo de
gran valor y que no se puede seguir expuesto ya que puede sufrir ciberataques
que causen perdidas de información.
Con
esta investigación (pentesting) a la empresa de Flores La Conchita se espera
documentar todas las vulnerabilidades con el fin de realizar, clasificando
según la tabla de activos que posea la empresa con el fin de especificar los
procesos y procedimientos a seguir para contrarrestar a una eventual pérdida de
los activos de datos, software, equipos y servicios, evitando que la
información vaya a parar en manos equivocadas que perjudiquen la producción y
reputación de la empresa.
Implementar
seguridad de la información según el nivel que deba manejar cada integrante de
la empresas, orientando siempre a la autenticidad del usuario por medio de las cuentas de usuario, para garantizar la
disponibilidad de la información
evitando el uso de otros usuarios en otros equipos de trabajo que no
sean los suyos para evitar la pérdida de
información, por la instalación de spyware, o simplemente la extracción de
información en diversos dispositivos de almacenamiento.
En la infraestructura
tecnológica y seguridad en redes el
encargado de las redes debe proporcionar la seguridad en la misma mediante
exploraciones o ataques propios con la finalidad de buscar posibles brechas de
seguridad tanto en la parte de hardware, software y en especial del recurso
humano, aplicando controles y protocolos de seguridad para evitar la pérdida de
información o de datos que puedan ser utilices para realizar ataques de
ingeniería social a la empresa por medio de errores de capa ocho que den el
acceso a los atacantes o piratas informáticos.
Realizar
pruebas de verificación, mantenimiento preventivo y correctivo a cada uno de
los hots de la empresa que estén conectados a la red, con el fin de verificas y
establecer los protocolos y permisos que correspondan según la tabla de activos
de información de la empresa.
MARCO TECNOLÓGICO
La Auditoria de Sistemas se puede
relacionar con la Administración de Tecnología, el cual es un proceso de
planificación, dirección,
control, evaluación y realimentación de los recursos tecnológicos para apoyar
los procesos empresariales y optimizar los indicadores de eficacia, eficiencia
y efectividad plasmados en los planes de acción.
Equipos de cómputo y
oficina
·
Hardware: Mantenimiento e
inspección del estado físico de los componentes electrónicos para evidenciar su
estado y poder tomar la acción correcta de mantenimiento.
·
Software: Verificar y
clasificar mediante los valores de activos cada uno de las aplicaciones y
software con los que cuenta la empresa,
para determinar y unificar un sistema operativo que garantice su
funcionamiento, además de que sea el que requiere cada operador para desempeñar
sus actividades en la empresa.
Identificar las
necesidades de cada operador con el fin de deshabilitar los puertos USB y
medios de almacenamiento externo para evitar la fuga de información, o la
infección de los sistemas mediante pen drives.
Establecer políticas de
seguridad por parte del administrador de la red como cambios mensuales de la
contraseña de acceso a cada terminal del usuario, para garantizar la
autenticidad y disponibilidad de la información.
Equipos para redes
·
Hardware: Implementación de
firewall, IPS.
·
Software: Identificar,
verificar y reconfigurar las funciones de los router y switches que posea la
empresa para garantizar su correcto funcionamiento y enrutamiento de los
paquetes en la intranet, como en la Internet, crear protocolos que
correlaciones una única salida para la información que sale de la empresa.
Actualización e
implementación de antivirus
·
Implementar políticas de
seguridad para el acceso a la red WIFI y que restringa la salida a la Internet.
·
Configurar los dispositivos y
centros de impresión de la empresa según la necesidad del usuario evitando
dejar las configuraciones por defecto para evitar brechas de seguridad en la
red.
Clasificación de
activos.
Realizar tablas por
departamentos que clasifiquen los activos de cada una de las áreas de la
empresa para que la información solo se le administre al departamento que la
necesita.
Capacitación y
sensibilización del personal de la empresa: Este es el punto más buscado en las
empresas donde sus componentes de Hardware y software están bien configurados e
instalados haciendo difícil el acceso a los piratas informáticos, por lo cual
acuden a realizar la ingeniera social a los empleados de la organización
(conocidos como capa 8) ya que ellos son la brecha de seguridad.
TIPO DE INVESTIGACIÓN
Para este proyecto se
adapta la Investigación Descriptiva, ya que se efectúa cuando se desea
describir, en todos sus componentes principales, una realidad; trabaja sobre
esta realidad de hecho y su característica fundamental es la de presentar una
interpretación correcta. Esta puede incluir los siguientes tipos de estudios:
Encuestas, Casos, Exploratorios, Causales, De Desarrollo, Predictivos, De
Conjuntos, De Correlación.
Este tipo de
investigación presenta una serie de ventajas respecto a otros tipos, como:
·
Permite una buena percepción
en el funcionamiento de lo investigado en cuanto a la manera en que se
comportan las variables, factores o elementos.
·
Plantea nuevos problemas y
preguntas de investigación.
·
Brinda bases cognitivas para
estudios descriptivos o explicativos.
·
Mayor riqueza en la
información.
·
Estudio en un contexto de
interacción.
·
Acercamiento en situaciones
reales.
·
Permite identificar las
características del evento de estudio.
ENFOQUE DE INVESTIGACIÓN
Enfoque Cuantitativo:
Parte del estudio del análisis de datos numéricos, a través de la estadística,
para dar solución a preguntas de investigación o para refutar o verificar una
hipótesis, establecer patrones de comportamiento y probar teorías.
La objetividad es la
única forma de alcanzar el conocimiento, por lo que utiliza la medición exhaustiva
y controlada, intentando buscar la certeza del mismo
Concepción lineal de la
investigación a través de una estrategia deductiva.
El objeto de estudio es
el elemento singular Empírico. Sostiene que al existir relación de
independencia entre el sujeto y el objeto, ya que el investigador tiene una
perspectiva desde afuera.
POBLACIÓN Y MUESTRA
Población: Es el conjunto total de
individuos que tienen acceso al sistema de información de la empresa Flores La
Conchita, también el hardware y el software que pertenecen a las estaciones de
trabajo y a la red del sistema informático; estos poseen algunas características
comunes observables en el lugar del estudio y en el momento determinado para
llevar a cabo el proyecto..
Entre éstas
características tenemos:
Homogeneidad: Todos los
miembros de la población son los trabajadores del área de sistemas.
Tiempo: Se refiere al
período de tiempo donde se ubicaría la población de interés, el cual según el
cronograma abarcaría 12 (doce) semanas.
Espacio: Se refiere al
lugar donde se ubica la población de interés, el cual es el área de sistemas y
las demás áreas que comprenda el sistema de información.
Cantidad: Se refiere al
tamaño de la población, la cual está cercana a 10 trabajadores que interactúan
directamente con el sistema de información.
Muestra: Es un
subconjunto fielmente representativo de la población, el cual sería el
encargado de la administración de bases de datos, encargados de la red de
información y el encargado del área de sistemas, ya que en ellos recae la
responsabilidad de lo que pase en el sistema y son ellos los más idóneos para
suministrar la información requerida. Además se incluiría en la muestra al Jefe
administrativo, la Secretaria administrativa y el Jefe de recursos humanos.
FORMULACIÓN DE HIPÓTESIS
En la actualidad existen gran variedad de hardware y
software que está hecho a la medida o necesidad de los clientes, aún más
importante que esto es tener una persona idónea para la administración y
configuración de cada uno de los componentes, que identifique y clasifique los
activos de información y sus procesos dentro de la organización para que la
persona encargada de cada proceso solo tenga la información que requiere.
Dependiendo de la capacidad de la empresa lo más
seguro es implementar SIEM, pero para las PYMES podemos implementar software y
hardware más económicos y que también nos permiten la seguridad de la
información para los ataques internos y externos.
Con este estudio se
quiere reforzar y mejorar el sistema de información de Flores La Conchita en
los siguientes puntos:
Hardware: el estado de
las unidades de CD/DVD, el estado de los puertos USB, el estado del cableado de
la red LAN y mantenimiento de equipos y servidores.
Software: El estado de
las conexiones Wi-fi, contraseñas de usuarios y del administrador del sistema
de información, el estado de sistemas operativos y verificar si existen copias
de seguridad del sistema de información.
Sistema: La
funcionalidad, procesamiento, seguridades internas y externas del sistema,
entradas, salidas generadas por el sistema, calidad de los datos de entrada, la
configuración del sistema, la administración del sistema, planes de
contingencias.
Operatividad del
sistema: Los usuarios que manejan la información, la administración del sistema
y el monitoreo del sistema.
DISEÑO DE INSTRUMENTOS DE INDAGACIÓN
FORMATO DE LISTA DE CHEQUEO
Flores La Conchita
|
||
Lista de chequeo 01
|
||
Fecha: 15 de mayo de 2017
|
||
Realizado por: Fernando Sánchez
Daza
|
Check
|
|
|
SI
|
NO
|
Cada usuario del sistema de
información está identificado de manera única mediante mecanismos de
autenticación.
|
|
|
Los accesos de usuarios están
controlados por el responsable
del sistema e implementado por la persona responsable de la seguridad.
|
|
|
La administración de cuentas de
usuario asegura la emisión, suspensión, modificación y eliminación de cuentas
de usuarios y privilegios relacionados.
|
|
|
La administración de cuentas está
en capacidad de otorgar y/o denegar privilegios a todos los usuarios, incluyendo administradores (usuarios privilegiados),
usuarios externos e internos, para casos normales y de emergencia.
|
|
|
Hay revisiones regulares de la gestión de todas las cuentas y los privilegios
asociados.
|
|
|
Hay políticas y procedimientos para organizar la
generación, cambio, revocación, destrucción, distribución, certificación,
almacenamiento, captura, uso y archivo de llaves criptográficas.
|
|
|
Se garantiza la protección de las llaves
criptográficas contra modificaciones y divulgación no autorizadas.
|
|
|
Uso de firewalls, dispositivos de seguridad,
segmentación de redes, detección de intrusos, entre otros, en sus redes.
|
|
|
Las transacciones de datos sensibles se realizan a
través de un medio con controles para proporcionar autenticidad de contenido,
prueba de envío, prueba de recepción y no repudio del origen.
|
|
|
Hay criterios de aceptación
de nuevos Sistemas de Información, incluyendo actualizaciones y nuevas
versiones.
|
|
|
Existe un otorgamiento y/o denegación para instalar
software por parte de la administración de cuentas de usuarios.
|
|
|
Hay controles para evitar el software maligno y el
software pirata.
|
|
|
FORMATOS
PARA ENTREVISTAS
EMPRESA
DE FLORES
|
||||
ENTIDAD AUDITADA
|
EMPRESA
DE FLORES LA CONCHITA
|
PAGINA
|
||
1
|
DE
|
1
|
||
OBJETIVO AUDITORÍA
|
Identificar las fallas que tiene el área de
sistemas según los procesos implementados
|
|||
RESPONSABLE
|
Encargado
del área de sistemas
|
PERSONA A ENTREVISTAR
|
|
|||
CARGO
|
Administrador Área de Sistemas
|
|||
PREGUNTAS
|
SI
|
NO
|
PORQUE
|
|
1.
¿Se realiza monitoreo
sobre el cumplimiento de los niveles de servicio?
|
|
|
|
|
2.
¿Se Establecieron los
acuerdos de niveles de servicio?
|
|
|
|
|
3.
¿Leva registros de los
niveles de servicios que se desarrollan en el área?
|
|
|
|
|
4.
¿La gerencia de la
empresa verifica que las administraciones de los niveles de servicio sean
establecidas según objetivos de la misma?
|
|
|
|
|
5.
¿Cada cuando se realizar
reuniones con gerencia para analizar el rendimiento de los niveles de
servicio?
|
|
|
|
|
NOMBRE
DEL ENTREVISTADO
_______________________________
FIRMA
|
AUDITOR
RESPNSABLE
_______________________________
FIRMA
|
EMPRESA
DE FLORES
|
|||||||
ENTIDAD AUDITADA
|
EMPRESA
DE FLORES LA CONCHITA
|
PAGINA
|
|||||
1
|
DE
|
1
|
|||||
OBJETIVO AUDITORÍA
|
Identificar las fallas que tiene el área de
sistemas según los procesos implementados
|
||||||
RESPONSABLE
|
Encargado
del área de sistemas
|
||||||
MATERIAL DE SOPORTE
|
COBIT
4.1
|
||||||
DOMINIO
|
Dar
Soporte
|
PROCESO
|
DS9 Administrar la Configuración
|
||||
PERSONA A ENTREVISTAR
|
|
|||
CARGO
|
Administrador Área de Sistemas
|
|||
PREGUNTAS
|
SI
|
NO
|
PORQUE
|
|
1.
¿Realizan procedimientos
de configuración para soportar la gestión y rastro de todos los cambios?
|
|
|
|
|
2.
¿Cada cuánto realizan los
datos de configuración para verificar y confirmar la integridad?
|
|
|
|
|
3.
¿Realizan las bitácoras
de las correcciones y nuevas configuraciones en los servicios TI?
|
|
|
|
|
4.
¿Las configuraciones
realizadas solucionan el requerimiento de los servicios TI?
|
|
|
|
|
5.
¿Crean políticas de uso de software dentro
de las configuraciones?
|
|
|
|
|
NOMBRE
DEL ENTREVISTADO
_______________________________
FIRMA
|
AUDITOR
RESPNSABLE
_______________________________
FIRMA
|
FORMATO DE
CUESTIONARIO DE CONTROL
Producción Flores La Conchita
|
|||
Cuestionario de Control
|
|||
Pregunta
|
SI
|
NO
|
OBSERVACIONES
|
¿Existen controles para la identificación de todos
los usuarios que acceden a la red del área de producción?
|
|
|
|
¿Existen un control sobre los
permisos y/o privilegios de cada usuario que acceden al sistema y a los datos
alojados allí?
|
|
|
|
¿Existe una gestión de cuentas de
usuario que permita solicitar, establecer, modificar, suspender y cerrar
estas cuentas?
|
|
|
|
¿Existen políticas para organizar la generación, cambio, revocación,
destrucción, distribución, certificación, almacenamiento, captura, uso y
archivo de llaves criptográficas que estén implantadas?
|
|
|
|
¿Existe el uso de técnicas de administración asociada para autorizar acceso y
controlar los flujos de información desde y hacia la red?
|
|
|
|
¿Si existe el uso de técnicas de administración
asociada contiene los siguientes elementos?
Firewalls
Dispositivos de seguridad
Segmentación de redes
Detección de intrusos
|
|
|
|
¿Existe un acuerdo de
confidencialidad de la información que se accesa?
|
|
|
|
¿Se cuenta con un inventario de
equipos de cómputo?
|
|
|
|
¿Si existe inventario contiene los
siguientes ítems?
Número del computador
Fecha
Ubicación
Responsable
Características(memoria,
procesador, monitor, disco duro)
Se lleva una hoja de vida por
equipo
|
|
|
|
¿La hoja de vida del equipo tiene
los datos?
Numero de hoja de vida
Número del computador
correspondiente
Falla reportada
Diagnóstico del encargado
Solución que se le dio
|
|
|
|
¿Se posee un registro de fallas
detectadas en los equipos?
|
|
|
|
¿En el registro de fallas se tiene
en cuenta con los siguientes datos?
Fecha
Hora
Número de registro
Número del computador
Encargado
|
|
|
|
¿Al momento de presentar una falla
en el equipo, la atención que se presta es?
Inmediata
De 1 a 24 horas
De 1 día a 5 días
Más de 5 días
|
|
|
|
¿Se cuenta con servicio de
mantenimiento para todos los equipos?
|
|
|
|
¿Qué tipo de mantenimiento se lleva
a cabo?
Mantenimiento preventivo
Mantenimiento correctivo
|
|
|
|
¿Existen controles contra software maligno y/o pirata que pueda ser instalado por personal de la empresa en los equipos de
esta?
|
|
|
|
¿Existe algún control y restricción a la
asignación y uso de privilegios en entornos multi-usuario?
|
|
|
|
¿El personal que se encarga del
mantenimiento es personal capacitado?
|
|
|
|
¿Se lleva un procedimiento para la
adquisición de nuevos equipos?
|
|
|
|
¿La infraestructura tecnológica de
los equipos soporta la instalación de diferentes sistemas operativos?
|
|
|
|
¿Son compatibles software y
hardware?
|
|
|
|
TOTALES
|
|
|
|
INGENIERÍA DEL PROYECTO
La metodología
propuesta para dar solución al inconveniente con seguridad de la información,
debe partir del hecho que muchos usuarios no poseen credenciales de usuarios de
red, se propone la implementación de un servidor active directory que
facilitara esta labor, primero que es active directory.
ACTIVE DIRECTORY: Implementación
de Microsoft que brinda servicio de directorio en una red distribuida de
computadores con un dominio establecido, Utiliza protocolos como LDAP, DNS,
DHCP y Kerberos.
Se puede establecer en
varios servidores dentro del mismo dominio permite la creación de usuarios, equipos o grupos, permitiendo administrar
los inicios de sesión en los equipos y la administración de políticas de los
dispositivos pertenecientes al dominio.
La implementación de
este tipo de tecnología contar con:
·
Cualquier versión de Windows
server (2002 2003, mas service pack 1 o 2008)
·
Memoria RAM de 256 MB como mínimo
a mayor capacidad mejor rendimiento.
·
Protocolo TCP/IP instalado y
configurado manualmente, en otras palabras IP estática o fija no una dirección
asignada por DHCP.
·
Unidad de Disco formateada en
NTFS con más de 250 MB.
·
Servidor DNS que resuelva direcciones
de los recursos físicos pertenecientes al dominio.
La solución al
inconveniente es la implementación de un servidor donde estén contenidos todos
las credenciales de usuario (nombre, contraseña) permisos con los que cuenta el
usuario, así como una credencial que permite utilizar únicamente las impresoras
a las cuales tenga acceso dicho usuario, la implementación de este servidor
garantiza que en un periodo determinado (generalmente 30 días) se tengan que
estar cambiando las credenciales de los usuarios obligatoriamente, además de
solicitar como características para los usuarios contraseñas «fuertes» que
deben ser alfanuméricas con una mezcla de mayúsculas y minúsculas (por lo menos
una mayúscula) así como una longitud considerable permitiendo eliminar las
contraseñas de tipo 1234… o las de abcd…, considerando que son factores de alto
riesgo dentro de una organización.
Para los problemas de
conexiones de red o conexiones wifi se plantea implementar un servidor firewall
que permite bloquear flujos de información desde y hacia páginas o lugares
ajenos a la compañía, para este fin se sugiere IPCOP.
IPCOP: un firewall de simple administración, necesita
pocos requerimientos de hardware, administrado a través de una interfaz web,
posee funcionalidades básicas y avanzadas, que permiten realizar muchas
configuraciones dentro de la red o dominio por ejemplo , permite la
configuración de redes virtuales VPN.
IPCOP sólo tiene
instaladas las herramientas justas para su función como firewall, limitando el
daño que podría hacer un intruso que comprometiera el sistema.
Requiere de la
instalación de extensiones (addons) que permiten ampliar la funcionalidad por
ejemplo:
·
Nmap.
·
Advanced
Proxy.
·
URLFilter.
·
Samba
Server.
·
QoS_NG.
·
BOT
(Block Out Traffic).
·
Advanced proxy.
·
URL Filter.
La implementación de
este servidor firewall permite controlar los destinos y orígenes de la
información a compartir dentro del dominio, por medio de esta herramienta se
pueden crear listas negras de URLs como listas de URLs permitidas.
PRESUPUESTO
GASTOS
|
Costo unitario
|
Número de unidades
|
Costo total * año
|
Auditoria de sistemas
|
8.744.000,00 COP
|
N/A
|
8.744.000,00 COP
|
Análisis del entorno
|
5.813.000,00 COP
|
N/A
|
5.813.000,00 COP
|
Total análisis
|
----------------------
|
--------------
|
14.557.000,00 COP
|
Hardware
|
|||
Servidor 1
|
1.059.000,00 COP/ mes
|
1
|
12.708.000,00 COP
|
Servidor 2
|
620.000,00 COP/ mes
|
1
|
7.440.000,00 COP
|
Reestructuración Cableado
(opcional)
|
2.755.000,00
COP
|
N/A
|
2.755.000,00
COP
|
Software
|
|||
Windows Server
2008
|
828.000,00
COP
|
1
|
828.000,00
COP
|
Active
Directory
|
749.000,00
COP
|
1
|
749.000,00
COP
|
IPCOP
Firewall
|
GPL
|
1
|
GPL
|
mano de obra
|
|||
Instalación
|
4.750.000,00 COP
|
N/A
|
4.750.000,00 COP
|
Actualización
|
975.000,00 COP
|
N/A
|
975.000,00 COP
|
Total Implementación
|
---------------------
|
-------------
|
30.205.000 COP
|
Total
|
44.762.000 COP
|
CRONOGRAMA
ETAPA
|
TAREA
|
TIEMPO ASIGNADO
|
SEMANA
#
|
|||||||||||
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
|||
identificación
|
·
Hallar factores de riesgo
|
3 semanas
|
|
|
|
|
|
|
|
|
|
|
|
|
·
Clasificación
del o los factores de riesgo
(software, hardware, infraestructura tecnológica)
|
|
|
|
|
|
|
|
|
|
|
|
|
||
·
Revisión de
todos los demás componentes del sistema analizado en busca de más fallas.
|
|
|
|
|
|
|
|
|
|
|
|
|
||
Propuestas de solución
|
·
Definición de
los límites del problema para plantear las soluciones más viables.
|
2 semanas
|
|
|
|
|
|
|
|
|
|
|
|
|
·
Aportes de
diferentes soluciones que conlleven a solucionar las fallas halladas
|
|
|
|
|
|
|
|
|
|
|
|
|
||
Elección de solución
|
·
Análisis de
recursos y costos de las soluciones planteadas.
|
1 semana
|
|
|
|
|
|
|
|
|
|
|
|
|
·
Examinar
viabilidad de cada una de las opciones planteadas.
|
|
|
|
|
|
|
|
|
|
|
|
|
||
·
Seleccionar la
solución aportada que permita dar solución al problema de manera más eficaz.
|
|
|
|
|
|
|
|
|
|
|
|
|
||
Desarrollo del proyecto
|
·
Poner en marcha la
solución planteada que permita solucionar el problema o falla detectado en la
primera fase.
|
5 semanas
|
|
|
|
|
|
|
|
|
|
|
|
|
·
Observación de
los resultados arrojados
|
|
|
|
|
|
|
|
|
|
|
|
|
||
·
De manera
cíclica aplicar la solución y depurar las fallas que pueda arrojar hasta no
presentar fallas.
|
|
|
|
|
|
|
|
|
|
|
|
|
||
Fin del proyecto
|
·
Presentación de
resultados.
|
1 semana
|
|
|
|
|
|
|
|
|
|
|
|
|
IMPACTO
Con esta propuesta se
desea mejorar y fortalecer el sistema de información de la empresa del sector
floricultor Flores La Conchita, ya que este presenta debilidades y
vulnerabilidades que pueden poner en riesgo información muy valiosa para la
compañía y que en manos incorrectas pueden poner en riesgo la credibilidad, la
reputación, la producción, las ganancias, la confidencialidad, la privacidad y
la seguridad de las propias instalaciones y el personal de las diferentes áreas
de toda la empresa.
Con la ejecución del
proyecto se permite identificar exactamente las brechas en la seguridad que
conduzcan a determinar el nivel de seguridad y eficiencia de los controles, los
procesos, las técnicas y los métodos que deben asegurar la disponibilidad, la
integridad, la autenticidad y la confidencialidad de la información sensible de
la organización empresarial; a partir de esta determinación identificar los
riesgos y el plan de contingencia que se debe implementar en caso tal, que los
controles, las técnicas, los procesos y los métodos incumplan con la seguridad
de la información.
Además, también se
desea verificar e identificar las vulnerabilidades del hardware y del software
que componen la red de la empresa mediante la configuración del IOS y CLI
verificando cada conexión según la configuración realizada por el administrador
de la red con el fin de proponer a la empresa la red más idónea para su
operación pensando siempre en el escalonamiento en la red para cuando la
empresa se expanda.
Finalmente, se quiere
dejar un precedente con este proyecto dejando una guía que sirva a futuros
estudios y futuras auditorias que se quieran implementar en otras empresas
floricultoras e industriales de la Sabana de Bogotá que también presenten
debilidades en sus sistemas de información, para que tomen conciencia que la
información de cada empresa es sumamente valiosa y que debe ser protegida de
cualquier amenaza, que se debe minimizar los riesgos que siempre van a existir,
y dejar claro que reforzar la seguridad de la información no es un gasto para
la empresa sino todo lo contrario, es una inversión que a mediano y largo plazo
traerá beneficios a la compañía.
RECOMENDACIONES
·
Documentar en un manual de
políticas y procedimientos donde se organice la generación, cambio, revocación,
destrucción, distribución, certificación, almacenamiento, captura, uso y
archivo de llaves criptográficas.
·
Asignar un encargado y los
procedimientos a seguir para contrarrestar a una eventual pérdida de los
activos de datos, software, equipos y servicios, evitando que la información
vaya a parar en manos equivocadas que perjudiquen la producción y reputación de
la empresa.
·
Implementar la administración
en la gestión de cuentas de usuario, evitando que haya modificación
desautorizada de datos y/o software instalado en el sistema, incluyendo
eliminación de archivos por parte de personal no autorizado tanto interno como
externo al sistema de información de la empresa.
·
Asignar funciones de auditoría
a uno de los funcionarios que esté en capacidad de registrar los movimientos
realizados por los súper usuarios del sistema, pudiendo el mismo realizar
auditorías y ejerciendo controles adecuados sobre la seguridad del servidor e
producción y sobre la base de datos.
·
Diseñar un calendario donde se
le realice un cronograma del mantenimiento periódico necesario que se le tiene
que hacer al hardware y que sea en su debido momento.
·
Contar con el personal
necesario para este proceso de mantenimiento preventivo y correctivo.
·
Documentar al personal del
buen uso del hardware con capacitaciones donde se les enseñe las ventajas y
desventajas del buen uso del mismo.
·
Realizar capacitaciones
enriquecedoras para la prevención de posibles daños en el hardware.
·
Crear un manual que establezca
las reglas a las que debe estar ceñido todo el personal de la compañía, del
mismo modo que se establecen reglas para el ingreso de los visitantes y las
restricciones que presentaran dependiendo de las zonas que vayan a visitar
·
Llevar a cabo el proceso de
mantenimiento de equipos e infraestructura redes y telecomunicaciones de manera
periódica con el fin de evitar contratiempos.
·
Delegar un encargado de la
creación, modificación y eliminación de las cuentas de usuario.
·
Crear un manual de procesos y
procedimientos e incluir los procesos mencionados anteriormente.
·
Generar una supervisión de los
procesos que se están aplicando según el manual de procesos creado por la
empresa.
CONCLUSIONES
Hoy
en día, es necesario que una empresa se adapte a los rápidos cambios
tecnológicos para que sea competitiva y no termine por desaparecer ante sus
competidores y al mercado que pertenezca.
Si
una organización empresarial logra adaptarse a los paradigmas modernos, logra
mejorar su tecnología y por consiguiente su producto, también debe preocuparse
por mejorar la seguridad de su tecnología y de su producción, sino es así, no
sirve la moderna tecnología si esta no cuenta con la seguridad complementaria,
además la empresa pone en riesgo su reputación, su producción y su información.
Como
muchas empresas del sector floricultor e industrial, la empresa Flores La
Conchita debe crear y mantener los planes, las políticas, los controles y los procedimientos
de seguridad en sus sistemas de información que sirvan como primera medida ante
un posible ataque cibernético o una fuga de información ya sea por una falla en
su sistema o se trate de algún integrante de la empresa, así como debe contar
con planes de contingencia en caso de que la amenaza se materialice.
Finalmente,
cuando se identifica las vulnerabilidades que presenta la red de la empresa de
Flores La Conchita, se establece las correspondientes soluciones mediante la
implementación de diferentes soluciones tecnológicas como Active Directory, un servidor firewall IPCOP, además de otras
implementaciones y mejoras en la administración de bases de datos, en el cableado
estructurado, mantenimiento al software y hardware de la red y de cada equipo de
oficina, inventario de activos informáticos, documentar un manual de políticas
y procedimientos de seguridad, capacitaciones al personal que minimicen los
riesgos de fallas, entre otros. Estos controles y procedimientos se adaptan de una
manera sencilla y segura a los recursos de hardware y de software que ya están
disponibles en el sistema de información de la
empresa, ahorrándole tiempo y dinero, que son vitales a la hora del
funcionamiento de una compañía.
REFERENCIAS BIBLIOGRÁFICAS
Zorrilla, A. “Introducción a la metodología de la
investigación”. Mèxico, Aguilar Leon y Cal, Editores, 11ª Edición. 1993.
Dankhe. Diferentes diseños.
Tipos de investigación. Colombia: McGraw-Hill.
(1986). Recuperado en. 1996 de http://www.revistaespacios.com/volumen17
Ander-Egg, E., Aguilar,
M. “Cómo elaborar un Proyecto: guía para diseñar proyectos sociales y culturales” Publicación
Buenos Aires: Instituto de Ciencias
Sociales Aplicadas, 1989.
Meyer, W., Van Dalen,
D. (1978) Manual de técnica de la investigación educacional. Editorial Paidos.
Calero J. L. (2000)
Investigación 'cualitativa' y 'cuantitativa. Problemas no resueltos en los
debates actuales. Rev. Cubana Endocrinol 2000; 11!(3): 192D8.
Palladino, E. (2014).
Administración y gestión de proyectos. Administración y gestión de proyectos
(pp. 25-34). Buenos Aires, AR: Espacio Editorial. Recuperado de http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/reader.action?ppg=25&docID=11162736&tm=1482795267282
Gutiérrez,
D. M. J. A., & Pagés, A. C. (2009). Definiciones básicas.
Planificación y gestión de proyectos informáticos (pp. 17-36). Alcalá de
Henares, ES: Servicio de Publicaciones. Universidad de Alcalá. Recuperado
de http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/reader.action?ppg=28&docID=10280334&tm=1482795495894
No hay comentarios:
Publicar un comentario