DISEÑO DE UNA PROPUESTA DE MEJORA PARA LA VIRTUALIZACIÓN DE

SERVICIOS DE APOYO Y SOPORTE PARA LA GESTIÓN DE LA INFRAESTRUCTURA TECNOLÓGICA DE LA EMPRESA IBC IMPORTACIONES

BASADO EN LA NORMA ISO 27001          

PRESENTADO POR:

  IGNACIO RAMIREZ MONTEALEGRE 397349

GERMAN CAMILO RAMIREZ QUINTERO 390062

FIDEL MATEO PARRADO QUEVEDO 433842

 

       

UNIVERSIDAD COOPERATIVA DE COLOMBIA  FACULTAD DE INGENIERIAS 

INGENIERIA DE SISTEMAS   Y ELECTRONICA BOGOTA, 2021 

DISEÑO DE UNA PROPUESTA DE MEJORA PARA LA VIRTUALIZACIÓN DE SERVICIOS DE APOYO Y SOPORTE PARA LA GESTIÓN DE LA

INFRAESTRUCTURA TECNOLÓGICA DE LA EMPRESA IBC IMPORTACIONES BASADO EN LA NORMA ISO 27001

         

  IGNACIO RAMIREZ MONTEALEGRE 397349

GERMAN CAMILO RAMIREZ QUINTERO 390062

FIDEL MATEO PARRADO QUEVEDO 433842

       

Modalidad de grado Seminario de perfeccionamiento

Requisito Parcial para obtener el título de Ingeniero.

         

Director

YOVANNY LAUREANO VELA SAENZ  

UNIVERSIDAD COOPERATIVA DE COLOMBIA  FACULTAD DE INGENIERIAS  INGENIERIA DE SISTEMAS  

BOGOTA, 2021 

NOTA DE ACEPTACIÓN

___________________________________

_

___________________________________

_

___________________________________

_

___________________________________

_

___________________________________

_

_______________________

PRIMER JURADO

_______________________

SEGUNDO JURADO

Bogotá, diciembre, 2021

DEDICATORIA

German Camilo Ramirez Quintero

Dedico este proyecto a mis padres y pareja ya que con su apoyo me han impulsado

a lograr esta meta propuesta, especialmente a mi madre quien siempre me impulso a

estudiar y aunque no se encuentra conmigo para celebrar este logro espero se sienta

orgullosa.

Ignacio Ramirez Montealegre

Dedico este proyecto a mi familia, especialmente a mis hijas que han sido el motor de

mi inspiración y mi más grande motivación tanto en mi vida personal como laboral.

Mateo Parrado Quevedo

Dedico este proyecto a mi familia, que me han servido de apoyo, a mis amigos y todos

aquellos que me apoyaron para lograr el objetivo propuesto.

AGRADECIMIENTOS

Agradecemos especialmente Dios y a nuestras familias que nos han apoyado e

impulsado para lograr esta gran meta profesional que gracias a su apoyo y motivación

nos han dado fuerza en los momentos necesarios para no desistir en nuestra meta.

A la institución educativa en la cual desde un principio confiamos nuestra formación

académica en pro de un mejor futuro y a todas las personas que en nuestro camino

han compartido algo de su vida ya sea como compañeros, docentes o amigos ya que

gracias a sus aportes podemos dar por cumplido este objetivo fundamental en

nuestras vidas.

ASTRACTO.

En esta propuesta se implementará la norma de calidad ISO 27001 en la empresa

IBC IMPORTACIONES con el objetivo de minimizar los riesgos de seguridad que se

presentan en la compañía concernientes a la seguridad informática.

Haciendo uso de las buenas prácticas y políticas establecidas en la norma ISO 27001

para dar continuidad al negocio, dando confianza a sus clientes y seguridad a todos

los grupos de interés, con el objetivo de garantizar la disponibilidad y confiabilidad de

la información.

Tabla de contenido

RESUMEN. .............................................................................................................. 10

INTRODUCCION ..................................................................................................... 11

1. DESCRIPCIÓN DEL PROBLEMA .................................................................... 12

1.1 PLANTEAMIENTO DEL PROBLEMA ......................................................... 12

1.2 OBJETIVOS DEL PROBLEMA ................................................................... 12

1.2.1 Objetivo General ...................................................................................... 12

1.2.2 Objetivos específicos ............................................................................... 12

2. MARCOS DE REFERENCIA ............................................................................ 12

2.1 Marco teórico .................................................................................................. 12

2.2 Marco institucional ...................................................................................... 20

2.2.1 Plataforma estratégica de la empresa IBC Importaciones .................... 20

3. METODOLOGÍA ............................................................................................... 21

3.1 Modelo guía ciclo Deming o ciclo PHVA ......................................................... 21

3.2 Población ........................................................................................................ 24

3.3 Técnicas para la recolección y análisis de la información .............................. 24

3.4 Técnicas, herramientas y métodos para el diseño e implementación de los sistemas de gestión tecnológica ....................................................................... 24

3.4 Limitantes .................................................................................................... 25

4. DIAGNÓSTICO DE LAS CONDICIONES ACTUALES DE IBC IMPORTACIONES ................................................................................................... 25

4.1 Estado De Las Condiciones Actuales ............................................................. 25

4.2 Determinación De Factores Críticos ............................................................... 29

4.3 Identificación De Hallazgos Significativos ....................................................... 29

5. DISEÑO DE UNA PROPUESTA DE MEJORA PARA LA VIRTUALIZACIÓN DE SERVICIOS DE APOYO Y SOPORTE PARA LA GESTIÓN DE LA INFRAESTRUCTURA TECNOLÓGICA DE LA EMPRESA IBC IMPORTACIONES BASADO EN LA NORMA ISO 27001....................................................................... 29

5.1 Mejora en la infraestructura......................................................................... 29

5.1.1 Instalación de un enrutador administrado ................................................ 30

5.1.2 Instalación de un punto de acceso administrado ..................................... 31

5.1.3 Configuración de clientes VPN ................................................................. 31

5.1.4 Configuración de Firewall ......................................................................... 31

5.2 Mejora al servidor de aplicaciones, respaldo y acceso remoto RDP .............. 32

5.2.1 Configuración Servidor Host .................................................................... 32

5.2.3 Configuración Máquina virtual .................................................................. 32

5.2.4 Configuración NAS ................................................................................... 33

5.2.5 Veeam BackUp ........................................................................................ 33

5.3 Plan de mejoramiento ..................................................................................... 33

5.4 Propuesta económica ..................................................................................... 35

CONCLUSIONES..................................................................................................... 37

RECOMENDACIONES ............................................................................................ 38

BIBLIOGRAFÍA ........................................................................................................ 39

Tabla de tablas

Tabla 1, Modelo PHVA aplicado al proyecto de la empresa IBC ................. 22-23-21 Tabla 2, Encuesta realizada ..................................................................................... 28 Tabla 3, Resultados de la encuesta ......................................................................... 29 Tabla 4, Propuesta económica ......................................................................... 36- 37

Tabla de graficas

Imagen 1. Organigrama empresarial IBC ............................................................. 21 Imagen 2 ciclo de mejora Deming Guía de estudio capacitación UCC seminario ISO 27001 .................................................................................................................... 22 Imagen 3, Situación actual de infraestructura  ........................................................ 27 Imagen 4, Diagrama porcentual resultados encuesta 29 ............................................. Imagen 5, Infraestructura física mejorada posterior a la implantación presentada .. 31 Imagen 6, Infraestructura de hardware y software trabajando en conjunto, muestra la estructura del cliente servidor, el respaldo de nube y los permisos externos ........ 33

RESUMEN.

Este proyecto presenta como propuesta la mejora de la seguridad y protección de la

información de la empresa IBC IMPORTACIONES, se basa en el sistema de

seguridad de la información que procede de la norma ISO 27001 y pretende asegurar

los tres pilares principales de la seguridad de la información: Confidencialidad,

Integridad y Disponibilidad.

La empresa IBC IMPORTACIONES, es consciente que presenta grandes

inconvenientes al proteger, preservar, ordenar y generar una disponibilidad de sus

datos tanto interna como externamente y por ello ha decidido tomar medidas que

resguarden su integridad organizacional y funcional.

Este proyecto basado en el SGSI implica un compromiso por parte de la organización

en general desde su alta gerencia hasta el personal operativo ya que todos hacen

parte de ella, en especial de aquellas áreas que deben proveer los recursos

necesarios para su desarrollo, mantenimiento, cumplimiento y mejora continua.

El modelo o metodología empleado para generar este proyecto esta igualmente

basado en el ciclo PHVA, un enfoque basado en procesos el cual permite generar un

organigrama de trabajo con el fin de cumplir con el análisis de falencias o errores,

generar alternativas de mejora, propones metas u objetivos, verificar el cumplimiento

del sistema de gestión y buscar la mejora continua.

INTRODUCCION

En el mundo actual donde la comunicación es el pilar de la tecnología, la mayoría de

dispositivos electrónicos se encuentran conectados entre sí, por los grandes canales

de comunicación que existen del internet de las cosas y donde sin importar la distancia

podemos acceder a grandes cantidades de conjuntos de datos a un solo clic, las

distintas organizaciones han entendido que la su información constituye el activo más

importante para su negocio, por lo cual se busca proteger su confidencialidad,

integridad y a la vez tener disponibilidad de esta de una forma segura.

Sin importar el tipo de negocio todas las organizaciones o empresas son vulnerables

a sufrir atentados o amenazas a su integridad por lo cual deben ser capaces de

evaluar los riesgos que puedan afectarlas y evitar o mitigar los impactos que puedan

afectar el desarrollo de sus actividades.

En el mundo el sistema de seguridad de la información o en sus siglas SGSI, busca

dar a las empresas una guía de como poder salvaguardar sus datos y dar un alto nivel

administrativo a los mismos con los más altos estandartes de calidad y en pro de la

mejora continua.

Por lo mencionado se escogió la empresa IBC IMPORTACIONES, para realizar el

proyecto de mejoras en sus vulnerabilidades de mayor criticidad y falencia. Esta

empresa se dedica a la comercialización de insumos médicos para laboratorios, como

guantes, tapabocas, batas, jeringas, y elementos reactivos para pruebas de

laboratorio entre otros; la gerencia general ha entendido que para su línea de negocio

debe velar porque su información organizacional, estructural, operativa y la de sus

clientes este a salvo de toda posible vulnerabilidad y así no arriesgarse a perder su

continuidad en las operaciones comerciales, ni competitividad en el mercado.

Luego de una etapa previa de diagnóstico la empresa IBC Importaciones, ha decidido

analizar si situación actual para posteriormente invertir en un proyecto de mejora que

mejore la seguridad de su información y minimice el impacto ante alguna contingencia

que se pueda presentar. Con este proyecto se pretende generar seguridad en su

activo más preciado que es la información y así mismo generar confianza en sus

clientes y proveedores al actualizar y mejorar su situación actual.

DISEÑO DE UNA PROPUESTA DE MEJORA PARA LA VIRTUALIZACIÓN DE SERVICIOS DE APOYO Y SOPORTE PARA LA GESTIÓN DE LA INFRAESTRUCTURA TECNOLÓGICA DE LA EMPRESA IBC IMPORTACIONES BASADO EN LA NORMA ISO 27001

1. DESCRIPCIÓN DEL PROBLEMA

1.1 PLANTEAMIENTO DEL PROBLEMA

La empresa IBC importaciones actualmente presenta niveles altos de

vulnerabilidad en su seguridad informática comentadas por el gerente, una de ellas

es que recientemente sufrió un ataque cibernético por un software malicioso de

tipo ransomware, adicionalmente la falta de respaldos a su software contable,

documentación digital generada por facturas y cotizaciones principalmente.

1.2 OBJETIVOS DEL PROBLEMA

1.2.1 Objetivo General

• Mejorar la infraestructura informática de la empresa IBC importaciones en pro de las condiciones seguras para mitigar riesgos informáticos y amenazas externas de pequeña, mediana y gran escala.

1.2.2 Objetivos específicos

• Implementar y configurar un Enrutador VPN y Firewall Administrable para el

control de acceso en la compañía, con las funciones de administración en VPN,

DHCP, Firewall y WAN.

• Configurar un servidor de aplicaciones, que permita el acceso remoto por CAL de

licenciamiento a los usuarios de la compañía que tenga acceso asignado.

• Instalar el SW World Office sobre el servidor de aplicaciones para tener el

rendimiento adecuado, la manipulación de respaldos y la capacidad de

contingencia ante posibles eventos de vulnerabilidad de seguridad.

• Realizar la implementación de un sistema de respaldo back up redundante que

permita mantener copia local y copia en la nube.

2. MARCOS DE REFERENCIA

2.1 Marco teórico

Para el análisis, propuesta y posterior ejecución del proyecto se encuentra la

necesidad de deslindar el estado actual de la empresa así exponiendo sus

fortalezas y debilidades con el fin de generar un análisis y diagnostico idóneo de

la estructura actual y así poder suministrar una asesoría idónea para la toma de

decisiones en pro del cambio y mejoramiento del trato de la información y

suministrar el mejor servicio posible por parte del ente presentador de la

propuesta.

Teniendo en cuenta estos aspectos es necesario mostrar, definir y explicar

diversos términos implementos que serán necesarios para la ejecución del

proyecto:

Norma ISO 27001 1

El SGSI basado en ISO/IEC 27001 permite la gestión y control de los riesgos de

la seguridad de la información en las organizaciones para las cuales la

información y la tecnología son activos importantes de su negocio.

Mediante las mejores prácticas de seguridad de la información, las

organizaciones que certifican su SGSI demuestran ante sus accionistas, clientes,

autoridades, proveedores y demás partes interesadas, la debida diligencia en

este importante aspecto y garantizan la aplicación adecuada de los recursos en

las áreas de mayor impacto potencial, optimizando así sus inversiones y costos

de seguridad.

Cuarto de comunicaciones2

Espacio centralizado para utilizado para la tenencia, preservación, seguridad y

mantención equipo de telecomunicaciones. Debe cumplir con ser un espacio de

posible expansión, seguro estructural como tecnológicamente que prevenga

incluso de las afectaciones causadas por elementos naturales o del ambiente en

lo posible contar con respaldos automatizados tanto eléctricos como de

información.

Sistema de Gestión de Seguridad de la Información (SGSI). 3

Un SGSI o Sistema de Gestión de Seguridad de la Información es un conjunto de

políticas y procedimientos para la administración y gestión eficaz de la seguridad

de la información.

Según la ISO 27001, la seguridad de la información consiste en la preservación

de la confidencialidad, integridad y disponibilidad de la información, así como cada

1 (Icontec, 2021) ICONTEC. (2021, diciembre 07). Certificación ISO 27001, Sistemas de Gestión de seguridad de la

información. Obtenido de https://www.icontec.org/eval_conformidad/certificacion-iso-27001-sistemas-de-gestion-de-

seguridad-de-la-informacion-2/

2 (Ramirez Camilo, 2021)

3 (ISO27000.es, 2021),

uno de los sistemas implicados dentro de una organización para su gestión y

tratamiento.

Ciclo PHVA.4

Para monitorear y adoptar el proceso de planeación de un sistema de gestión se

usa el modelo P.H.V.A. (planear, hacer, verificar y actuar), el cual permite planear,

tomar acciones, verificar los resultados y actuar sobre los resultados esperados.

El ciclo PHVA consiste básicamente en:

• Planear: Definen las metas y los métodos para alcanzarla.

• Hacer: Después de haber realizado un proceso de formación se ejecutan y

recogen todos los datos.

• Verificar: Se evalúan los resultados e identifican los problemas no resueltos.

• Actuar: Se toman las medidas correctivas necesarias para el cumplimiento de

las metas.

A lo largo de todo este proceso, se encuentran presentes los indicadores e índices

de gestión los cuales son usados para medir la efectividad de los objetivos

estratégicos propuestos

Servidor 5

• Hardware. El servidor, entendido como equipo, es una máquina compuesta

por componentes de alto rendimiento y que está integrado en una red. Se le suele

llamar «host» o anfitrión porque se usa para almacenar o «albergar» información.

• Software. Se entiende que es una especie de plataforma que ofrece un

servicio en el que un cliente puede hacer uso del servidor mediante una conexión

local o a internet. En cuanto a la conexión local, podríamos encontrar los

servidores VPS, servidores compartidos como hostings, otros servidores que

hacen de NAS (nube) todos conectados por internet y que puedes comprar sus

recursos.

En definitiva, podemos decir que se trata de un Computador que alberga

información y que sirve para dar respuesta a las necesidades de un usuario, como

entrar en una web, almacenar datos o crear plataformas. Estando encendido

24/7.

El funcionamiento de un servidor se basa en el sistema client-server, por el que el

servidor es un centro de datos y el cliente es un usuario que quiere acceder a él.

De esta manera, el cliente hace una petición y el servidor da una respuesta.

4 (Colombia, 2021), Colombia, U. N. (2021, Diciembre 07). Ciclo PHVA. Obtenido de http://www.virtual.unal.edu.co/cursos/sedes/manizales/4010014/Contenidos/Capitulo1/Pages/1.4/1 5 (Review, 2021), Review, P. (2021, Diciembre 07). Qué es un servidor y para qué sirve. Obtenido de https://www.profesionalreview.com/2020/01/05/que-es-un-servidor-y-para-que-sirve

Router 6

Un router recibe y envía datos en redes informáticas. Los routers a veces se

confunden con los concentradores de red, los módems o los switches de red. No

obstante, los routers pueden combinar las funciones de estos componentes y

conectarse con estos componentes para mejorar el acceso a Internet o ayudar a

crear redes empresariales.

Los routers guían y dirigen los datos de red mediante paquetes que contienen

varios tipos de datos, como archivos, comunicaciones y transmisiones simples

como interacciones web.

Los paquetes de datos tienen varias capas o secciones; una de ellas transporta

la información de identificación, como emisor, tipo de datos, tamaño y aún más

importante la dirección IP (protocolo de Internet) de destino. El router lee esta

capa, prioriza los datos y elige la mejor ruta para cada transmisión.

Puntos de acceso7

Es un dispositivo que crea una red de área local LAN o WLAN, normalmente en

una oficina o un edificio de grandes dimensiones. Un punto de acceso se conecta

a un router, switch o hub por un cable Ethernet y proyecta una señal Wi-Fi en un

área designada

Virus8

Un virus informático es un tipo de programa o código malicioso escrito para

modificar el funcionamiento de un equipo. Además, está diseñado para

propagarse de un equipo a otro. Los virus se insertan o se adjuntan a un programa

o documento legítimo que admite macros a fin de ejecutar su código. En el

proceso, un virus tiene el potencial para provocar efectos inesperados o dañinos,

como perjudicar el software del sistema, ya sea dañando o destruyendo datos.

Ramsonware9

El malware de rescate, o ransomware, es un tipo de malware que impide a los

usuarios acceder a su sistema o a sus archivos personales y que exige el pago

de un rescate para poder acceder de nuevo a ellos. Las primeras variantes de

ransomware se crearon al final de la década de los 80, y el pago debía efectuarse

por correo postal. Hoy en día los creadores de ransomware piden que el pago se

efectúe mediante criptomonedas o tarjetas de crédito.

6 (Cisco, ¿Qué es un router?, 2021) Cisco. (2021, Diciembre 07). ¿Qué es un router? Obtenido de https://www.cisco.com/c/es_mx/solutions/small-business/resource-center/networking/what-is-a-router.html 7 (Lynsys, 2021) Lynsys. (2021, Diciembre 07). ¿Qué es un punto de acceso y en qué se diferencia de un extensor de red? Obtenido de https://www.linksys.com/es/r/resource-center/qu%C3%A9-es-un-punto-de-acceso 8 (Norton, 2021)Norton. (2021, Diciembre 07). ¿Qué es un virus informático? Obtenido de https://co.norton.com/internetsecurity-malware-what-is-a-computer-virus.htm 9 (Bytes, 2021) Bytes, M. (2021, Diciembre 07). Ransomware. Obtenido de https://es.malwarebytes.com/ransomware/

Amenaza cibernética10

Es todo ataque digital o hackeo hecho a una serie de datos específicos con el fin

de afectar a su tenedor o contenedor causando afectaciones a dicha organización

de índole monetario, estructural o de continuidad operacional, las algunas

ocasiones estas amenazas suelen estar enfocadas no solo en la parte lógica si

no tan bien en la física con el fin de causar un mayor grado de daño.

VPN11

VPN significa "Virtual Private Network" (Red privada virtual) y describe la

oportunidad de establecer una conexión protegida al utilizar redes públicas. Las

VPN cifran su tráfico en internet y disfrazan su identidad en línea. Esto le dificulta

a terceros el seguimiento de sus actividades en línea y el robo de datos. El cifrado

se hace en tiempo real.

Firewall12

Un firewall es un dispositivo de seguridad de la red que monitorea el tráfico de red

entrante y saliente y decide si permite o bloquea tráfico específico en función de

un conjunto definido de reglas de seguridad.

Los firewalls han constituido una primera línea de defensa en seguridad de la red

durante más de 25 años. Establecen una barrera entre las redes internas

protegidas y controladas en las que se puede confiar y redes externas que no son

de confianza, como Internet.

Un firewall puede ser hardware, software o ambos

Máquina virtual 13

Una máquina virtual (término que a menudo se abrevia como VM) no es diferente

a cualquier otro equipo físico, como un portátil, un smartphone o un servidor.

Tiene una CPU, memoria, discos para almacenar los archivos y puede conectarse

a Internet si es necesario. Mientras los componentes de su PC (denominados

hardware) son físicos y tangibles, las máquinas virtuales suelen considerarse

equipos virtuales o equipos definidos por software dentro de servidores físicos,

donde solo existen como código.

Hardware 14

El hardware de la computadora, en términos simples, son los componentes físicos

que un sistema de la computadora necesita para funcionar. Abarca todo con una

10 (Ignacio & Mateo, 2021) 11 (Kaspersky, 2021) Kaspersky. (2021, Diciembre 07). ¿Qué es una VPN y cómo funciona? Obtenido de https://latam.kaspersky.com/resource-center/definitions/what-is-a-vpn 12 (Cisco, ¿Qué es un firewall?, 2021) Cisco. (2021, Diciembre 07). ¿Qué es un firewall? Obtenido de https://www.cisco.com/c/es_mx/products/security/firewalls/what-is-a-firewall.html 13 (Microsoft, 2021), Microsoft. (2021, Diciembre 07). Azure. Obtenido de ¿Qué es una máquina virtual (VM)?: https://azure.microsoft.com/es-es/overview/what-is-a-virtual-machine/#overview 14 (Crucial, 2021), Crucial. (2021, Diciembre 07). Hardware. Obtenido de https://www.crucial.mx/articles/pc-builders/what-is-computer-hardware

tarjeta de circuito que funciona dentro de una PC o computadora portátil y que

incluye la motherboard, la tarjeta gráfica, la CPU (unidad central de

procesamiento) los ventiladores, la cámara web, la fuente de alimentación, etc.

Software 15

Software es una palabra que proviene del idioma inglés, pero que, gracias a la

masificación de uso, ha sido aceptada por la Real Academia Española. Según la

RAE, el software es un conjunto de programas, instrucciones y reglas informáticas

que permiten ejecutar distintas tareas en una computadora.

Se considera que el software es el equipamiento lógico e intangible de un

ordenador. En otras palabras, el concepto de software abarca a todas las

aplicaciones informáticas, como los procesadores de textos, las planillas de

cálculo, los editores de imágenes, los reproductores de audio y los videojuegos,

entre otras muchas.

Respaldo (Back up) 16

La palabra «Backup» significa respaldo, siendo común el uso de este término

dentro del ámbito informático. El respaldo de información es la copia de los datos

importantes de un dispositivo primario en uno ó varios dispositivos secundarios,

ello para que en caso de que el primer dispositivo sufra una avería

electromecánica ó un error en su estructura lógica, sea posible contar con la

mayor parte de la información necesaria para continuar con las actividades

rutinarias y evitar pérdida generalizada de datos.

Su importancia radica en que todos los dispositivos de almacenamiento masivo

de información tienen la posibilidad de fallar, por lo tanto, es necesario que se

cuente con una copia de seguridad de la información importante, ya que la

probabilidad de que 2 dispositivos fallen de manera simultánea es menos

probable.

Nube (repositorio) 17

El almacenamiento de archivos en la nube es un método para almacenar datos

en la nube que suministra a servidores y aplicaciones acceso a los datos mediante

sistemas de archivos compartidos. Esta compatibilidad hace que el

almacenamiento de archivos en la nube sea ideal para las cargas de trabajo que

dependen de sistemas de archivos compartidos y provee una integración simple

sin necesidad de introducir cambios en el código.

15 (de, 2021) de, D. (2021, Diciembre 07). DEFINICIÓN DE. Obtenido de https://definicion.de/software/#:~:text=Software%20es%20una%20palabra%20que,distintas%20tareas%20en%20una%20computadora. 16 (Multicomp, 2021), Multicomp. (2021, Diciembre 07). Respaldo de Información. Obtenido de https://multicomp.com.mx/seguridad-informatica/respaldo-de-informacion/

17 (Amazon, 2021), Amazon. (2021, Diciembre 07). Amazon.com. Obtenido de Almacenamiento de archivos en la nube: https://aws.amazon.com/es/what-is-cloud-file-storage/

Red LAN 18

LAN es la abreviatura de Local Area Network. Denomina redes con extensión

física limitada. La mayoría de las redes LAN se usan en hogares privados o en

empresas, para instalar redes de hogar o de empresa. De este modo, distintos

dispositivos pueden comunicarse entre ellos. De este modo, el intercambio de

datos tiene lugar primero a nivel local.

Una red LAN consiste en un mínimo de dos dispositivos finales, pero puede

conectar miles. Sin embargo, para las grandes distancias es más conveniente

usar redes MAN y WAN. Una red de área local o Local Area Network puede

conectar ordenadores, teléfonos inteligentes, impresoras, escáneres, dispositivos

de almacenamiento, servidores y otros dispositivos de red entre sí y con Internet.

Si, por ejemplo, una impresora está conectada a un ordenador a través de USB,

normalmente solo este PC puede acceder a ella. Sin embargo, si la impresora

está integrada en la red, varios dispositivos de la casa pueden imprimir a la vez.

Red WiFI 19

Wifi es una tecnología de red inalámbrica a través de la cual los dispositivos, como

computadoras (portátiles y de escritorio), dispositivos móviles (teléfonos

inteligentes y accesorios) y otros equipos (impresoras y videocámaras), pueden

interactuar con Internet. Permite que estos dispositivos, entre tantos otros,

intercambien información entre sí y establezcan, de esta manera, una red.

La conectividad a Internet se logra a través de un router inalámbrico. Cuando

accede a wifi, se conecta a un router inalámbrico que permite que los dispositivos

que admiten wifi interactúen con Internet.

Red WAN 20

WAN es la abreviatura de Wide Area Network. Estas redes se extienden por

grandes áreas geográficas y conectan redes más pequeñas como redes LAN

(Local Area Networks) o MAN (Metropolitan Area Networks). Por esto, solo se

utilizan en el sector profesional.

Las WAN públicas sonoperadas por proveedores de servicios de Internet para

permitir a sus clientes el acceso a este. Las redes privadas de área amplia son

utilizadas principalmente por empresas, por ejemplo, para permitir servicios en la

nube y para conectar las redes de las diferentes sedes de la empresa.

18 (IONOS, 2021), IONOS. (2021, Diciembre 07). LAN. Obtenido de LAN — Red de área local: la tecnología de un vistazo: https://www.ionos.es/digitalguide/servidores/know-how/lan/ 19 (Cisco, 2021), Cisco. (2021, Diciembre 07). Cisco Producs. Obtenido de ¿Qué es Wi-Fi?: https://www.cisco.com/c/es_mx/products/wireless/what-is-wifi.html 20 (IONOS, 2021)

Escritorio remoto 21

El término remote desktop, en español escritorio remoto, es la nomenclatura

acuñada para hacer referencia al “control remoto desde el escritorio”. Así, por

medio de la conexión a escritorio remoto es posible conectar el propio ordenador

(cliente) con otro ordenador (servidor). Siempre y cuando se den las condiciones

técnicas necesarias, el usuario podrá crear dicha conexión a escritorio

remoto desde cualquier lugar. En algunos casos puede incluso tener un acceso

total al ordenador remoto, lo que depende del nivel de autorización. Se podría

incluso acceder desde un ordenador doméstico a todos los programas, archivos

y recursos de red del ordenador de trabajo tal y como si estuviera en la oficina.

World Office 22

World Office es un ERP totalmente integrado, que permite manejar en tiempo real

todos los procesos administrativos, financieros, contables, de facturación

electrónica y nómina electrónica sin necesidad de interfaces ni procesos

adicionales. Es el software más fácil de manejar del mercado y el más económico

frente a sus competidores.

ISP 23

Un proveedor de servicios de Internet (ISP) es una entidad que ofrece acceso a

Internet mediante diferentes métodos de conexión (y velocidades) como:

conexión telefónica, módem por cable, DSL, acceso inalámbrico o

interconexiones dedicadas de alta velocidad. Un ISP puede ser una empresa de

telecomunicaciones o estructuras independientes de menor tamaño que ofrecen

servicios como acceso seguro y VPN, funciones de búsqueda, correo electrónico,

almacenamiento de datos remoto y otros tipos de beneficios que pueden ser

exclusivos para sus clientes. Las empresas de telecomunicaciones, por su parte,

son operadoras de servicios de telefonía en una zona específica.

HDD Externo 24

Los discos duros (conocidos en algunos países como discos rígidos) son

elementos informáticos que permiten almacenar datos que las computadoras

(ordenadores) aprovechan durante su funcionamiento. Se trata de un dispositivo

dotado con al menos un disco que se une a otros a partir de una misma estructura

o eje donde hay, entre otras piezas, cabezales de lectura y escritura

La mayor parte de los discos duros son internos (es decir, se localizan en el

interior de la estructura o armazón de la computadora), lo que dificulta su

extracción y traslado. Para revertir esta situación, existen los discos duros

21 (ionos, 2012), ionos. (2012, diciembre 7). iones.es. Obtenido de https://www.ionos.es/digitalguide/servidores/know-how/escritorio-remoto-asi-funciona/ 22 (Worldoffice, 2021), Worldoffice. (2021, diciembre 7). Worldoffice. Obtenido de https://worldofficeonline.com/referidos 23 (eset, 2021), eset. (2021, noviembre 07). eset. Obtenido de Alianza Estratégica ISP y Telcos: https://www.eset.com/co/partners/programa-isp/ 24 (Gardey, 2021), Gardey, J. P. (2021, Diciembre 7). Disco duro externo. Obtenido de https://definicion.de/disco-duro-externo/

externos o discos duros portátiles, que funcionan fuera del equipo para facilitar su

transporte. El disco duro externo suele conectarse a la computadora a través

de USB o Firewire, aunque hay algunos que mantienen las

conexiones SCSI o SATA de los discos duros internos.

Veeam Backup 25

Es un software de copias de seguridad que funciona para los ambientes virtuales

de Vmware y Microsoft Hyper-v, el cual se encarga de respaldar la información

de máquinas virtuales, además de ofrecer una recuperación rápida, flexible y

fiable de aplicaciones y datos virtualizados.

2.2 Marco institucional

2.2.1 Plataforma estratégica de la empresa IBC Importaciones

La plataforma estratégica de la empresa se compone de la siguiente información que

se detalla a continuación:

¿Quiénes somos? Somos una empresa colombiana que cree en el desarrollo de su país y trabajamos en pro de la calidad de los Laboratorios. Contamos con más de 12 años especializada en la comercialización de insumos para laboratorio con cobertura a nivel nacional. Nuestro objetivo Proveer insumos de alta calidad y asistencia técnica especializada a laboratorios clínicos encargados de la salud a nivel nacional, innovando continuamente para la solución de las necesidades y requerimientos de nuestros clientes.

¿Por qué elegirnos? Con más de 500 clientes satisfechos, generamos un servicio integral en el que encontrarás: Calidad, entregas a tiempo, formas accesibles de pagos, alternativas en productos, acompañamiento administrativo, comercial y servicio postventa. Nuestros valores En IBC Importaciones, cultivamos los valores de la responsabilidad social, honestidad, solidaridad, equidad, paz, perseverancia, para encaminar todos nuestros esfuerzos al mejoramiento continuo, así lograremos una orientación para el manejo de los recursos y reconocimientos por el valor de las personas que componen y complementan nuestra organización.

25 (compusoluciones, 2021), compusoluciones. (2021, diciembre 7). veeam. Obtenido de veeam: https://www.compusoluciones.com/alianzas/veeam/

Calidad Garantizada Contamos con todas las autorizaciones de las entidades reguladoras para la prestación de nuestro servicio. Podrás encontrar mayor información con tu asesor de confianza. Organigrama

Imagen 1. Organigrama empresarial IBC Importaciones. Fuente IBC Importaciones

3. METODOLOGÍA

3.1 Modelo guía ciclo Deming o ciclo PHVA

Imagen 2 ciclo de mejora Deming Guía de estudio capacitación 2021, UCC seminario ISO 27001

Modelo PHVA aplicado como base a los procesos de implementación del SGSI en la

empresa IBC Importaciones

Modelo PHVA

Descripción de Fases

PROCESOS

Planificar

Definir los procesos, objetivos, procedimientos y políticas, requeridos que permitan identificar los riesgos y/o necesidades en el tratamiento de la información aplicados a la organización.

Instaurar el entorno, alcance y limites Definir políticas requeridas del SGSI Identificar, analizar y evaluar riesgos Determinar alternativas para el Plan de tratamiento de riesgos Aceptación y presentación de riesgos Definir aplicabilidad

Hacer

Implementar procesos dando cumplimiento a los lineamientos planteados en el SGSI, aplicando las políticas reglamentadas y presentando las recomendaciones posibles.

Aplicar el plan de tratamiento de

riesgos

Implementar los controles

requeridos

Estipular los alcances de acuerdo

con las métricas establecidas.

Implementar programas de

formación y sensibilización

Aplicar los lineamientos del SGSI

Gestionar los recursos requeridos

para la ejecución propuesta.

Implementar procedimientos y

controles para la gestión de

incidentes de seguridad

Verificar

Evaluar los procedimientos

de la fase de Planificar

referente al cumplimiento

de la fase Hacer para

revisar el cumplimiento y el

éxito del proceso.

Realizar procesos de seguimiento

y revisión y certificación de la

implementación

Ejecutar revisiones periódicas para

cumplimiento y eficacia de los

controles y del SGSI.

Cuantificar la eficacia de los

controles y Verificar la satisfacción

de los Requerimientos de

seguridad aplicados.

Inspección de riesgos de forma

periódica.

Realización de auditorías internas

Revisión de metas y posibilidades

de mejora del SGSI por la

organización.

Actualizar los planes de seguridad

de acuerdo con los nuevos

lineamientos.

Actuar

Emprender acciones analíticas, preventivas y correctivas para promover el desempeño y mejora futura del SGSI.

Implementar las mejoras

identificadas para el SGSI

Poner en práctica las acciones

correctivas y preventivas

pertinentes.

Comunicar y educar sobre las

acciones y mejoras a los implicados

en la organización.

Confirmar que los procesos

aplicados logren los objetivos

previstos.

Señalar acciones que podrían

afectar la eficacia y/o eficiencia de

la implementación

Análisis basado en la definición propuesta en dropbox26

26 (dropbox, 2021), dropbox. (2021, Diciembre 7). PHVA. Obtenido de dropbox: https://www.dropbox.com/es/business/resources/pdca

3.2 Población

Dado a que el proyecto está diseñado para la empresa IBC Importaciones y con

el fin de determinar las vulnerabilidades en la información que presenta la

empresa, se realiza la evaluación y diagnóstico de la infraestructura tecnológica

mediante la documentación de la población que se constituye por los

componentes actuales los cuales son: empleados, proveedores y clientes.

3.3 Técnicas para la recolección y análisis de la información

• Entrevista con el gerente de la empresa

• Evaluación de los equipos físicos

• Lista de chequeo aplicada a la infraestructura de seguridad software y

hardware

• Pruebas de seguridad y protección de datos internos y desde medios

externos

• Pruebas de conectividad entre usuarios y permisos designados

3.4 Técnicas, herramientas y métodos para el diseño e

implementación de los sistemas de gestión tecnológica

Entrevista con el gerente de la empresa: En primera instancia se dialoga con el

gerente general de la empresa en una entrevista privada con el fin de obtener su

consentimiento para realizar los distintos procesos evaluativos de diagnóstico par

así generar las recomendaciones de mejora, adicional tener presente las

eventualidades ya reconocidas por la empresa con anterioridad, conocer el

resultado que desea obtener la empresa de la implementación solicitada y

conocer los alcances tanto estructurales como económicos para llevar a buen fin

la propuesta.

Evaluación de software y hardware: Se realiza la evaluación y diagnóstico del

sistema general de la empresa evaluando los componentes físicos actuales y el

estado estructural de la seguridad a nivel de software con el fin de determinar las

vulnerabilidades y afectaciones su gravedad moldear un plan de mejora de

acuerdo con la prioridad asignada.

Pruebas de seguridad y protección de datos internos y desde medios externos:

se llevaron a cabo valoración de usuarios y accesos a la información desde las

distintas dependencias de la organización y fuera de ellas.

Pruebas de conectividad entre usuarios y permisos designados: Valoración del

nivel de acceso de la información entre las distintas dependencias hacia ellas y

fuera de ellas entre los distintos componentes de la organización sin diferenciar

cargo u oficio.

3.4 Limitantes

Para la creación de la guía documental y de procesos basada en la norma ISO 27001

del sistema de Gestión de Seguridad de la Información se tuvieron inconvenientes

en la organización debido a:

• Dificultades para la recolección de información por falta de documentación y conocimientos previos.

• Desorganización e inexistencia del área de tecnología

• Desconocimiento de la norma ISO 27001 de seguridad de la información, por parte de la organización

• Falta de concientización por parte de la gerencia general sobre la importancia de la seguridad y protección de la información.

4. DIAGNÓSTICO DE LAS CONDICIONES ACTUALES DE IBC

IMPORTACIONES

4.1 Estado De Las Condiciones Actuales

Actualmente toda la Empresa IBC Importaciones cuenta con servicio de internet que aprovisiona el ISP Claro soluciones empresariales con una dirección publica y un internet de 200 MB/S, por medio de esta dirección IP publica acceden al servicio de escritorio remoto, ya que el puerto 3385 se encuentra abierto para este servicio, el ISP realiza la apertura del puerto y direcciona internamente a la IP 192.168.0.150 para que se preste el servicio. La conexión de escritorio remoto se utiliza para acceder a un computador con Windows 10 que permite usar de manera multiusuario y simultanea el servicio de escritorio remoto; se puede afirmar que este equipo hace las veces de servidor de aplicaciones y servidor de archivos, ya que permite la conexión al Software ERP World Office y almacena los archivos compartidos que genera la empresa en las diferentes áreas. Este mismo equipo comparte la información para los todos los usuarios de la compañía tanto locales como externos.

En validaciones de seguridad no se detectan que tenga gestión interna de dispositivos como Router, Switches, puntos de acceso, tampoco se detectan el uso de firewall físico ni por medio de Software para controlar, en cuanto a Software de protección antivirus se cuenta con el propietario de Microsoft embebido en los computadores de escritorio.

Como plan de contingencia la organización cuenta con un disco duro externo en donde se realizan los respaldos bajo criterio de la persona encargada de la gestión del software WorldOffice, así mismo se crea una copia de los documentos importantes en el mismo momento que se respalda el exporte de la Base de Datos que entrega el Software. Este proceso se realiza de manera manual y se estima que se realiza de manera mensual. A continuación, se detalla un esquema de la infraestructura actual que tiene la compañía, en esta imagen se detalle la interacción única del Router que presta el operador Claro y es desde este que se conectan todos los dispositivos que trabajan localmente y por medio de este mismo y de la dirección publica se conectan los clientes remotos.

Imagen 3, Situación actual de infraestructura. Fuente: Diseño para IBC realizado en Packet Tracer

8.1

Entrevista con el gerente

En la entrevista con la gerente general Andrea Ramírez de la compañía IBC

Importaciones, nos comenta que la empresa, actualmente son en total 5

colaboradores en cargos administrativos, ventas y logística; ella se ve en la

necesidad de aplicar organización, seguridad y respaldo a sus activos

informáticos, fundamentalmente por las siguientes razones que nos expone:

1. Porque recientemente su información fue secuestrada por un Ramsonware y

el ataque produjo reprocesos importantes en las actividades comerciales y

logísticas propias del negocio.

2. Por el proyecto que tiene a futuro de crecimiento y la necesidad de incorporar

ejecutivos de venta para potenciar financieramente la compañía, que puedan

trabajar de manera remota y segura desde cualquier lugar del país.

3. La necesidad de mantener un respaldo centralizado de todas las áreas de la

compañía que le permita tener continuidad del negocio, tanto para la

información generada y el software ERP World Office.

4. La necesidad de implementar una infraestructura que le permita la integración

del comercio electrónico

Encuesta Realizada

Encuesta - lista de chequeo

IT Si No Observación

¿Cuentan con departamento de IT? X ¿Cuentan con personal de IT? X

¿Cuentan con terceros en caso de requerir IT? x

De acuerdo con necesidad, sin contrato fijo, ni ANS

Protección ante Virus y Malware ¿Cuentan con software antivirus? x Microsoft

¿Cuentan con software antimalware? x Microsoft

Respaldo y Redundancia ¿Cuentan con respaldos de seguridad? x Mensual

¿Realizan respaldos de seguridad en todas las áreas? X Solo al ERP

¿Los respaldos se realizan locales? x En el equipo de computo

¿Realizan respaldos externos? x En disco duro externo

¿Realizan respaldos de contingencia en nube? X Control de acceso Redes LAN - WLAN - WAN ¿Cuentan con Enrutador administración propia? X ¿Cuentan con puntos de acceso con administración propia? X ¿Cuenta con algún lugar designado para los elementos de redes Norma ANSI/TIA/EIA-569? X ¿Manejan al menos una red corporativa privada y una para invitados aislada? X

Solo una red WiFi para todos los equipos

¿Las contraseñas de red son seguras? X Control de acceso equipos de computo ¿Las contraseñas de los equipos de cómputo son seguras? X ¿Los usuarios de los equipos de cómputo son limitados? X ¿Se tiene implementado un directorio activo? X ¿Se tiene implementado políticas de bloqueo para los equipos de cómputo? X políticas de seguridad

¿La empresa cuenta con políticas establecidas para el uso de los equipos de cómputo? X ¿La empresa cuenta con políticas ante ataques cibernéticos? X ¿La empresa cuenta con políticas ante infección por virus informáticos? X ¿La empresa cuenta con políticas de respaldo o back up? x

Resultado de la lista de chequeo con relación al cumplimiento de las políticas

basadas en cumplimiento de la normatividad ISO 27000

Descripción Valor

Numero de respuestas Si 6

Numero de respuestas No 17

Total, de preguntas 23

Para la anterior lista de chequeo se entiende cada enunciado con igual número

de importancia.

Imagen 4, Diagrama porcentual resultados encuesta

Interpretación

La interpretación porcentual indica que la situación actual de la compañía debe

prestar mayor atención a los 17 enunciados que presentan dificultad o se

respondió negativamente, que equivalen al 74 % de factor crítico por

vulnerabilidad, autonomía o falta de control.

26%

74%

Diagrama de respuestas

Respuestas Si

Respuestas No

4.2 Determinación De Factores Críticos

Los factores críticos de la compañía se determinaron principalmente por la

entrevista con el gerente y con la lista de chequeo, siendo importante resaltar los

siguientes puntos:

a) La falta de respaldos automáticos y en todas las áreas de manera automática.

b) La falta de control de acceso al dispositivo

c) La necesidad de tener un servidor de aplicaciones que permita separar la

estación de trabajo del usuario con el servicio de escritorio para acceder al

servidor que hospeda el ERP World Office.

d) El uso de VPN para las conexiones realizadas fuera de la compañía de una

manera más segura.

4.3 Identificación De Hallazgos Significativos a. La falta de respaldos automáticos en todas las áreas de manera automática,

garantizando la continuidad del servicio con respaldo externo del equipo de

cómputo y en la nube.

b. La brecha de seguridad que produce tener el puerto de escritorio remoto

abierto

c. Vulnerabilidad en las conexiones de red WIFI, al no tener un ambiente privado

empresarial.

d. Falta de control al momento de acceder a los equipos de cómputo, con

contraseñas seguras y políticas de autobloqueo.

e. Organizar adecuadamente la confidencialidad de las carpetas compartidas que

contienen información privada

5. DISEÑO DE UNA PROPUESTA DE MEJORA PARA LA

VIRTUALIZACIÓN DE SERVICIOS DE APOYO Y SOPORTE PARA LA

GESTIÓN DE LA INFRAESTRUCTURA TECNOLÓGICA DE LA

EMPRESA IBC IMPORTACIONES BASADO EN LA NORMA ISO

27001

A continuación, se describe los dos apartados complementarios de las mejoras a

implementar en la empresa IBC importaciones, estas dos propuestas se

complementan para minimizar los riesgos y vulnerabilidades detectadas en el

diagnostico.

5.1 Mejora en la infraestructura

Esta mejora se centra en la instalación de elementos de red que permitan la

administración, seguridad y control de acceso al medio con el fin de minimizar la

intrusión de personal no autorizado a la red de la compañía, a continuación, se

describe con mayor detalle la solución propuesta, los detalles y la función que

cada uno prestara.

Imagen 5, Infraestructura física mejorada posterior a la implantación presentada.

Fuente: Diseño para IBC realizado en Packet Tracer 8.1

5.1.1 Instalación de un enrutador administrado

La instalación de un Router administrado tipo pequeñas empresas, permite brindar el

control necesario a la compañía de acceso, puesto que con el vamos a administrar

factores críticos identificados en el diagnostico, este enrutador tendrá capacidades

altas en funcionalidad, que se describen a continuación:

Función control de WAN: El enrutador tendrá la capacidad de soportar el tráfico de

entrada entregado por el ISP y así mismo soportar la gestión de la dirección IP publica,

esto con el fin de mantener el control de tráfico y de puertos.

Función de control LAN: El enrutador debe tener la capacidad de brindar el servicio

de DHCP, para entregar las direcciones IPs de los equipos clientes que se conecten

y requieran funcionar dentro de la red, así mismo se podrá administrar los puertos

físicos y de acceso entre mantenerlos encendidos o apagado si se requiere.

Función de Firewall: El enrutador tendrá control de firewall que permitirá bloquear la

navegación por defecto en puertos virtuales, ejecución de plugin y complementos y

denegación a páginas WEB

Función de VPN: El enrutador contara con la función de VPN, para permitir el acceso

de clientes externos a la red de la compañía y asegurando la continuidad del trabajo

cuando los colaboradores deban trabajar en la compañía de manera remota. Esto

mitiga la vulnerabilidad que se presenta al publicar el puerto de escritorio remoto en

el NAT realizado para acceder al equipo servidor.

5.1.2 Instalación de un punto de acceso administrado

Se instala y configura un punto de acceso que permita el acceso de los clientes a

conexión a internet. En esta administración se agregarán dos configuraciones de

SSID; uno para la red corporativa que permita el acceso a los elementos de red y al

servidor de aplicaciones WO y el segundo SSID que brinde protección de acceso a la

red interna es decir un acceso como invitado para que no permita el acceso de

personas no autorizado.

Dado que el lugar es pequeño y la demanda de cobertura es baja para dos estaciones

de trabajo y celulares, se utilizará solo un punto de acceso para realizar la

configuración de la red corporativa y una red adicional aislada para invitados, esto

con el fin cubrir las necesidades de cuando clientes y terceros soliciten a la

organización conexión a internet.

5.1.3 Configuración de clientes VPN

Este apartado se trata de configurar el enrutador para que permita el acceso de

clientes remotos a la red de la compañía de manera segura, de esta manera se deja

de publicar el puerto de escritorio remoto y se asigna el uso de una VPN tipo PPTP,

con acceso por usuario, contraseña y encriptación de tráfico para el acceso al servicio

RDP del servidor de aplicaciones.

5.1.4 Configuración de Firewall

En la configuración de Firewall se configura el enrutador para que se puedan restringir

ciertos tipos de navegaciones, control de contenido, ejecución de complementos,

bloqueo de conectores peligrosos, entre otros.

5.2 Mejora al servidor de aplicaciones, respaldo y acceso remoto RDP

Imagen 6, Infraestructura de hardware y software trabajando en conjunto, muestra la estructura del

cliente servidor, el respaldo de nube y los permisos externos. Fuente: Diseño para IBC realizado en

Microsoft Visio

En las proyecciones de mejora sobre el servidor de aplicaciones, respaldo y acceso

remoto se detallan las siguientes acciones que mitigaran altamente las

vulnerabilidades y ayudaran al rendimiento del sistema.

5.2.1 Configuración Servidor Host

Este servidor se encargará de mantener en servicio la máquina virtual en Hyper – V,

del servidor de aplicaciones y el Software de respaldo Veeam Backup, este servidor

se configura en base Windows Server. Es importante destacar que este servidor es

físico y su principal función es gestionar y mantener, ya que en caso de surgir alguna

eventualidad de tipo catástrofe, sea fácil iniciar nuevamente reconfigurando sus

servicios, con el menor traumatismo.

5.2.3 Configuración Máquina virtual

La máquina virtual será la encargada de almacenar el servidor de aplicaciones, es

donde se hace la instalación del Software ERP World Office y se configuran de

manera adecuada los servicios de escritorio remoto para que los usuarios puedan

acceder de manera segura a consumir los servicios del Software.

Dado que en el servidor de aplicaciones se producen los documentos importantes de

la empresa se establecen carpetas con acceso restringido a las diferentes áreas de

la compañía

5.2.4 Configuración NAS

Este medio de almacenamiento se encargará de mantener los respaldos que se

generan por medio de la gestión realizada del servidor Host. Es en este

almacenamiento que se centraliza el respaldo de la documentación generada, la base

de datos del Software ERP WO y la máquina virtual del servidor de aplicaciones,

adicionalmente se tendrá la replicación del almacenamiento sobre el “Cloud Service”

o servicio de almacenamiento en la nube de OneDrive.

5.2.5 Veeam BackUp

Este Software de gestión permite la automatización de respaldos

5.3 Plan de mejoramiento

Políticas de cumplimiento obligatorio basadas con el SGSI de la norma Iso 27001

A.5.1.1 políticas para la seguridad de la información

Control Se debe definir un conjunto de políticas para la seguridad de la información,

aprobada por la dirección, publicada y comunicada a los empleados y a las partes

externas pertinentes.

- Informar, educar y concientizar sobre el SGSI, su cumplimiento, aplicaciones e

implicaciones positivas y negativas.

- Aplicaciones y obligaciones específicas para las distintas áreas de la

organización.

- Monitoreo frecuente del cumplimiento del SGSI implementado.

A.6.2.1 Política para los dispositivos móviles

Control: Se deben adoptar una política y unas medidas de seguridad de soporte, para

gestionar los riesgos introducidos por el uso de dispositivos móviles.

- Límite de porte de dispositivos móviles a personal especifico.

- Restricción de uso de dispositivos móviles en locaciones específicas de la

organización.

- Límites de acceso y protección de dispositivos específicos de la compañía.

- Cláusula de tenencia de dispositivos suministrados por la compañía

A.6.2.2. Teletrabajo

Control: Se deben implementar una política y unas medidas de seguridad de soporte,

para proteger la información a la que se tiene acceso, que es procesada o

almacenada en los lugares en los que se realiza teletrabajo

- Garantizar un canal de comunicación seguro.

- Límite de acceso a la información de la organización desde las redes públicas

o fuera de la empresa

- Protección y registro de acceso a la información desde canales externos.

A.9.1.1 política de control de acceso

Control: Se debe establecer, documentar y revisar una política de control de acceso

con base en los requisitos del negocio y de seguridad de la información.

- Segmentación y clasificación de los tipos de información

- Asignación de recursos para el acceso a la información requerida de acuerdo

con la segmentación realizada.

- Limites administrativos a la asignación de recursos de acceso.

- Registros o histórico de accesos.

A.10.1.1 política sobre el uso de controles criptográficos

Control: Se debe desarrollar e implementar una política sobre el uso de controles

criptográficos para la protección de la información.

- Limitar el uso y tenencia de dispositivos de uso criptográfico a personal

especifico.

- Bloqueo, registro y alarma del uso de dispositivos criptográficos al tener

contacto con la red de la organización.

- Revisiones periódicas por parte del personal de seguridad.

A.11.2.9 Política de escritorio y pantalla limpios

Control: Se debe adoptar una política de escritorio limpio para los papeles y medios

de almacenamiento removibles, y una política de pantalla limpia en las instalaciones

de procesamiento de información.

- Educación sobre la política de escritorio y pantalla limpios dando claridad en

los elementos admitidos y cuales no explicando su respectivo riesgo.

- Prevención de accidentes, riesgos y afectación de equipos

- Generación de alarmas y advertencias.

- Uso apropiado de recursos.

A.12.3.1 Respaldo de información

Control: Se deben hacer copias de respaldo de la información, software e imágenes

de los sistemas, y ponerlas a prueba regularmente de acuerdo con una política de

copias de respaldo acordadas.

- Aplicación de copias de seguridad funcionales y de múltiples opciones de

respaldo.

- Límite de acceso a personal autorizado a los respaldos

- Registro obligatorio de los procesos realizados sobre los distintos respaldos de

la organización.

5.4 Propuesta económica

Se genera una propuesta económica para el día 7 de diciembre, este presupuesto es

entregado a la alta gerencia donde se evalúan los costos de ejecución para llevar a

buen término la mejora propuesta a la empresa IBC importaciones, en esta se detallan

el costo de los insumos o dispositivos y la mano de obra.

PRESUPUESTO ESTIMADO IBC IMPORTACIONES

DETALLE

CANTIDA

D COSTO NOTAS TOTAL

Cisco Router RV180

Small business 1 1.200.000 1.200.000

Switch Linksys Lgs

116 Gigabit 16 Puertos 1 330.000 330.000

Tp-link, Router Wifi Dual Band

Gigabit Ac1200, Archer A6

1 200.000 200.000

Servidor Dell Power Edge T40

Intel Xeon 3.5 Ghz 16g 1tb

1 3.200.000 3.200.000

Mano de obra 1 3.000.000 Incluye firewall 3.000.000

Adicionales 200.000

cableado,

conectores y

accesorios

200.000

Iva incluido

TOTAL, EN

PESOS 8.130.000

Tabla 4, propuesta económica

El costo de mano de obra incluye el diagnostico, configuración e implementación de

todas las mejoras propuestas, pero como adicional teniendo en cuenta las demoras

previstas por las horas de trabajo de la organización y previniendo las posibles franjas

de inactividad en la ejecución para no afectar la continuidad operatividad de esta.

Como costos adicionales fijos la empresa debe considerar es que la implantación se

ejecuta mejorando el plan de internet actual y fijando con el ISP Claro el uso del plan

Claro empresas 200 Mbps, por un costo inicial mensual de $149.000, pesos moneda

colombiana.

CONCLUSIONES

• Se puede concluir que de acuerdo con el diagnóstico inicial de las condiciones

de la empresa IBC importaciones requiere una intervención que permita

mejorar la seguridad y minimizar las brechas de vulnerabilidad que se

presentan por administración y control de acceso a la información en la

organización.

• Al ejecutar el proyecto propuesto basado en la metodología PHVA se observa que este trabajo por ciclos permite generar un ambiente trabajo ordenado, donde al cumplir con el cronograma propuesto se refleja el cumplimiento de las metas propuestas y ayuda a que el cliente entienda a pesar del manejo técnico el proceso realizado

• Se considera que es de gran importancia suministrar a IBC Importaciones

herramientas que le permitan la fácil aplicación de la norma ISO 27001

• Suministrar al IBC Importaciones propuestas económicas accesibles y

rentables usando hardware y software de alta tecnología permite el desarrollo

completo del proyecto presentado además la posibilidad de expansión de la

organización y así generar un convenio de trabajo para el mantenimiento y

mejoras de la red y seguridad informática.

RECOMENDACIONES

• Se debe generar políticas basadas en la norma ISO 27000 que permitan

mejorar las condiciones actuales de seguridad informática de la compañía,

importante recalcar el uso de contraseñas seguras, mantener actualizados los

equipos, abrir correos de fuente confirmada, dar el uso adecuado a los

computadores de acuerdo con el ambiente laboral.

• Se debe generar hábitos positivos en los empleados que fomenten conciencia

y buenas prácticas de seguridad informática.

• Se sugiere implementar un sistema de respaldo adecuado de documentos,

bases de datos y cualquier tipo de información sensible, basado en la

continuidad del negocio que permita mantener de manera mínima una copia

local actualizada y una copia espejo fuera de las instalaciones de la compañía.

• Indicarle a la empresa IBC importaciones la importancia del uso del SGSI al

separar los equipos y generar un espacio seguro para su tenencia y protección.

BIBLIOGRAFÍA

NORMA TÉCNICA NTC-ISO-IEC COLOMBIANA 27001 (2.ª ed., pp. 7 -). (2013). (2.ª ed.). Bogota Colombia.: Icontec. Recuperado de file:///C:/Users/gecar/OneDrive%20-%20Universidad%20Cooperativa%20de%20Colombia/UNIVERSIDAD/UCC%20SEMINARIO/ISO27001/Norma%20ISO%2027001%20(2).pdf

Curso ISO 27001 Fundamentos (2.ª ed., pp. 1–115). (2020). (2.ª ed.). Bogota Colombia.: I&T Solutions. Recuperado de file:///C:/Users/gecar/OneDrive%20-%20Universidad%20Cooperativa%20de%20Colombia/UNIVERSIDAD/UCC%20SEMINARIO/ISO27001/Fundamentos%20ISO%2027001%20-%20G3.pdf

GUÍA PARA LA PRESENTACIÓN DEL INFORME DE SEMINARIO DE PERFECCIONAMIENTO (1.ª ed., pp. 1–15). (2020). (1.ª ed.). Bogota Colombia.: Univercidad Cooperativa de Colombia. Recuperado de file:///C:/Users/gecar/OneDrive%20-%20Universidad%20Cooperativa%20de%20Colombia/UNIVERSIDAD/UCC%202021/PROYECTO/GUIA%20SEMINARIO_PGTI%202020.pdf

Router. (2021). Recuperado 5 de diciembre de 2021, de Cisco Business website: https://www.cisco.com/c/es_mx/solutions/small-business/resource-center/networking/what-is-a-router.html

El ciclo Planear, hacer, verificar y actuar. (2021). Recuperado 5 de diciembre de 2021, de Dropbox Business website: https://www.dropbox.com/es/business/resources/pdca

Cisco Packet Tracer. (2021). Recuperado 5 de diciembre de 2021, de Cisco Business website: https://www.netacad.com/es/courses/packet-tracer

Windows Server. (2021). Recuperado 5 de diciembre de 2021, de Windows Server website: https://www.microsoft.com/es-es/windows-server

Cisco Business. (2021). Recuperado 7 de diciembre de 2021, de Cómo configurar un router

website: https://www.cisco.com/c/es_mx/solutions/small-business/resource-

center/networking/how-to-set-up-router.html

Carrión Rosende, I., & Berasategi Vitoria , osune. (2010). Guía para la elaboración de proyectos

(1.ª ed.). España: Jose Miguel Oskoz Izazelaia. Recuperado de https://ivac-

eei.eus/upload/fondos/documentos/145/guia_elaboracion_proyectos_c.pdf

(3.ª ed., pp. 1–18). (2010). (3.ª ed.). Bogota Colombia.: Mintic. Recuperado de https://mintic.gov.co/gestionti/615/articles-5482_G8_Controles_Seguridad.pdf

Sistemas de gestión de la seguridad de la información. (2021). Recuperado 7 de diciembre de 2021, de Fortalecimiento de la gestion TI en el estado website: https://www.mintic.gov.co/gestionti/615/w3-article-5482.html?_noredirect=1

(1.ª ed., pp. 3–218). (2019). (1.ª ed.). Bogota Colombia.: R&M CERTIFIED. Recuperado de file:///C:/Users/gecar/OneDrive%20-%20Universidad%20Cooperativa%20de%20Colombia/UNIVERSIDAD/UCC%20SEMINARIO/ITIL/pdfcoffee.com_itil-4-diapositivas-clases-4-pdf-free.pdf

Maureira Sánchez, D. J. A. (2017). NORMA ISO/IEC 27001 APLICADA A UNA CARRERA

UNIVERSITARIA. Santiago de Chile: Daniel J. Recuperado de

http://repositorio.unab.cl/xmlui/bitstream/handle/ria/3720/a118929_Maureira_D_Norma_ISO_IE

C_27001_aplicada_2017_Tesis.pdf

Barajas Largo, E. (2016). ELABORACIÓN DE UN PLAN DE IMPLEMENTACIÓN DE LA ISO/IEC

27001:2013 PARA LA EMPRESA LIANCAR LTDA. España: Emilio . Recuperado de

http://openaccess.uoc.edu/webapps/o2/bitstream/10609/59406/10/ebarajasTFM1216mem%c

3%b2ria.pdf

Barajas Largo, E. (2016). ELABORACIÓN DE UN PLAN DE IMPLEMENTACIÓN DE LA ISO/IEC

27001:2013 PARA LA EMPRESA LIANCAR LTDA. España: Emilio . Recuperado de

http://openaccess.uoc.edu/webapps/o2/bitstream/10609/59406/10/ebarajasTFM1216mem%c

3%b2ria.pdf