LINEA BASE DE SEGURIDAD

A continuacin se describen los datos y la informacin recogida durante el relevamiento

realizado a la empresa Fundacin para la Produccin a travs de cuestionarios detallando cada
uno de los controles implementados en la actualidad como nuestra lnea base de seguridad.
1. SEGURIDAD DE LAS COMUNICACIONES
1.1
Topologa de Red
1.1.1 Componentes de red
La red informtica de la empresa se compone de lo siguiente:

Conexin Banda Ancha cableada.

Switch principal y secundarios.
Servidores de: Proxy, Correo, Aplicaciones y Base de datos.
Routers.
Firewall

1.2
Conexiones Externas
1.2.1 Servidor Proxy
Para la conexin a Internet se utiliza un servidor Proxy de Linux llamado Squid,
ubicado en el servidor de Internet. Su salida al exterior es a travs de una conexin
ASDL de 2MB, suministrada por un ISP. Este Proxy se configur de manera estricta, de
forma que solo tiene conexin al exterior un rango de direcciones IP definido por la alta
Gerencia.
1.3

Correo Corporativo

La empresa cuenta con un servidor de correo corporativo donde todos los jefes de rea y
personal operativo cuentan con una cuenta de correo utilizada para el envi de todo tipo
de informacin tanto de manera interna como para la comunicacin con las sucursales.
1.3.1 Herramientas
La empresa cuenta con un servicio de correo corporativo externo alojado en un
servidor externo permitiendo la comunicacin entre el personal de los distintos
departamentos y entre las sucursales. Tiene como dominio @la-empresa.org.bo.
El correo es ledo a travs de distintas herramientas es gestionado por el administrador
del CPD.
1.3.2 Alta de usuarios de mail
Si un empleado necesita una cuenta de correo electrnico, porque su puesto de trabajo lo
amerita, el Gerente del rea al que pertenece le solicita al administrador del centro de
cmputo, y ste le asigna cuenta de correo.
1.4 Antivirus

En la empresa no ha habido grandes problemas por infeccin de virus, solo en escasas ocasiones
cuando esta infeccin gener congestin en el trfico de red y problemas en PCs el mismo fue
erradicado travs de un escaneo profundo de todas las unidades mediante una herramienta de
antivirus actualizada.
1.4.1

Herramientas
En la empresa se dispone de una versin corporativa del Kaspersky Antivirus instalado
en el CPD la versin para el servidor y en el resto de las PCs la versin cliente.

1.4.2

Actualizacin
Las listas de virus se actualizan de internet a travs de una programacin de fechas de
configuracin.

1.5 Firewall
1.5.1 Configuracin del firewall
El firewall que existe en la empresa es un servicio del kernel de Linux, configurado de
manera que se prohben todos los servicios y solo se habilitan los necesarios (postura de
negacin preestablecida). Se configuro en base a una poltica que discrimina tres clases de
paquetes de red:
Paquetes entrantes a la red.
Paquetes salientes de la red.
Paquetes en trnsito.
1.5.2

Testeo y pruebas de red

El administrador encargado controla que los servicios se encuentren activos pero su
mantenimiento no la realiza con frecuencia mismas que al efectuar el respectivo testeo no
genera documentacin adjunta.

1.6 Conexiones internas

El cableado estructurado de la oficina central es cable UTP categora 5.

2. SEGURIDAD DE LAS APLICACIONES

Se evaluara la seguridad de las aplicaciones utilizadas en la empresa.
2.1 Software
En la empresa existen servidores con sistema operativo Linux Debian 6.0 y Windows
Server 2008.
El sistema financiero y las aplicaciones en general se encuentran desarrolladas en visual
studio 2010 cliente - servidor y otras aplicaciones web se encuentran en .net.
El 70% de las PCs usan el sistema operativo Windows 7, en el resto de ellas se encuentra
instalado Windows XP. El 50% de los equipos usan sistema operativo software original,
suite de office y todas las PCs de la empresa tienen licencias originales del antivirus
corporativo.
2.2 Base de datos
La base de datos financiera se encuentra en el sistema operativo Linux y con el motor de
base de datos postgreSQL.

Existen controles de acceso lgico pero los mismos no se encuentran documentados y en la

mayora de los casos tiende a ser informal.
2.3 Control de aplicaciones
No existen estndares definidos, no hay procedimientos a seguir ni tampoco documentacin
respecto a instalaciones y actualizaciones sobre la configuracin de las PCs.
En el caso de que una PC presente errores en su funcionamiento el personal de sistemas
utiliza herramientas de reparacin de errores y/o la respectiva reinstalacin total del sistema
informtico.
No existen polticas definidas sobre la actualizacin de programas instalados.
3. SEGURIDAD FSICA
Se evaluar que el CPD, los equipos, los dispositivos, los medios de almacenamientos y las
personas que conforman el sistema informtico de La Empresa cumplan con las medidas
necesarias en lo relativo a la infraestructura fsica y al mantenimiento de la seguridad de los
recursos de la organizacin.
3.1 Control de acceso fsico al CPD
Existe un circuito cerrado de cmaras de video no exclusivo para el control del CPD ya que
ms mismas se encuentran en todas las reas de la empresa ubicadas en lugares estratgicos
mismos que no apuntan directamente al Centro de Datos o a su puerta de acceso.
La alta gerencia y el personal de sistemas tiene acceso irrestricto al CPD, las dems personas
responsables de otras reas tienen acceso restringido.
Por ms que siempre hay personal de sistemas en el interior del CPD, cualquier persona
ajena a la empresa que necesite realizar una tarea de mantenimiento relativa al centro de
cmputos deber anunciarse en la puerta de entrada. El personal del rea de sistemas es el
encargado de escoltarlo desde la puerta hacia el interior de las instalaciones, acompandolo
durante el transcurso de su tarea, hasta que sea concluida.
3.2 Control de acceso a equipos
Todas las mquinas de la empresa disponen de puertos de USB y lectoras de CD, aunque el
90% de los usuarios no las necesita, estos dispositivos se encuentran habilitados y no hay
ningn control sobre ellos.
No se realizan controles peridicos sobre los dispositivos de hardware instalados en las PC
s, de manera que alguien podra extraer alguna pieza. Una vez que se ha completado la
instalacin de algn equipo, el administrador del sistema no realiza chequeos rutinarios o
peridicos, solo revisa los equipos ante fallas en los mismos o por un problema reportado por
el usuario.
3.3 Dispositivos de soporte
En la empresa disponen de los siguientes dispositivos para soporte:

Aire acondicionado.
Generador de energa.
UPS.
Descarga a tierra.

4. SEGURIDAD LGICA
4.1 Identificacin de usuarios
4.1.1 Altas
Cuando un usuario nuevo ingresa a la empresa, el rea de Recursos Humanos toma sus
datos, dando de alta al personal sin embargo, no existe un procedimiento formal a seguir
para realizar estas tareas. Si este usuario necesita del sistema informtico, Recursos
Humanos hace el pedido al Departamento de Sistemas, donde se genera el alta del
usuario al sistema.

4.1.2 Bajas
Las cuentas de los usuarios no se eliminan del sistema, se deshabilitan actualizndoles la
fecha de anulacin de dicha cuenta. De esta forma los datos de las cuentas dadas de baja
quedan almacenados en el disco y no es posible repetir los IDs de usuarios anteriores para
nuevos empleados.
No hay ningn procedimiento formal para dar de baja un usuario del sistema.
4.2 Mantenimiento
No se lleva a cabo ninguna revisin peridica ni control sobre el buen funcionamiento de las
cuentas de los usuarios, ni sobre los permisos que tienen asignados.
4.3 Permisos
Los permisos a los diferentes aplicativos de software se basa en privilegios de acceso en base
a roles los mismos que se encuentran creados por reas de la empresa.
4.4 Inactividad
Si el usuario permanece un perodo de tiempo logeado sin actividad, el sistema no ejecuta
ninguna accin; los administradores solo advierten a los usuarios sobre la necesidad de no
dejar las mquinas logeadas e inactivas. Si las cuentas de usuarios permanecen varios das
sin actividad, por licencias o por vacaciones no pasan a un estado de suspensin.
MODELO DE MADUREZ DE SEGURIDAD
Concluyendo con las evaluaciones de:
Seguridad en las Comunicaciones
Seguridad de las Aplicaciones
Seguridad Fsica
Seguridad Lgica.
Se concluye que la empresa se encuentra bajo el siguiente nivel de madurez de seguridad
actualmente:

Cuadro N. 1. Nivel de madurez de seguridad de la empresa.

EVALUACION DE RIESGOS
Como punto de partida y con el fin de efectuar una adecuada evaluacin de riesgos es necesario
realizar una valoracin de los activos que contiene la institucin generando un inventario de
aquellos considerados de vital importancia mismos que fueron clasificados segn el impacto que
sufrira la organizacin si faltase o fallara tal activo. Dicha clasificacin como se menciono
anteriormente se dio en base a estudios previos, entrevistas al personal de la organizacin y
cuestionarios para tomar conocimiento de la organizacin y de la seguridad que actualmente
posee.

Cuadro N. 2. Activos de informacin de la empresa.

A continuacin se realiza la ponderacin de los activos asignando un valor a la importancia que

tienen en la organizacin bajo una escala del 1 al 10.

Cuadro N. 3. Activos de informacin con ponderacin de importancia en la organizacin.

Establecida la situacin actual en la cual se encuentra la empresa, a continuacin definiremos los

recursos crticos, se analizarn las amenazas y vulnerabilidades de los activos y sus recursos
asociados, que se podran presentar por diferentes situaciones que hipotticamente se plantearn,
de tal manera que se logre ilustrar, calificar y evaluar, cada uno de los distintos escenarios
posibles con su respectiva incidencia en los recursos informticos de la empresa.
Siguiendo con la presente metodologa de evaluacin de riesgos a continuacin se identifican las
principales amenazas y sus respectivas consecuencias si las mismas se materializaran:

Cuadro N. 4. Amenazas identificadas y posibles consecuencias.

El mtodo que se utiliz para encontrar la posibilidad de ocurrencia de la amenaza fue el

cualitativo, para esto se realiz estimaciones de acuerdo a sucesos reiterativos de incidentes en
un intervalo de tiempo.
A continuacin se establecen escalas de impacto para su medicin:

Cuadro N. 5. Escala de impacto.

En el presente cuadro se listan los activos de la organizacin, los factores de riesgos que los
afectan directamente y las consecuencias que puede acarrear la ocurrencia de estos factores. Se
agrega informacin referida a las medidas que ha tomado la empresa para mitigar estas
consecuencias.

Cuadro N. 6. Evaluacin de riesgo servidor principal.

Cuadro N. 7. Evaluacin de riesgo software de aplicacin y sistemas operativos.

Cuadro N. 8. Evaluacin de riesgo red, equipos de comunicacin y cableado estructurado.

Cuadro N. 9. Evaluacin de riesgo Backups.

Cuadro N. 10. Evaluacin de riesgo Base de datos.