UNIVERSIDAD CENTRAL DEL ECUADOR
FACULTAD DE INGENIERÍA CIENCIAS FÍSICAS Y MATEMÁTICA
CARRERA DE INGENIERÍA INFORMÁTICA
IMPLEMENTACIÓN DE CONTROLES DE SEGURIDAD, MONITOREO DE ACCESO Y
RESPALDOS PARA CUSTODIA DE INFORMACIÓN SENSIBLE DE LA EMPRESA DE
SEGURIDAD Y SALUD OCUPACIONAL “PROSERATI” DE LA CIUDAD DE QUITO
TRABAJO DE GRADUACIÓN PREVIO A OBTENCIÓN DEL TÍTULO DE INGENIERO
INFORMÁTICO
AUTORES: DANILO JAVIER ANATOA QUISHPE,
DAMIÁN FRANCISCO CAMINO GONZÁLEZ
TUTOR: ING. ZOILA DE LOURDES RUIZ CHÁVEZ
QUITO – 12 JUNIO
2016
ii
DEDICATORIA
Dedico el siguiente trabajo de graduación principalmente a mis padres Sergio y Susana,
quienes nunca me dejaron abandonado ante las adversidades, supieron ayudarme y
corregirme a tiempo.
A mis hermanas Alexandra y María Elena las cuales muchas veces se pusieron el traje de
tutoras y supieron ser mi guía escolar.
A mis abuelitos Marino y Camila por ser mis ángeles custodios desde el cielo.
A mi novia Gaby por ser mi fuente inspiradora y apoyo para culminar el trabajo de
graduación.
Damián
iii
DEDICATORIA
A dios por haberme dado una madre maravillosa y ser un ejemplo de superación,
humildad y trabajo que con su amor incondicional y sacrificio me ha enseñado a valorar
cada momento en la vida.
A mi amada esposa por creer en mí, ser mi amiga y compañera que con sus palabras de
aliento me ha impulsado a terminar este proyecto.
Danilo
iv
AGRADECIMIENTO
Agradezco al Ing. David Trujillo por permitirnos realizar el análisis e implementación de
nuestro proyecto en la empresa Proserati que tan acertadamente la dirige.
Agradezco a nuestra tutora Ing. Zoila Ruiz Chávez por siempre creer en nosotros como
alumnos y brindarnos la guía necesaria en cuanto al proyecto integrador.
Damián
v
AGRADECIMIENTO
A mi madre Esperanza y mi hermano Juan Carlos que gracias a sus enseñanzas y
esfuerzo hicieron posible que sea un profesional y sobre todo una persona de bien.
A mi compañera de vida, mi esposa Odaliz que es mi fuente incondicional de apoyo y
siempre me está alentando con todo su amor para seguir adelante con nuestras metas.
A nuestra tutora Ing. Zoila que con su paciencia, consejos y conocimientos nos dio la guía
para culminar nuestro trabajo de graduación.
Agradezco a la Universidad Central del Ecuador por darme la oportunidad de ser parte de
ella y abrirme las puertas para poder estudiar la hermosa carrera de Informática, así como
a los diferentes docentes que aparte de brindarme sus conocimientos me enseñaron a ser
mejor persona.
Danilo
vi
AUTORIZACIÓN DE LA AUTORÍA INTELECTUAL
Nosotros, Damián Francisco Camino González y Danilo Javier Anatoa Quishpe en calidad
de autores del Proyecto Integrador: Implementación de controles de seguridad, monitoreo
de acceso y respaldos para custodia de información sensible de la empresa de seguridad
y salud ocupacional “Proserati” de la ciudad de Quito, por la presente autorizamos a la
Universidad Central del Ecuador, hacer uso de todos los contenidos que nos pertenecen o
parte de los que contiene esta obra, con fines estrictamente académicos o de
investigación.
Los derechos que como autores nos corresponden, con excepción de la presente
autorización, seguirán vigentes a nuestro favor, de conformidad con lo establecido en los
artículos 5, 6, 8; 19 y demás pertinentes de la Ley de Propiedad Intelectual y su
Reglamento.
Asimismo, autorizamos a la Universidad Central del Ecuador para que realice la
digitalización y publicación de este trabajo de investigación en el repositorio virtual, de
conformidad a lo dispuesto en el Art. 144 de la Ley Orgánica de Educación Superior.
Quito, 12 de Junio de 2016
Danilo Javier Anatoa Quishpe Damián Francisco Camino González
CC: 1719308171 CC: 1715591424
[email protected] [email protected]
Telf.: 022911463 / 0987183124 Telf.: 022663963 / 0992633203
vii
CERTIFICACIÓN DE LA TUTORA
En calidad de Tutor de la investigación “IMPLEMENTACIÓN DE CONTROLES DE
SEGURIDAD, MONITOREO DE ACCESO Y RESPALDOS PARA CUSTODIA DE
INFORMACIÓN SENSIBLE DE LA EMPRESA DE SEGURIDAD Y SALUD
OCUPACIONAL “PROSERATI” DE LA CIUDAD DE QUITO” desarrollada en su
totalidad por los señores egresados Danilo Javier Anatoa Quishpe con C.C.
1719308171 y Damián Francisco Camino González con C.C 1715591424, como
requisito previo a la obtención del Título de Ingeniero Informático, cumple con los
requisitos necesarios.
En la ciudad de Quito a los 13 días del mes de junio del 2016.
Atentamente,
_________________________
Ing. Zoila de Lourdes Ruiz Chávez
C.C.: 1711926558
CATEDRÁTICO DE LA CARRERA DÉ INGENIERÍA INFORMÁTICA
viii
ix
x
CONTENIDO
Pág.
DEDICATORIA ................................................................................................................... ii
AGRADECIMIENTO .......................................................................................................... iv
AUTORIZACIÓN DE LA AUTORÍA INTELECTUAL ........................................................... vi
LISTA DE TABLAS .......................................................................................................... xiii
LISTA DE GRÁFICOS ...................................................................................................... xv
RESUMEN ....................................................................................................................... xvi
ABSTRACT .................................................................................................................... xvii
INTRODUCCIÓN ............................................................................................................... 1
Planteamiento del problema ........................................................................................... 1
Estado actual del conocimiento ...................................................................................... 3
Objetivos ........................................................................................................................ 3
Objetivo General ......................................................................................................... 3
Objetivos Específicos.................................................................................................. 3
Alcance .......................................................................................................................... 4
Limitaciones ................................................................................................................... 4
Metodología ................................................................................................................... 4
Justificación.................................................................................................................... 5
1. MARCO TEÓRICO ................................................................................................... 6
Antecedentes ................................................................................................................. 6
1.1. Conceptos básicos sobre Seguridad de la Información ........................................ 7
1.2. Gestión de la seguridad de la información. ........................................................ 10
1.3. Normas para la Seguridad de la Información ..................................................... 10
1.3.1. Norma ISO 27001 ....................................................................................... 11
1.3.2. Norma ISO 27002 ....................................................................................... 11
1.4. Política de Seguridad de la Información ............................................................. 12
1.5. Metodología de evaluación de riesgos ............................................................... 13
1.5.1. Metodología Magerit ................................................................................... 15
1.5.1.1. Objetivos de Magerit ............................................................................ 15
1.6. Análisis de Riesgos ........................................................................................... 17
1.6.1. Activos ........................................................................................................ 18
1.6.1.1. Tipos de activos ................................................................................... 18
1.6.2. Dependencias ............................................................................................. 18
xi
1.6.2.1. Dimensiones de valoración .................................................................. 19
1.6.2.2. Valoración ........................................................................................... 19
1.6.3. Amenazas .................................................................................................. 20
1.6.3.1. Tipos de amenazas ............................................................................. 20
1.6.3.2. Valoración de amenazas ..................................................................... 20
1.6.4. Determinación del impacto ......................................................................... 21
1.6.5. Determinación del riesgo ............................................................................ 21
1.7. Active Directory para la empresa ....................................................................... 22
1.7.1. Componentes de Active Directory. .............................................................. 22
1.7.2. Estructura de Active Directory..................................................................... 23
1.7.2.1. Estructura Lógica ................................................................................. 24
1.7.2.2. Dominios ............................................................................................. 24
1.7.2.3. Unidades Organizativas ....................................................................... 25
1.8. Firewall .............................................................................................................. 25
2. METODOLOGIA EXPERIMENTAL ......................................................................... 27
Desarrollo según la metodología Magerit ..................................................................... 27
2.1. Organigrama Proserati....................................................................................... 27
2.2. Inventario de activos .......................................................................................... 28
2.3. Amenazas y vulnerabilidades ............................................................................ 28
2.4. Controles y políticas de la seguridad de la información ...................................... 35
2.4.1. Detalle de amenazas .................................................................................. 35
2.4.2. Procedimientos de implementación ............................................................ 36
2.4.3. Clasificación y control de activos ................................................................ 38
2.4.4. Seguridad del personal ............................................................................... 38
2.4.5. Seguridad ambiental ................................................................................... 40
2.4.6. Control de accesos ..................................................................................... 43
2.4.6.1. Requerimientos para el control de acceso ........................................... 43
2.4.6.2. Administración de privilegios ............................................................... 44
2.4.6.3. Administración de contraseñas ............................................................ 45
2.4.6.4. Acceso a aplicaciones ......................................................................... 45
2.4.6.5. Monitoreo de acceso al sistema y red privada ..................................... 45
2.5. Implementación ................................................................................................. 46
2.5.1. Servidor ...................................................................................................... 46
2.5.2. Active Directory .......................................................................................... 48
2.5.2.1. Servidor DHCP .................................................................................... 49
2.5.2.2. Control de accesos por Active Directory .............................................. 50
xii
2.5.2.3. Monitoreo de equipos conectados a la red .......................................... 50
2.5.3. Seguridad del router inalámbrico ................................................................ 51
2.5.4. Acceso a directorios compartidos ............................................................... 53
2.5.5. Control de Respaldos de información ................................................................ 53
2.5.6. Control de la zona DMZ ..................................................................................... 55
2.5.7. Firewall ....................................................................................................... 56
2.5.7.1. Esquema general del firewall en la red local ........................................ 56
2.5.7.2. Firewall SmoothWall Express .............................................................. 57
2.5.7.3. Configuración de la red ........................................................................ 58
2.5.7.4. Administración del firewall ................................................................... 59
2.5.7.4.1. Procedimiento para habilitar web proxy ............................................... 60
2.5.7.4.2. Procedimiento para habilitar Url Filter .................................................. 60
2.5.7.4.3. Procedimiento para configurar los servicios de red. ............................. 62
2.5.8. Software de seguridad y respaldos ............................................................. 62
2.5.9. Antivirus ...................................................................................................... 62
3. CÁLCULOS ............................................................................................................ 63
3.1. Análisis de Riesgo ............................................................................................. 63
3.2. Análisis de Riesgo Promedio ............................................................................. 64
3.3. Análisis de factores ............................................................................................ 66
4. CONCLUSIONES ................................................................................................... 69
5. RECOMENDACIONES ........................................................................................... 70
BIBLIOGRAFÍA ................................................................................................................ 71
ANEXOS.......................................................................................................................... 73
Anexo A. Valoración de activos del asistente de sistemas ........................................... 73
Anexo B. Valoración de activos del gerente ................................................................. 76
Anexo C. Norma ISO/IEC 27002 guía de buenas prácticas .......................................... 78
Anexo D. Inventarios de activos ................................................................................... 78
Anexo E. Configuración web proxy. .............................................................................. 81
Anexo F. Categorización de dominios y urls en listas negras ....................................... 81
Anexo G. Configuración de copias de seguridad automáticas a una carpeta compartida remota. ......................................................................................................................... 82
xiii
LISTA DE TABLAS
Pág.
Tabla 1: Escala cualitativa de valoración del activo de acuerdo al impacto. ..................... 19
Tabla 2: Escala de daño causado por la amenaza ........................................................... 20
Tabla 3: Escala de frecuencia con la que sucede la amenaza ......................................... 20
Tabla 4: Escala de clasificación del impacto .................................................................... 21
Tabla 5: Escala de clasificación del riesgo ....................................................................... 21
Tabla 6: Amenazas y vulnerabilidades relacionadas con el robo/hurto ............................ 28
Tabla 7: Amenazas y vulnerabilidades relacionadas con el robo/hurto de información
electrónica ........................................................................................................ 29
Tabla 8: Amenazas y vulnerabilidades relacionadas con la intrusión a red interna .......... 29
Tabla 9: Amenazas y vulnerabilidades relacionadas con la ejecución no autorizada de
programas ........................................................................................................ 29
Tabla 10: Amenazas y vulnerabilidades relacionadas con el polvo .................................. 30
Tabla 11: Amenazas y vulnerabilidades relacionadas con el fallo disco duro / falla de
sistema ............................................................................................................. 30
Tabla 12: Amenazas y vulnerabilidades relacionadas con las unidades portables con
información sin cifrado ...................................................................................... 31
Tabla 13: Amenazas y vulnerabilidades relacionadas con el manejo inadecuado de
contraseñas. ..................................................................................................... 31
Tabla 14: Amenazas y vulnerabilidades relacionadas con la compartición de contraseñas
o permisos a terceros no autorizados ............................................................... 32
Tabla 15: Amenazas y vulnerabilidades relacionadas con la exposición o extravío de
equipo, unidades de almacenamiento, etc. ....................................................... 32
Tabla 16: Amenazas y vulnerabilidades relacionadas con la falta de definición de perfil
privilegios y restricción del personal ................................................................. 32
Tabla 17: Amenazas y vulnerabilidades relacionadas con la falta de mantenimiento físico
......................................................................................................................... 33
Tabla 18: Amenazas y vulnerabilidades relacionadas con las fallas en permisos de
usuarios............................................................................................................ 34
xiv
Tabla 19: Amenazas y vulnerabilidades relacionadas con la red inalámbrica expuesta para
el acceso no autorizado .................................................................................... 34
Tabla 20: Amenazas y vulnerabilidades relacionadas con falta de normas y reglas claras
de seguridad de información ............................................................................ 34
Tabla 21: Magnitud del daño ............................................................................................ 63
Tabla 22: Probabilidad de amenaza ................................................................................. 64
Tabla 23: Calculo de magnitud de daño frente a una probabilidad de amenaza .............. 65
Tabla 24: Análisis de riesgo promedio ............................................................................. 66
Tabla 25: Análisis de factores existentes entre cada probabilidad de amenaza y su
magnitud de daño ............................................................................................. 66
Tabla 26: Puntos de mayor incidencia de riesgo .............................................................. 67
Tabla 27: Inventario de activos ........................................................................................ 81
xv
LISTA DE GRÁFICOS
Pág.
Gráfico 1: Elementos fundamentales de la Seguridad de la Información............................ 7
Gráfico 2: Etapas de la gestión de riesgo según Magerit ................................................. 15
Gráfico 3: Elementos y sus interrelaciones según Magerit ............................................... 16
Gráfico 4: Elementos del análisis de riesgos .................................................................... 17
Gráfico 5: Definición de Active Directory .......................................................................... 22
Gráfico 6: Tecnologías compatibles con Active Directory ................................................. 23
Gráfico 7: Organización de Active Directory ..................................................................... 24
Gráfico 8: Jerarquía de las unidades organizativas .......................................................... 25
Gráfico 9: Diseño de red .................................................................................................. 26
Gráfico 10: Usuario administrador del servidor ................................................................ 47
Gráfico 11: Configuración de IP de la red ........................................................................ 48
Gráfico 12: Rango de direcciones IPs para DHCP ........................................................... 49
Gráfico 13: Usuarios y equipos de Active Directory.......................................................... 50
Gráfico 14: Monitoreo de usuarios de red que iniciaron sesión ........................................ 51
Gráfico 15: Configuración del router ................................................................................ 51
Gráfico 16: Seguridad en el router ................................................................................... 52
Gráfico 17: Ingreso de la MAC para permitir o denegar conexiones. ............................... 52
Gráfico 18: Directorios compartidos a través de Active Directory ..................................... 53
Gráfico 19: Tara de respaldo a realizar ............................................................................ 54
Gráfico 20: Ruta de respaldo ........................................................................................... 54
Gráfico 21: Zona desmilitarizada...................................................................................... 55
Gráfico 22: Diagrama de red de la empresa Proserati ..................................................... 56
Gráfico 23: Selección de la política de seguridad en el Firewall ....................................... 57
Gráfico 24: Consola de administración del firewall ........................................................... 59
Gráfico 25: Bloqueo por categorías .................................................................................. 60
Gráfico 26: Mensaje de control de acceso ....................................................................... 61
Gráfico 27: Análisis de factores de riesgos ...................................................................... 67
Gráfico 28: Configuración web Proxy ............................................................................... 81
Gráfico 29: Categorización de bloqueo ............................................................................ 81
xvi
RESUMEN
TEMA: “Implementación de controles de seguridad, monitoreo de acceso y respaldos para
custodia de información sensible de la empresa de seguridad y salud ocupacional
“PROSERATI” de la ciudad de Quito”.
Autores: Damián Francisco Camino González,
Danilo Javier Anatoa Quishpe,
Tutor: Ing. Zoila Ruiz Chávez
Por medio del presente proyecto integrador se pretende dar a la empresa Proserati la
posibilidad de proteger la información, se realizó el uso de la técnica de recolección de
información con entrevistas a la gerencia y área de informática para determinar diversos
factores que intervienen como vulnerabilidades, amenazas con el fin de evaluar los
riesgos con respecto a la confidencialidad, integridad y disponibilidad de la misma,
mediante estrategias, normas y políticas que permitan asegurar la protección de la
información.
PALABRAS CLAVES: GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN /
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN / METODOLOGÍA DE EVALUACIÓN
DE RIESGOS / ANÁLISIS DE RIESGOS / ACTIVE DIRECTORY / CORTAFUEGOS
xvii
ABSTRACT
TITTLE: “implementation security control and monitoring of access to sensitive information
endorsements custody of the company occupational safety and health “Proserati" city of
Quito”.
Authors: Damián Francisco Camino González,
Danilo Javier Anatoa Quishpe,
Tutor: Ing. Zoila Ruiz Chávez
Hereby integrator project intend on giving the company Proserati the ability to protect the
information, use of the technique of data collection was conducted with interviews of
management and computer area to determine various factors involved s. As vulnerabilities
threats to evaluate v risks regarding the use privacy, integrity and availability of it, through
strategies, standards and policies that ensure the protection of information.
KEYWORDS: MANAGEMENT INFORMATION SECURITY / POLICY INFORMATION
SECURITY / RISK ASSESSMENT METHODOLOGY / RISK ANALYSIS / ACTIVE
DIRECTORY / FIREWALL
1
INTRODUCCIÓN
En la actualidad, el desarrollo de las nuevas tecnologías ha dado un giro radical a la forma
de hacer negocios, a la vez que han aumentado los riesgos que ponen en peligro la
integridad de la información y con ello la viabilidad de los negocios. Riesgos que
provienen no sólo desde el exterior de las empresas, sino también desde el interior.
La mayor parte de la información reside en equipos informáticos, soportes de
almacenamiento y redes de datos, estos sistemas de información están sujetos a riesgos
y amenazas relacionados con la propia tecnología y aumentan día a día, hackers, robos
de identidad, spam, virus, robos de información por nombrar algunos, pueden acabar con
la confianza de los clientes y la imagen en el mercado. Para proteger a las organizaciones
de todas estas amenazas es necesario conocerlas y afrontarlas de una manera
adecuada.
El objetivo es la protección de los activos de la información frente amenazas de modo de
asegurar la continuidad del negocio y minimizar el riesgo comercial, esto se logra
implementando un conjunto adecuado de controles de acceso, monitoreo y respaldos de
la información, incluyendo políticas básicas de seguridad y procedimientos.
Unas de las preguntas que deberíamos hacernos para lograr un mejoramiento del control
y seguridad deberían ser: ¿Hasta qué punto está segura la información de mi empresa?,
¿Es confiable la gente que contrato para trabajar?, ¿Tengo respaldos de información en
caso de que una amenaza se presente?, ¿Qué pasaría si pierdo información sensible de
un cliente?
Por esto nace la necesidad de implementar la seguridad de la información en
“PROSERATI”, empresa dedicada a la Salud y Seguridad Ocupacional de empresas
privadas en la ciudad de Quito, los cuales no poseen restricciones de acceso en el uso de
sus datos siendo vulnerables a pérdidas de información sin reposición.
Planteamiento del problema
A nivel mundial el hablar se seguridad informática se convierte en una gran controversia
ya que grandes empresas han sido vulneradas y las amenazas de las empresas
aumentan constantemente y de diferentes tipos.
2
El campo en la seguridad informática es muy amplio. Para Jean-Marc
Royer (2004) “La protección contra todos los daños sufridos o causados
por la herramienta informática y originados por el acto voluntario y de
mala fe de un individuo”. La protección de un sistema informático en una
empresa consiste en poner un alto contra las amenazas potenciales.
Dado que ninguna protección es infalible, se requiere aumentar las
barreras sucesivas. Así cualquier amenaza por parte de un pirata
informático se vería bloqueada. También es necesario proteger todos los
medios de acceso a la empresa, muy seguido vemos empresa
sobreproteger su conexión de internet dejando otras vías de acceso
abiertas y sin protección. Es necesario implementar las principales
medidas (cortafuegos, antivirus, sistema de cifrado VPN, etc.) que sin
duda alguna aportara un buen nivel de seguridad. (ACOSTA, 2012)Pág.
12-13.
En la actualidad las empresas han experimentado transformación en algunos aspectos de
seguridad; la situación actual nos da a conocer que los sistemas informáticos son el activo
más valioso y al mismo tiempo el más vulnerable. La seguridad informática ha adquirido
gran auge, dada las cambiantes condiciones y nuevas plataformas de computación
disponibles, situación que converge en la aparición de nuevas amenazas en los sistemas
informáticos.
La idea de la investigación es desarrollar una herramienta completa que permita llevar a
cabo controles, monitoreo y respaldos de seguridad informática permitiendo también
proponer alternativas de mejoras a éstas. Unas de las preguntas que deberíamos
hacernos para lograr un mejoramiento del control y seguridad deberían ser: ¿Hasta qué
punto está segura la información de mi empresa?, ¿Es confiable la gente que contrato
para trabajar?, ¿Tengo respaldos de información en caso de que una amenaza se
presente?, ¿Qué pasaría si pierdo información sensible de un cliente?
Por esto nace la necesidad de analizar y controlar la seguridad de la información en
“PROSERATI”, empresa dedicada a la Salud y Seguridad Ocupacional de empresas
privadas en la ciudad de Quito, los cuales no poseen restricciones de acceso en el uso de
sus datos siendo vulnerables a pérdidas de información sin reposición.
Por tanto las organizaciones poseen información que deben proteger frente a riesgos y
amenazas para asegurar el correcto funcionamiento de su negocio. Este tipo de
3
información imprescindible para las empresas es lo que se ha denominado activo de
Seguridad de la Información.
Estado actual del conocimiento
El método MAGERIT, son las siglas de Metodología de Análisis y Gestión de
Riesgos de los Sistemas de Información de la Administraciones, dicho método
cubre la fase AGR (Análisis y Gestión de Riesgos). Si hablamos de Gestión global
de la Seguridad de un Sistema de Seguridad de la Información basado en ISO
27001, MAGERIT, es el núcleo de toda actuación organizada en dicha materia, ya
que influye en todas las fases que sean de tipo estratégico y se condiciona la
profundidad de las fases de tipo logístico. (EXCELLENCE, 2015)
La información es vital para cualquier organización y, en el competitivo entorno
empresarial esta información se encuentra amenazada permanentemente cuyo origen
puede ser interno, externo, accidental o malintencionado. Por ello, se hace necesario en
toda empresa establecer una política integral de seguridad de la información al aplicar el
método MAGERIT no centraremos en dos objetivos. Por un lado estudiar los riesgos que
soporta el sistema de información y el entorno asociable a él y por otro recomendar las
medidas apropiadas que deberían adoptarse para conocer, prevenir, impedir, reducir o
controlar los riesgos investigados.
Objetivos
Objetivo General
Diseñar un plan estratégico de seguridad de la información que permita garantizar el
control de acceso a usuarios para el uso correcto de la información, monitoreo de acceso
y respaldos dentro de la empresa PROSERATI de la ciudad de Quito, definiendo políticas
y procedimientos básicos como guía a seguir por la empresa.
Objetivos Específicos
Análisis de riesgo de activos.
Controlar, monitorear el acceso a la información de los usuarios.
Definir políticas de seguridad para respaldos de la información
Definir políticas básicas de seguridad para prevenir probabilidades de amenazas.
4
Alcance
El desarrollo del proyecto está establecido bajo lineamientos previo a entrevistas con el
Gerente de la empresa PROSERATI dedicada a capacitar a sus clientes en seguridad y
salud ocupacional, nos hemos percatado que debido a la falta de organización y control
de los soportes de información, donde la información queda vulnerable a robo perdida o
plagio, el crecimiento acelerado de los archivos, infraestructura inadecuada, no mantiene
un adecuado respaldo de la información, por tanto una vez constatada la oportunidad de
realizar el proyecto se consideró los siguientes aspectos:
Analizar perfiles de usuarios.
Controlar, monitorear el acceso a la información de los usuarios.
Definir un método de respaldos de la información.
Definir políticas básicas y procedimientos de seguridad.
Limitaciones
El tiempo estimado para la elaboración del trabajo será de 2 meses a partir de la
aprobación del perfil del Proyecto Integrador.
Metodología
En el proyecto de tesis se realizó las siguientes fases:
Determinar la situación actual: En esta fase se realizó el análisis de riesgos, identificando
los riesgos que se enfrentas los activos, así como la identificación de su nivel de
importancia de los activos y riesgos, para obtener el nivel de vulnerabilidad de cada
activo.
Diseño de la arquitectura: Se analizó los resultados obtenidos de la fase anterior, y con
ello se realizó la implementación y diseño de controles de seguridad adecuados basados
en la Norma ISO 27002.
Elaboración de políticas y procedimientos: Se realizó la propuesta y la guía basada en
buenas prácticas que deberá ser difundido en toda la organización.
5
Justificación
La información es un valioso activo del que depende el buen funcionamiento de una
organización., mantener su integridad, confidencialidad y disponibilidad es esencial para
alcanzar los objetivos de negocio es por esto que existe la necesidad de implementar
controles de seguridad, monitoreo de acceso y respaldos para custodia de información
sensible de la empresa de seguridad y salud ocupacional “Proserati” de la ciudad de
Quito.
El desarrollo de las nuevas tecnologías ha dado un giro radical a la forma de hacer
negocios, a la vez que ha aumentado los riesgos para las empresas que se exponen a
nuevas amenazas. Entre los que se encuentran los riesgos relacionados con la propia
tecnología, hackers, robos de identidad, spam, virus, robos de información y espionaje
industrial, por nombrar algunos, pueden acabar con la confianza de nuestros clientes y
nuestra imagen en el mercado.
Al identificar los recursos con los que cuenta la empresa se podrá alcanzar y la efectividad
entre las actividades de resguardo o protección de los activos de información y la
habilitación de acceso apropiado de los mismos.
La dirección de la empresa debe liderar todo el proceso, ya que es la que conoce los
riesgos del negocio y las obligaciones con sus clientes y accionistas mejor que nadie.
Además, es la única que puede introducir los cambios de mentalidad, de procedimientos y
de tareas que requiere el sistema.
6
1. MARCO TEÓRICO
Antecedentes
Siendo Proserati una empresa que ofrece servicio de gestión integrados de seguridad y
salud, ambiental, seguridad en logística y/o responsabilidad social, auditorias,
capacitaciones, tramites y permisos es fundamental se implemente una propuesta que
permita llevar un adecuado control de la información en el uso dentro como fuera de la
empresa, fortaleciendo la definición de que la información es un activo crítico para el buen
funcionamiento de una organización
Se entiende por información todo aquel conjunto de datos organizados en poder
de una entidad que posean valor para la misma, independientemente de la forma
en que se guarde o transmita (escrita, en imágenes, oral, impresa en papel,
almacenada electrónicamente, proyectada, enviada por correo, fax o e-mail,
transmitida en conversaciones, etc.), de su origen (de la propia organización o de
fuentes externas) o de la fecha de elaboración. (ISO27000, 2013)
La información es un recurso muy importante dentro de los activos de una
organización, tiene un valor determinado de acuerdo al grado de criticidad que
posea, por consiguiente debe ser debidamente protegida tanto interna como
externamente. La seguridad de la información resguarda a la “información” de una
amplia gama de amenazas, a fin de garantizar la continuidad del negocio,
minimizar el daño al mismo y maximizar el retorno sobre las inversiones y las
oportunidades. (GAIBAZZI, 2012)
La seguridad de la información se consigue implementando un conjunto apropiado de
controles, que comprenden políticas, prácticas y procedimientos, Se deben establecer
estos controles para garantizar que se cumpla con los objetivos definidos de la seguridad
de la información por tanto es necesario contar con medidas adecuadas para asegurar los
tres principios básicos de seguridad: confidencialidad, integridad y disponibilidad de la
información.
7
1.1. Conceptos básicos sobre Seguridad de la Información
Es importante diferenciar la seguridad de la información entre la seguridad informática.
La seguridad informática, se concentra en la protección de las infraestructuras tecnologías
de la información y de comunicación que soporta una organización, es decir el hardware y
software.
Mientras que la seguridad de la información, tiene como objetivo la protección de los
activos de información esenciales para el servicio y desarrollo de cualquier organización.
Al identificar los activos de información se deberá tener en presente que puede provenir
de diferentes fuentes de información dentro de la organización. Por esta razón, es
importante tener en cuenta que existen amenazas que pueden provocar daños a la
información. Debido a este motivo se deben tomar precauciones e implementar controles
para proteger la información. Para poder comprender lo que conlleva la seguridad de la
información se debe tener presente ciertos conceptos que explican cómo puede
producirse un riesgo y qué efectos puede ocasionar.
En el siguiente cuadro se muestra los elementos fundamentales que se relacionan con la
seguridad de la información.
Seguridad de la información
Amenaza Vulnerabilidad Riesgo
Confidencialidad Integridad Disponibilidad
Gráfico 1: Elementos fundamentales de la Seguridad de la Información Fuente: Marco teórico Elaborado por: Danilo Anatoa, Damián Camino
La seguridad de la información es un conjunto de medidas para salvaguardar la
información preservando sus tres principios fundamentales:
8
La confidencialidad implica el acceso a la información por parte únicamente de
quienes están autorizados.
La integridad conlleva el mantenimiento de la exactitud y completitud de la
información y sus métodos de proceso.
Y la disponibilidad entraña el acceso a la información y los sistemas de
tratamiento de la misma por parte de los usuarios autorizados en el momento que
lo requieran. (INTECO, 2010)
El concepto de riesgo está presente en la todas las actividades que realiza el ser humano,
por lo que antes de implementar cualquier mecanismo de seguridad (software, hardware,
política, etc.), es necesario conocer la prioridad de la información y que tipo de medida
podemos aplicar. El análisis de riesgos es el primer paso de la seguridad de la
información.
Riesgo: Se considera riesgo la estimación del grado de exposición de un activo, a
que una amenaza se materialice sobre él causando daños a la organización. El
riesgo indica lo que le podría pasar a los activos si no se protegen
adecuadamente. (INTECO, 2010)
Análisis de riesgo: Es el proceso cuantitativo o cualitativo que permite evaluar los
riesgos.
Activo de la información: a todos aquellos recursos de valor para una
organización que generan, procesan, almacenan o transmiten información. Esto
comprende:
Funciones de la organización
Información y datos
Recursos físicos (equipamiento, edificios)
Recursos humanos
Recursos de software
Servicios, etc. (LUJÁN, 2015)
Amenaza: es un evento que puede desencadenar un incidente en la organización,
produciendo daños materiales o pérdidas inmateriales en sus activos. (WITT,
2015)
9
Se pueden considerar tres grupos:
Factor Humano: Personal, ex empleados, curiosos, Intrusos.
Lógicas: Virus y malware, accesos no autorizados, software incorrecto.
Físicas: Fallos en los dispositivos, discos, cableado, suministro de energía.
Impacto: consecuencia de la materialización de una amenaza. (WITT, 2015)
Vulnerabilidad: Las vulnerabilidades son las debilidades que tienen los activos o
grupos de activos que pueden ser aprovechadas por una amenaza. (INTECO,
2010)
Tomado de referencia de la guía de Implantación de un SGSI en la empresa, nos
indica definiciones del análisis y valoración de los riesgos.
El impacto es la consecuencia de la materialización de una amenaza
sobre un activo.
El riesgo intrínseco es la posibilidad de que se produzca un impacto
determinado en un activo o en un grupo de activos.
Las salvaguardas son las prácticas, procedimientos o mecanismos que
reducen el riesgo. Estas pueden actuar disminuyendo el impacto o la
probabilidad.
Por último, tenemos la definición de riesgo residual que es el riesgo que
queda tras la aplicación de salvaguardas. Por muy bien que protejamos
nuestros activos, es imposible eliminar el riesgo al 100% por lo que siempre
quedará un riesgo residual en el sistema que la organización deberá asumir
y vigilar. (INTECO, 2010) pag22.
Según la guía de Implantación de un SGSI en la empresa: el análisis de riesgos se
basa en el inventario de activos si el inventario es muy extenso se puede decidir
realizar el análisis de riesgos sólo de los activos más críticos. (INTECO, 2010)
pag22.
10
1.2. Gestión de la seguridad de la información.
El apartado fundamental de la seguridad de la información es la protección de los activos
de la información de un extenso grupo de amenazas y así poder asegurar la continuidad
del negocio, mitigando el riesgo comercial y aumentando el regreso de las inversiones.
La seguridad de la información se consigue implementando un apropiado conjunto de
controles; los cuales deben contener políticas, procesos, procedimientos, estructuras
organizacionales e infraestructura de software y hardware en relación a los objetivos de
negocio de cada organización con el fin de de mantener un bajo nivel de exposición de
riesgo que la organización ha decidido asumir.
El SGSI (Sistema de Gestión de Seguridad de la Información) es el principal
concepto sobre el que se conforma la norma SO 27001.La gestión de la Seguridad
de la Información se debe realizar mediante un proceso sistémico, documentado y
conocido por toda la empresa. (GESTIÓN, 2015)
El Sistema de Gestión de Seguridad de la Información, según ISO 27001 consiste
en preservar la confidencialidad, integridad y disponibilidad, además de todos los
sistemas implicados en el tratamiento dentro de la organización. (GESTIÓN, 2015)
1.3. Normas para la Seguridad de la Información
Las normas ISO son reglas de calidad creadas por la Organización Internacional para la
Estandarización que se componen de modelos y guías relacionados con sistemas de
gestión, adaptables a cualquier tipo de organización y con cualquier herramienta
específica.
La ISO/IEC 27000: define el vocabulario estándar empleado en la familia 27000
(definición de términos y conceptos)
La ISO/IEC 27001: especifica los requisitos a cumplir para implantar un SGSI
certificable conforme a las normas 27000.
Define cómo es el SGSI, cómo se gestiona y cuáles son las
responsabilidades de los participantes.
Puntos clave: Gestión de riesgos + Mejora continua
11
La ISO/IEC 27002: código de buenas prácticas para la gestión de la seguridad.
Recomendaciones sobre qué medidas tomar para asegurar los sistemas de
información de una organización
Describe los objetivos de control (aspectos a analizar para garantizar la
seguridad de la información) y especifica los controles recomendables a
implantar (medidas a tomar). (QUINTERO, 2012)
1.3.1. Norma ISO 27001
La norma ISO 27001 define las pautas necesarias para la implantación de un Sistema de
Gestión de Seguridad de la Información, manteniendo un mecanismo claro y enfocado ha:
1. Limitar en forma clara los objetivos de seguridad de la información definiendo los
objetivos y las políticas relevantes en seguridad.
2. Evaluar los riesgos a través de la identificación del riesgo las vulnerabilidades y
amenazas, valoración de los activos, calculo y tratamiento del riesgo con el fin de
seleccionar mecanismos de control para mitigar los riesgos identificados y
relacionados con los activos.
3. Realizar un seguimiento de los controles que permitan una evaluación de los
riesgos, definiendo, implantando y supervisando los controles.
4. Verificar la eficacia y eficiencia de la implementación del SGSI.
5. La adopción del ciclo de mejora continua.
La norma es adaptable a organizaciones de cualquier tamaño e índole y se ajusta a las
exigencias de seguridad que necesita la organización.
1.3.2. Norma ISO 27002
La norma ISO/IEC 27002 es una guía de buenas prácticas que ofrece una exhaustiva
guía sobre los controles a implantar en nuestra organización, contiene 39 objetivos de
control, 133 controles, agrupados en 11 dominios. Ver el Anexo C.
Los 133 controles correspondientes a los 39 objetivos son un conjunto de
acciones, documentos, procedimientos y medidas técnicas a adoptar para el
cumplimiento de los diversos objetivos. Siguiendo con el caso anterior, del objetivo
de la organización interna se desprenden varios controles entre los que se
encuentra la firma de acuerdos de confidencialidad.
12
Los controles son medidas de seguridad orientadas a mitigar los riesgos
encontrados en el análisis de riesgos de manera que se encuentren por debajo del
riesgo asumido por la organización.
Existen dos tipos de controles que se complementan: técnicos y organizativos.
Entre los controles técnicos se pueden encontrar, por ejemplo, la implantación de
un antivirus o unos cortafuegos. Estos controles tienen que quedar perfectamente
documentados a través de procedimientos.
Los controles organizativos, por su parte, pueden quedar documentados a través
de procedimientos, normativas o políticas de seguridad... (INTECO, 2010) pag26.
1.4. Política de Seguridad de la Información
Las Políticas de Seguridad de la información aportan a minimizar los riesgos asociados a
los daños y se asegura el eficiente cumplimiento de las funciones propias de la
organización quien establecerá los mecanismos para respaldar, propagar, actualizar y
consolidación la vigente política.
El documento debe delimitar qué se tiene que proteger, de quién y por qué. Debe
manifestar qué es lo que está permitido y qué no, identificar los riesgos a los que está
sometida la organización.
Para que la Política de Seguridad sea un documento de utilidad en la organización y
cumpla con lo establecido en la norma UNE-ISO/IEC 27001 debe cumplir con los
siguientes requisitos.
Debe de ser redactada de una manera accesible para todo el personal de la
organización. Por lo tanto debe ser corta, precisa y de fácil comprensión.
Debe ser aprobada por la dirección y publicitada por la misma.
Debe ser de dominio público dentro de la organización, por lo que debe estar
disponible para su consulta siempre que sea necesario.
Debe ser la referencia para la resolución de conflictos y otras cuestiones
relativas a la seguridad de la organización.
Debe definir responsabilidades teniendo en cuenta que éstas van asociadas a
la autoridad dentro de la compañía. En función de las responsabilidades se
decidirá quién está autorizado a acceder a qué tipo de información.
13
Debe indicar que lo que se protege en la organización incluye tanto al personal
como a la información, así como su reputación y continuidad.
Debe ser personalizada totalmente para cada organización.
Por último, debe señalar las normas y reglas que va a adoptar la organización
y las medidas de seguridad que serán necesarias. (INTECO, 2010) pag16.
La Política de Seguridad debe ser un documento completamente actualizado, por lo
que debe ser revisado y modificado anualmente. Además, existen otros tres casos en
los que es imprescindible su revisión y actualización.
El primero, después de grandes incidentes de seguridad.
El segundo, después de una auditoría del sistema sin éxito.
Y el tercero, frente a cambios que afectan a la estructura de la organización.
(INTECO, 2010) pag167
1.5. Metodología de evaluación de riesgos
Existen varias metodologías disponibles para la elaboración de análisis de riesgos, ya que
es un trabajo que involucra inversión de tiempo y dinero.
La organización o la persona encargada deben evaluar las metodologías disponibles y
escoger aquella que se ajuste a sus necesidades de la organización.
El análisis de riesgos suelen dividirse en dos tipos fundamentales: cuantitativos y
cualitativos.
En el siguiente cuadro comparativo se resumen algunas de las metodologías disponibles
con el fin de conocer sus características, así como también sus fortalezas y debilidades.
14
Tabla1: Análisis Comparativo: Metodologías de análisis de Riesgos Fuente: Internet Elaborado por: (MOGOLLÓN, Abraham: Análisis Comparativo: Metodologías de análisis de Riesgos, S.A, Caracas-Venezuela.)
15
Para el caso de estudio se usará la metodología Magerit ya que proporciona un extenso
archivo de inventarios en lo que se refiera a recursos de información amenazas y tipo de
activos, es de carácter público y permitirá realizar el análisis cualitativo y cuantitativo del
riesgo.
1.5.1. Metodología Magerit
MAGERIT es la metodología de Análisis y Gestión de Riesgos de los Sistemas de
Información, esta fue elaborada por el Consejo Superior de Administración
Electrónica de España para minimizar los riesgos de la implantación y uso de las
tecnologías de la Información, se enfoca básicamente en la Administración
Publica. En estos momentos su última versión es la 3. (MAGERIT_V.3, 2015)
MAGERIT está enfocada en la propagación del uso de las tecnologías de la información
que brinda beneficios claros para los usuarios que trabajan con información digital y
sistemas informáticos la metodología les da a conocer cuánto vale su información, sin
exceptuar que existen riesgos, los cuales deben ser mitigados promoviendo controles de
seguridad para generar confianza.
Gráfico 2: Etapas de la gestión de riesgo según Magerit Fuente: Internet Elaborado por: MAGERIT – versión 3.0 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, Libro I – Método
1.5.1.1. Objetivos de Magerit
1. Concienciar a los responsables de las organizaciones de información de la
existencia de riesgos y de la necesidad de gestionarlos
2. Ofrecer un método sistemático para analizar los riesgos derivados del uso de
tecnologías de la información y comunicaciones (TIC)
3. Ayudar a descubrir y planificar el tratamiento oportuno para mantener los
riesgos bajo control Indirectos:
16
4. Preparar a la Organización para procesos de evaluación, auditoría, certificación
o acreditación.
MAGERIT fue elaborado mediante tres catálogos Método, Catálogo de Elementos
y Guía de Técnicas. (MAGERIT_V.3, 2015)
El Método, detalla las tareas a seguir para realizar el análisis y gestión de riesgos
aportando una guía para el desarrollo de análisis de riesgos, aspectos prácticos y
consejos para facilitar la tarea.
El Catálogo de elementos, detalla los elementos implicados en el análisis de riesgos
tales como: una clasificación de activos, criterios para valoración de activos como
procesos de negocio o datos, catálogo de amenazas y un catálogo de medidas a
implantar para mitigar los riesgos a los que están expuestos los sistemas de
información. Por último indica cómo desarrollar un informe.
La Guía de Técnicas, proporciona técnicas para el análisis de riesgos tales como:
Algoritmos de análisis, árboles ataque, análisis coste-beneficio, diagramas de flujo,
tablas de procesos o técnicas de trabajo.
Gráfico 3: Elementos y sus interrelaciones según Magerit Fuente: Internet Elaborado por: http://www.cii-murcia.es/informas/abr05/articulos/Analisis_gestion_riesgos_seguridad_sistemas_informacion.pdf
17
1.6. Análisis de Riesgos
El análisis de riesgos es un grupo de metodologías que establecen el riesgo al cual se
encuentra expuesta nuestra organización, para lo cual se puede seguir los siguientes
pasos:
1. Reconocer cuales son los activos más importantes para la Organización
2. Que amenazas son las que afectan a nuestros activos.
3. Concluir cual es el impacto sufrido como daño sobre el activo, debido a la
materialización de la amenaza.
4. Evalúa el riesgo, definiendo cual es el impacto estimado y la medida de ocurrencia
de una amenaza.
En la gráfica podemos observar el análisis de riesgos detallado en sus elementos
primordiales:
Gráfico 4: Elementos del análisis de riesgos Fuente: Internet Elaborado por: MAGERIT – versión 3.0 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, Libro I – Método
18
1.6.1. Activos
Los datos son los activos principales de una Organización, pero se pueden identificar
otros activos importantes:
1. Gestión de los datos.
2. Aplicaciones informáticas para procesar los datos.
3. Equipos informáticos que permiten almacenar los datos.
4. Soportes de almacenamiento de información.
5. Equipos auxiliares que complementan el material informático.
6. Redes de comunicación que nos permiten intercambiar los datos.
7. Instalaciones donde se aloja el equipamiento informático y de comunicaciones.
8. Los operadores que manejan todo el proceso de gestión, aplicaciones y equipos
informáticos, soportes de almacenamiento, redes e instalaciones.
1.6.1.1. Tipos de activos
Datos [DT]: Es la información con la cual permiten a una Organización prestar sus
servicios
Aplicaciones [SW]: Son programas estructurados y automatizados que permiten gestionar,
analizar y transformar los datos.
Equipos informáticos [HW]: Son los activos materiales de una Organización, estos nos
permiten soportar los servicios que presta la Organización.
Soportes de información [SI]: Son dispositivos físicos que permiten el almacenamiento de
información de manera permanente o por un largo periodo.
Equipamiento Auxiliar [AUX]: Son equipos que no se relacionan de manera directa con la
información sin embargo sirven como soporte a los sistemas de información.
1.6.2. Dependencias
Se dice que un “activo superior” depende de otro “activo inferior” cuando la materialización
de una amenaza en el activo inferior tiene como consecuencia un perjuicio sobre el activo
superior.
19
Capa 1
Los sistemas de información.
Hardware.
Software.
Comunicaciones.
Soportes de información.
Equipamiento Auxiliar.
Capa 2
La información.
Datos.
Metadatos.
1.6.2.1. Dimensiones de valoración
Son utilizadas para valorar el perjuicio de la materialización de una amenaza.
Disponibilidad [D]
Integridad de datos [I]
Confidencialidad de datos [C]
Autenticidad de los usuarios del servicio [A_S]
Autenticidad del origen de los datos [A_D]
1.6.2.2. Valoración
La valoración puede ser cuantitativa (con una cantidad numérica) o cualitativa (en alguna
escala de niveles).
CRITERIO
3 Alto Muy importante para la Empresa
2 Medio Importante para la Empresa
1 Bajo Menos importante para la empresa
VALOR
Tabla 1: Escala cualitativa de valoración del activo de acuerdo al impacto. Fuente: Internet Elaborado por: http://datateca.unad.edu.co/contenidos/233003/modulo/modulo-233003-online/322__paso_2_valoracin_de_los_activos.html
20
1.6.3. Amenazas
Determinamos las amenazas que podrían afectar nuestros activos para prevenir cualquier
inconveniente.
1.6.3.1. Tipos de amenazas
Desastres naturales [N]
De origen industrial [I]
Ataques intencionados [A]
1.6.3.2. Valoración de amenazas
Si un activo es perjudicado por una amenaza este no siempre es afectado en toda su
intensidad ni con la misma importancia. Cuando se determine como una amenaza puede
perjudicar un activo, se debe determinar cuan vulnerable es este de la siguiente manera:
Degradación el nivel de dañado del activo.
CRITERIO
3 Alto Daño grave
2 Medio Daño importante
1 Bajo Daño menor
VALOR
Tabla 2: Escala de daño causado por la amenaza Fuente: Internet Elaborado por: http://datateca.unad.edu.co/contenidos/233003/modulo/modulo-233003-online/3232_valoracin_de_amenazas.html
Frecuencia con que periodo de tiempo se presenta la amenaza.
CRITERIO
3 Alto Muy frecuente
2 Medio Frecuente
1 Bajo Menos frecuente
VALOR
Tabla 3: Escala de frecuencia con la que sucede la amenaza Fuente: Internet Elaborado por: http://datateca.unad.edu.co/contenidos/233003/modulo/modulo-233003-online/3232_valoracin_de_amenazas.html
21
1.6.4. Determinación del impacto
Un impacto es la medida que ocasiona el daño sobre el activo al materializarse una
amenaza.
CRITERIO
3 Alto Alto impacto
2 Medio Medio impacto
1 Bajo Bajo impacto
VALOR
Tabla 4: Escala de clasificación del impacto Fuente: Internet Elaborado por: http://datateca.unad.edu.co/contenidos/233003/modulo/modulo-233003-online/3233_impacto_potencial.html
Los activos que se identifiquen como de alto impacto son los que deben recibir una
atención inmediata.
1.6.5. Determinación del riesgo
Si se conoce el impacto de una amenaza sobre nuestra organización se puede determinar
el riesgo tomando en cuenta la frecuencia de ocurrencia, se debe tomar en cuenta que el
riesgo es la medida de probabilidad sobre un sistema.
CRITERIO
3 Alto Alto riesgo
2 Medio Medio riesgo
1 Bajo Bajo riesgo
VALOR
Tabla 5: Escala de clasificación del riesgo Fuente: Internet Elaborado por: http://datateca.unad.edu.co/contenidos/233003/modulo/modulo-233003-online/3233_impacto_potencial.html
Los activos que se identifiquen como de alto riesgo deben ser atendidos de manera
inmediata.
22
1.7. Active Directory para la empresa
La empresa Proserati demanda un adecuado control en el uso del recurso e información y
Active Directory proveerá la capacidad de establecer un único inicio de sesión y un
repositorio central de información para toda su infraestructura, lo que facilitará
ampliamente la administración de usuarios y equipos generando una obtención de acceso
a los recursos en red.
Gráfico 5: Definición de Active Directory Fuente: Internet Elaborado por: http://eIns.slideshare.net/YulitzaYanetMarrias/active-directory-9953103
1.7.1. Componentes de Active Directory.
Active Directory controla una serie de componentes que se utilizaran siempre,
estos componentes son:
Objetos: Es cualquier cosa que tenga entidad en el directorio, con cualquier cosa
me refiero a todo, un archivo, carpeta, programa, un ordenador, impresora, router,
usuario, contraseña…
Dominios: Son una serie de normar para gestionar una serie de recursos en una
red, tanto local como externa.
Unidades Organizativas (OU): Representan una estructura y agrupación de
usuarios, grupos incluso otras unidades organizativas con sus propias
agrupaciones.
Árboles: Es un grupo de dominios que comparten una serie de recursos (servicios)
entre sí.
23
Bosques: Es un conjunto de árboles.
Esta parte es fundamental y muy importante a la hora de aprenderlos, por
lo que se hará su entrada respectiva entrando en detalles en cada uno de
ellos. (MULTICOMP, 2011)
Gráfico 6: Tecnologías compatibles con Active Directory Fuente: Internet Elaborado por: http://es.slideshare.net/YulitzaYanetMarrias/active-directory-9953103
El DNS (Domain Name Service) es un sistema de nombres que permite traducir de
nombre de dominio a dirección IP y vice-versa. Aunque Internet sólo funciona en
base a direcciones IP, el DNS permite que los humanos usemos nombres de
dominio que son bastante más simples de recordar (pero que también pueden
causar muchos conflictos, puesto que los nombres son activos valiosos en algunos
casos). (MARRIAS, 2011)
1.7.2. Estructura de Active Directory
El directorio Activo ese diseñado para almacenar una serie de objetos de manera
estructural y jerárquica.
Permite la recreación de la estructura Organizacional para su administración y está
diseñado para la interacción de varios servidores a través de la replicación, la
estructura de Active Directory es física y lógica. (MARRIAS, 2011)
24
Gráfico 7: Organización de Active Directory Fuente: Internet Elaborado por: http://www.ditec.um.es/aso/teoria/tema13.pdf
Los objetos representan los recursos de red
Los atributos definen la información relativa a un objeto
1.7.2.1. Estructura Lógica
Se puede organizar los recursos en una estructura lógica. Una agrupación lógica
de recursos, nos permite encontrar un recurso por su nombre o sus atributos en
vez de por su localización física, definen: Objetos, Dominios, Unidades
Organizativas, Aboles, Bosques. (MARRIAS, 2011)
1.7.2.2. Dominios
La unidad central de la estructura lógica en un Directorio Activo es el Dominio que
es un conjunto de equipos definidos por el administrador que comparten una base
de datos común. Agrupando objetos en uno o más dominios, nos permite reflejar la
organización de nuestra empresa en nuestra red.
Todos los objetos de red existen dentro de un dominio, y cada dominio almacena
información únicamente de los objetos que contiene.
Los dominios son controlados y administrador por el Controlador de Dominio.
(MARRIAS, 2011)
25
1.7.2.3. Unidades Organizativas
Es un objeto contenedor que podemos utilizar para organizar los objetos en un
dominio en grupos lógicos administrativo, puede contener objetos como: cuentas
de usuarios, grupos, ordenadores, impresoras, aplicaciones, ficheros compartidos
y otras OUs.
La jerarquía OU en un Dominio es independiente de la estructura de otros
dominios. Cada Dominio puede implementar su propia jerarquía OU.
Gráfico 8: Jerarquía de las unidades organizativas Fuente: Internet Elaborado por: http://es.slideshare.net/YulitzaYanetMarrias/active-directory-9953103
1.8. Firewall
Cada Infraestructura en la empresa tiene tradicionalmente un firewall como la primera
línea de defensa, resguardando los activos contra las amenazas de Internet.
Tradicionalmente, cada implementación en la empresa tiene un firewall como la primera
línea de defensa, protegiendo los activos contra las amenazas comunes del Internet.
En la mayoría de los escenarios de implementación de firewall, este actúa como un
portero, limitando el acceso únicamente a los servicios de Internet que la empresa
considere necesarios. En un nivel básico, el acceso es controlado por reglas, que
enumeran el activo, y por el servicio tiene permitido el acceso desde una ubicación
específica. Estas reglas se determinan en base a la función del activo.
Por lo general, las empresas han seguido un diseño de arquitectura separada con los
servidores de acceso Internet separados de los activos corporativos de la empresa en un
particular segmento de red aislado. Este segmento se conoce tradicionalmente como una
26
"zona desmilitarizada" (DMZ). El aislamiento se consigue dedicando un interfaz de red del
firewall para estos servidores. (SASTRY, 2015)
Gráfico 9: Diseño de red Fuente: Firewall Elaborado por: Danilo Anatoa, Damián Camino
Un firewall puede ser un software (programa o aplicación informática) o hardware (equipo
o periférico informático) con el de mejorar el nivel de seguridad a los activos de la
organización.
27
2. METODOLOGIA EXPERIMENTAL
Desarrollo según la metodología Magerit
Activos
Proceso de identificación de los activos en Proserati.
Entrevistas
Concretamos dos entrevistas al personal que labora en la empresa, con rango de
jerarquía distinta para determinar de esta manera que activos son los que
principalmente se encuentra en estos momentos dentro de la Organización.
Las personas entrevistadas son:
1. El Asistente de Soporte y Sistemas quien compartió información básica sobre la
empresa y la tecnología con la que se manejaba en estos momentos para realizar
su labor. Anexo A.
2. El Gerente General quien cuenta con acceso a toda la información de la empresa
y sus activos. Anexo B.
2.1. Organigrama Proserati
28
2.2. Inventario de activos
Por medio del cuestionario gerencial localizamos 5 departamentos (Gerencia General,
Soporte Sistemas, Técnico, Pasantías y Auxiliares) que laboran dentro de la
Organización, sin embargo Pasantías y Auxiliares trabajan en conjunto con los técnicos
por lo que en la tabla de inventarios los ubicaremos dentro de la tabla Técnico. Ver el
Anexo D.
2.3. Amenazas y vulnerabilidades
Actos originados por criminalidad común [A]
Amenaza: [A-25] Robo / hurto (físico)
Tipos de activos: [HW] y [SI] Dimensiones: [D]
Detalle: La sustracción se puede dar mediante el robo o hurto que pueda
hacer personal interno o ajeno compañía.
Tabla 6: Amenazas y vulnerabilidades relacionadas con el robo/hurto Elaborado por: Damián Camino, Danilo Anatoa
Vulnerabilidades relacionadas con la amenaza:
Los controles y mecanismos de seguridad física orientados a prevenir el
robo en la empresa son mínimos.
No cuenta con documento de identificación para los empleados que
comprueben la identidad del empleado.
No se cuentan con sistemas de cámaras de vigilancia ni siquiera en el área
de sistemas que es la ubicación donde se encuentran los equipos de
misión crítica para las operaciones de la empresa.
Amenaza: [A-25] Robo/ hurto de información electrónica
Tipos de activos: [DT] Dimensiones: [D]
Detalle: La sustracción se puede dar mediante el robo o hurto que puede
darse por el personal interno de la empresa.
29
Tabla 7: Amenazas y vulnerabilidades relacionadas con el robo/hurto de información electrónica Elaborado por: Damián Camino, Danilo Anatoa
Vulnerabilidades relacionadas con la amenaza:
Los controles para el acceso a la información son mínimos, no se cuenta
con autenticación de usuarios ni se tiene restringida la información según
los roles de los empleados.
Amenaza: [A-11] Intrusión a red interna
Tipos de activos: [DT] Dimensiones: [A_S]
Detalle: La red interna está expuesta a que cualquier persona acceda a ella.
Tabla 8: Amenazas y vulnerabilidades relacionadas con la intrusión a red interna Elaborado por: Damián Camino, Danilo Anatoa
Vulnerabilidades relacionadas con la amenaza:
No existen herramientas de control de contenido o monitorización de tráfico
para el uso de Internet u otros servicios de la infraestructura de red y los
sistemas de información.
Tampoco se cuenta con alguna configuración que autentique el acceso a la
red interna de la empresa.
Amenaza: [A-11] Virus / ejecución no autorizada de programas
Tipos de activos: [DT] [SW] [HW] Dimensiones: [D] [C]
Detalle: Propagación no intencionada o intencionada de virus.
Tabla 9: Amenazas y vulnerabilidades relacionadas con la ejecución no autorizada de programas Elaborado por: Damián Camino, Danilo Anatoa
30
Vulnerabilidades relacionadas con la amenaza:
No existen controles para la ejecución de programas en las pc de los
empleados.
No mantienen un control para el uso de memorias USB, discos duros
externos.
Sucesos de origen físico [I]
Amenaza: [I-4] Polvo
Tipos de activos: [DT] [SI] Dimensiones: [D]
Detalle: Posibilidad de que el polvo dañe por completo los equipos.
Tabla 10: Amenazas y vulnerabilidades relacionadas con el polvo Elaborado por: Damián Camino, Danilo Anatoa
Vulnerabilidades relacionadas con la amenaza:
Existe la posibilidad de que el polvo dañe los equipos informáticos por falta
de limpieza.
Amenaza: [I-10] Fallo disco duro / falla de sistema
Tipos de activos: [DT] [SI] Dimensiones: [D]
Detalle: Daño en los sistemas operativos indisponiendo el acceso a los datos.
Tabla 11: Amenazas y vulnerabilidades relacionadas con el fallo disco duro / falla de sistema Elaborado por: Damián Camino, Danilo Anatoa
Vulnerabilidades relacionadas con la amenaza:
No existe un sistema de respaldo que guarde la información diaria de
manera de tenerla disponible en caso de daño o falla.
Sucesos derivados por negligencia del usuario y decisiones institucionales [E]
31
Amenaza: [E-15] Unidades portables con información sin cifrado
Tipos de activos: [DT] Dimensiones: [I] [A_D]
Detalle: La información contenida en equipos portables es de fácil acceso.
Tabla 12: Amenazas y vulnerabilidades relacionadas con las unidades portables con información sin cifrado Elaborado por: Damián Camino, Danilo Anatoa
Vulnerabilidades relacionadas con la amenaza:
No existe una política que mantenga la información segura en dispositivos
portables.
Acceso a la información por personas no autorizadas que pueden cambiar,
borrar o eliminar la información.
Los dispositivos pueden ser procesos a pérdida del equipo.
Amenaza: [E-1] Manejo inadecuado de contraseñas (inseguras, no cambiar)
Tipos de activos: [DT] Dimensiones: [C]
Detalle: Probabilidad de que personas no autorizadas accedan a la
información de la empresa.
Tabla 13: Amenazas y vulnerabilidades relacionadas con el manejo inadecuado de contraseñas. Elaborado por: Damián Camino, Danilo Anatoa
Vulnerabilidades relacionadas con la amenaza:
No se han implementado a nivel de las políticas de seguridad el uso de
contraseñas fuertes y el cambio obligatorio de estas en forma periódica.
No mantienen un sistema de Active Directory u otros servicios.
Amenaza: [E-1] Compartir contraseñas o permisos a terceros no autorizados
Tipos de activos: [DT] Dimensiones: [I] [C]
Detalle: Personas no autorizadas pueden accedan a la información de la
empresa.
32
Tabla 14: Amenazas y vulnerabilidades relacionadas con la compartición de contraseñas o permisos a terceros no autorizados Elaborado por: Damián Camino, Danilo Anatoa
Vulnerabilidades relacionadas con la amenaza:
Nunca han implementado un nivel de políticas de seguridad como el uso de
contraseñas, y el cambio constante de estas.
Se puede dar lugar a que terceras personas accedan a la información
crítica de la organización, por desconocimiento o con intención pueden
provocar daños a equipos o cambiar configuraciones lo que afectaría el
desempeño de la empresa.
Amenaza: [E-25] Exposición o extravío de equipo, unidades de
almacenamiento, etc.
Tipos de activos: [DT] [HW] [SW] Dimensiones: [D]
Detalle: Se expone la información ya sea crítica o no de la empresa a pérdida.
Tabla 15: Amenazas y vulnerabilidades relacionadas con la exposición o extravío de equipo, unidades de almacenamiento, etc. Elaborado por: Damián Camino, Danilo Anatoa
Vulnerabilidades relacionadas con la amenaza:
No se tiene un adecuado control del acceso de unidades de
almacenamiento a la empresa.
No se tiene definido donde se debe guardar la información discos o
directorios pertenecientes a la empresa.
Amenaza: [E-4] Falta de definición de perfil privilegios y restricción del
personal
Tipos de activos: [DT] Dimensiones: [D] [C]
Detalle: Acceso a la información o perfiles con acceso total lo que puede
ocasionar indisponibilidad de información para realizar el trabajo o acceso total
lo que puede probar borrado o modificación no autorizada
Tabla 16: Amenazas y vulnerabilidades relacionadas con la falta de definición de perfil privilegios y restricción del personal Elaborado por: Damián Camino, Danilo Anatoa
33
Vulnerabilidades relacionadas con la amenaza:
No existen procedimientos de revisión periódica de los derechos y
permisos efectivos de los usuarios, para comprobar si debido a un cambio
de configuración, o a una acción errónea o indebida se le han concedido a
un usuario o grupo de usuarios más derechos y permisos de los que le
corresponden.
No existen sistemas de monitorización en línea que detecten y generen
alarmas y notificaciones automáticas a los administradores de red si se
ejecutan cambios o alteraciones en la configuración que pudieran afectar el
funcionamiento normal de los sistemas.
No existen mecanismos de control que detecten y prevengan posibles
abusos de privilegios en las aplicaciones.
Amenaza: [E-23] Falta de mantenimiento físico (proceso, repuestos e insumos)
Tipos de activos: [DT] [SW] [HW] [SI] Dimensiones: [D]
Detalle: Acceso a la información o perfiles con acceso total lo que puede
ocasionar indisponibilidad de información para realizar el trabajo o acceso total
lo que puede probar borrado o modificación no autorizada
Tabla 17: Amenazas y vulnerabilidades relacionadas con la falta de mantenimiento físico Elaborado por: Damián Camino, Danilo Anatoa
Vulnerabilidades relacionadas con la amenaza:
No se tiene un adecuado proceso para el mantenimiento, revisión de
cables, conexiones, revisión de la infraestructura.
No se mantiene un stock de repuestos de insumos de informática para dar
soporte a daños de teclados, mouse, discos.
Amenaza: [E-4] Fallas en permisos de usuarios (acceso a archivos)
Tipos de activos: [DT] Dimensions: [D] [I] [C] [A_S]
Detalle: El acceso a la información adecuada es esencial para la continuidad
del negocio diría ya que permitirá realizar el trabajo solicitado.
34
Tabla 18: Amenazas y vulnerabilidades relacionadas con las fallas en permisos de usuarios Elaborado por: Damián Camino, Danilo Anatoa
Vulnerabilidades relacionadas con la amenaza:
No se mantiene un proceso adecuado de asignación de perfiles de
usuarios.
Al no tener acceso a la información el personal no podrá desempeñarse
adecuadamente en el trabajo.
Amenaza: [E-14] Red inalámbrica expuesta para el acceso no autorizado
Tipos de activos: [DT] Dimensions: [C] [A_S]
Detalle: Utilización de los recursos del sistema para fines no previstos, acceso
no autorizado a bases de datos, programas, almacenamiento de datos
personales.
Tabla 19: Amenazas y vulnerabilidades relacionadas con la red inalámbrica expuesta para el acceso no autorizado Elaborado por: Damián Camino, Danilo Anatoa
Vulnerabilidades relacionadas con la amenaza:
No existe un sistema para detección de intrusos dentro de la red de
información.
No existen controles de las conexiones a red dentro de la empresa.
No tienen control en la red de conexión de equipos personales.
Amenaza: [E-17] Falta de normas y reglas claras de seguridad de información
Tipos de activos: [DT] Dimensions: [D] [I] [C]
Detalle: Las reglas y normas permiten a la empresa y al personal mitigar los
riesgos de que provienen de amenazas identificadas.
Tabla 20: Amenazas y vulnerabilidades relacionadas con falta de normas y reglas claras de seguridad de información Elaborado por: Damián Camino, Danilo Anatoa
35
Vulnerabilidades relacionadas con la amenaza:
No existen normas para el uso de dispositivos móviles.
No existen normas para el uso de conexiones remotas
No existen normas de responsabilidad de los activos.
No existen normas para la clasificación y manejo de la información
No existen normas para el uso de periféricos y medios de almacenamiento.
No existen normas de acceso a la red y recursos de la red.
No existe una guía de prácticas que conozca el empleado que haya sido
difundido por la dirección.
2.4. Controles y políticas de la seguridad de la información
2.4.1. Detalle de amenazas
1. Actos originados por criminalidad común:
Robo/hurto (físico).
Robo/hurto de información electrónica.
Intrusión a red interna.
Virus/ejecución no autorizada de programas.
2. Sucesos de origen físico:
Polvo.
Fallo disco duro/falla de sistema.
3. Sucesos derivados por negligencia del usuario y decisiones institucionales.
Unidades Portables con información sin cifrado.
Manejo inadecuado de contraseñas (Inseguras, no cambiar o compartidas).
Compartir contraseñas o permisos a terceros no autorizados.
Exposición o extravío de equipo, unidades de almacenamiento, etc.
Falta de definición de perfil, privilegios y restricción del personal.
Falta de mantenimiento físico (proceso, repuestos e insumos).
Fallas en permisos de usuarios (acceso a archivos).
Red inalámbrica expuesta para el acceso no autorizado.
Falta de normas y reglas claras de seguridad de la información.
36
2.4.2. Procedimientos de implementación
Debido a varios inconvenientes en cuanto a responsabilidades de cada usuario y el
manejo de la información se procedió a conformar roles para una buena administración de
la información.
Roles:
1. Gerente General. David Trujillo responsable de:
Recursos Humanos:
a) Garantizar la seguridad de la información en cuanto a la
confidencialidad de contratos y hojas de vida del personal.
Contratos empresariales:
a) Garantizar la confidencialidad de los contratos de clientes e inversores.
Compras tecnológicas:
a) Generar un presupuesto fijo anual para mejoramiento de insumos
tecnológicos tanto hardware, software y mecanismos auxiliares.
Archivo general físico:
a) Garantizar la integridad y confidencialidad de los archivos físicos.
Área legal:
a) Transcribir un documento de compromiso de confidencialidad de la
información en cuanto un funcionario firme su contrato de trabajo.
b) Elaborar un instructivo de sanciones en caso de que un usuario no
aplique las políticas de seguridad de la información
2. Analista Técnico. Esteban Cisneros responsable de:
Revisión y aprobación de informes:
a) Garantizar la integridad, disponibilidad y confidencialidad de los
informes parciales y finales de clientes.
Toma de datos de medidas ergonómicas, de ruido y de luminiscencia:
a) Garantizar la integridad y confidencialidad de la información recogida a
través de la toma de datos por medio del medidor especial.
b) Garantizar la disponibilidad de los equipos de toma de datos, realizar un
mantenimiento periódico.
37
3. Asistente de soporte. Damián Camino responsable de:
Soporte técnico informático en sitio y remoto:
a) Documentar incidentes y requerimientos de seguridad reportados,
realizar el respectivo seguimiento y solución de los mismos.
La seguridad informática:
a) Implementar y garantizar el cumplimiento de políticas de seguridad.
b) Coordinar capacitaciones al personal sobre políticas de seguridad y su
cumplimiento.
c) Verificar que las actualizaciones de antivirus sean correctas.
d) Verificar que los dispositivos de almacenamiento externo no posean
programas maliciosos y en caso de tenerlos desinfectar los mismos
antes de su uso dentro de la empresa.
Área informática en general:
a) Garantizar la disponibilidad de las herramientas básicas informáticas
tanto hardware como software y equipos auxiliares con los cuales
laboran los usuarios, así también como de sus respectivas
actualizaciones.
b) Adquirir en conjunto con el Gerente General, licencias de software y de
esta manera evitar la piratería dentro de la Empresa.
c) Custodiar que los programas con licencia no sean para uso individual
de un usuario.
Respaldos:
a) Garantizar que la información del servidor sea respaldada
periódicamente.
b) Garantizar que la información crítica se encuentre respaldada en el
servidor de respaldos y esta a su vez se encuentre disponible para los
usuarios según su perfil.
c) Garantizar que la información pública se elimine dentro de un periodo
de tiempo para evitar espacio en disco lleno.
d) Garantizar los respaldos de los usuarios que salen de la Organización
para su reutilización por el usuario que ingresa a reemplazarlo en su
mismo puesto de trabajo.
e) Garantizar que la base de datos de los cuestionarios en línea sea
confidencial y se encuentre disponible para los usuarios autorizados.
38
2.4.3. Clasificación y control de activos
1. Inventario de activos
Los encargados del inventario de activos importantes de la empresa deben ser
los responsables de cada área, este debe ser actualizado en caso de hacerse
la compra de un activo y revisado cada 6 meses como máximo para determinar
su utilidad.
2. Clasificación de la información
Para clasificar la información tanto de archivo lógico como físico debe tomarse
en cuenta los parámetros de la seguridad de la información (Confidencialidad,
Integridad y Disponibilidad) ya explicados con mayor detalle en el segmento de
la metodología de análisis.
El encargado de que la información se encuentre clasificada debe ser el
responsable de cada área.
3. Almacenamiento de la información
La información crítica debe tener su respaldo tanto físico como lógico, a su vez
estos deben ser almacenados en el servidor de respaldos y en dispositivos de
almacenamiento externos que se encuentren bajo custodia del responsable del
área informática en un lugar alejado de la oficina.
Controlar adecuadamente la información para reducir el riesgo de posibles
amenazas.
En caso de formateo de un equipo se debe llevar un acta de validación de
respaldos de información suscrita por el usuario de que todo su respaldo se
encuentra correcto.
En caso de usar un servicio de almacenamiento en la nube, garantizar los
respectivos parámetros de la seguridad de la información.
2.4.4. Seguridad del personal
1. Sitios de trabajo y entrega de recursos
Las responsabilidades en cuanto a las funciones asignadas en los puestos de
trabajo de los empleados no deben compartirse.
39
Se debe realizar una investigación previa de la persona cuando solicite empleo
y verificar sus antecedentes mediante referencias laborales y personales.
Los empleados deben firmar un compromiso de confidencialidad, el cual se
revisará cada año junto al empleado y en caso de un cambio de la política de
confidencialidad se le informará de manera oportuna y se suscribirá el nuevo
compromiso.
En el momento de la firma del contrato revisar junto con el empleado los
términos y condiciones que implica la confidencialidad e integridad de la
información mediante las políticas de seguridad de la información.
2. Capacitación de los usuarios
Se debe capacitar al usuario en materia de políticas de seguridad de la
información, revisar el mismo de manera periódica o cuando ocurra un
incidente que atente la política.
Se entregará un instructivo mediante correo electrónico o folleto impreso donde
se detalle sanciones en caso de incumplir las políticas de seguridad antes de
asignarle su respectivo perfil de usuario con los permisos que esto implica.
3. Incidentes sobre seguridad informática
Reportar incidentes que afecten la seguridad de la empresa, escalarlos a su
superior en caso de que este sea grave para poder remediarlo.
No permitir que otros usuarios no autorizados manipulen herramientas de
seguridad.
Detallar comportamientos defectuosos del software, apuntar los efectos
primarios de su comportamiento y posibles mensajes de error, actuar
inmediatamente ante una posible solución.
Instalar periódicamente actualizaciones de seguridad en los sistemas
informáticos.
Garantizar que el software antivirus instalado realice escaneos habituales para
evitar software malicioso, y verificar que todos los equipos computacionales
contengan el mismo software antivirus.
Los usuarios no autorizados no tendrán privilegios de administrador local, de
esta manera se evitará instalar en las máquinas software nocivo.
40
En caso de requerir una instalación de nuevo software el procedimiento será el
siguiente:
a. Únicamente los responsables de cada área podrán autorizar instalaciones
de software.
b. Se procede mediante correo electrónico con copia al responsable de
Sistemas y al Coordinador del área la petición de la instalación.
c. El Coordinador del área autoriza o niega dicha petición, realizando un
análisis de impacto previo a la petición.
d. Se envía un documento al responsable de Sistemas con la firma del
coordinador del área autorizando la instalación del programa informático.
e. El responsable de Sistemas procede a instalar el programa informático.
2.4.5. Seguridad ambiental
1. Control de acceso físico a instalaciones de la empresa
Impedir accesos no autorizados a la empresa mediante un sistema de alarma o
cerca eléctrica.
Registrar la fecha y hora de ingreso de visitantes, estos solo deberá ingresar
hasta un área autorizada para recibir visitas.
Implementar un documento único de identificación de los trabajadores.
Realizar un control periódico de accesos autorizados a los usuarios internos.
Establecer un lugar seguro para el procesamiento de datos donde solo pueda
acceder el personal autorizado.
Informar que las puertas de ingreso y ventanas deberán permanecer
completamente cerradas con sus respectivas seguridades cuando el personal
no se encuentre laborando.
Restringir el acceso al directorio de contactos interno como de clientes.
No permitir que terceras personas realicen trabajos internos sin supervisión.
Impedir el ingreso de equipos externos que registren información dentro de la
empresa.
2. Protección física de activos
Proteger los equipos informáticos, alejándolos de ventanas o puertas para
evitar golpes, daños por humedad o polvo.
41
Controlar la temperatura de la empresa mediante ventilaciones especiales para
evitar daños irremediables en los equipos.
Controlar filtraciones de agua en época invernal dentro de la empresa.
Garantizar un buen manejo de activos en cuanto a traslado de equipos ya sea
por mantenimiento o mudanza.
Quien debe velar por la protección de activos, sobre todo de equipos
informáticos deberá ser el responsable de sistemas.
Ubicar los activos importantes como las impresoras, equipos de cómputo,
teléfonos dentro de un área protegida definida por el responsable de la
seguridad informática.
No comer ni fumar dentro de la oficina de procesamientos de datos.
3. Implementos de energía eléctrica
Se debe garantizar que el cableado eléctrico se encuentre con conexión de
seguridad a tierra según el estándar TIA/EIA-607, el cual nos proporciona el
esquema básico y los componentes necesarios para una conexión segura
tanto del cableado eléctrico como el de red local.
Adquirir un UPS para evitar daño por apagones de energía eléctrica que se
frecuentan en épocas invernales en los sectores urbanos de Quito.
4. Cableado de red
Garantizar bajo el estándar IEEE 802.1 la seguridad de las conexiones de red
de área local, como la seguridad de la clave MAC (802.1Xbx), seguridad en
dispositivos de identificación (802.1ARce), encriptación de dispositivos de
datos (802.1AEcg), protección de accesos de puertos de red (802.1Xck).
Aplicar la norma ANSI/TIA/EIA-568-A para la implementación del cableado
estructurado, esta norma nos detalle sobre diversas configuraciones y
componentes en dispositivos conectados a la red.
Aplicar la norma ANSI/TIA/EIA-606 para una correcta administración del
cableado instalado, con esta norma podemos realizar un seguimiento de
cambios e implementaciones, proporciona la orientación de fallas describiendo
los cables por sus características.
42
Cubrir mediante regletas plásticas o herramientas blindadas los cables de
datos que conforman la red de la empresa, para evitar daño por deterioro o
intervenciones de terceros con cortes o desconexiones.
5. Mantenimiento de equipos computacionales y auxiliares.
Para asegurar la disponibilidad de equipos se debe realizar mantenimientos
periódicos preventivos y correctivos, esta tarea se encuentra a cargo del
responsable de Sistemas.
Únicamente personal autorizado podrá realizar el mantenimiento de los
equipos.
Se debe llevar un registro donde se detalle el mantenimiento de los equipos
realizados, tomando en cuenta el tiempo de reparación y con que periocidad se
deteriora el equipo.
Observar que los equipos no contengan información confidencial cuando se
realice una revisión del equipo, en caso de contenerla eliminarla guardando un
copia de respaldo en el servidor de backups.
6. Seguridad de los equipos cuando se encuentren fuera de las instalaciones.
Únicamente se deberá llevar en los equipos que salen de las instalaciones de
la empresa información de carácter público, cuando se deba llevar información
confidencial debe existir una firma en documento de respaldo por parte del
Gerente General quien es el dueño total de la información privada.
7. Equipos deteriorados sin uso
En caso de existir equipamiento informático deteriorado y sin uso alguno que
contenga datos relevantes de información, los dispositivos de almacenamiento
donde se aloje esta información deberá ser destruido.
Así también con las memorias USB, tarjetas sd, cd, dvd o cualquier otro
dispositivo que contenga información alguna confidencial deteriorada, deberá
ser destruido.
43
8. Escritorios físicos y de computadora limpios.
Los documentos físicos críticos deberán estar almacenados bajo llave en
escritorios o almacenes físicos, siendo el único responsable de cada
documento el propio usuario.
La documentación física crítica de la empresa como contratos, informes, etc.,
deberán ser guardados bajo llave, siendo responsable de esto el encargado de
cada área.
La información sensible que sea recientemente impresa, deberá ser retirada de
manera inmediata de la bandeja de la impresora.
No deberá existir documento confidencial alguno sobre algún tipo de mueblería
dentro de la empresa.
Los documentos confidenciales no deberán estar guardados visiblemente en el
escritorio de la computadora, en caso de tener que ausentarse por cualquier
motivo del escritorio de trabajo debe bloquearse el equipo informático por el
propio usuario.
9. Retiro de los equipos computacionales
Los equipos computacionales fijos no deberán ser retirados o removidos de
sus respectivos lugares de trabajo sin antes pedir autorización del responsable
de Sistemas.
2.4.6. Control de accesos
2.4.6.1. Requerimientos para el control de acceso
a. Identificar el requerimiento sobre aplicación de uso.
b. Definir los perfiles de acceso para cada tipo de usuario, son los siguiente:
GERENCIAL:
Acceso a información física y electrónica total de contratos con empresas,
clientes y empleados
Acceso a carpeta compartida GERENCIA
Acceso a instaladores
Acceso a transacciones bancarias
Acceso a rol de pagos
Acceso de internet y redes sociales
44
SISTEMAS:
Acceso a información de base de datos
Acceso a carpeta compartida SISTEMAS
Acceso a instaladores
Acceso a internet y redes sociales
Monitoreo de actividades de usuarios internos
TÉCNICO:
Acceso a informes técnicos históricos
Acceso a informes técnicos actuales
Acceso a carpeta compartida TECNICO
Acceso a internet
PASANTE:
Acceso a instalación de programas de diseño gráfico y arquitectónico
Acceso a internet
Acceso a informes técnicos actuales
a. Verificar que el usuario posee los permisos para el ingreso a una carpeta o
documentación confidencial y de trabajo mediante un documento físico escrito
por el responsable del área.
b. Verificar que el acceso otorgado cumple los requisitos para la función que
desempeña el usuario.
c. Otorgar al usuario un detalle con los accesos autorizados mediante correo
electrónico y documento escrito.
d. Suscribir un documento formal entre usuario y autorizador de que el usuario se
compromete a cumplir las políticas de seguridad sobre las aplicaciones
otorgadas.
e. No se debe otorgar acceso a la información y aplicaciones sin antes cumplir
con el procedimiento descrito en los puntos anteriores.
f. Si un usuario se traslada a otra área de trabajo, verificar los accesos a
información y aplicaciones que posee y revertirlas.
2.4.6.2. Administración de privilegios
a. Se debe limitar y controlar la asignación de privilegios otorgados por acceso a
la información y aplicaciones.
45
b. Asignación de privilegios mediante rol y perfil por usuario.
c. Determinar tiempos de acceso por caducidad a la información.
2.4.6.3. Administración de contraseñas
a. Suscribir un acta mediante la cual los usuarios se comprometen a mantener
sus contraseñas personales en reserva.
b. Se debe garantizar que la expiración de las contraseñas sea periódica y según
la regla de contraseña seguras, mínimo 8 caracteres combinado mayúsculas y
minúsculas y un carácter especial.
c. Para el reseteo de contraseñas se debe otorgar al usuario una contraseña
provisional segura y al siguiente inicio de sesión pedir estrictamente un cambio.
2.4.6.4. Acceso a aplicaciones
a. Capacitar sobre el uso de aplicaciones únicamente a personal autorizado para
su utilización.
b. Restringir el acceso a instaladores de programas adquiridos por la empresa.
c. Evitar el acceso desde el exterior de la empresa a datos confidenciales o
funciones de aplicaciones.
d. Controlar el acceso a las aplicaciones, así también de permisos de lectura y
escritura sobre datos que procesen esta información, para evitar la falla sobre
integridad de la misma.
e. Detallar los servicios disponibles dentro y fuera de las instalaciones de la
empresa.
2.4.6.5. Monitoreo de acceso al sistema y red privada
a. Se debe controlar el número de conexiones inalámbricas.
b. Llevar un registro de eventos detallado sobre conexiones no autorizadas a la
red empresarial, para esto se debe usar los siguientes parámetros:
Nombre del usuario o clave de registro.
Hora y fecha de la conexión.
Evento de consulta.
Archivo y datos a los que accede.
Software de uso.
46
Inicio y cierre del sistema.
Cambio en algún tipo de configuración de la seguridad.
Intentos fallidos de conexión.
2.5. Implementación
Después del análisis de riesgos se determinó la atención inmediata sobre puntos
específicos en los controles de seguridad, los mismos que han sido implementados y
detallados a continuación.
2.5.1. Servidor
El servidor proporciona servicios de los que se pueden beneficiar todos los empleados de
una empresa. Estos servicios son accesibles desde ordenadores personales conectados
a la red local de la empresa. El objetivo de la implantación de este servicio es de facilitar y
mejorar el control sobre procesos productivos y de comunicación interna de la empresa.
La herramienta está destinada a incrementar la efectividad y reducir costes. Del análisis
realizado es esencial tener un servidor que reduzca los problemas de acceso a la
información y centralizar los datos, controlar los roles y perfiles a través de una red local,
monitorear el acceso mediante la sesión del usuario.
La solución para las necesidades de la empresa Proserati serán cubiertas usando una
licencia de Windows Server 2008 R2 Service Pack 1y la configuración del servicio de
Active Directory y con las actualizaciones instaladas.
Antes de empezar con la instalación y configuración del servicio de Active Directory, se
debe cumplir con la siguiente lista de requerimientos:
Nombre del host
IP fija.
Nombre de dominio.
A través de la herramienta Manager Engine Tools, una herramienta gratuita adicional de
Server podemos realizar los siguientes controles y monitoreo:
Consultas AD query tool para datos de active directory específicos en una sola
vista.
El CSV generator nos ayuda a generar un archivo CSV con los atributos de AD
que escojamos.
47
Last logon reporter tenemos en detalle una lista de la última hora de inicio de
sesión de los usuarios de nuestra red.
Con el terminal sesión manager podemos identificar y gestionar las terminales de
servicio de sesión de Windows.
DMZ port nos ayuda a escanear los puertos que no se encuentran abiertos para
funciones de aplicación.
Domain y DC roles nos ayudan con el detalle de cada Domain Controlletr y sus
funciones.
Local users manager nos brinda una consola para administrar las cuentas de
usuarios locales en nuestro dominio.
DC monitor nos ayuda a reportar el rendimiento de los controladores AD de
dominio.
Empty password reportar nos reporta un detalle de usuarios que no poseen set de
contraseñas.
Para poder ver y gestionar contraseñas, además de administrar las políticas de
claves para el dominio.
Se determinó un usuario único administrador local en todos los equipos computacionales
de la empresa, llamado “Adminpro”.
Este usuario nos permitirá realizar instalaciones locales de software en los equipos de los
usuarios, el mismo deberá ser administrado únicamente por el responsable de sistemas.
Gráfico 10: Usuario administrador del servidor Elaborado por: Damián Camino, Danilo Anatoa
48
El servidor se encuentra dentro de la red privada 192.168.x.x. con máscara de subred
255.255.255.0 y puerta de enlace 192.168.1.1.
Gráfico 11: Configuración de IP de la red Elaborado por: Damián Camino, Danilo Anatoa
El nombre de red del servidor es “profile01”, se tomó este nombre debido a la conjunción
del nombre de la empresa PROSERATI y FILE de archivo, el 01 es debido al primer
servidor.
2.5.2. Active Directory
Esta herramienta nos permite administrar con eficacia los equipos conectados a una red
local privada, de esta manera podemos controlar roles, perfiles y accesos a documentos
críticos.
Las políticas de control de usuarios que detallamos anteriormente además del análisis de
riesgos nos entregaron como resultado que la mayor probabilidad de amenaza se debe a
la negligencia del usuario en el momento de usar herramientas informáticas.
El AD nos ayuda a controlar este punto importante dentro de nuestra red empresarial al
elegir roles globales y permisos por usuario de lectura o escritura, además de caducidad
de los perfiles de usuario y de contraseñas.
Nos facilita el momento de asignar un rol al usuario al ingresar un nuevo empleado se
puede administrar sus permisos mediante el rol de un empleado que posea iguales
49
permisos, agregamos un nuevo rol y escogemos la opción de servicios de dominio para
active directory.
Luego de haber completado los pasos de instalaciones procedemos con la instalación del
active directory digitando en la ventana de ejecutar el comando DCPROMO.
Asignamos un nombre para el dominio de nuestro bosque raíz, en nuestro caso es
PROSERATI.COM
Escogemos la opción de que sea un servidor de DNS para su conexión a red local. El
servidor de DNS y el active directory se encuentran configurados.
2.5.2.1. Servidor DHCP
Es necesaria la configuración del servidor DHCP para obtener direcciones de red validas
dentro de la red local y de esta manera verificar su conexión.
Debido al número de equipos computacionales registrados en el inventario y equipos que
se encuentran en pedido de compra vemos la necesidad de minorizar en el ámbito el
rango de conexiones hasta máximo 39 equipos, cabe recalcar que la dirección
192.168.1.1 es la puerta de enlace y la 192.168.1.2 es la dirección de nuestro servidor.
Gráfico 12: Rango de direcciones IPs para DHCP Elaborado por: Damián Camino, Danilo Anatoa
50
2.5.2.2. Control de accesos por Active Directory
El control en los accesos implementados en el servidor para roles y perfiles por usuario a
través del Active Directory de Windows Server 2008 R2, creamos las carpetas según roles
y perfiles establecidos.
Gráfico 13: Usuarios y equipos de Active Directory Elaborado por: Damián Camino, Danilo Anatoa
Configuramos las unidades organizativas, grupos globales y locales para mantener un
acceso controlado sobre documentos y carpetas compartidas, por cada dominio global se
deben crear por política 3 dominios locales siendo estos de lectura, escritura y acceso
total.
La creación de usuario la realizamos de la siguiente manera, asignado igualmente
privilegios según sus rol y perfil de trabajo.
2.5.2.3. Monitoreo de equipos conectados a la red
Para visualizar las conexiones a los servicios de red mediante la administración del
servidor y su concesión de direcciones.
51
Gráfico 14: Monitoreo de usuarios de red que iniciaron sesión Elaborado por: Damián Camino, Danilo Anatoa
2.5.3. Seguridad del router inalámbrico
Ejecutamos un control de seguridad con contraseña para la configuración de los servicios
inalámbricos privados, se escogió WPA2-Enterprise por ser la más segura para el cifrado
de datos.
Gráfico 15: Configuración del router Elaborado por: Damián Camino, Danilo Anatoa
52
El control en la configuración de seguridad en el router inalámbrico sirve para evitar
conexiones no autorizadas a nuestra red por medio del estándar WPA/WPA2 con el cual
mejoramos las características de seguridad de cifrado WEP, sin embargo cabe recalcar
que este tipo de cifrado únicamente sirve con equipos modernos.
Gráfico 16: Seguridad en el router Elaborado por: Damián Camino, Danilo Anatoa
Añadimos un filtro de dirección MAC que nos sirve para permitir o denegar conexiones
mediante la MAC de los equipos, controlando de esta manera la conexión de equipos no
autorizados mediante un monitoreo diario.
Gráfico 17: Ingreso de la MAC para permitir o denegar conexiones. Elaborado por: Damián Camino, Danilo Anatoa
Detallamos una lista de los equipos que se encuentran dentro de Proserati, los cuales
requieren una conexión inalámbrica, únicamente se permite conectar laptops de la
empresa y el teléfono celular del gerente, con esto garantizamos el control sobre
saturación de dispositivos conectados inalámbricamente al router y evitamos que nuestra
red se vuelva lenta e inaccesible limitando sus recursos.
Para realizar un control adicional de conexión se dispuso una contraseña de enlace a la
red inalámbrica llamada Proserati la cual custodian el encargado de Sistemas y el
Gerente.
Con estos pasos aseguramos un control de seguridad inalámbrica maximizada y
optimizada.
53
2.5.4. Acceso a directorios compartidos
A través del Active Directory se otorgó privilegio a las siguientes carpetas compartidas
creadas en el servidor, la misma que contiene los respaldos de usuarios específicos.
Gráfico 18: Directorios compartidos a través de Active Directory Elaborado por: Damián Camino, Danilo Anatoa
2.5.5. Control de Respaldos de información
Para la implementación de la configuración de respaldos en las máquinas de los usuarios
se utiliza el software Yadis Backup 1.10.15, es software libre el cual nos permite como un
agente, instalarlo en cada máquina de los usuarios que contengan información crítica y
realizar un backup espejo al servidor principal en tiempo real, todo lo que contiene dentro
de una carpeta especifica se replica en el servidor preservando sus datos y realizando
versionamiento de los archivos para proteger contra eliminación accidental.
El respaldo se lo realiza de una manera ligera en comparación con otros programas del
mismo tipo como el agente DLO de Symantec.
Yadis Backup posee tareas de monitoreo de los respaldos de cada usuario, así como de
control de un inicio y una culminación de tareas de respaldo, protege inclusive
documentos dentro de un servidor ftp respaldándolos.
54
Gráfico 19: Tara de respaldo a realizar Elaborado por: Damián Camino, Danilo Anatoa
La periodicidad con la que se gestiona el control de respaldos es en tiempo real, esto
quiere decir que todo documento está protegido hasta su último cambio dentro del
servidor de respaldos.
Gráfico 20: Ruta de respaldo Elaborado por: Damián Camino, Danilo Anatoa
Los respaldos del servidor se realizan de dos maneras, físicamente mediante extracción
presente a disco externo por medio del encargado de Soporte y mediante la gestión del
servidor a través de copias de seguridad automáticas.
Los controles de las copias de seguridad automáticas y su automatización nos permiten
proteger los servidores principales y sus datos de manera periódica.
55
Hay varias maneras de configurar las copias de seguridad automáticas:
A un disco conectado
A un volumen de datos
A una carpeta compartida remota
Mediante un programador de tareas
A varios discos de almacenamiento
De este modo configuramos el modo de carpeta compartida remota para proteger el
servidor y sus datos dentro de nuestra organización.
Adjunto detalle de configuración de este procedimiento en el Anexo G.
2.5.6. Control de la zona DMZ
En el panel de administración del router inalámbrico es posible determinar una zona DMZ
que se encontrara desprotegida de la red local, esto con el fin de compartir documentos a
través de una carpeta compartida llamada Publico desde la cual tienen acceso los
usuarios desde fuera de la empresa.
Este equipo se encuentra en una zona DMZ compartiendo recursos públicos, y así
también se encuentra resguardando la seguridad de la red interna al prevenir ataques
externos, controlamos que un usuario no autorizado externo no acceda a nuestra red
externa al encontrarse con la DMZ.
Usamos una IP estática fuera del rango de nuestra red
Gráfico 21: Zona desmilitarizada Elaborado por: Damián Camino, Danilo Anatoa
Debemos tomar en cuenta que el equipo que se encuentre dentro de la DMZ no tendrá
protección alguna contra un ataque, sin embargo en nuestro router podemos configurar el
acceso a determinados puertos, es así que permitimos la el puerto FTP 20 y 21 para en
un futuro implementar un servidor FTP de acceso a datos.
56
Podemos configurar varios equipos a la DMZ mediante una lista de filtro de direcciones
IP, hay que analizar la IP que se asigna la cual debe ser estática y luego implementarla
dentro de la DMZ, así como determinadas aplicaciones que necesitan salida a puerto.
2.5.7. Firewall
Disponemos de un equipo con las siguientes características para instalar el firewall:
Procesador: Intel Pentium a 800MHz.
Memoria RAM: 1GB.
Disco duro: 100GB
Un monitor para la instalación, pero la administración se realizará vía web.
Dos tarjetas de red.
Un router un swtch
Sistema operativo base será Ubuntu Desktop 9.04 (gratuita).
Firewall es la distribución SmoothWall Express (gratuita).
2.5.7.1. Esquema general del firewall en la red local
SmoothWall controlará todo el tráfico de nuestra red local.
Gráfico 22: Diagrama de red de la empresa Proserati Elaborado por: Damián Camino, Danilo Anatoa
En primer lugar conectaremos una de las tarjetas de red del equipo cortafuegos al router y
la otra tarjeta de red al switch.
Todos los equipos de nuestra red estarán conectados al switch, no al router, la idea es
que todo el tráfico de red de Internet, tanto peticiones desde fuera hacia dentro como
desde dentro hacia fuera: FTP, etc. pasen únicamente a través de una de las tarjetas de
INTERNET
Servidor ADRouter
Firewall
Switch
Administrador
Server
Usuarios
Servidor Backup
Usuario1
Usuario2
Usuario3
57
red hacia nuestro equipo cortafuegos y éste, conectará y transferirá todo ese tráfico al
router mediante la otra tarjeta de red. De esta forma todo el tráfico de Internet pasará a
través de los cortafuegos, para que éste controle y gestione las reglas que luego
podremos añadirle.
2.5.7.2. Firewall SmoothWall Express
Descargado SmoothWall Express 3.0 y generado el CD correspondiente con la imagen
ISO, lo introduciremos en el equipo que utilizaremos de firewall y arrancaremos desde el
CD
Uno de los pasos de la instalación es seleccionaremos el tipo de política de seguridad
para las solicitudes o peticiones salientes. Esta configuración no afecta a las solicitudes
entrantes, que siempre estarán bloqueadas a menos que explícitamente sean permitidas
por el firewall, según es siguiente esquema.
Open (abierto): todas las peticiones salientes serán permitidas
Half-open (entreabierta): la gran parte de las peticiones saliente serán permitidas, salvo
las consideradas dañinas o peligrosas.
Closed (cerrado): todas las peticiones salientes serán bloqueadas. Si se quiere permitir
alguna petición saliente se deberá especificar en la administración del firewall SmoothWall
Express (en las reglas).
En nuestro caso seleccionaremos "Closed".
Gráfico 23: Selección de la política de seguridad en el Firewall Elaborado por: Damián Camino, Danilo Anatoa
58
2.5.7.3. Configuración de la red
GREEN (RED is modem/ISDN).
GREEN + ORANGE (RED is modem/ISDN).
GREEN + RED.
GREEN + ORANGE + RED.
GREEN + PURPLE (RED is modem/ISDN).
GREEN + PURPLE + ORANGE (RED is modem/ISDN).
Teniendo en cuenta que:
En nuestro caso GREEN + RED esto nos indica que de las dos tarjetas de red, la RED
será la que esté conectada al router (dispositivo que nos proporciona la conexión a
Internet) y la GREEN será la tarjeta de red conectada al switch donde están conectados el
resto de equipos de la LAN:
A continuación se configura las direcciones IP de cada tarjeta de red.
Para nuestra red os equipos tienen IPs del rango 192.168.1.xxx, asignaremos a la interfaz
GREEN la IP: 192.168.1.1 y la máscara: 255.255.255.0:
Puesto que la interfaz de red está conectada al router, esta tarjeta de red debe tener una
IP del mismo rango.
IP del router: 192.168.0.1.
IP de la interfaz RED: 192.168.0.2.
IP de la interfaz GREEN: 192.168.1.1.
A continuación configuraremos las DNS y el Gateway, para ello seleccionaremos.
Introduciremos el servidor DNS primario (Primary DNS), el servidor DNS secundario
(Secondary DNS) y la puerta de enlace (Default Gateway). La puerta de enlace deberá
ser la IP del router de nuestra red (dispositivo que nos proporciona conexión a internet y
que estará conectado únicamente a la tarjeta RED de nuestro equipo cortafuegos), en
nuestro caso 192.168.0.1.
59
2.5.7.4. Administración del firewall
Para administrar y configurar los cortafuegos SmoothWall Express, abriremos en
cualquier navegador desde cualquier equipo de la red LAN, introduciremos la URL:
https://192.168.1.1:441
El usuario genérico es "admin", como contraseña la asignada en anteriores pasos.
La consola de administración del firewall nos indica el estado actual, habilitar o
deshabilitar servicios, añadir o eliminar reglas de seguridad, ver log y monitorizar,
actualizar SmoothWall, etc.
Gráfico 24: Consola de administración del firewall Elaborado por: Danilo Anatoa y Damián Camino
Una vez dentro de la interfaz web vamos a poder realizar una gran cantidad de tareas de
administración para adecuar el firewall a las necesidades de la empresa.
60
2.5.7.4.1. Procedimiento para habilitar web proxy
Un proxy permite a otros equipos conectarse a una red de forma indirecta a través de él
Cuando un equipo de la red desea acceder a una información o recurso, es realmente el
proxy quien realiza la comunicación y a continuación traslada el resultado al equipo inicial.
El tamaño de la cache lo asignamos tomando en cuenta que no se debe exceder el
espacio disponible en disco físico con esto se reduce el impacto en el rendimiento de la
CPU del servidor, el parámetro configurado es de 500 MB.
El tamaño máximo y mínimo de descarga y subida de archivos se planeó dependiendo a
la relacione información que se maneja en la empresa por tanto el tamaño de los archivos
no execran los 6MB. Ver Anexo E.
2.5.7.4.2. Procedimiento para habilitar Url Filter
Tiene como finalidad restringir el acceso a la web que es compartida por todos los
equipos de la red.
La lista negra de filtrado web contiene aquellos dominios, sitios o direcciones concretas
que, a pesar de no pertenecer a una categoría restringida, no deben resultar accesibles
para los usuarios de la red. Es decir, siempre serán filtradas. Se puede realizar el bloqueo
por categorías, listas negras personalizadas por bloqueo de dominios o urls, listas de
palabras personalizadas, control de acceso y personalizar el mensaje de bloqueo.
Para activar el uso de listas negras se debe habilitar la casilla de verificar y escoger las
opciones que se desea personalizar:
Bloqueo por categorías: Se personalizó partiendo de que no se requiere de acceso a
información que no tenga relación con el trabajo.
Gráfico 25: Bloqueo por categorías Elaborado por: Danilo Anatoa y Damián Camino
61
Para activar esta característica del filtrado web se debe active la casilla de verificación, a
continuación se determinara qué dominios o páginas web se incluyen en la lista negra,
adjunto se encuentran ejemplos y en el Anexo F se categorizó por tipo de páginas.
Listas negras por dominio:
adelaideinstitute.org
air-photo.com
americannaziparty.com
Listas negras por Url´s:
marc-o-polo.de/game
marcianos.com.mx/category/juegos/
marketsource.com/games
martyricon.de/gamesdivertis.com/jeux
Gráfico 26: Mensaje de control de acceso Elaborado por: Danilo Anatoa y Damián Camino
La lista negra de filtrado web contiene aquellos dominios, sitios o direcciones concretas
que, a pesar de no pertenecer a una categoría restringida, no deben resultar accesibles
para los usuarios de la red. Es decir, siempre serán filtradas, independientemente de su
categoría.
Para los servicios de IM proxy, POP3 proxy, SIP proxy, no se definió por parte de la
empresa activar estos servicios, para captura de conversaciones, de correo electrónico y
captura de VOIP.
62
2.5.7.4.3. Procedimiento para configurar los servicios de red.
Se definió reglas de NAT para redirigir las peticiones entrantes desde la interfaz RED a
una máquina y un puerto específicos de la interfaz GREEN. En Incoming se añaden las
reglas identificando el protocolo utilizado, la dirección IP externa desde la cual se va a
enviar la petición (desde cualquier equipo de Internet, el campo se deja vació), el puerto
usado para la entrada (en blanco, el puerto al cual redirijamos la petición se considerará el
mismo que el entrante), la IP y el puerto de destino y pulsa finalmente Add.
En Internal podremos definir agujeros de seguridad entre la zona desmilitarizada y el resto
de interfaces para permitir la comunicación desde aquí al resto de zonas seguras de
nuestra red. En External access estableceremos exactamente las máquinas de Internet y
a través de qué puertos podrán acceder a SmoothWall para gestionar sus servicios. IP
block bloquea aquellas direcciones IP que especifiquemos. Con Timed access seremos
capaces de programar el acceso a Internet para cada equipo de la LAN en unos horarios
determinados. QoS permite priorizar el tráfico en nuestra red. Ver Anexo G.
2.5.8. Software de seguridad y respaldos
El software para respaldar los archivos importantes del servidor y de los equipos de
usuarios específicos es Yadis Backup, software libre que realiza respaldos de información
en tiempo real.
2.5.9. Antivirus
Debido a experiencia previa con antivirus y su base comparativa en torno a rendimiento el
antivirus Kaspersky es el mejor en una gran industria, sin embargo por costo y beneficio
además de su fácil administración en la pequeña empresa se tomó como referencia previa
el rendimiento del antivirus NOD32 puesto que este antivirus utiliza una menor cantidad
de recursos para detectar amenazas, además ejecuta su análisis desde la raíz del
sistema.
La base de firmas de NOD32 se actualiza de manera constante y puede ejecutarse sobre
la mayoría de ordenadores debido a su tamaño liviano.
Después de una revisión del software de seguridad antivirus empresarial se decidió
adquirir la licencia de NOD32.
63
3. CÁLCULOS
3.1. Análisis de Riesgo
Mediante un estudio cualitativo a través de encuestas a funcionarios de la Organización
se pudo determinar datos importantes acerca de los riesgos de inmediata atención.
Los riesgos se calculan mediante el valor de la probabilidad de amenaza multiplicado por
la magnitud del daño, esto nos ayuda a estimar el riesgo a la que está expuesta nuestra
empresa, las vulnerabilidades de inmediata atención. Formamos una ecuación con la cual
podemos obtener un acercamiento a la realidad sobre cuán grande es nuestro riesgo al
no cumplir los parámetros establecidos según las normas ISO detalladas con anterioridad.
Mediante la ayuda de un libro de cálculo del programa Excel 2013 la evaluación se la
realizó de la siguiente manera:
Con los datos obtenidos evaluamos punto por punto, un ejemplo es tomar la Magnitud del
Daño llamado Documentos Institucionales, donde reposan los proyectos, planes
evaluaciones e informes de la Organización.
Magnitud de Daño
Detalle:
Documentos
Institucionales
Valor:
4
Tabla 21: Magnitud del daño Elaborado por: Damián Camino, Danilo Anatoa
Luego escogemos el dato de una Probabilidad de Amenaza fuerte como es el Robo/Hurto
físico de un activo, que según detalle de la información recogida tiene una media
probabilidad de ocurrencia pues colaboran algunas seguridades en el edificio donde
funciona la Organización como guardias, cercado eléctrico, sin embargo existen clientes
que ingresan a cualquier área de trabajo.
64
Probabilidad de Amenaza
Detalle:
Robo/Hurto físico
Valor:
3
Tabla 22: Probabilidad de amenaza Elaborado por: Damián Camino, Danilo Anatoa
Donde podemos entender que existe un riesgo por un probable hurto de documentos
institucionales.
El número 12 en nuestra escala de categoría es un alto riesgo, el cual se debe tomar en
cuenta en los controles a aplicar y las políticas de seguridad.
3.2. Análisis de Riesgo Promedio
Con los resultados obtenidos al realizar el análisis de riesgos de las tres matrices adjuntas
podemos continuar con el análisis de riesgo promedio para saber si la Organización
merece atención de manera inmediata dentro de todas sus áreas.
Los valores resultan del cálculo promedio entre todos los valores de una magnitud de
daño frente a una probabilidad de Amenaza, estos valores se manejan de acuerdo a la
escala de Riesgos anteriormente expuesta.
Por ejemplo para determinar la afectación promedio de la probabilidad de amenaza de los
actos originados por criminalidad frente a la Magnitud de Daño de los Datos.
Tomaremos como ejemplo la tabla Datos frente a los actos originados por la criminalidad
común:
65
Tabla 23: Calculo de magnitud de daño frente a una probabilidad de amenaza Elaborado por: Damián Camino, Danilo Anatoa
Con el resultado del cálculo de los promedios podemos determinar qué áreas tienen una
mayor prioridad de atención para intervenirlas de forma inmediata, los controles de
seguridad en este caso deben aplicarse en mediano plazo, pues dentro de nuestra escala
de riesgos muestran un comportamiento Medio, sin embargo observamos que dentro de
la Probabilidad de Amenaza por Negligencia del usuario frente a Magnitudes de Daño se
Allanam
iento
Daños p
or
vandalism
o
Fra
ude /
Esta
fa
Robo /
hurt
o (
físic
o)
Robo/
hurt
o d
e
info
rmació
n
ele
ctr
ónic
a
Intr
usió
n a
red
inte
rna
Vir
us /
eje
cució
n n
o
auto
rizada d
e
pro
gra
mas
2 2 2 3 3 3 4
Documentos
institucionales
(informes,
proyectos,
evaluaciones,
etc
4 8 8 8 12 12 12 16
Finanzas 4 8 8 8 12 12 12 16
Servicios
Bancarios 3 6 6 6 9 9 9 12
Recursos
humanos 3 6 6 6 9 9 9 12
Directorio de
contactos 3 6 6 6 9 9 9 12
Productos
institucionales
(folletos,
tarjetas de
presentación,
fotos, etc
2 4 4 4 6 6 6 8
Correo
electrónico 3 6 6 6 9 9 9 12
Base de datos
google drive 3 6 6 6 9 9 9 12
Página web
externa 2 4 4 4 6 6 6 8
Respaldos 4 8 8 8 12 12 12 16
Infraestructura
(planes,
documentación)
4 8 8 8 12 12 12 16
Informática
(planes,
documentación)
4 8 8 8 12 12 12 16
Base de datos
de contraseñas 4 8 8 8 12 12 12 16
Datos e
información no
institucional4 8 8 8 12 12 12 16
Navegación en
internet 3 6 6 6 9 9 9 12
Llamadas
telefónicas
internas1 2 2 2 3 3 3 4
Llamadas
telefónicas
externas2 4 4 4 6 6 6 8
Actos originados por criminalidad
común
Datos e
Información
Magnitud
de Daño:
[1 =
Insignifi
cante
2=Bajo
3=Medio
4=Alto]
66
generan los puntos más altos y que casi se encuentran con la escala de Alto como
atención inmediata
Análisis de Riesgo Promedio
Probabilidad de amenaza
Actos
originados
por
criminalidad
común
Sucesos
de origen
físico
Negligencia
del usuario
Magnitud
de Daño
Datos 8.5 7.0 9.6
Sistemas 9.0 7.5 10.2
Personal 9.0 7.5 10.2
Tabla 24: Análisis de riesgo promedio Elaborado por: Damián Camino, Danilo Anatoa
3.3. Análisis de factores
El análisis de factores nos ayuda a segmentar punto a punto las relaciones existentes
entre cada probabilidad de amenaza y su magnitud de daño, de este modo podemos
visualizar con claridad mediante un gráfico, el umbral en que se encuentran los valores
recogidos dentro de nuestro Análisis de Riesgos.
Tabla 25: Análisis de factores existentes entre cada probabilidad de amenaza y su magnitud de daño Elaborado por: Damián Camino, Danilo Anatoa
El Umbral de Riesgo Medio lo obtenemos de la siguiente manera:
Valoración Escala Valor_min Valor_max
Ninguna 1 1 3
Baja 2 4 6
Mediana 3 8 9
Alta 4 12 16
67
Así también podemos obtener el Umbral de Riesgo Alto:
Con la información sobre el valor del Umbral Medio y el Umbral Alto podemos graficar dos
curvas que nos ayudarán a visualizar los puntos sobre los cuales tendremos mayor
incidencia de Riesgo.
Debemos buscar el valor promedio entre la incidencia de factores como por ejemplo entre
Actos originados por la criminalidad común frente a datos.
Tabla 26: Puntos de mayor incidencia de riesgo Elaborado por: Damián Camino, Danilo Anatoa
Realizamos el cálculo de cada promedio por factores hasta obtener los puntos que
pueden ubicarse dentro o fuera de los Umbrales de Medio y Alto Riesgo, analizamos los
valores obtenidos y realizamos una gráfica para visualizar los factores de mayor atención.
Gráfico 27: Análisis de factores de riesgos Elaborado por: Damián Camino, Danilo Anatoa
Etiqueta
Actos originados por
criminalidad común/Datos
x 2.714286
y 3.117647
68
Determinamos que los puntos de los factores obtenidos dentro del análisis se encuentran
dentro de los Umbrales de Medio y Alto Riesgo lo que nos alerta sobre una posible
atención inmediata.
Observamos que los Sucesos de Origen Físico de Sistemas y la Negligencia del Usuario
de los Datos requieren una atención emergente por cuanto deben apoyarse sobre las
mismas las políticas de seguridad y los controles necesarios sobre ellos.
69
4. CONCLUSIONES
Se determinó que los equipos portátiles como son laptops y aparatos de medición
de luz, ruido, etc., son los que se encuentran mayormente expuestos a riesgo y el
factor de mayor incidencia se debe a una negligencia del usuario.
No existen políticas de seguridad de la información básicas ni definición de roles.
Al implementar políticas de seguridad luego de haber definido el organigrama y
establecer procesos claros existe un mejor flujo y manejo de la información.
Mediante la divulgación al personal de las políticas de seguridad establecidas se
redujo el nivel de riesgo.
70
5. RECOMENDACIONES
Poner en práctica las políticas para la seguridad de la información, se debe
nombrar un responsable directo que nos garantice el cumplimiento de este
reglamento.
Analizar el costo beneficio de software de encriptación para instalación en laptops,
de esta manera evitamos el robo de información confidencial en dispositivos
portátiles.
Comunicar al usuario las sanciones a las que se encuentra expuesto en caso de
no acatar las políticas de seguridad.
No compartir contraseñas entre usuarios y cambiar periódicamente las mismas.
Almacenar la información histórica en dispositivos de almacenamiento que se
encuentren en lugares seguros.
71
BIBLIOGRAFÍA
1. ACOSTA, D. (2012). La Seguridad de la Información en las Empresas. eumed,
12-13.
2. COMUNICACIÓN, I. N. (2010). www.incibe.es. Recuperado el 2016, de
https://www.incibe.es/extfrontinteco/img/File/intecocert/sgsi/img/Guia_apoyo_SG
SI.pdf
3. ELECTRÓNICA, C. S. (2012). MAGERIT v.3 : Metodología de Análisis y Gestión
de Riesgos de los Sistemas de Información. Madrid: administración electrónica.
4. EXCELLENCE, I. (16 de 03 de 2015). Blog especializado en Sistemas de Gestión
de Seguridad de la Información. Recuperado el 10 de 03 de 2016, de
http://www.pmg-ssi.com/2015/03/iso-27001-el-metodo-magerit/
5. FÉREZ, P. G. (2015). Configuración de Active. Recuperado el 2016, de
http://www.ditec.um.es/aso/teoria/tema13.pdf
6. GAIBAZZI, M. F. (2012). SaberEs. Recuperado el 05 de 04 de 2016, de
http://www.saberes.fcecon.unr.edu.ar/index.php/revista/article/view/77
7. GESTIÓN, B. e. (28 de 07 de 2015). http://www.pmg-ssi.com. Recuperado el 29
de 03 de 2016, de http://www.pmg-ssi.com/2015/07/que-es-sgsi/
8. INTECO. (2010). www.incibe.es. Recuperado el 2016, de
https://www.incibe.es/extfrontinteco/img/File/intecocert/sgsi/img/Guia_apoyo_SG
SI.pdf
9. ISO27000. (2013). http://www.iso27000.es. Recuperado el 2016, de
http://www.iso27000.es/download/doc_sgsi_all.pdf
10. LUJÁN, U. N. (2015). http://www.seguridadinformatica.unlu.edu.ar/. Recuperado
el 2016, de
http://www.seguridadinformatica.unlu.edu.ar/sites/www.seguridadinformatica.unlu.
edu.ar/files/site/material_taller_gestion_de_riesgo.pdf
11. MAGERIT_V.3. (2015). Portal Administración Electrónica. Recuperado el 2016,
de
http://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Met
odolog/pae_Magerit.html#.VwYpavnhDIW
12. MARRIAS, Y. Y. (30 de 10 de 2011). slideshare. Recuperado el 2016, de
http://es.slideshare.net/YulitzaYanetMarrias/active-directory-9953103
72
13. MARTIN, M. (24 de 11 de 2008). Guía de Seguridad “9 PASOS PARA
IMPLEMENTAR LA SEGURIDAD. Security & Privacy Initiatives, 12.
14. MULTICOMP. (02 de 02 de 2011). Multicomp, seguridad, infraestructura y
administración en TI. Recuperado el 2016, de
http://multicomp.com.mx/implementar-active-directory-en-una-empresa/
15. QUINTERO, R. (2012). Normas leyes-familia iso-27000. Recuperado el 2016, de
http://es.slideshare.net/reynaldoquintero90/normas-leyesfamilia-
iso27000?from_action=save
16. SASTRY, A. (2015). TechTarget. Recuperado el 2016, de
http://searchdatacenter.techtarget.com/es/consejo/Implementacion-de-firewall-
para-nuevos-tipos-de-ataques
17. WILMAR, R. C. A. (12 de 03 de 2012). SOLUCIÓN INTEGRAL DE SEGURIDAD
PARA LAS PYMES MEDIANTE UN UTM. Medellín, Colombia.
18. WITT, I. D. (2015). http://repositorio.espe.edu.ec. Recuperado el 2016, de
http://repositorio.espe.edu.ec/bitstream/21000/10286/1/T-ESPE-048768.pdf
19. http://www.coreoneit.com/disponibilidad-de-la-informacion/
20. https://www.incibe.es/extfrontinteco/img/File/intecocert/sgsi/img/Guia_apoyo_SG
SI.pdf
21. https://www.fing.edu.uy/cpap/cursos/gesti%C3%B3n-de-la-seguridad-de-la-
informaci%C3%B3n
22. http://repositorio.utp.edu.co/dspace/bitstream/11059/2514/1/0058A973.pdf
23. http://repositorio.espe.edu.ec/bitstream/21000/617/1/T-ESPE-014131.pdf
24. http://www.eumed.net/ce/2012/avnh.pdf
25. http://datateca.unad.edu.co/contenidos/233003/modulo/modulo-233003-
enlinea/327_resultados_del_anlisis_de_riesgos.html
73
ANEXOS
Anexo A. Valoración de activos del asistente de sistemas
74
75
76
Anexo B. Valoración de activos del gerente
77
78
Anexo C. Norma ISO/IEC 27002 guía de buenas prácticas
Anexo D. Inventarios de activos
Departamento: Gerencia General
Número
de
activos
Descripción Objetivo Condición Criticidad
1
Laptop Sony VAIO Flip
14 procesador i5, 250
GB de espacio en disco
duro, 8 GB ram
Contratos, nomina,
informes, convenios,
transacciones
electrónicas, consultas,
compras
HW, SW,
SI Alto
1 Disco Duro externo
marca Toshiba 2TB
Almacenamiento de
información histórica SI Alto
1 Disco Duro externo
marca Samsung 500GB
Almacenamiento de
información histórica y SI Alto
79
actual
1 Impresora multifunción
marca Epson L210
Escanear, imprimir y
copiar documentos,
contratos, informes,
pagos, de uso gerencial y
soporte sistemas
HW Medio
Departamento: Soporte Sistemas
Número
de
activos
Descripción Objetivo Condición Criticidad
1 Wireless Router Belkin
modelo F5D7234-4 V4 Distribución de internet HW Medio
1 Modem Huawei modelo
HG530 Conexión a internet HW
Medio
1
Desktop HP Compaq
Elite 8300 small form
factor procesador i7, 1 TB
de espacio en disco duro
y 8 GB ram
Servidor principal,
active directory,
servidor dns, dhcp,
servidor backups
HW, SW,
SI Alto
1
Desktop HP Compaq Pro
6300 small form factor
procesador i7, 500 GB
espacio en disco duro y 8
GB ram
Firewall HW, SW,
SI Alto
1
Laptop HP Pavilion dv5
procesador core 2 duo,
500 GB espacio en disco
duro y 4GB ram
Control de activos,
informes, acceso
remoto, administración
de base de datos de
cuestionarios en línea,
HW, SW,
SI Alto
80
consultas.
1 Switch D-Link Web Smart
modelo DES-1228 Conexión de área local HW Alto
1 Disco Duro externo
marca Samsung 640 GB
Almacenamiento de
backups, instaladores,
informes históricos y
actuales
SI Alto
Departamento: Técnico
Número
de activos Descripción Objetivo Condición Criticidad
3
Desktop HP Prodesk 400
G1 MT procesador i3,
500 GB de disco duro 4
GB ram
Procesar imágenes,
planos, redactar
informes
SW, HW,
SI Alto
1
Medidor de luz,
humedad, temperatura y
ruido marca CEM
modelo DT-8820
Tomar muestras para
informes
SW, HW,
AUX Alto
1
Cámara de fotos marca
Samsung modelo
WB380F
Captura de imágenes
para informes de
ergonomía
SW, HW,
AUX Medio
1
Laptop HP Probook
6470b procesador i5,
500GB disco duro, 8GB
ram
Informes, diseño de
planos
SW, HW,
SI Alto
1
Laptop Samsung modelo
2467m procesador i5,
250 GB de disco duro, 4
GB ram
Informes, toma de
muestras,
almacenamiento de
fotografías, diseño de
planos
SW, HW,
SI Alto
1 Impresora Láser Color
marca Samsung C410w
Impresión de planos,
documentos, informes HW Bajo
81
Para uso de técnicos
Tabla 27: Inventario de activos Elaborado por: Damián Camino, Danilo Anatoa
Anexo E. Configuración web proxy.
Gráfico 28: Configuración web Proxy Elaborado por: Danilo Anatoa y Damián Camino
Anexo F. Categorización de dominios y urls en listas negras
Gráfico 29: Categorización de bloqueo Elaborado por: Danilo Anatoa y Damián Camino
82
Anexo G. Configuración de copias de seguridad automáticas a una carpeta
compartida remota.
Se debe tomar en cuenta que las copias de seguridad se realizan de manera periódica
y se sobrescriben sobre las copias de seguridad previas.
1. Haga clic en Inicio, Herramientas administrativas y, a continuación, en Copias de
seguridad de Windows Server.
2. En el panel Acciones de la página predeterminada del complemento, en Copias
de seguridad de Windows Server, haga clic en Programar copia de seguridad. Se
abre el Asistente para programar copia de seguridad.
3. En la página Introducción, haga clic en Siguiente.
4. En la página Seleccionar configuración de copia de seguridad, realice una de las
siguientes acciones y después haga clic en Siguiente:
5. Haga clic en Servidor completo (recomendado) para hacer una copia de
seguridad de todos los volúmenes del servidor. Ésta es la opción recomendada.
6. Haga clic en Personalizada para hacer una copia de seguridad de determinados
elementos y, a continuación, haga clic en Siguiente.
7. En la página Seleccionar elementos para copia de seguridad, haga clic en
Agregar elementos. En Seleccionar elementos, active las casillas de los
elementos de los que desea hacer copia de seguridad. Si solo desea hacer copia
de seguridad de algunas carpetas o archivos, expanda el árbol de carpetas y
seleccione los elementos que desea incluir. Haga clic en Aceptar.
8. En la página Seleccionar elementos para copia de seguridad, haga clic en
Configuración avanzada, en la ficha Exclusiones, en Agregar exclusiones y, a
continuación, expanda el árbol de carpetas y seleccione los elementos que desea
excluir.
9. En la ficha Configuración de VSS, seleccione Copia de seguridad completa de
VSS o Copia de seguridad de copia de VSS. Haga clic en Aceptar y, a
continuación, haga clic en Siguiente.
10. En la página Especificar hora de la copia de seguridad, realice una de las
siguientes acciones y después haga clic en Siguiente:
11. Haga clic en Una vez al día y, a continuación, seleccione la hora de la lista
desplegable para iniciar la ejecución de la copia de seguridad diaria.
83
12. Haga clic en Más de una vez al día. A continuación, para seleccionar una hora de
inicio, en Hora disponible, haga clic en la hora a la que desea comenzar la copia
de seguridad y haga clic en Agregar para desplazar la hora a Hora programada.
Repita este paso para cada hora de inicio que desee agregar.
13. En la página Especificar tipo de destino, seleccione Hacer la copia de seguridad
en una carpeta de red compartida.
14. En la página Especificar carpeta compartida remota, escriba la ruta de acceso a
la carpeta. En esta carpeta se creará una carpeta con el nombre
WindowsImageBackup. La copia de seguridad que cree se guardará en:
\\<servidorRemoto>\<rutaDeCarpetaCompartida>\
WindowsImageBackup\<equipoCopiado>. Haga clic en Siguiente.
15. Aparece el cuadro de diálogo Registrar programación de copia de seguridad.
Escriba el nombre de usuario y la contraseña de una cuenta de usuario que sea
miembro de los grupos Operadores de copia de seguridad o Administradores y
que tenga permisos de escritura en el equipo que hospeda la carpeta compartida
remota y haga clic en Aceptar.
16. En la página Confirmación, revise los detalles y, a continuación, haga clic en
Finalizar.
17. En la página Resumen, haga clic en Cerrar.
18. Consideraciones adicionales
19. Para configurar una copia de seguridad programada, debe ser miembro de los
grupos Operadores de copia de seguridad o Administradores o tener delegada la
autoridad correspondiente.
20. Esta tarea también se puede realizar de forma remota para otro servidor
mediante la opción Conectarse a otro equipo del complemento Microsoft
Management Console (MMC) de Copias de seguridad de Windows Server. Para
ello, es necesario asegurarse de ser miembro de los grupos Operadores de copia
de seguridad o Administradores en el servidor remoto. Si pertenece al grupo de
Operador de copia de seguridad, asegúrese de que la configuración de seguridad
del Modelo de objetos componentes distribuido (DCOM) del equipo remoto
permita que los Operadores de Copia de seguridad se conecten al equipo.
21. Solo puede usar esta característica si los servidores locales y remotos ejecutan la
misma versión de Windows, ya sea Windows Server 2008 o Windows Server
84
2008 R2. Tampoco puede usar esta característica para administrar un equipo en
el que se ejecuta cualquier versión del sistema operativo cliente Windows.
22. Después de crear una programación de copia de seguridad, debe revisar la
configuración periódicamente para confirmar que la configuración del hardware
no ha cambiado y que las copias de seguridad se siguen realizando según lo
esperado. Para obtener instrucciones, vea Modificar o detener una programación
de copia de seguridad automática.