DISEÑO DE UNA PROPUESTA DE MEJORA PARA LA …
Transcript of DISEÑO DE UNA PROPUESTA DE MEJORA PARA LA …
DISEÑO DE UNA PROPUESTA DE MEJORA PARA LA VIRTUALIZACIÓN DE
SERVICIOS DE APOYO Y SOPORTE PARA LA GESTIÓN DE LA INFRAESTRUCTURA TECNOLÓGICA DE LA EMPRESA IBC IMPORTACIONES
BASADO EN LA NORMA ISO 27001
PRESENTADO POR:
IGNACIO RAMIREZ MONTEALEGRE 397349
GERMAN CAMILO RAMIREZ QUINTERO 390062
FIDEL MATEO PARRADO QUEVEDO 433842
UNIVERSIDAD COOPERATIVA DE COLOMBIA FACULTAD DE INGENIERIAS
INGENIERIA DE SISTEMAS Y ELECTRONICA BOGOTA, 2021
DISEÑO DE UNA PROPUESTA DE MEJORA PARA LA VIRTUALIZACIÓN DE SERVICIOS DE APOYO Y SOPORTE PARA LA GESTIÓN DE LA
INFRAESTRUCTURA TECNOLÓGICA DE LA EMPRESA IBC IMPORTACIONES BASADO EN LA NORMA ISO 27001
IGNACIO RAMIREZ MONTEALEGRE 397349
GERMAN CAMILO RAMIREZ QUINTERO 390062
FIDEL MATEO PARRADO QUEVEDO 433842
Modalidad de grado Seminario de perfeccionamiento
Requisito Parcial para obtener el título de Ingeniero.
Director
YOVANNY LAUREANO VELA SAENZ
UNIVERSIDAD COOPERATIVA DE COLOMBIA FACULTAD DE INGENIERIAS INGENIERIA DE SISTEMAS
BOGOTA, 2021
NOTA DE ACEPTACIÓN
___________________________________
_
___________________________________
_
___________________________________
_
___________________________________
_
___________________________________
_
_______________________
PRIMER JURADO
_______________________
SEGUNDO JURADO
Bogotá, diciembre, 2021
DEDICATORIA
German Camilo Ramirez Quintero
Dedico este proyecto a mis padres y pareja ya que con su apoyo me han impulsado
a lograr esta meta propuesta, especialmente a mi madre quien siempre me impulso a
estudiar y aunque no se encuentra conmigo para celebrar este logro espero se sienta
orgullosa.
Ignacio Ramirez Montealegre
Dedico este proyecto a mi familia, especialmente a mis hijas que han sido el motor de
mi inspiración y mi más grande motivación tanto en mi vida personal como laboral.
Mateo Parrado Quevedo
Dedico este proyecto a mi familia, que me han servido de apoyo, a mis amigos y todos
aquellos que me apoyaron para lograr el objetivo propuesto.
AGRADECIMIENTOS
Agradecemos especialmente Dios y a nuestras familias que nos han apoyado e
impulsado para lograr esta gran meta profesional que gracias a su apoyo y motivación
nos han dado fuerza en los momentos necesarios para no desistir en nuestra meta.
A la institución educativa en la cual desde un principio confiamos nuestra formación
académica en pro de un mejor futuro y a todas las personas que en nuestro camino
han compartido algo de su vida ya sea como compañeros, docentes o amigos ya que
gracias a sus aportes podemos dar por cumplido este objetivo fundamental en
nuestras vidas.
ASTRACTO.
En esta propuesta se implementará la norma de calidad ISO 27001 en la empresa
IBC IMPORTACIONES con el objetivo de minimizar los riesgos de seguridad que se
presentan en la compañía concernientes a la seguridad informática.
Haciendo uso de las buenas prácticas y políticas establecidas en la norma ISO 27001
para dar continuidad al negocio, dando confianza a sus clientes y seguridad a todos
los grupos de interés, con el objetivo de garantizar la disponibilidad y confiabilidad de
la información.
Tabla de contenido
RESUMEN. .............................................................................................................. 10
INTRODUCCION ..................................................................................................... 11
1. DESCRIPCIÓN DEL PROBLEMA .................................................................... 12
1.1 PLANTEAMIENTO DEL PROBLEMA ......................................................... 12
1.2 OBJETIVOS DEL PROBLEMA ................................................................... 12
1.2.1 Objetivo General ...................................................................................... 12
1.2.2 Objetivos específicos ............................................................................... 12
2. MARCOS DE REFERENCIA ............................................................................ 12
2.1 Marco teórico .................................................................................................. 12
2.2 Marco institucional ...................................................................................... 20
2.2.1 Plataforma estratégica de la empresa IBC Importaciones .................... 20
3. METODOLOGÍA ............................................................................................... 21
3.1 Modelo guía ciclo Deming o ciclo PHVA ......................................................... 21
3.2 Población ........................................................................................................ 24
3.3 Técnicas para la recolección y análisis de la información .............................. 24
3.4 Técnicas, herramientas y métodos para el diseño e implementación de los sistemas de gestión tecnológica ....................................................................... 24
3.4 Limitantes .................................................................................................... 25
4. DIAGNÓSTICO DE LAS CONDICIONES ACTUALES DE IBC IMPORTACIONES ................................................................................................... 25
4.1 Estado De Las Condiciones Actuales ............................................................. 25
4.2 Determinación De Factores Críticos ............................................................... 29
4.3 Identificación De Hallazgos Significativos ....................................................... 29
5. DISEÑO DE UNA PROPUESTA DE MEJORA PARA LA VIRTUALIZACIÓN DE SERVICIOS DE APOYO Y SOPORTE PARA LA GESTIÓN DE LA INFRAESTRUCTURA TECNOLÓGICA DE LA EMPRESA IBC IMPORTACIONES BASADO EN LA NORMA ISO 27001....................................................................... 29
5.1 Mejora en la infraestructura......................................................................... 29
5.1.1 Instalación de un enrutador administrado ................................................ 30
5.1.2 Instalación de un punto de acceso administrado ..................................... 31
5.1.3 Configuración de clientes VPN ................................................................. 31
5.1.4 Configuración de Firewall ......................................................................... 31
5.2 Mejora al servidor de aplicaciones, respaldo y acceso remoto RDP .............. 32
5.2.1 Configuración Servidor Host .................................................................... 32
5.2.3 Configuración Máquina virtual .................................................................. 32
5.2.4 Configuración NAS ................................................................................... 33
5.2.5 Veeam BackUp ........................................................................................ 33
5.3 Plan de mejoramiento ..................................................................................... 33
5.4 Propuesta económica ..................................................................................... 35
CONCLUSIONES..................................................................................................... 37
RECOMENDACIONES ............................................................................................ 38
BIBLIOGRAFÍA ........................................................................................................ 39
Tabla de tablas
Tabla 1, Modelo PHVA aplicado al proyecto de la empresa IBC ................. 22-23-21 Tabla 2, Encuesta realizada ..................................................................................... 28 Tabla 3, Resultados de la encuesta ......................................................................... 29 Tabla 4, Propuesta económica ......................................................................... 36- 37
Tabla de graficas
Imagen 1. Organigrama empresarial IBC ............................................................. 21 Imagen 2 ciclo de mejora Deming Guía de estudio capacitación UCC seminario ISO 27001 .................................................................................................................... 22 Imagen 3, Situación actual de infraestructura ........................................................ 27 Imagen 4, Diagrama porcentual resultados encuesta 29 ............................................. Imagen 5, Infraestructura física mejorada posterior a la implantación presentada .. 31 Imagen 6, Infraestructura de hardware y software trabajando en conjunto, muestra la estructura del cliente servidor, el respaldo de nube y los permisos externos ........ 33
RESUMEN.
Este proyecto presenta como propuesta la mejora de la seguridad y protección de la
información de la empresa IBC IMPORTACIONES, se basa en el sistema de
seguridad de la información que procede de la norma ISO 27001 y pretende asegurar
los tres pilares principales de la seguridad de la información: Confidencialidad,
Integridad y Disponibilidad.
La empresa IBC IMPORTACIONES, es consciente que presenta grandes
inconvenientes al proteger, preservar, ordenar y generar una disponibilidad de sus
datos tanto interna como externamente y por ello ha decidido tomar medidas que
resguarden su integridad organizacional y funcional.
Este proyecto basado en el SGSI implica un compromiso por parte de la organización
en general desde su alta gerencia hasta el personal operativo ya que todos hacen
parte de ella, en especial de aquellas áreas que deben proveer los recursos
necesarios para su desarrollo, mantenimiento, cumplimiento y mejora continua.
El modelo o metodología empleado para generar este proyecto esta igualmente
basado en el ciclo PHVA, un enfoque basado en procesos el cual permite generar un
organigrama de trabajo con el fin de cumplir con el análisis de falencias o errores,
generar alternativas de mejora, propones metas u objetivos, verificar el cumplimiento
del sistema de gestión y buscar la mejora continua.
INTRODUCCION
En el mundo actual donde la comunicación es el pilar de la tecnología, la mayoría de
dispositivos electrónicos se encuentran conectados entre sí, por los grandes canales
de comunicación que existen del internet de las cosas y donde sin importar la distancia
podemos acceder a grandes cantidades de conjuntos de datos a un solo clic, las
distintas organizaciones han entendido que la su información constituye el activo más
importante para su negocio, por lo cual se busca proteger su confidencialidad,
integridad y a la vez tener disponibilidad de esta de una forma segura.
Sin importar el tipo de negocio todas las organizaciones o empresas son vulnerables
a sufrir atentados o amenazas a su integridad por lo cual deben ser capaces de
evaluar los riesgos que puedan afectarlas y evitar o mitigar los impactos que puedan
afectar el desarrollo de sus actividades.
En el mundo el sistema de seguridad de la información o en sus siglas SGSI, busca
dar a las empresas una guía de como poder salvaguardar sus datos y dar un alto nivel
administrativo a los mismos con los más altos estandartes de calidad y en pro de la
mejora continua.
Por lo mencionado se escogió la empresa IBC IMPORTACIONES, para realizar el
proyecto de mejoras en sus vulnerabilidades de mayor criticidad y falencia. Esta
empresa se dedica a la comercialización de insumos médicos para laboratorios, como
guantes, tapabocas, batas, jeringas, y elementos reactivos para pruebas de
laboratorio entre otros; la gerencia general ha entendido que para su línea de negocio
debe velar porque su información organizacional, estructural, operativa y la de sus
clientes este a salvo de toda posible vulnerabilidad y así no arriesgarse a perder su
continuidad en las operaciones comerciales, ni competitividad en el mercado.
Luego de una etapa previa de diagnóstico la empresa IBC Importaciones, ha decidido
analizar si situación actual para posteriormente invertir en un proyecto de mejora que
mejore la seguridad de su información y minimice el impacto ante alguna contingencia
que se pueda presentar. Con este proyecto se pretende generar seguridad en su
activo más preciado que es la información y así mismo generar confianza en sus
clientes y proveedores al actualizar y mejorar su situación actual.
DISEÑO DE UNA PROPUESTA DE MEJORA PARA LA VIRTUALIZACIÓN DE SERVICIOS DE APOYO Y SOPORTE PARA LA GESTIÓN DE LA INFRAESTRUCTURA TECNOLÓGICA DE LA EMPRESA IBC IMPORTACIONES BASADO EN LA NORMA ISO 27001
1. DESCRIPCIÓN DEL PROBLEMA
1.1 PLANTEAMIENTO DEL PROBLEMA
La empresa IBC importaciones actualmente presenta niveles altos de
vulnerabilidad en su seguridad informática comentadas por el gerente, una de ellas
es que recientemente sufrió un ataque cibernético por un software malicioso de
tipo ransomware, adicionalmente la falta de respaldos a su software contable,
documentación digital generada por facturas y cotizaciones principalmente.
1.2 OBJETIVOS DEL PROBLEMA
1.2.1 Objetivo General
• Mejorar la infraestructura informática de la empresa IBC importaciones en pro de las condiciones seguras para mitigar riesgos informáticos y amenazas externas de pequeña, mediana y gran escala.
1.2.2 Objetivos específicos
• Implementar y configurar un Enrutador VPN y Firewall Administrable para el
control de acceso en la compañía, con las funciones de administración en VPN,
DHCP, Firewall y WAN.
• Configurar un servidor de aplicaciones, que permita el acceso remoto por CAL de
licenciamiento a los usuarios de la compañía que tenga acceso asignado.
• Instalar el SW World Office sobre el servidor de aplicaciones para tener el
rendimiento adecuado, la manipulación de respaldos y la capacidad de
contingencia ante posibles eventos de vulnerabilidad de seguridad.
• Realizar la implementación de un sistema de respaldo back up redundante que
permita mantener copia local y copia en la nube.
2. MARCOS DE REFERENCIA
2.1 Marco teórico
Para el análisis, propuesta y posterior ejecución del proyecto se encuentra la
necesidad de deslindar el estado actual de la empresa así exponiendo sus
fortalezas y debilidades con el fin de generar un análisis y diagnostico idóneo de
la estructura actual y así poder suministrar una asesoría idónea para la toma de
decisiones en pro del cambio y mejoramiento del trato de la información y
suministrar el mejor servicio posible por parte del ente presentador de la
propuesta.
Teniendo en cuenta estos aspectos es necesario mostrar, definir y explicar
diversos términos implementos que serán necesarios para la ejecución del
proyecto:
Norma ISO 27001 1
El SGSI basado en ISO/IEC 27001 permite la gestión y control de los riesgos de
la seguridad de la información en las organizaciones para las cuales la
información y la tecnología son activos importantes de su negocio.
Mediante las mejores prácticas de seguridad de la información, las
organizaciones que certifican su SGSI demuestran ante sus accionistas, clientes,
autoridades, proveedores y demás partes interesadas, la debida diligencia en
este importante aspecto y garantizan la aplicación adecuada de los recursos en
las áreas de mayor impacto potencial, optimizando así sus inversiones y costos
de seguridad.
Cuarto de comunicaciones2
Espacio centralizado para utilizado para la tenencia, preservación, seguridad y
mantención equipo de telecomunicaciones. Debe cumplir con ser un espacio de
posible expansión, seguro estructural como tecnológicamente que prevenga
incluso de las afectaciones causadas por elementos naturales o del ambiente en
lo posible contar con respaldos automatizados tanto eléctricos como de
información.
Sistema de Gestión de Seguridad de la Información (SGSI). 3
Un SGSI o Sistema de Gestión de Seguridad de la Información es un conjunto de
políticas y procedimientos para la administración y gestión eficaz de la seguridad
de la información.
Según la ISO 27001, la seguridad de la información consiste en la preservación
de la confidencialidad, integridad y disponibilidad de la información, así como cada
1 (Icontec, 2021) ICONTEC. (2021, diciembre 07). Certificación ISO 27001, Sistemas de Gestión de seguridad de la
información. Obtenido de https://www.icontec.org/eval_conformidad/certificacion-iso-27001-sistemas-de-gestion-de-
seguridad-de-la-informacion-2/
2 (Ramirez Camilo, 2021)
3 (ISO27000.es, 2021),
uno de los sistemas implicados dentro de una organización para su gestión y
tratamiento.
Ciclo PHVA.4
Para monitorear y adoptar el proceso de planeación de un sistema de gestión se
usa el modelo P.H.V.A. (planear, hacer, verificar y actuar), el cual permite planear,
tomar acciones, verificar los resultados y actuar sobre los resultados esperados.
El ciclo PHVA consiste básicamente en:
• Planear: Definen las metas y los métodos para alcanzarla.
• Hacer: Después de haber realizado un proceso de formación se ejecutan y
recogen todos los datos.
• Verificar: Se evalúan los resultados e identifican los problemas no resueltos.
• Actuar: Se toman las medidas correctivas necesarias para el cumplimiento de
las metas.
A lo largo de todo este proceso, se encuentran presentes los indicadores e índices
de gestión los cuales son usados para medir la efectividad de los objetivos
estratégicos propuestos
Servidor 5
• Hardware. El servidor, entendido como equipo, es una máquina compuesta
por componentes de alto rendimiento y que está integrado en una red. Se le suele
llamar «host» o anfitrión porque se usa para almacenar o «albergar» información.
• Software. Se entiende que es una especie de plataforma que ofrece un
servicio en el que un cliente puede hacer uso del servidor mediante una conexión
local o a internet. En cuanto a la conexión local, podríamos encontrar los
servidores VPS, servidores compartidos como hostings, otros servidores que
hacen de NAS (nube) todos conectados por internet y que puedes comprar sus
recursos.
En definitiva, podemos decir que se trata de un Computador que alberga
información y que sirve para dar respuesta a las necesidades de un usuario, como
entrar en una web, almacenar datos o crear plataformas. Estando encendido
24/7.
El funcionamiento de un servidor se basa en el sistema client-server, por el que el
servidor es un centro de datos y el cliente es un usuario que quiere acceder a él.
De esta manera, el cliente hace una petición y el servidor da una respuesta.
4 (Colombia, 2021), Colombia, U. N. (2021, Diciembre 07). Ciclo PHVA. Obtenido de http://www.virtual.unal.edu.co/cursos/sedes/manizales/4010014/Contenidos/Capitulo1/Pages/1.4/1 5 (Review, 2021), Review, P. (2021, Diciembre 07). Qué es un servidor y para qué sirve. Obtenido de https://www.profesionalreview.com/2020/01/05/que-es-un-servidor-y-para-que-sirve
Router 6
Un router recibe y envía datos en redes informáticas. Los routers a veces se
confunden con los concentradores de red, los módems o los switches de red. No
obstante, los routers pueden combinar las funciones de estos componentes y
conectarse con estos componentes para mejorar el acceso a Internet o ayudar a
crear redes empresariales.
Los routers guían y dirigen los datos de red mediante paquetes que contienen
varios tipos de datos, como archivos, comunicaciones y transmisiones simples
como interacciones web.
Los paquetes de datos tienen varias capas o secciones; una de ellas transporta
la información de identificación, como emisor, tipo de datos, tamaño y aún más
importante la dirección IP (protocolo de Internet) de destino. El router lee esta
capa, prioriza los datos y elige la mejor ruta para cada transmisión.
Puntos de acceso7
Es un dispositivo que crea una red de área local LAN o WLAN, normalmente en
una oficina o un edificio de grandes dimensiones. Un punto de acceso se conecta
a un router, switch o hub por un cable Ethernet y proyecta una señal Wi-Fi en un
área designada
Virus8
Un virus informático es un tipo de programa o código malicioso escrito para
modificar el funcionamiento de un equipo. Además, está diseñado para
propagarse de un equipo a otro. Los virus se insertan o se adjuntan a un programa
o documento legítimo que admite macros a fin de ejecutar su código. En el
proceso, un virus tiene el potencial para provocar efectos inesperados o dañinos,
como perjudicar el software del sistema, ya sea dañando o destruyendo datos.
Ramsonware9
El malware de rescate, o ransomware, es un tipo de malware que impide a los
usuarios acceder a su sistema o a sus archivos personales y que exige el pago
de un rescate para poder acceder de nuevo a ellos. Las primeras variantes de
ransomware se crearon al final de la década de los 80, y el pago debía efectuarse
por correo postal. Hoy en día los creadores de ransomware piden que el pago se
efectúe mediante criptomonedas o tarjetas de crédito.
6 (Cisco, ¿Qué es un router?, 2021) Cisco. (2021, Diciembre 07). ¿Qué es un router? Obtenido de https://www.cisco.com/c/es_mx/solutions/small-business/resource-center/networking/what-is-a-router.html 7 (Lynsys, 2021) Lynsys. (2021, Diciembre 07). ¿Qué es un punto de acceso y en qué se diferencia de un extensor de red? Obtenido de https://www.linksys.com/es/r/resource-center/qu%C3%A9-es-un-punto-de-acceso 8 (Norton, 2021)Norton. (2021, Diciembre 07). ¿Qué es un virus informático? Obtenido de https://co.norton.com/internetsecurity-malware-what-is-a-computer-virus.htm 9 (Bytes, 2021) Bytes, M. (2021, Diciembre 07). Ransomware. Obtenido de https://es.malwarebytes.com/ransomware/
Amenaza cibernética10
Es todo ataque digital o hackeo hecho a una serie de datos específicos con el fin
de afectar a su tenedor o contenedor causando afectaciones a dicha organización
de índole monetario, estructural o de continuidad operacional, las algunas
ocasiones estas amenazas suelen estar enfocadas no solo en la parte lógica si
no tan bien en la física con el fin de causar un mayor grado de daño.
VPN11
VPN significa "Virtual Private Network" (Red privada virtual) y describe la
oportunidad de establecer una conexión protegida al utilizar redes públicas. Las
VPN cifran su tráfico en internet y disfrazan su identidad en línea. Esto le dificulta
a terceros el seguimiento de sus actividades en línea y el robo de datos. El cifrado
se hace en tiempo real.
Firewall12
Un firewall es un dispositivo de seguridad de la red que monitorea el tráfico de red
entrante y saliente y decide si permite o bloquea tráfico específico en función de
un conjunto definido de reglas de seguridad.
Los firewalls han constituido una primera línea de defensa en seguridad de la red
durante más de 25 años. Establecen una barrera entre las redes internas
protegidas y controladas en las que se puede confiar y redes externas que no son
de confianza, como Internet.
Un firewall puede ser hardware, software o ambos
Máquina virtual 13
Una máquina virtual (término que a menudo se abrevia como VM) no es diferente
a cualquier otro equipo físico, como un portátil, un smartphone o un servidor.
Tiene una CPU, memoria, discos para almacenar los archivos y puede conectarse
a Internet si es necesario. Mientras los componentes de su PC (denominados
hardware) son físicos y tangibles, las máquinas virtuales suelen considerarse
equipos virtuales o equipos definidos por software dentro de servidores físicos,
donde solo existen como código.
Hardware 14
El hardware de la computadora, en términos simples, son los componentes físicos
que un sistema de la computadora necesita para funcionar. Abarca todo con una
10 (Ignacio & Mateo, 2021) 11 (Kaspersky, 2021) Kaspersky. (2021, Diciembre 07). ¿Qué es una VPN y cómo funciona? Obtenido de https://latam.kaspersky.com/resource-center/definitions/what-is-a-vpn 12 (Cisco, ¿Qué es un firewall?, 2021) Cisco. (2021, Diciembre 07). ¿Qué es un firewall? Obtenido de https://www.cisco.com/c/es_mx/products/security/firewalls/what-is-a-firewall.html 13 (Microsoft, 2021), Microsoft. (2021, Diciembre 07). Azure. Obtenido de ¿Qué es una máquina virtual (VM)?: https://azure.microsoft.com/es-es/overview/what-is-a-virtual-machine/#overview 14 (Crucial, 2021), Crucial. (2021, Diciembre 07). Hardware. Obtenido de https://www.crucial.mx/articles/pc-builders/what-is-computer-hardware
tarjeta de circuito que funciona dentro de una PC o computadora portátil y que
incluye la motherboard, la tarjeta gráfica, la CPU (unidad central de
procesamiento) los ventiladores, la cámara web, la fuente de alimentación, etc.
Software 15
Software es una palabra que proviene del idioma inglés, pero que, gracias a la
masificación de uso, ha sido aceptada por la Real Academia Española. Según la
RAE, el software es un conjunto de programas, instrucciones y reglas informáticas
que permiten ejecutar distintas tareas en una computadora.
Se considera que el software es el equipamiento lógico e intangible de un
ordenador. En otras palabras, el concepto de software abarca a todas las
aplicaciones informáticas, como los procesadores de textos, las planillas de
cálculo, los editores de imágenes, los reproductores de audio y los videojuegos,
entre otras muchas.
Respaldo (Back up) 16
La palabra «Backup» significa respaldo, siendo común el uso de este término
dentro del ámbito informático. El respaldo de información es la copia de los datos
importantes de un dispositivo primario en uno ó varios dispositivos secundarios,
ello para que en caso de que el primer dispositivo sufra una avería
electromecánica ó un error en su estructura lógica, sea posible contar con la
mayor parte de la información necesaria para continuar con las actividades
rutinarias y evitar pérdida generalizada de datos.
Su importancia radica en que todos los dispositivos de almacenamiento masivo
de información tienen la posibilidad de fallar, por lo tanto, es necesario que se
cuente con una copia de seguridad de la información importante, ya que la
probabilidad de que 2 dispositivos fallen de manera simultánea es menos
probable.
Nube (repositorio) 17
El almacenamiento de archivos en la nube es un método para almacenar datos
en la nube que suministra a servidores y aplicaciones acceso a los datos mediante
sistemas de archivos compartidos. Esta compatibilidad hace que el
almacenamiento de archivos en la nube sea ideal para las cargas de trabajo que
dependen de sistemas de archivos compartidos y provee una integración simple
sin necesidad de introducir cambios en el código.
15 (de, 2021) de, D. (2021, Diciembre 07). DEFINICIÓN DE. Obtenido de https://definicion.de/software/#:~:text=Software%20es%20una%20palabra%20que,distintas%20tareas%20en%20una%20computadora. 16 (Multicomp, 2021), Multicomp. (2021, Diciembre 07). Respaldo de Información. Obtenido de https://multicomp.com.mx/seguridad-informatica/respaldo-de-informacion/
17 (Amazon, 2021), Amazon. (2021, Diciembre 07). Amazon.com. Obtenido de Almacenamiento de archivos en la nube: https://aws.amazon.com/es/what-is-cloud-file-storage/
Red LAN 18
LAN es la abreviatura de Local Area Network. Denomina redes con extensión
física limitada. La mayoría de las redes LAN se usan en hogares privados o en
empresas, para instalar redes de hogar o de empresa. De este modo, distintos
dispositivos pueden comunicarse entre ellos. De este modo, el intercambio de
datos tiene lugar primero a nivel local.
Una red LAN consiste en un mínimo de dos dispositivos finales, pero puede
conectar miles. Sin embargo, para las grandes distancias es más conveniente
usar redes MAN y WAN. Una red de área local o Local Area Network puede
conectar ordenadores, teléfonos inteligentes, impresoras, escáneres, dispositivos
de almacenamiento, servidores y otros dispositivos de red entre sí y con Internet.
Si, por ejemplo, una impresora está conectada a un ordenador a través de USB,
normalmente solo este PC puede acceder a ella. Sin embargo, si la impresora
está integrada en la red, varios dispositivos de la casa pueden imprimir a la vez.
Red WiFI 19
Wifi es una tecnología de red inalámbrica a través de la cual los dispositivos, como
computadoras (portátiles y de escritorio), dispositivos móviles (teléfonos
inteligentes y accesorios) y otros equipos (impresoras y videocámaras), pueden
interactuar con Internet. Permite que estos dispositivos, entre tantos otros,
intercambien información entre sí y establezcan, de esta manera, una red.
La conectividad a Internet se logra a través de un router inalámbrico. Cuando
accede a wifi, se conecta a un router inalámbrico que permite que los dispositivos
que admiten wifi interactúen con Internet.
Red WAN 20
WAN es la abreviatura de Wide Area Network. Estas redes se extienden por
grandes áreas geográficas y conectan redes más pequeñas como redes LAN
(Local Area Networks) o MAN (Metropolitan Area Networks). Por esto, solo se
utilizan en el sector profesional.
Las WAN públicas sonoperadas por proveedores de servicios de Internet para
permitir a sus clientes el acceso a este. Las redes privadas de área amplia son
utilizadas principalmente por empresas, por ejemplo, para permitir servicios en la
nube y para conectar las redes de las diferentes sedes de la empresa.
18 (IONOS, 2021), IONOS. (2021, Diciembre 07). LAN. Obtenido de LAN — Red de área local: la tecnología de un vistazo: https://www.ionos.es/digitalguide/servidores/know-how/lan/ 19 (Cisco, 2021), Cisco. (2021, Diciembre 07). Cisco Producs. Obtenido de ¿Qué es Wi-Fi?: https://www.cisco.com/c/es_mx/products/wireless/what-is-wifi.html 20 (IONOS, 2021)
Escritorio remoto 21
El término remote desktop, en español escritorio remoto, es la nomenclatura
acuñada para hacer referencia al “control remoto desde el escritorio”. Así, por
medio de la conexión a escritorio remoto es posible conectar el propio ordenador
(cliente) con otro ordenador (servidor). Siempre y cuando se den las condiciones
técnicas necesarias, el usuario podrá crear dicha conexión a escritorio
remoto desde cualquier lugar. En algunos casos puede incluso tener un acceso
total al ordenador remoto, lo que depende del nivel de autorización. Se podría
incluso acceder desde un ordenador doméstico a todos los programas, archivos
y recursos de red del ordenador de trabajo tal y como si estuviera en la oficina.
World Office 22
World Office es un ERP totalmente integrado, que permite manejar en tiempo real
todos los procesos administrativos, financieros, contables, de facturación
electrónica y nómina electrónica sin necesidad de interfaces ni procesos
adicionales. Es el software más fácil de manejar del mercado y el más económico
frente a sus competidores.
ISP 23
Un proveedor de servicios de Internet (ISP) es una entidad que ofrece acceso a
Internet mediante diferentes métodos de conexión (y velocidades) como:
conexión telefónica, módem por cable, DSL, acceso inalámbrico o
interconexiones dedicadas de alta velocidad. Un ISP puede ser una empresa de
telecomunicaciones o estructuras independientes de menor tamaño que ofrecen
servicios como acceso seguro y VPN, funciones de búsqueda, correo electrónico,
almacenamiento de datos remoto y otros tipos de beneficios que pueden ser
exclusivos para sus clientes. Las empresas de telecomunicaciones, por su parte,
son operadoras de servicios de telefonía en una zona específica.
HDD Externo 24
Los discos duros (conocidos en algunos países como discos rígidos) son
elementos informáticos que permiten almacenar datos que las computadoras
(ordenadores) aprovechan durante su funcionamiento. Se trata de un dispositivo
dotado con al menos un disco que se une a otros a partir de una misma estructura
o eje donde hay, entre otras piezas, cabezales de lectura y escritura
La mayor parte de los discos duros son internos (es decir, se localizan en el
interior de la estructura o armazón de la computadora), lo que dificulta su
extracción y traslado. Para revertir esta situación, existen los discos duros
21 (ionos, 2012), ionos. (2012, diciembre 7). iones.es. Obtenido de https://www.ionos.es/digitalguide/servidores/know-how/escritorio-remoto-asi-funciona/ 22 (Worldoffice, 2021), Worldoffice. (2021, diciembre 7). Worldoffice. Obtenido de https://worldofficeonline.com/referidos 23 (eset, 2021), eset. (2021, noviembre 07). eset. Obtenido de Alianza Estratégica ISP y Telcos: https://www.eset.com/co/partners/programa-isp/ 24 (Gardey, 2021), Gardey, J. P. (2021, Diciembre 7). Disco duro externo. Obtenido de https://definicion.de/disco-duro-externo/
externos o discos duros portátiles, que funcionan fuera del equipo para facilitar su
transporte. El disco duro externo suele conectarse a la computadora a través
de USB o Firewire, aunque hay algunos que mantienen las
conexiones SCSI o SATA de los discos duros internos.
Veeam Backup 25
Es un software de copias de seguridad que funciona para los ambientes virtuales
de Vmware y Microsoft Hyper-v, el cual se encarga de respaldar la información
de máquinas virtuales, además de ofrecer una recuperación rápida, flexible y
fiable de aplicaciones y datos virtualizados.
2.2 Marco institucional
2.2.1 Plataforma estratégica de la empresa IBC Importaciones
La plataforma estratégica de la empresa se compone de la siguiente información que
se detalla a continuación:
¿Quiénes somos? Somos una empresa colombiana que cree en el desarrollo de su país y trabajamos en pro de la calidad de los Laboratorios. Contamos con más de 12 años especializada en la comercialización de insumos para laboratorio con cobertura a nivel nacional. Nuestro objetivo Proveer insumos de alta calidad y asistencia técnica especializada a laboratorios clínicos encargados de la salud a nivel nacional, innovando continuamente para la solución de las necesidades y requerimientos de nuestros clientes.
¿Por qué elegirnos? Con más de 500 clientes satisfechos, generamos un servicio integral en el que encontrarás: Calidad, entregas a tiempo, formas accesibles de pagos, alternativas en productos, acompañamiento administrativo, comercial y servicio postventa. Nuestros valores En IBC Importaciones, cultivamos los valores de la responsabilidad social, honestidad, solidaridad, equidad, paz, perseverancia, para encaminar todos nuestros esfuerzos al mejoramiento continuo, así lograremos una orientación para el manejo de los recursos y reconocimientos por el valor de las personas que componen y complementan nuestra organización.
25 (compusoluciones, 2021), compusoluciones. (2021, diciembre 7). veeam. Obtenido de veeam: https://www.compusoluciones.com/alianzas/veeam/
Calidad Garantizada Contamos con todas las autorizaciones de las entidades reguladoras para la prestación de nuestro servicio. Podrás encontrar mayor información con tu asesor de confianza. Organigrama
Imagen 1. Organigrama empresarial IBC Importaciones. Fuente IBC Importaciones
3. METODOLOGÍA
3.1 Modelo guía ciclo Deming o ciclo PHVA
Imagen 2 ciclo de mejora Deming Guía de estudio capacitación 2021, UCC seminario ISO 27001
Modelo PHVA aplicado como base a los procesos de implementación del SGSI en la
empresa IBC Importaciones
Modelo PHVA
Descripción de Fases
PROCESOS
Planificar
Definir los procesos, objetivos, procedimientos y políticas, requeridos que permitan identificar los riesgos y/o necesidades en el tratamiento de la información aplicados a la organización.
Instaurar el entorno, alcance y limites Definir políticas requeridas del SGSI Identificar, analizar y evaluar riesgos Determinar alternativas para el Plan de tratamiento de riesgos Aceptación y presentación de riesgos Definir aplicabilidad
Hacer
Implementar procesos dando cumplimiento a los lineamientos planteados en el SGSI, aplicando las políticas reglamentadas y presentando las recomendaciones posibles.
Aplicar el plan de tratamiento de
riesgos
Implementar los controles
requeridos
Estipular los alcances de acuerdo
con las métricas establecidas.
Implementar programas de
formación y sensibilización
Aplicar los lineamientos del SGSI
Gestionar los recursos requeridos
para la ejecución propuesta.
Implementar procedimientos y
controles para la gestión de
incidentes de seguridad
Verificar
Evaluar los procedimientos
de la fase de Planificar
referente al cumplimiento
de la fase Hacer para
revisar el cumplimiento y el
éxito del proceso.
Realizar procesos de seguimiento
y revisión y certificación de la
implementación
Ejecutar revisiones periódicas para
cumplimiento y eficacia de los
controles y del SGSI.
Cuantificar la eficacia de los
controles y Verificar la satisfacción
de los Requerimientos de
seguridad aplicados.
Inspección de riesgos de forma
periódica.
Realización de auditorías internas
Revisión de metas y posibilidades
de mejora del SGSI por la
organización.
Actualizar los planes de seguridad
de acuerdo con los nuevos
lineamientos.
Actuar
Emprender acciones analíticas, preventivas y correctivas para promover el desempeño y mejora futura del SGSI.
Implementar las mejoras
identificadas para el SGSI
Poner en práctica las acciones
correctivas y preventivas
pertinentes.
Comunicar y educar sobre las
acciones y mejoras a los implicados
en la organización.
Confirmar que los procesos
aplicados logren los objetivos
previstos.
Señalar acciones que podrían
afectar la eficacia y/o eficiencia de
la implementación
Análisis basado en la definición propuesta en dropbox26
26 (dropbox, 2021), dropbox. (2021, Diciembre 7). PHVA. Obtenido de dropbox: https://www.dropbox.com/es/business/resources/pdca
3.2 Población
Dado a que el proyecto está diseñado para la empresa IBC Importaciones y con
el fin de determinar las vulnerabilidades en la información que presenta la
empresa, se realiza la evaluación y diagnóstico de la infraestructura tecnológica
mediante la documentación de la población que se constituye por los
componentes actuales los cuales son: empleados, proveedores y clientes.
3.3 Técnicas para la recolección y análisis de la información
• Entrevista con el gerente de la empresa
• Evaluación de los equipos físicos
• Lista de chequeo aplicada a la infraestructura de seguridad software y
hardware
• Pruebas de seguridad y protección de datos internos y desde medios
externos
• Pruebas de conectividad entre usuarios y permisos designados
3.4 Técnicas, herramientas y métodos para el diseño e
implementación de los sistemas de gestión tecnológica
Entrevista con el gerente de la empresa: En primera instancia se dialoga con el
gerente general de la empresa en una entrevista privada con el fin de obtener su
consentimiento para realizar los distintos procesos evaluativos de diagnóstico par
así generar las recomendaciones de mejora, adicional tener presente las
eventualidades ya reconocidas por la empresa con anterioridad, conocer el
resultado que desea obtener la empresa de la implementación solicitada y
conocer los alcances tanto estructurales como económicos para llevar a buen fin
la propuesta.
Evaluación de software y hardware: Se realiza la evaluación y diagnóstico del
sistema general de la empresa evaluando los componentes físicos actuales y el
estado estructural de la seguridad a nivel de software con el fin de determinar las
vulnerabilidades y afectaciones su gravedad moldear un plan de mejora de
acuerdo con la prioridad asignada.
Pruebas de seguridad y protección de datos internos y desde medios externos:
se llevaron a cabo valoración de usuarios y accesos a la información desde las
distintas dependencias de la organización y fuera de ellas.
Pruebas de conectividad entre usuarios y permisos designados: Valoración del
nivel de acceso de la información entre las distintas dependencias hacia ellas y
fuera de ellas entre los distintos componentes de la organización sin diferenciar
cargo u oficio.
3.4 Limitantes
Para la creación de la guía documental y de procesos basada en la norma ISO 27001
del sistema de Gestión de Seguridad de la Información se tuvieron inconvenientes
en la organización debido a:
• Dificultades para la recolección de información por falta de documentación y conocimientos previos.
• Desorganización e inexistencia del área de tecnología
• Desconocimiento de la norma ISO 27001 de seguridad de la información, por parte de la organización
• Falta de concientización por parte de la gerencia general sobre la importancia de la seguridad y protección de la información.
4. DIAGNÓSTICO DE LAS CONDICIONES ACTUALES DE IBC
IMPORTACIONES
4.1 Estado De Las Condiciones Actuales
Actualmente toda la Empresa IBC Importaciones cuenta con servicio de internet que aprovisiona el ISP Claro soluciones empresariales con una dirección publica y un internet de 200 MB/S, por medio de esta dirección IP publica acceden al servicio de escritorio remoto, ya que el puerto 3385 se encuentra abierto para este servicio, el ISP realiza la apertura del puerto y direcciona internamente a la IP 192.168.0.150 para que se preste el servicio. La conexión de escritorio remoto se utiliza para acceder a un computador con Windows 10 que permite usar de manera multiusuario y simultanea el servicio de escritorio remoto; se puede afirmar que este equipo hace las veces de servidor de aplicaciones y servidor de archivos, ya que permite la conexión al Software ERP World Office y almacena los archivos compartidos que genera la empresa en las diferentes áreas. Este mismo equipo comparte la información para los todos los usuarios de la compañía tanto locales como externos.
En validaciones de seguridad no se detectan que tenga gestión interna de dispositivos como Router, Switches, puntos de acceso, tampoco se detectan el uso de firewall físico ni por medio de Software para controlar, en cuanto a Software de protección antivirus se cuenta con el propietario de Microsoft embebido en los computadores de escritorio.
Como plan de contingencia la organización cuenta con un disco duro externo en donde se realizan los respaldos bajo criterio de la persona encargada de la gestión del software WorldOffice, así mismo se crea una copia de los documentos importantes en el mismo momento que se respalda el exporte de la Base de Datos que entrega el Software. Este proceso se realiza de manera manual y se estima que se realiza de manera mensual. A continuación, se detalla un esquema de la infraestructura actual que tiene la compañía, en esta imagen se detalle la interacción única del Router que presta el operador Claro y es desde este que se conectan todos los dispositivos que trabajan localmente y por medio de este mismo y de la dirección publica se conectan los clientes remotos.
Imagen 3, Situación actual de infraestructura. Fuente: Diseño para IBC realizado en Packet Tracer
8.1
Entrevista con el gerente
En la entrevista con la gerente general Andrea Ramírez de la compañía IBC
Importaciones, nos comenta que la empresa, actualmente son en total 5
colaboradores en cargos administrativos, ventas y logística; ella se ve en la
necesidad de aplicar organización, seguridad y respaldo a sus activos
informáticos, fundamentalmente por las siguientes razones que nos expone:
1. Porque recientemente su información fue secuestrada por un Ramsonware y
el ataque produjo reprocesos importantes en las actividades comerciales y
logísticas propias del negocio.
2. Por el proyecto que tiene a futuro de crecimiento y la necesidad de incorporar
ejecutivos de venta para potenciar financieramente la compañía, que puedan
trabajar de manera remota y segura desde cualquier lugar del país.
3. La necesidad de mantener un respaldo centralizado de todas las áreas de la
compañía que le permita tener continuidad del negocio, tanto para la
información generada y el software ERP World Office.
4. La necesidad de implementar una infraestructura que le permita la integración
del comercio electrónico
Encuesta Realizada
Encuesta - lista de chequeo
IT Si No Observación
¿Cuentan con departamento de IT? X ¿Cuentan con personal de IT? X
¿Cuentan con terceros en caso de requerir IT? x
De acuerdo con necesidad, sin contrato fijo, ni ANS
Protección ante Virus y Malware ¿Cuentan con software antivirus? x Microsoft
¿Cuentan con software antimalware? x Microsoft
Respaldo y Redundancia ¿Cuentan con respaldos de seguridad? x Mensual
¿Realizan respaldos de seguridad en todas las áreas? X Solo al ERP
¿Los respaldos se realizan locales? x En el equipo de computo
¿Realizan respaldos externos? x En disco duro externo
¿Realizan respaldos de contingencia en nube? X Control de acceso Redes LAN - WLAN - WAN ¿Cuentan con Enrutador administración propia? X ¿Cuentan con puntos de acceso con administración propia? X ¿Cuenta con algún lugar designado para los elementos de redes Norma ANSI/TIA/EIA-569? X ¿Manejan al menos una red corporativa privada y una para invitados aislada? X
Solo una red WiFi para todos los equipos
¿Las contraseñas de red son seguras? X Control de acceso equipos de computo ¿Las contraseñas de los equipos de cómputo son seguras? X ¿Los usuarios de los equipos de cómputo son limitados? X ¿Se tiene implementado un directorio activo? X ¿Se tiene implementado políticas de bloqueo para los equipos de cómputo? X políticas de seguridad
¿La empresa cuenta con políticas establecidas para el uso de los equipos de cómputo? X ¿La empresa cuenta con políticas ante ataques cibernéticos? X ¿La empresa cuenta con políticas ante infección por virus informáticos? X ¿La empresa cuenta con políticas de respaldo o back up? x
Resultado de la lista de chequeo con relación al cumplimiento de las políticas
basadas en cumplimiento de la normatividad ISO 27000
Descripción Valor
Numero de respuestas Si 6
Numero de respuestas No 17
Total, de preguntas 23
Para la anterior lista de chequeo se entiende cada enunciado con igual número
de importancia.
Imagen 4, Diagrama porcentual resultados encuesta
Interpretación
La interpretación porcentual indica que la situación actual de la compañía debe
prestar mayor atención a los 17 enunciados que presentan dificultad o se
respondió negativamente, que equivalen al 74 % de factor crítico por
vulnerabilidad, autonomía o falta de control.
26%
74%
Diagrama de respuestas
Respuestas Si
Respuestas No
4.2 Determinación De Factores Críticos
Los factores críticos de la compañía se determinaron principalmente por la
entrevista con el gerente y con la lista de chequeo, siendo importante resaltar los
siguientes puntos:
a) La falta de respaldos automáticos y en todas las áreas de manera automática.
b) La falta de control de acceso al dispositivo
c) La necesidad de tener un servidor de aplicaciones que permita separar la
estación de trabajo del usuario con el servicio de escritorio para acceder al
servidor que hospeda el ERP World Office.
d) El uso de VPN para las conexiones realizadas fuera de la compañía de una
manera más segura.
4.3 Identificación De Hallazgos Significativos a. La falta de respaldos automáticos en todas las áreas de manera automática,
garantizando la continuidad del servicio con respaldo externo del equipo de
cómputo y en la nube.
b. La brecha de seguridad que produce tener el puerto de escritorio remoto
abierto
c. Vulnerabilidad en las conexiones de red WIFI, al no tener un ambiente privado
empresarial.
d. Falta de control al momento de acceder a los equipos de cómputo, con
contraseñas seguras y políticas de autobloqueo.
e. Organizar adecuadamente la confidencialidad de las carpetas compartidas que
contienen información privada
5. DISEÑO DE UNA PROPUESTA DE MEJORA PARA LA
VIRTUALIZACIÓN DE SERVICIOS DE APOYO Y SOPORTE PARA LA
GESTIÓN DE LA INFRAESTRUCTURA TECNOLÓGICA DE LA
EMPRESA IBC IMPORTACIONES BASADO EN LA NORMA ISO
27001
A continuación, se describe los dos apartados complementarios de las mejoras a
implementar en la empresa IBC importaciones, estas dos propuestas se
complementan para minimizar los riesgos y vulnerabilidades detectadas en el
diagnostico.
5.1 Mejora en la infraestructura
Esta mejora se centra en la instalación de elementos de red que permitan la
administración, seguridad y control de acceso al medio con el fin de minimizar la
intrusión de personal no autorizado a la red de la compañía, a continuación, se
describe con mayor detalle la solución propuesta, los detalles y la función que
cada uno prestara.
Imagen 5, Infraestructura física mejorada posterior a la implantación presentada.
Fuente: Diseño para IBC realizado en Packet Tracer 8.1
5.1.1 Instalación de un enrutador administrado
La instalación de un Router administrado tipo pequeñas empresas, permite brindar el
control necesario a la compañía de acceso, puesto que con el vamos a administrar
factores críticos identificados en el diagnostico, este enrutador tendrá capacidades
altas en funcionalidad, que se describen a continuación:
Función control de WAN: El enrutador tendrá la capacidad de soportar el tráfico de
entrada entregado por el ISP y así mismo soportar la gestión de la dirección IP publica,
esto con el fin de mantener el control de tráfico y de puertos.
Función de control LAN: El enrutador debe tener la capacidad de brindar el servicio
de DHCP, para entregar las direcciones IPs de los equipos clientes que se conecten
y requieran funcionar dentro de la red, así mismo se podrá administrar los puertos
físicos y de acceso entre mantenerlos encendidos o apagado si se requiere.
Función de Firewall: El enrutador tendrá control de firewall que permitirá bloquear la
navegación por defecto en puertos virtuales, ejecución de plugin y complementos y
denegación a páginas WEB
Función de VPN: El enrutador contara con la función de VPN, para permitir el acceso
de clientes externos a la red de la compañía y asegurando la continuidad del trabajo
cuando los colaboradores deban trabajar en la compañía de manera remota. Esto
mitiga la vulnerabilidad que se presenta al publicar el puerto de escritorio remoto en
el NAT realizado para acceder al equipo servidor.
5.1.2 Instalación de un punto de acceso administrado
Se instala y configura un punto de acceso que permita el acceso de los clientes a
conexión a internet. En esta administración se agregarán dos configuraciones de
SSID; uno para la red corporativa que permita el acceso a los elementos de red y al
servidor de aplicaciones WO y el segundo SSID que brinde protección de acceso a la
red interna es decir un acceso como invitado para que no permita el acceso de
personas no autorizado.
Dado que el lugar es pequeño y la demanda de cobertura es baja para dos estaciones
de trabajo y celulares, se utilizará solo un punto de acceso para realizar la
configuración de la red corporativa y una red adicional aislada para invitados, esto
con el fin cubrir las necesidades de cuando clientes y terceros soliciten a la
organización conexión a internet.
5.1.3 Configuración de clientes VPN
Este apartado se trata de configurar el enrutador para que permita el acceso de
clientes remotos a la red de la compañía de manera segura, de esta manera se deja
de publicar el puerto de escritorio remoto y se asigna el uso de una VPN tipo PPTP,
con acceso por usuario, contraseña y encriptación de tráfico para el acceso al servicio
RDP del servidor de aplicaciones.
5.1.4 Configuración de Firewall
En la configuración de Firewall se configura el enrutador para que se puedan restringir
ciertos tipos de navegaciones, control de contenido, ejecución de complementos,
bloqueo de conectores peligrosos, entre otros.
5.2 Mejora al servidor de aplicaciones, respaldo y acceso remoto RDP
Imagen 6, Infraestructura de hardware y software trabajando en conjunto, muestra la estructura del
cliente servidor, el respaldo de nube y los permisos externos. Fuente: Diseño para IBC realizado en
Microsoft Visio
En las proyecciones de mejora sobre el servidor de aplicaciones, respaldo y acceso
remoto se detallan las siguientes acciones que mitigaran altamente las
vulnerabilidades y ayudaran al rendimiento del sistema.
5.2.1 Configuración Servidor Host
Este servidor se encargará de mantener en servicio la máquina virtual en Hyper – V,
del servidor de aplicaciones y el Software de respaldo Veeam Backup, este servidor
se configura en base Windows Server. Es importante destacar que este servidor es
físico y su principal función es gestionar y mantener, ya que en caso de surgir alguna
eventualidad de tipo catástrofe, sea fácil iniciar nuevamente reconfigurando sus
servicios, con el menor traumatismo.
5.2.3 Configuración Máquina virtual
La máquina virtual será la encargada de almacenar el servidor de aplicaciones, es
donde se hace la instalación del Software ERP World Office y se configuran de
manera adecuada los servicios de escritorio remoto para que los usuarios puedan
acceder de manera segura a consumir los servicios del Software.
Dado que en el servidor de aplicaciones se producen los documentos importantes de
la empresa se establecen carpetas con acceso restringido a las diferentes áreas de
la compañía
5.2.4 Configuración NAS
Este medio de almacenamiento se encargará de mantener los respaldos que se
generan por medio de la gestión realizada del servidor Host. Es en este
almacenamiento que se centraliza el respaldo de la documentación generada, la base
de datos del Software ERP WO y la máquina virtual del servidor de aplicaciones,
adicionalmente se tendrá la replicación del almacenamiento sobre el “Cloud Service”
o servicio de almacenamiento en la nube de OneDrive.
5.2.5 Veeam BackUp
Este Software de gestión permite la automatización de respaldos
5.3 Plan de mejoramiento
Políticas de cumplimiento obligatorio basadas con el SGSI de la norma Iso 27001
A.5.1.1 políticas para la seguridad de la información
Control Se debe definir un conjunto de políticas para la seguridad de la información,
aprobada por la dirección, publicada y comunicada a los empleados y a las partes
externas pertinentes.
- Informar, educar y concientizar sobre el SGSI, su cumplimiento, aplicaciones e
implicaciones positivas y negativas.
- Aplicaciones y obligaciones específicas para las distintas áreas de la
organización.
- Monitoreo frecuente del cumplimiento del SGSI implementado.
A.6.2.1 Política para los dispositivos móviles
Control: Se deben adoptar una política y unas medidas de seguridad de soporte, para
gestionar los riesgos introducidos por el uso de dispositivos móviles.
- Límite de porte de dispositivos móviles a personal especifico.
- Restricción de uso de dispositivos móviles en locaciones específicas de la
organización.
- Límites de acceso y protección de dispositivos específicos de la compañía.
- Cláusula de tenencia de dispositivos suministrados por la compañía
A.6.2.2. Teletrabajo
Control: Se deben implementar una política y unas medidas de seguridad de soporte,
para proteger la información a la que se tiene acceso, que es procesada o
almacenada en los lugares en los que se realiza teletrabajo
- Garantizar un canal de comunicación seguro.
- Límite de acceso a la información de la organización desde las redes públicas
o fuera de la empresa
- Protección y registro de acceso a la información desde canales externos.
A.9.1.1 política de control de acceso
Control: Se debe establecer, documentar y revisar una política de control de acceso
con base en los requisitos del negocio y de seguridad de la información.
- Segmentación y clasificación de los tipos de información
- Asignación de recursos para el acceso a la información requerida de acuerdo
con la segmentación realizada.
- Limites administrativos a la asignación de recursos de acceso.
- Registros o histórico de accesos.
A.10.1.1 política sobre el uso de controles criptográficos
Control: Se debe desarrollar e implementar una política sobre el uso de controles
criptográficos para la protección de la información.
- Limitar el uso y tenencia de dispositivos de uso criptográfico a personal
especifico.
- Bloqueo, registro y alarma del uso de dispositivos criptográficos al tener
contacto con la red de la organización.
- Revisiones periódicas por parte del personal de seguridad.
A.11.2.9 Política de escritorio y pantalla limpios
Control: Se debe adoptar una política de escritorio limpio para los papeles y medios
de almacenamiento removibles, y una política de pantalla limpia en las instalaciones
de procesamiento de información.
- Educación sobre la política de escritorio y pantalla limpios dando claridad en
los elementos admitidos y cuales no explicando su respectivo riesgo.
- Prevención de accidentes, riesgos y afectación de equipos
- Generación de alarmas y advertencias.
- Uso apropiado de recursos.
A.12.3.1 Respaldo de información
Control: Se deben hacer copias de respaldo de la información, software e imágenes
de los sistemas, y ponerlas a prueba regularmente de acuerdo con una política de
copias de respaldo acordadas.
- Aplicación de copias de seguridad funcionales y de múltiples opciones de
respaldo.
- Límite de acceso a personal autorizado a los respaldos
- Registro obligatorio de los procesos realizados sobre los distintos respaldos de
la organización.
5.4 Propuesta económica
Se genera una propuesta económica para el día 7 de diciembre, este presupuesto es
entregado a la alta gerencia donde se evalúan los costos de ejecución para llevar a
buen término la mejora propuesta a la empresa IBC importaciones, en esta se detallan
el costo de los insumos o dispositivos y la mano de obra.
PRESUPUESTO ESTIMADO IBC IMPORTACIONES
DETALLE
CANTIDA
D COSTO NOTAS TOTAL
Cisco Router RV180
Small business 1 1.200.000 1.200.000
Switch Linksys Lgs
116 Gigabit 16 Puertos 1 330.000 330.000
Tp-link, Router Wifi Dual Band
Gigabit Ac1200, Archer A6
1 200.000 200.000
Servidor Dell Power Edge T40
Intel Xeon 3.5 Ghz 16g 1tb
1 3.200.000 3.200.000
Mano de obra 1 3.000.000 Incluye firewall 3.000.000
Adicionales 200.000
cableado,
conectores y
accesorios
200.000
Iva incluido
TOTAL, EN
PESOS 8.130.000
Tabla 4, propuesta económica
El costo de mano de obra incluye el diagnostico, configuración e implementación de
todas las mejoras propuestas, pero como adicional teniendo en cuenta las demoras
previstas por las horas de trabajo de la organización y previniendo las posibles franjas
de inactividad en la ejecución para no afectar la continuidad operatividad de esta.
Como costos adicionales fijos la empresa debe considerar es que la implantación se
ejecuta mejorando el plan de internet actual y fijando con el ISP Claro el uso del plan
Claro empresas 200 Mbps, por un costo inicial mensual de $149.000, pesos moneda
colombiana.
CONCLUSIONES
• Se puede concluir que de acuerdo con el diagnóstico inicial de las condiciones
de la empresa IBC importaciones requiere una intervención que permita
mejorar la seguridad y minimizar las brechas de vulnerabilidad que se
presentan por administración y control de acceso a la información en la
organización.
• Al ejecutar el proyecto propuesto basado en la metodología PHVA se observa que este trabajo por ciclos permite generar un ambiente trabajo ordenado, donde al cumplir con el cronograma propuesto se refleja el cumplimiento de las metas propuestas y ayuda a que el cliente entienda a pesar del manejo técnico el proceso realizado
• Se considera que es de gran importancia suministrar a IBC Importaciones
herramientas que le permitan la fácil aplicación de la norma ISO 27001
• Suministrar al IBC Importaciones propuestas económicas accesibles y
rentables usando hardware y software de alta tecnología permite el desarrollo
completo del proyecto presentado además la posibilidad de expansión de la
organización y así generar un convenio de trabajo para el mantenimiento y
mejoras de la red y seguridad informática.
RECOMENDACIONES
• Se debe generar políticas basadas en la norma ISO 27000 que permitan
mejorar las condiciones actuales de seguridad informática de la compañía,
importante recalcar el uso de contraseñas seguras, mantener actualizados los
equipos, abrir correos de fuente confirmada, dar el uso adecuado a los
computadores de acuerdo con el ambiente laboral.
• Se debe generar hábitos positivos en los empleados que fomenten conciencia
y buenas prácticas de seguridad informática.
• Se sugiere implementar un sistema de respaldo adecuado de documentos,
bases de datos y cualquier tipo de información sensible, basado en la
continuidad del negocio que permita mantener de manera mínima una copia
local actualizada y una copia espejo fuera de las instalaciones de la compañía.
• Indicarle a la empresa IBC importaciones la importancia del uso del SGSI al
separar los equipos y generar un espacio seguro para su tenencia y protección.
BIBLIOGRAFÍA
NORMA TÉCNICA NTC-ISO-IEC COLOMBIANA 27001 (2.ª ed., pp. 7 -). (2013). (2.ª ed.). Bogota Colombia.: Icontec. Recuperado de file:///C:/Users/gecar/OneDrive%20-%20Universidad%20Cooperativa%20de%20Colombia/UNIVERSIDAD/UCC%20SEMINARIO/ISO27001/Norma%20ISO%2027001%20(2).pdf
Curso ISO 27001 Fundamentos (2.ª ed., pp. 1–115). (2020). (2.ª ed.). Bogota Colombia.: I&T Solutions. Recuperado de file:///C:/Users/gecar/OneDrive%20-%20Universidad%20Cooperativa%20de%20Colombia/UNIVERSIDAD/UCC%20SEMINARIO/ISO27001/Fundamentos%20ISO%2027001%20-%20G3.pdf
GUÍA PARA LA PRESENTACIÓN DEL INFORME DE SEMINARIO DE PERFECCIONAMIENTO (1.ª ed., pp. 1–15). (2020). (1.ª ed.). Bogota Colombia.: Univercidad Cooperativa de Colombia. Recuperado de file:///C:/Users/gecar/OneDrive%20-%20Universidad%20Cooperativa%20de%20Colombia/UNIVERSIDAD/UCC%202021/PROYECTO/GUIA%20SEMINARIO_PGTI%202020.pdf
Router. (2021). Recuperado 5 de diciembre de 2021, de Cisco Business website: https://www.cisco.com/c/es_mx/solutions/small-business/resource-center/networking/what-is-a-router.html
El ciclo Planear, hacer, verificar y actuar. (2021). Recuperado 5 de diciembre de 2021, de Dropbox Business website: https://www.dropbox.com/es/business/resources/pdca
Cisco Packet Tracer. (2021). Recuperado 5 de diciembre de 2021, de Cisco Business website: https://www.netacad.com/es/courses/packet-tracer
Windows Server. (2021). Recuperado 5 de diciembre de 2021, de Windows Server website: https://www.microsoft.com/es-es/windows-server
Cisco Business. (2021). Recuperado 7 de diciembre de 2021, de Cómo configurar un router
website: https://www.cisco.com/c/es_mx/solutions/small-business/resource-
center/networking/how-to-set-up-router.html
Carrión Rosende, I., & Berasategi Vitoria , osune. (2010). Guía para la elaboración de proyectos
(1.ª ed.). España: Jose Miguel Oskoz Izazelaia. Recuperado de https://ivac-
eei.eus/upload/fondos/documentos/145/guia_elaboracion_proyectos_c.pdf
(3.ª ed., pp. 1–18). (2010). (3.ª ed.). Bogota Colombia.: Mintic. Recuperado de https://mintic.gov.co/gestionti/615/articles-5482_G8_Controles_Seguridad.pdf
Sistemas de gestión de la seguridad de la información. (2021). Recuperado 7 de diciembre de 2021, de Fortalecimiento de la gestion TI en el estado website: https://www.mintic.gov.co/gestionti/615/w3-article-5482.html?_noredirect=1
(1.ª ed., pp. 3–218). (2019). (1.ª ed.). Bogota Colombia.: R&M CERTIFIED. Recuperado de file:///C:/Users/gecar/OneDrive%20-%20Universidad%20Cooperativa%20de%20Colombia/UNIVERSIDAD/UCC%20SEMINARIO/ITIL/pdfcoffee.com_itil-4-diapositivas-clases-4-pdf-free.pdf
Maureira Sánchez, D. J. A. (2017). NORMA ISO/IEC 27001 APLICADA A UNA CARRERA
UNIVERSITARIA. Santiago de Chile: Daniel J. Recuperado de
http://repositorio.unab.cl/xmlui/bitstream/handle/ria/3720/a118929_Maureira_D_Norma_ISO_IE
C_27001_aplicada_2017_Tesis.pdf
Barajas Largo, E. (2016). ELABORACIÓN DE UN PLAN DE IMPLEMENTACIÓN DE LA ISO/IEC
27001:2013 PARA LA EMPRESA LIANCAR LTDA. España: Emilio . Recuperado de
http://openaccess.uoc.edu/webapps/o2/bitstream/10609/59406/10/ebarajasTFM1216mem%c
3%b2ria.pdf
Barajas Largo, E. (2016). ELABORACIÓN DE UN PLAN DE IMPLEMENTACIÓN DE LA ISO/IEC
27001:2013 PARA LA EMPRESA LIANCAR LTDA. España: Emilio . Recuperado de
http://openaccess.uoc.edu/webapps/o2/bitstream/10609/59406/10/ebarajasTFM1216mem%c
3%b2ria.pdf