Beruflich Dokumente
Kultur Dokumente
Universidad de Guayaquil
Sornoza: Landeta:
Firma:
Confidential
Universidad de Guayaquil
TODOS LOS DERECHOS RESERVADOS Queda reservado el derecho de propiedad de este documento, con la facultad de disponer de l, publicarlo, traducirlo o autorizar su traduccin, as como reproducirlo total o parcialmente, por cualquier sistema o medio. No se permite la reproduccin total o parcial de este documento, ni su incorporacin a un sistema informtico, ni su locacin, ni su transmisin en cualquier forma o por cualquier medio, sea ste escrito o electrnico, mecnico, por fotocopia, por grabacin u otros mtodos, sin el permiso previo y escrito de los titulares de los derechos y del copyright. FOTOCOPIAR ES DELITO.
Confidential
Universidad de Guayaquil
La red fue instalada hace algunos aos por una empresa que ya no existe en la actualidad. Uno de los diseadores industriales con ms conocimientos de informtica es el encargado de administrar los servicios. Toda la red est basada en un switch LAN conectado a un router, que recibe el servicio ADSL proporcionado por la compaa telefnica. Algunos usuarios se conectan mediante una pequea red de cableado estructurado, mientras que otros utilizan la red inalmbrica que viene incluida con el router. El router funciona como servidor DHCP y hace las funciones de NAT y PAT + port forwarding. El servidor de archivos est basado en Windows 2003 y tambin funciona como servidor de web, servidor DNS, y servidor de correo. Para brindar acceso a clientes y usuarios, el servidor Windows 2003 tiene configurada una direccin IP privada y el router Linksys est configurado con la funcionalidad port forwarding para permitir el acceso desde Internet hacia los siguientes puertos TCP del servidor: 20, 21, 22, 23, 25, 53, 80, 137, 139, 110, 443, 445 y 3389. Los usuarios internos se conectan al servidor Windows 2003 mediante la funcionalidad de escritorio remoto (remote desktop) del servidor. En el pasado ha habido problemas de compatibilidad con las aplicaciones de diseo industrial, por lo que el administrador del servidor est renuente a activar la funcionalidad Windows Update en el mismo. Los usuarios externos se conectan al servidor Windows 2003 mediante una pgina de web y descargan archivos del mismo mediante el protocolo FTP.
Confidential
Universidad de Guayaquil
1-B) Qu solucin propondras a RapidStand para que pueda asegurar a sus clientes que la informacin relacionada a sus productos est segura y es confidencial en su sitio? Explicar. NOTA: No se podr modificar la arquitectura fsica de la red, ni introducir ningn equipo adicional ya que implicara una inversin que no RapidStand no est dispuesto a realizar en este momento. Slo se permite reconfigurar los equipos, utilizando las funcionalidades que ya estn disponibles en ellos. 15 pts.
Confidential
Universidad de Guayaquil
cas o
1 2 3 4 5 6 7
Situacin
Servidor no cuenta con las actualizacin recomendadas de SO aplicaciones Accesos a puertos Inseguros desde el Internet : 23 20 -21- 137 -139 Acceso al Servidor con credenciales Administrativas Roles de servicios en el servidores expuesto hacia el Internet Configuraciones DHCP en el Router de
Criticidad
Alta. Alta Alta Alta Media Media Alta
Implementacin de Seguridad bajas WEP No contar con Polticas, procedimientos para la seguridad de la Informacin
Confidential
Universidad de Guayaquil
Caso 1. Actualizaciones El ciclo de vida de un software es importante dentro de las organizaciones, l os errores
existen en todos los programas, siempre existe gente investigando y tratando de encontrar una forma de aprovechar estos errores en las aplicaciones, software o sistemas operativos.
Cualquiera de estos programas que manifieste un error est exponiendo nuestros servidores el ataque de un intruso. Caso 2. Puertos Inseguros La utilizacin y publicacin de acceso hacia puertos inseguros es aprovechada para los intrusos, virus gusanos, etc... La red interna puede sufrir el ataque y la perdida de informacin
Puertos 20 21
Detalle FTP Control FTP datos Permite el traslado del a informacin en forma clara, puede aprovechar a un atacante poder apoderarse de la informacin Telnet protocolo Inseguro NetBIOS permite el acceso a compartido NetBIOS permite el acceso a compartido Acceso RDP Acceso con credenciales administrativas
Caso 3
Acceso al Servidor con credenciales Administrativas Los accesos de usuarios con credenciales administrativas es un riesgo alto ya que no se tiene el control sobre cambios y manipulacin de la informacin, permitiendo realizar cualquier modificacin en el servidor
Caso 4
Roles de servicios en el servidor expuesto hacia el Internet
Las buenas prcticas recomienda no incluir principales roles en un mismo servidor y que este a su vez est siendo publicado hacia el internet, si el servidor expuesto es penetrado podr fcilmente apoderarse de la informacin de correos de los usuarios de la empresa ya que este da un servicio de correo Caso 5
Configuraciones en el Router de DHCP
Confidential
Universidad de Guayaquil
DHCP es un servicio que permite a los administradores mejorar la asignacin de ip a los usuarios, pero el mal manejo o la mala implementacin del mismo puede permitir a cualquier persona con dispositivo inalmbrico poderse conectar a la red de la empresa, una vez estando estando en la red interna
Caso 6
En cuanto a las conexiones inalmbricas que mantienen una configuracin de seguridad, pero WEB en un mecanismo de seguridad bsico que ha sido roto en distintas forma. WEP utiliza una clave secreta compartida entre una estacin inalmbrica y un punto de acceso. Todos los datos enviados y recibidos entre la estacin y el punto de acceso pueden ser cifrados utilizando esta clave compartida
Caso 7
No contar con Polticas, procedimientos para la seguridad de la Informacin
Un problema grave dentro de las empresas es no contar con polticas y procedimientos que permitan garantizar el buen uso de la informacin y de los recursos que la gestionan.
Confidential
Universidad de Guayaquil
Actividad B.
Recomendacin y Plan de Accin
Dentro de las revisiones realizadas sobres las vulnerabilidades, describimos las recomendaciones y plan de accin para mitigar los riegos de seguridad de la empresa.
ca so
Situacin
Recomendacin
Realizar un plan de Actualizacin de Microsoft Update,
Servidor no actualizado
de manera controlada de manera que no sea afectada las aplicaciones instaladas en el servidor y que no haya afectacin. Procedimentar la actualizaciones peridicas del SO y aplicaciones Microsoft
Deshabilitar los puertos inseguros en el Servidor desde el internet, Puertos 23 137 139 3389 Implementar Auditorias de Cambios en el servidor y archivos crticos que son publicados hacia el internet. Realizar inventarios de acceso FTP, eliminar acceso anonymus y realizar cambios peridicos de contraseas utilizando claves compejas
Confidential
Universidad de Guayaquil
En requerir el acceso de todos los usuarios al Servidor es recomendable implementar el servicio de Terminal Services propio de Windows Se recomienda separar roles del servidor Expuesto. Dejar solo publicado el servicio Web FTP. Roles de servicios en Adicionalmente Migrar el servicio FTP hacia una plataforma segura SFTP. el servidores expuesto hacia el Publicar el sitio con Certificados Electrnico para tener Internet una comunicacin segura. Se recomienda configurar el Router de forma que el acceso a la red inalmbrica sea por medio de MAC
56
Configuraciones en clientes inalmbricos) esta propiedad viene habilitada para este el Router de DHCP - modelo de router. Implementacin de Seguridad bajas WEP Adicionalmente el router viene con opciones que permiten
mejorar la seguridad en la RED, se debe configuracin de seguridad con WPA2 Personal cambiar la
Es muy importante dentro de las empresas con procedimiento y estndares de seguridad que permitan controlar y salvaguardar la informacin
No contar con Polticas, procedimientos para la seguridad de la Informacin
Prevenir y detectar amenazas. Responder de una forma adecuada y con prontitud ante un incidente. Proteger y Mantener los sistemas funcionando.
Otra recomendacin adicional es realizar hardening de los servidores y aplicaciones para mitigar cualquier riesgo de seguridad
Confidential
Universidad de Guayaquil
Escenario 3: Emergentes
Prevencin
de
Problemas
Tecnologas
La Direccin General de RapidStand ha quedado muy satisfecha con la solucin propuesta, que ha tenido como primer resultado eliminar las quejas de los clientes de la empresa. Sin embargo, tambin ha quedado en evidencia que la falta de visin tecnolgica ha generado problemas innecesarios como lo fue el robo de informacin. Ahora, a la alta direccin de RapidStand le preocupa el posible mal uso que puedan hacer sus empleados de las nuevas tecnologas de Cloud Computing y Tablet PCs que estn surgiendo. Algunos empleados ya emplean servicios alojados en pginas como: Dropbox.com, Salesforce.com, Huddle.com y Yammer.com. Estos mismos empleados traen su iPad a la oficina y se conectan a dichos servicios a travs de la red inalmbrica, aunque tambin tienen la costumbre de trabajar desde sus casas. Asimismo, han hecho peticiones a la Direccin de RapidStand para contratar los servicios de Google Apps for Business. En todos estos casos el atractivo de estos servicios es su ubicuidad ya que pueden ser accesibles desde la oficina, la casa, un Tablet-PC o un Smartphone. Sin embargo, la Direccin General est preocupada por el hecho de que la informacin de la empresa est empezando a salir de los servidores que tradicionalmente la albergaban y se est perdiendo el control de la seguridad sobre la misma. En particular, a la Direccin General de RapidStand le preocupa que Google controle ahora informacin confidencial del negocio. La Direccin General de RapidStand te ha contratado para desarrollar normas de seguridad informtica que pueda aplicar la empresa en el manejo de la informacin.
Confidential
Universidad de Guayaquil
Actividades
3-A) Redactar en un solo prrafo y con tus propias palabras la Poltica Corporativa de Seguridad de la Informacin que a tu juicio debe ser seguida por una empresa como RapidStand. No debes mencionar tecnologas especficas, fabricantes, marcas ni protocolos en dicha poltica. La poltica debe poder expresarse en uno o dos prrafos, con la clase de lenguaje que utilizara la Direccin General de una empresa al dirigirse a sus empleados. 5 pts. 3-B) Emite al menos 5 recomendaciones de carcter opcional para que los diseadores industriales hagan un uso correcto de las tecnologas informticas de Cloud Computing. Asegrate que las recomendaciones sean congruentes y estn contenidas en la poltica del paso anterior. Las recomendaciones deben ir dirigidas a los diseadores industriales, utilizando la clase de lenguaje que se esperara de la Direccin General de la empresa. 5 pts. 3-C) Describe al menos 3 parmetros indicadores que puedan medirse peridicamente y te permitan verificar que el nivel de seguridad de los servicios ofrecidos por los proveedores de Cloud Computing es adecuado. Explicar por qu seleccionaras dichos indicadores. Al contestar este punto, asume que te ests dirigiendo al Director General de RapidStand y debes justificar tu decisin en un lenguaje que l entienda (no uses lenguaje tcnico). 5 pts. 3-D) Emite al menos 3 lineamientos de trabajo que describan usos incorrectos que podra tener alguna de las tecnologas mencionadas arriba, basadas en Cloud Computing desde el punto de vista de RapidStand as como las penalizaciones que esta empresa aplicara en dichos casos. Asegrate que los lineamientos estn soportados por la poltica del inciso 3-A. Debes utilizar el lenguaje que la Direccin General de la empresa usara al dirigirse a sus empleados. 5 pts. 3-E) Evala la poltica de seguridad del servicio Google Apps for Business e identifica por lo menos cinco (5) aspectos que pudieran considerarse riesgosos o indeseables desde el punto de vista de RapidStand. Al contestar este punto, asume que te ests dirigiendo al Director General de RapidStand y debes justificar tus observaciones en un lenguaje que l entienda (es decir, en este punto no uses lenguaje tcnico). 10 pts. 3-F) Evala la conveniencia de que la empresa Rapid Stand otorgue telfonos mviles tipo Smartphone a sus usuarios, versus la posibilidad de que sean los usuarios quienes compren su propio telfono y lo lleven a la oficina. Menciona 5 posibles beneficios y 5 posibles inconvenientes de que la empresa sea propietaria de los equipos, as como 5 posibles beneficios y 5 posibles inconvenientes de que cada usuario sea dueo de su equipo Smartphone. 10 pts.
Confidential
Universidad de Guayaquil
Actividad 3A
El objetivo de las polticas de seguridad es definir qu estn haciendo los usuarios con la informacin de la empresa, se deber hacer un buen uso de los recursos de hardware y software y por supuesto eficientizar los costos. Cada uno de los procesos administrativos o tcnicos que se manejen en los sistemas de informacin debern contar con su propia poltica de seguridad, los atributos descritos con anterioridad debern ser aplicados al definir estas polticas. El departamento de informtica deber tener amplios conocimientos en el uso y aplicacin de las herramientas de seguridad.
Actividad 3B Llevar a cabo la evaluacin de riesgos en el marco de un proyecto integral de la Empresa, involucrando a los referentes claves de las distintas reas que estn involucradas. Definir los requisitos de seguridad que debe implementar el proveedor de Cloud Computing al momento de gestionar los incidentes de seguridad, en un todo de acuerdo con el proceso de gestin de incidentes de la Empresa.
Confidential
Universidad de Guayaquil
Caso de Estudio Fecha 07/15/2013 Verificar que existan clusulas al momento de finalizar el servicio, relacionadas con la seguridad de la informacin involucrada y los requisitos establecidos para su disposicin. Por ej. borrado seguro, devolucin, etc. Verificar si el proveedor de Cloud Computing se encuentra registrado en el proyecto Security, Trust, and Assurance (STAR) de Cloud Security Alliance (CSA), en el mismo se pueden conocer distintos aspectos de seguridad implementados en el servicio de Cloud Computing. Mantener los controles de seguridad propios que sean adecuados, aunque se seleccione un servicio de Cloud Computing. Por ej: Respaldo de la Informacin.
Actividad 3C Recuperacin de la red de datos Plazo para recuperar, restaurar y reconfigurar los routers: una hora desde la interrupcin del servicio. Tiempo necesario para probar y validar el rendimiento de la red antes de empezar a transmitir datos en tiempo real: una hora desde la interrupcin del servicio. Tiempo mximo necesario para sustituir fsicamente los dispositivos de red daados: cuatro horas.
Recuperacin del equipo de voz Tiempo necesario para reiniciar el sistema de voz: una hora desde la interrupcin del servicio. Plazo mximo para la llegada de los servicios de la empresa a las instalaciones: cuatro horas desde la llamada al servicio de asistencia.
Confidential
Universidad de Guayaquil
Caso de Estudio Fecha 07/15/2013 Tiempo necesario para sincronizar los circuitos DS-1/PRI con el conmutador: cuatro horas.
Activacin de sitios de respaldo calientes Tiempo necesario para confirmar la aprobacin desde el sitio de respaldo caliente para la recuperacin de espacio: una hora desde que se inicia el contacto. Tiempo necesario para reiniciar los sistemas crticos en el sitio de respaldo caliente: una hora desde la interrupcin del servicio. Tiempo necesario para reubicar al personal en el sitio de respaldo caliente: cuatro horas desde que se comunic la interrupcin.
Recuperacin de servidores Plazo para la restauracin y reinicio de los servidores: una hora desde la interrupcin del servicio. Plazo para sustituir fsicamente los servidores en los bastidores designados: 30 minutos. Nmero mximo de errores durante el reinicio inferior a dos.
Actividad 3D Prdida o fuga de datos Implementar controles de acceso y APIs robustas. Encriptar y proteger la integridad de los datos en su trnsito. Analizar la proteccin de los datos tanto en el diseo como en la ejecucin. Desarrollar sistemas de generacin de claves robustas, almacenamiento, gestin y prcticas de destruccin. Solicitar a los proveedores mediante contrato los medios necesarios antes de iniciar el servicio, as como las estrategias de backup y conservacin. Uso incorrecto del Servicio
Confidential
Universidad de Guayaquil
Caso de Estudio Fecha 07/15/2013 Registros iniciales y procesos de validacin rgidos y estables. Supervisin de la coordinacin y monitorizacin de posibles fraudes del servicio. Interpretacin del trfico de la red de cliente. Monitorizacin de listas negras pblicas para bloqueo de redes propias.
Perdida de la trazabilidad Divulgacin de datos y logs aplicables. Parcial/total difusin de los detalles de infraestructura (sw corrector, firewalls, etc.). Monitorizacin y alertas de la informacin necesaria. Empleados que utilizan sus privilegios de forma inadecuada Implementar una poltica de gestin del cambio firme y comprensible para evaluacin de empleados. Especificacin de los perfiles de los recursos como parte del contrato. Requerir transparencia en la seguridad de la informacin y prcticas de gestin, as como sus informes de cumplimiento. Determinar la violacin de seguridad en los procesos de notificacin.
Actividad 3E Recepcin de menos spam El potente filtrado de spam de Gmail te ayuda a mantenerte concentrado en los mensajes realmente importantes. El filtrado de Postini te ofrece la posibilidad de personalizar la proteccin contra el spam. Google Docs. no es tan poderoso como Microsoft Office a la hora de formatear. (Lo que siempre se puede hacer es exportar la versin final a Office) y tiene menos "periquitos" (bells & whistles). Para algunas personas eso es ms importante que la posibilidad de trabajar en forma colaborativa. Requiere un buen acceso a Internet. A pesar de que los tiempos de respuesta son muy buenos cuando hay una buena conexin, el trabajo en un computador
Confidential
Universidad de Guayaquil
Caso de Estudio Fecha 07/15/2013 local, siempre es ms rpido. (Una opcin es que los documentos complejos se hacen fuera de lnea y luego se suben a Internet para sus actualizaciones). Versin estndar que es gratuita: Dispone de los mismos productos pero con las siguientes limitaciones: Menos espacio para los correos: 7GB, en vez de 25GB. Menor cantidad de correos diarios (500 en vez de 2000). No hay soporte por parte de Google cuando hay problemas. No se garantiza una disponibilidad de 99.9%. No se dispone de los filtros avanzados de Postini. No se pueden manejar grupos ni video.
Actividad 3F Beneficios Empresa Personal en constante interaccin con las aplicaciones del Smartphone. Presentacin de aplicaciones que pueden tener todos los empleados de la misma empresa (ej.: Blogs). Constante comunicacin con todas las personas de la empresa. Ms cuidado de los equipos Smartphone ya que son de la empresa. Costos mucho ms econmicos (licencia de software, aplicaciones, etc.).
Inconvenientes Empresas Limitacin de Navegacin en los Smartphone. Equipo Smartphone una vez culminado el da deber permanecer en la empresa.
Confidential
Universidad de Guayaquil
Caso de Estudio Fecha 07/15/2013 Cualquier accidente que sufra el equipo Smartphone ser descontado al empleado. Llamadas, SMS, etc. solo para uso interno de la empresa o exclusivamente para comunicacin con clientes externos. Cada del servicio WEB interno de la empresa, se quedara incomunicadas las aplicaciones.
Beneficio Usuario Smartphone personal para libre acceso de conectividad. Llamadas, SMS, etc. Libremente. El usuario puede usar el Smartphone para la empresa y para cualquier parte que el acuda. El usuario mediante conectividad de datos puede estar actualizado en sus aplicaciones donde quiera que vaya. El usuario puede acudir desde cualquier parte en su Smartphone a la NUBE para trabajos externos.
Inconvenientes Usuario Prohibicin al acceso redes sociales por la empresa. Robo, daos, etc. del Smartphone corre gasto por el usuario y la empresa no se responsabiliza. El usuario puede dejar olvidado su Smartphone en la casa o en cualquier parte y no puede acceder a la herramienta de trabajo. El usuario por la variedad de navegacin puede sufrir ataque de virus y asi perder su documentacin. El usuario sino tiene instalados las aplicaciones de la empresa jamas estar sincronizado con su trabajo.
Confidential
Universidad de Guayaquil