Sesión– Caso práctico

Apellidos y Nombres:
Curso:
Día de Clase:
Sede:

1. Una organización está desarrollando planes revisados de continuidad de negocios (BCP) y

de recuperación en caso de desastre (DRP) para su sede y red de 16 sucursales. Los planes
actuales no se han actualizado en más de ocho años, tiempo durante el cual la organización
ha crecido aproximadamente más de 300 por ciento. En la sede trabajan aproximadamente
750 empleados. Estas personas se conectan por una red de área local a un conjunto de más
de 60 servidores de aplicaciones, bases de datos e impresoras de archivos, que se
encuentran ubicados en el centro de datos de la organización y por una red de frame relay
a las sucursales. Los usuarios itinerantes tienen acceso remoto a los sistemas corporativos
al conectarse a Internet a través de la conexión privada virtual. Los usuarios, tanto en la
sede como en las sucursales tienen acceso a Internet a través de un cortafuegos (firewall)
y servidor proxy localizados en el centro de datos. Las aplicaciones críticas tienen un tiempo
objetivo de recuperación (TOR) entre tres y cinco días. Las sucursales está separadas entre
sí a una distancia de 48 y 80 kilómetros, no estando ninguna a menos de 40 kilómetros de
la sede. Cada sucursal tiene entre 20 y 35 empleados más un servidor de correo y un
servidor de archivo de impresión. Los medios de respaldo para el centro de datos se
almacenan en una instalación ajena, a 56 kilómetros de distancia. Los respaldos para los
servidores que se encuentran ubicados en las sucursales se guardan en las sucursales
cercanas por medio de acuerdos recíprocos entre las oficinas. Los contratos actuales con
un tercero proveedor de hot site comprenden 25 servidores, espacio para el área de trabajo
equipado con computadoras de escritorio para albergar a 100 personas, y un acuerdo
aparte para enviar hasta dos servidores y 10 computadoras de escritorio a cualquier
sucursal que se declare en emergencia. El contrato tiene una duración de tres años, con
mejoras al equipo al momento de la renovación. El proveedor del hot site tiene múltiples
instalaciones en todo el país, en caso de que otro cliente esté haciendo uso de la instalación
primaria o ésta se inutilice a causa de un desastre. Es el deseo de la alta gerencia que una
eventual mejora sea lo más rentable posible.

¿Qué debería hacer el auditor de SI?

2. Al auditor de SI se le ha solicitado recientemente que realice una evaluación externa e
interna de seguridad de red para una organización que procesa reclamos de beneficios de
salud. La organización tiene una compleja infraestructura de red con múltiples redes de
área local e inalámbricas, una red de retransmisión de tramas (frame relay) cruza las
fronteras internacionales. Adicionalmente hay un sitio de Internet al que tienen acceso
médicos y hospitales. El sitio de Internet tiene tanto áreas abiertas como secciones que
contienen información de reclamos médicos que requiere una identificación y una
contraseña (password) para obtener acceso. También hay un sitio intranet que permite que
los empleados verifiquen el estado de sus reclamos médicos personales y comprar
fármacos por prescripción con descuento usando una tarjeta de crédito. La red Frame Relay
lleva datos estadísticos no sensitivos encriptados que son enviados a las agencias
regulatorios pero no incluyen información de cliente identificable. La última revisión de
seguridad de red se efectuó hace más de cinco años. En ese tiempo, se notaron numerosas
exposiciones en las áreas de administración de reglas de cortafuegos (firewall) y
administración de parches para los servidores de aplicación. También se encontró que las
aplicaciones de Internet eran susceptibles a inyección de SQL. Se debe señalar que el acceso
inalámbrico, así como también el portal intranet, no había sido instalado en el momento de
la última revisión. Desde la última revisión, se ha instalado un nuevo cortafuegos (firewall)
y la administración de parches está ahora controlada por un mecanismo centralizado para
impulsar los parches para todos los servidores. La capacidad de las aplicaciones de internet
ha sido ampliada para aprovechar las nuevas tecnologías. Adicionalmente, se ha agregado
un sistema de detección de intrusos y los reportes producidos por este sistema se
monitorean diariamente. El tráfico a través de la red involucra una mezcla de protocolos,
ya que aún se está en uso un número de sistemas legado. Todo el tráfico sensible de red
que atraviesa internet primero se encripta antes de que se envíe. El tráfico en las redes de
área local interna y las redes inalámbricas se codifica en hexadecimal de modo que ningún
dato aparece en texto normal. Un número de dispositivos también utiliza Bluetooth para
transmitir datos entre los PDAs y las computadoras laptop.

¿Qué debería hacer el auditor de SI?

3. La gerencia está actualmente considerando formas con las cuales pueda aumentar la
seguridad física y la protección de su centro de datos. Al auditor de SI se le ha solicitado
que asista en este proceso evaluando el actual ambiente y haciendo recomendaciones para
mejorar. El centro de datos está constituido por 15,000 pies cuadrados (1,395 metros
cuadrados) de superficie en una plataforma elevada en la planta baja del edificio de la
oficina corporativa, 22 empleados de operaciones requieren acceso regular. Actualmente,
el acceso al centro de datos se obtiene usando una tarjeta de proximidad, que es asignada
a cada persona autorizada. Hay tres entradas al centro de datos, cada una de las cuales
utiliza un lector de tarjetas y tiene una cámara monitoreando la entrada. Estas cámaras
alimentan sus señales a un monitor en la mesa de recepción del edificio, que circula a través
de estas imágenes junto con vistas de otras cámaras dentro y fuera del edificio. Dos de las
puertas del centro de datos tienen también cerraduras con llave que permiten el acceso
evitando el sistema electrónico de modo que no se requiera una tarjeta de proximidad para
entrar. El uso de tarjetas de proximidad se escribe en un registro (log) electrónico. Este
registro (log) es conservado por 45 días. Durante la revisión, el auditor de SI señaló que hay
64 tarjetas de proximidad activas actualmente y emitidas a diferentes miembros del
personal. El centro de datos no tiene ventanas exteriores, aunque una de las paredes es de
vidrio y da al vestíbulo de entrada y al área de recepción del edificio.

¿Qué debería hacer el auditor de SI?