1
Fundamentos de Ciberseguridad Análisis de Casos de Estudio de Ciberseguridad en Call Centers (MARZO 2018) Elio Enrique Castellón Torres, Rodrigo Antonio Martínez Álvarez, Oscar Daniel Elias Sánchez. Resumen— El presente artículo describe la solución de dos casos de estudio de la cátedra de Fundamentos de Ciberseguridad, de la maestría en seguridad y gestión de riesgos, se proponen soluciones que se apegan a los referentes vistos durante el periodo de la materia, se identificaron factores de seguridad y factores de riesgos que determinan la continuidad de los servicios brindados por las empresas en los dos casos respectivamente, para el caso uno se brinda una solución integral de implementación de dispositivos de seguridad a nivel de red y usuarios finales detallando el valor de la inversión y y el beneficio obtenido después de la implementación de estas medidas de seguridad, para el caso 2 se evalúa una solución mas amplia a nivel corporativo, donde se estandariza procesos , proveedores de proponen políticas y otras medidas de seguridad adicionales para poder dar respuesta a los requerimiento planteados por la empresa.
En el marco de este trabajo se realizó una investigación documental de las herramientas y sistemas involucrados en los casos de estudio, se analizaron las necesidades de los planteamientos y determino trabajar bajo el enfoque de ciberseguridad de eliminar de la ecuación de riesgo a tantas amenazas como sea posible, minimizar el impacto y definir protocolos de actuación para prevenir, en la medida que los riesgos se conviertan en incidentes de seguridad y que puedan causar los daños o generar perdidas económicas en las empresas. OBJETIVOS A. Objetivo General Desarrollar soluciones que abarquen las problemáticas presentadas y sus diferentes requerimientos en ambos casos de estudio, considerando primordial la integridad, confidencialidad y disponibilidad de la información. B. Objetivos Específicos
Palabras claves: ˗˗ ROSI, Call Center, Riesgos Informáticos, Seguridad, Firewall, Planta Telefónica, CRM, Salesforce, escuchas telefónicas.
INTRODUCCIÓN
E
N el siguiente artículo se presentará un análisis y soluciones
de dos casos de estudio de la catedra de fundamentos de ciberseguridad, las dos soluciones presentadas en la cuales se ha aplicado los diferentes enfoques de trabajo propuestos por la ciberseguridad, desde la identificación de los factores clave de seguridad, los riesgos y las posibles vulnerabilidades en los sistemas de las organización en las diferentes etapas de implementación de los proyectos propuestos, tomando como base el valor de la información como un bien intangible y de suma importancia para las empresas, se dará a conocer un enfoque de cálculo de beneficios respecto a los riesgos, además de conocer dispositivos que ofrezcan un ventajas tecnológicas que cumplen con los requerimientos y se ajustan a las necesidades de seguridad dispuestas en los casos de estudio ante posibles, con el fin de anticipar posibles incidentes de seguridad, que comprometan la integridad, disponibilidad y confidencialidad de la información y activos de las empresas.
- Comprender las diferentes problemáticas que se están presentando en las empresas y cuáles son los factores que intervienen en ellos. - Justificar las distintas alternativas seleccionadas para cada solución propuesta, en el marco de la seguridad. Brindar soluciones que aporten a la calidad de los servicios y aporten valor a las empresas.
MARCO DE INVESTIGACIÓN Marco teoríco El trabajo de investigación está elaborado mediante la recopilación de información técnica, conceptos y definiciones de los temas a tratar, con el propósito de procurar coherencia y consistencia de los principios de seguridad y enfoques en los que se basa este trabajo.
2 Centro de llamadas Históricamente, los Call Centers nacieron de la oportunidad de prestar un servicio inmediato al cliente a través del teléfono. Al principio era principalmente informativo y tenía un carácter de servicio accesorio a la oferta principal del producto. Sin embargo, su utilización se expandió considerablemente, debido principalmente a dos factores: • Fuerte competencia, que convirtió un servicio de lujo en un canal habitual y necesario de contacto con el cliente. • Fuerte demanda del cliente particular, que cada vez goza de menos tiempo de ocio y por tanto le da más valor a su tiempo libre. Esto, unido a una fuerte innovación tecnológica, hacía presagiar al sector un brillante porvenir, que en la realidad no ha cubierto todavía las expectativas que se habían puesto en él. Ahora bien, cabe destacar el esfuerzo que están realizando las compañías del sector por corregir y potenciar las carencias que en el día a día se están dando CRM Un CRM es una solución de gestión de las relaciones con clientes, orientada normalmente a gestionar tres áreas básicas: la gestión comercial, el marketing y el servicio postventa o de atención al cliente. El uso de un CRM forma parte de una estrategia orientada al cliente en la cual todas las acciones tienen el objetivo final de mejorar la atención y las relaciones con clientes y potenciales. La herramienta CRM y la orientación al cliente proporcionan resultados demostrables, tanto por disponer de una gestión comercial estructurada y que potencia la productividad en las ventas como por ofrecer un conocimiento profundo del cliente que permite plantear campañas de marketing más efectivas. Las funciones de atención al cliente de una herramienta CRM potencian además la fidelización y satisfacción de los clientes, lo que tiene un impacto muy positivo en términos de ventas recurrentes y cruzadas. Salesforce SalesForce, es una herramienta de gestión de relaciones con clientes que nos ayuda en esta tarea aportando una agenda, una herramienta para concertar citas, y múltiples opciones para realizar un seguimiento de nuestras actividades comerciales. Entra dentro de la categoría de programas CRM, Customer Relationship Management. Según sus siglas en inglés se refiere específicamente a la gestión de las relaciones con nuestros clientes y en un sentido amplio es ante todo una filosofía empresarial que no está ligada ninguna tecnología. Productos como SalesForce, SugarCRM.com o MSDynamics CRM son buenas implementaciones que facilitan su adopción.
Relaciones con clientes. Esta es la clave. A diferencia de las teorías de marketing masivo, la filosofía CRM nos dice que tratemos a los clientes uno a uno, que conozcamos sus necesidades y gustos individuales y que tengamos en cuenta su historial de compra para atenderlo de la mejor manera posible. Esto ya lo hacía el tendero de toda la vida, sólo que para él era posible acordarse y llevar de cabeza las preferencias de su centenar de clientes. Otra cosa distinta es si tenemos que tratar con miles de contactos. En ese caso necesitaremos la ayuda de un software específico que vaya más allá de la agenda y calendario que ofrecen Outlook o Gmail. Algo que nos permita agrupar cuentas, colaborar entre un equipo de vendedores disperso, centralizar el registro de comunicaciones con nuestros clientes y obtener informes de evolución y estado. La seguridad de la información como inversión. ¿El riesgo merece la inversión? Y es que la cultura de la reactividad frente a la preventiva está tan extendida, que, si no se ha tenido recientemente un incidente de seguridad informática en una empresa, la lectura que se suele hacer es que “si no se está teniendo accidentes es que todo se está haciendo bien, para qué entonces hacer más inversiones”. Se percibe entonces que la intención de inversión en Seguridad en la Información es inversamente proporcional a los resultados que se está obteniendo. ROSI (retorno de inversión en seguridad de la información) Tradicionalmente, para cualquier gestor una inversión debe tener unos ingresos superiores a la misma, de lo contrario no es viable. ¿Cómo cuantificar o medir entonces la rentabilidad de la seguridad? El problema es que, si bien podemos calcular el coste total de la inversión en Seguridad de la Información, los ingresos los deberíamos medir como el ahorro de costes ante un incidente en nuestros sistemas. Pero la opinión general en las empresas y de algunos profesionales de nuestro país es que es difícil de calcular y cuantificar. Sin embargo, hay una manera de estimar los beneficios financieros (es decir, ahorro de costes) de seguridad de la información y de cuantificar la inseguridad. En primer lugar, es necesario estimar el coste del daño potencial que se produciría ante un incidente, teniendo en cuenta los siguientes factores: • El alcance del incidente potencial, qué departamentos se verían afectados, unidades y procesos del negocio. • El coste externo de la reposición de equipos, bienes y materiales que fueron dañados por el siniestro. • El coste interno de los empleados dedicados a resolver el
3 incidente. • Sanciones legales y/o contractuales si no se cumple con la legislación vigente o con nuestros clientes. • La pérdida de ingresos, tanto de los clientes actuales, como de los potenciales en el momento del siniestro. El siguiente paso consiste en estimar la probabilidad del suceso. Para ello hay que tener en cuenta las amenazas y vulnerabilidades de nuestro actual sistema, así como las medidas de seguridad existentes en el momento de la evaluación. La mejor manera es evaluar la frecuencia temporal con la que un incidente de este tipo podría tener lugar. Cuando se multiplica la esperanza de pérdida y la probabilidad del suceso, obtenemos la Esperanza Perdida Anualizada (ALE). Por último, es necesario estimar cuánto va a costar las medidas de seguridad a implantar teniendo en cuenta los siguientes factores: • Valor de adquisición. Coste del hardware, del software, servicios de implementación, etc. • Valor residual de las medidas de seguridad. • Los costes externos de mantenimiento. • Los costes internos de mantenimiento, principalmente empleados destinados al efecto FIREWALL como seguridad en la red Un Firewall NextGen o de siguiente generación es un sistema de seguridad para redes dentro de un dispositivo de Hardware o en una versión basada en software que es capaz de detectar y prevenir ataques sofisticados a través de forzar políticas de seguridad a nivel de aplicación, así como a nivel de puertos o protocolos de comunicación. Los Firewalls NextGen integran tres activos principales: • Capacidades empresariales. • Un sistema de prevención de intrusión (IPS) • Control de aplicaciones. En adición al filtrado dinámico de paquetes (DPS) de los firewalls de primera generación, un NGFW provee contexto adicional a la toma de decisión del firewall al proveer la habilidad de entender los detalles del tráfico que está pasando a través de la aplicación WEB y tomar acciones para bloquear el tráfico que pudiera conducir a explotar una vulnerabilidad en la infraestructura de red. Los Firewalls NextGen combinan las capacidades de los firewalls tradicionales, incluyendo, filtrado de paquetes, traducción de direcciones de red (NAT) Bloqueo de URL y redes privadas virtuales (VPN) con funcionalidades de calidad de servicio (QoS) y otras capacidades no encontradas en Firewalls de primera generación, entre estas se incluyen: • Prevención de Intrusión
• Inspección SSL y SSH • Inspección profunda de paquetes de comunicación • Detección y prevención de malware basada en reputación • Reconocimiento de apps Los Firewalls NextGen buscan reducir de manera importante el creciente número de ataques que se llevan a cabo en las capas 4-7 del modelo OSI para redes. (Capa de Transporte, Capa de Sesión, Capa de Presentación y Capa de Aplicación) MEDIDAS DE SEGURIDAD Doble factor de autenticación Debido a que han aumentado considerablemente las técnicas para romper o comprometer contraseñas, de diversas formas, las cuales son cada día más sofisticadas, las buenas prácticas muchas veces no son suficientes y nos encontramos con la realidad de que, aún habiendo tomado todas las precauciones, nuestra contraseña se vio 10 expuesta debido a factores que escapan de nuestro control. Es por eso que surgió el concepto de autenticación de doble factor. ¿Qué es la Autenticación de doble Factor? Un sistema de doble autenticación es aquel que utiliza dos de los tres factores de autenticación que existen para validar al usuario. Estos factores pueden ser: • Algo que el usuario sabe (conocimiento), como una contraseña. • Algo que el usuario tiene (posesión), como un teléfono o token que le permite recibir un código de seguridad. • Algo que el usuario es (inherencia), o sea, una característica intrínseca del ser humano como huellas dactilares, iris, etc. Por lo general, los sistemas de doble autenticación suelen utilizar los factores conocimiento (nombre de usuario y contraseña) y posesión (teléfono o token para recibir código de seguridad. Se trata de una medida de seguridad adicional que complementa la autenticación tradicional en los servicios. En otras palabras, además de requerir un nombre de usuario y contraseña, solicita el ingreso de un segundo factor de autenticación, como puede ser, por ejemplo, un código de seguridad. Generalmente, este código se genera en un dispositivo del usuario como un teléfono celular o token. Luego, la persona debe ingresarlo para poder validarse en el sistema. Con este modelo de autenticación, si un atacante ha logrado obtener el usuario y contraseña de alguna manera, aún así no podrá iniciar sesión debido a que no tendrá forma de obtener el código de seguridad ya que no posee el dispositivo del usuario. Sistemas eléctricos de alta disponibilidad UPS Centralizada Como el nombre lo sugiere, la infraestructura de backup centralizada consiste en una o dos
4 UPS grandes colocadas a lo largo del perímetro de la sala de servidores, al final de una línea de servidores, o en una localización independiente, cercana. Las UPS centralizadas son semejantes a una red gigante de protección de energía que engloba a toda la red de una organización. Para las grandes empresas, la protección de energía monofásica, común en las UPS descentralizadas menores, es probable que sea insuficiente para sus necesidades de protección de energía. La UPS centralizada está proyectada teniendo en mente las necesidades de hardware de los servidores de alta densidad. Como éstos normalmente operan con energía trifásica, la UPS más robusta es la elección adecuada, en la medida en que puede proveer protección tanto para cargas trifásicas como para cargas monofásicas. Los servidores ahora están operando considerablemente más intensamente que en épocas pasadas, pero las temperaturas más altas pueden reducir drásticamente la vida útil de las baterías de la UPS. La localización remota de la UPS 11 centralizada protege a sus baterías, extendiendo, de esta forma, su ciclo de vida y reduciendo las demoradas y caras sustituciones prematuras de las baterías. Las UPS centralizadas operan generalmente en línea, en arquitectura de doble conversión, que produce una mayor estabilidad en la curva de potencia y elimina la mayoría de las fallas de energía (o sea, picos, distorsiones, surtos). La UPS descentralizada, por otro lado, fue concebida para reaccionar a distorsiones de energía (por medio de una arquitectura interactiva con la línea), lo que puede significar que las anomalías son transferidas a dispositivos finales. Además, en una arquitectura de backup centralizado, las UPS se mantienen apartadas de los racks de servidores, liberando espacio crítico para el hardware del servidor. Políticas de seguridad Una política de seguridad informática es una forma de comunicarse con los usuarios y los gerentes. Las PSI establecen el canal formal de actuación del personal, en relación con los recursos y servicios informáticos, importantes de la organización. No se trata de una descripción técnica de mecanismos de seguridad, ni de una expresión legal que involucre sanciones a conductas de los empleados. Es más bien una descripción de los que deseamos proteger y el porqué de ello. Cada PSI es consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informáticos críticos de la compañía. Elementos de una política de seguridad informática. Una PSI debe orientar las decisiones que se toman en relación con la seguridad. Por tanto, requiere de una disposición por parte de cada uno de los miembros de la empresa para lograr una visión conjunta de lo que se considera importante.
Las PSI deben considerar entre otros, los siguientes elementos: • Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual aplica. Es una invitación de la organización a cada uno de sus miembros a reconocer la información como uno de sus principales activos, así como, un motor de intercambio y desarrollo en el ámbito de sus negocios. Invitación que debe concluir en una posición. • Objetivos de la política y descripción clara de los elementos involucrados en su definición. • Responsabilidades por cada uno de los servicios y recursos informáticos a todos los niveles de la organización. • Requerimientos mínimos para configuración de la seguridad de los sistemas que cobija el alcance de la política. • Definición de violaciones y de las consecuencias del no cumplimiento de la política. • Responsabilidades de los usuarios con respecto a la información a la que ella tiene acceso. Las PSI (Políticas de Seguridad Informática) deben ofrecer explicaciones comprensibles acerca de por qué deben tomarse ciertas decisiones, transmitir por qué son importantes estos u otros recursos o servicios. De igual forma, las PSI establecen las expectativas de la organización en relación con la seguridad y lo que ella puede esperar de las acciones que la materializan en la compañía. Deben mantener un lenguaje común, libre de tecnicismos y términos legales que impidan una comprensión clara de las mismas, sin sacrificar su precisión y formalidad dentro de la empresa. Por otra parte, la política debe especificar la autoridad que debe hacer que las cosas ocurran, el rango de los correctivos y sus actuaciones que permitan dar indicaciones sobre la clase de sanciones que se puedan imponer. No debe especificar con exactitud qué pasará o cuándo algo sucederá; no es una sentencia obligatoria de la ley. Finalmente, las PSI como documentos dinámicos de la organización, deben seguir un proceso de actualización periódica sujeto a los cambios organizacionales relevantes: crecimiento de la planta de personal, cambio en la infraestructura computacional, alta rotación de personal, desarrollo de nuevos servicios, cambio o diversificación de negocios entre otros. Sistemas de vigilancia Los sistemas de cámaras IP ofrecen videovigilancia económica y fácil de administrar para soluciones de seguridad física. ¿Pero sabía que una cámara IP también puede ayudarlo a aumentar la productividad? A continuación, se mencionan algunas de las ventajas
5 empresariales de los sistemas de cámaras IP, así como las características que conviene tener en cuenta a la hora de adquirir una cámara IP. Principales ventajas empresariales de las cámaras IP. • Fortalezca la seguridad física. Las cámaras IP permiten supervisar de manera sencilla y económica oficinas, pasillos, puertas traseras u otros lugares desde cualquier parte del mundo. De esta manera se garantiza la seguridad física de los empleados. • Proteja recursos valiosos. Las cámaras IP también ayudan a proteger inventarios y otros recursos valiosos de la empresa, tal como la información, al prevenir su robo. • Incremente la productividad. Las cámaras IP también ayudan a las empresas a aumentar la productividad, ya que los empleados pueden dedicarse a sus tareas 13 al tiempo que supervisan la recepción, la planta de manufactura, la caja o el depósito. Contratos con limitaciones legales para la seguridad Un acuerdo de confidencialidad (ADC), acuerdo de no divulgación (en inglés nondisclosure agreement o NDA), también referidos como contratos o convenios de confidencialidad, es un contrato legal entre al menos dos entidades para compartir material confidencial o conocimiento para ciertos propósitos, pero restringiendo su uso público. De manera más formal, estos textos se pueden titular también como Acuerdo de confidencialidad y no divulgación. Un ADC crea una relación confidencial entre los participantes para proteger cualquier secreto comercial. Por tanto, un ADC puede proteger información de una empresa privada. Los ADC se firman habitualmente cuando dos empresas o individuos acuerdan alguna relación comercial y necesitan entender los procesos usados en la otra compañía con el propósito de evaluar el interés de dicha relación. Los acuerdos de confidencialidad pueden ser mutuos, de modo que las dos partes tienen restricciones de uso de la información proporcionada, o pueden afectar sólo a una de las partes. También es común que un empleado firme un acuerdo de confidencialidad o acuerdo similar en el momento de su contratación. Son muy comunes en el campo de las tecnologías de la información
que permite proteger a una computadora o una red de computadoras de las intrusiones que provienen de una tercera red (expresamente de Internet). El firewall es un sistema que permite filtrar los paquetes de datos que andan por la red. Se trata de un “puente angosto” que filtra, al menos, el tráfico entre la red interna y externa. Un firewall puede ser un programa (software) o un equipo (hardware) que actúa como intermediario entre la red local (o la computadora local) y una o varias redes externas. Switch Un switch es un dispositivo de propósito especial diseñado para resolver problemas de rendimiento en la red, debido a anchos de banda pequeños y embotellamientos. El switch puede agregar mayor ancho de banda, acelerar la salida de paquetes, reducir tiempo de espera y bajar el costo por puerto. Router Un router también conocido como enrutador, o rúter es un dispositivo que proporciona conectividad a nivel de red o nivel tres en el modelo OSI. Su función principal consiste en enviar o encaminar paquetes de datos de una red a otra, es decir, interconectar subredes, entendiendo por subred un conjunto de máquinas IP que se pueden comunicar sin la intervención de un encaminador (mediante puentes de red o un switch), y que por tanto tienen prefijos de red distintos. Enlace de Red Una red de computadoras es un conjunto de equipos informáticos y software conectados entre sí por medio de dispositivos físicos con la finalidad de compartir información, recursos y ofrecer servicios. Salesforce Salesforce es una empresa estadounidense de software bajo demanda, más conocida por producir un CRM llamado Sales Cloud. Además de esta solución, la empresa cuenta con otros productos con enfoque en la atención al cliente, marketing, inteligencia artificial, gestión de comunidades, creación de aplicativos entre otras frentes. Las soluciones de Salesforce son indicadas para PyMEs y también para grandes corporaciones. ROSI
Marco referencia. A continuación, se presenta el marco de referencia de los elementos tecnológicos contemplados tanto en el caso 1 y 2: A continuación, se presenta el marco de referencia de los elementos tecnológicos contemplados tanto en el caso 1 y 2: Firewall Un firewall (llamado también “cortafuego”), es un sistema
La definición de Retorno sobre la Inversión en Seguridad es la siguiente: ROSI = mitigación del riesgo monetario – costo del control. Por lo tanto, se determina que una inversión en seguridad es rentable si el efecto de mitigación del riesgo es mayor que los costos estimados. ERP Los sistemas de planificación de recursos empresariales
6 ('ERP', por sus siglas en inglés, enterprise resource planning) son los sistemas de información gerenciales que integran y manejan muchos de los negocios asociados con las operaciones de producción y de los aspectos de distribución de una compañía en la producción de bienes o servicios. CRM (Customer Relationship Management) Se aplica a metodologías, software y, en general, a las capacidades de Internet que ayudan a una empresa a gestionar las relaciones con sus clientes de una manera organizada.
organización. Central telefónica: Es el lugar (puede ser un edificio, un local, una caseta o un contenedor) utilizado por una empresa operadora de telefonía donde se alberga el equipo de conmutación y los demás equipos necesarios para la operación de las llamadas telefónicas. Es decir, es el lugar donde se establecen conexiones entre los lazos (bucles) de los abonados, bien directamente o bien mediante retransmisiones entre centrales de la señal de voz. Las centrales se conectan entre sí mediante enlaces de comunicaciones entre centrales o enlaces Inter centrales
Base de Datos Antivirus Una base de datos es un “almacén” que nos permite guardar grandes cantidades de información de forma organizada para que luego podamos encontrar y utilizar fácilmente.
Un antivirus es un programa informático que tiene el propósito de detectar y eliminar virus y otros programas perjudiciales antes o después de que ingresen al sistema.
NGF Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar o descifrar el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios. Los cortafuegos pueden ser implementados en hardware o software, o en una combinación de ambos. Los cortafuegos se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet, especialmente intranets.
Marco Metodológico. Caso 1 Situación Actual Caso 1. A continuación, se presenta el diagrama de la situación actual que posee el call center.
Doble factor de autenticación Se trata de una medida de seguridad extra que frecuentemente requiere de un código obtenido a partir de una aplicación, o un mensaje SMS, además de una contraseña para acceder al servicio. Para los usuarios de PC, que ya están cansados de tener que memorizar una docena de contraseñas, esta parece ser la última cosa que necesitan, pero el doble factor de autenticación puede ser la diferencia entre ser víctima de un cibercriminal y mantenerse protegido. Call Center Call center es una noción de la lengua inglesa que puede traducirse como centro de llamadas. Se trata de la oficina donde un grupo de personas específicamente entrenadas se encarga de brindar algún tipo de atención o servicio telefónico Sistemas transaccionales Es un tipo de sistema de información diseñado para recolectar, almacenar, modificar y recuperar todo tipo de información que es generada por las transacciones en una
Como en el montaje de la infraestructura olvidaron incluir el Firewall solicitan que se adquiera para prevenir ataques provenientes del exterior, además el switch que tienen en su red presenta fallas y por lo tanto se requiere un cambio, también por otros temas de seguridad de base de datos e información sensible se requiere que los usuarios tengan doble autenticación. Todo esto hace que el call center incurra en una inversión y para hacer el análisis de retorno de inversión en seguridad ROSI. Se utilizo el método de ROSI para calcular el retorno de la inversión en seguridad. Para esta parte se tomó como referencia dos escenarios, el de mejor año y peor año dado por el total de llamadas recibidas y convertidas por parte de los agentes del call center. Cada uno de los elementos en el cuadro siguiente representa
7 cada una de las variables que se utilizan para el calculo
Cisco Small Business 200 Series SLM2048T-NA
TABLA II CALCULO DE ROSI Escenario Buen mes Mal mes
InversiĂłn SEC $9,031.85 $9,031.85
SLE
ARO
MR
ALE
$17,826.48 $5,942.16
4 4
95% 95%
$57,600.00
48 x RJ45 + 2 x SFP 8K MAC Address Table 128 VLAN Support Primary Port Speed: 10 GBase-T
FĂłrmula utilizada para el calculo đ?‘…đ?‘‚đ?‘†đ??ź =
đ??´đ??żđ??¸ ∗ đ?‘€đ??źđ?‘Ąđ?‘–đ?‘”đ?‘Žđ?‘Ąđ?‘–đ?‘œđ?‘› đ?‘…đ?‘Žđ?‘Ąđ?‘–đ?‘œ − đ??śđ?‘œđ?‘ đ?‘Ą đ?‘œđ?‘“ đ?‘ đ?‘œđ?‘™đ?‘˘đ?‘Ąđ?‘–đ?‘œđ?‘› đ??śđ?‘œđ?‘ đ?‘Ą đ?‘œđ?‘“ đ?‘ đ?‘œđ?‘™đ?‘˘đ?‘Ąđ?‘–đ?‘œđ?‘›
FIDO U2F Security Key
ALE: Perdida anual esperada. Ratio de mitigación: el måximo rango de mitigación de la solución de seguridad Costo de solución: es el costo de solución de seguridad Luego del cålculo los resultados quedaron de la siguiente forma: • • •
TABLA III RESULTADO DE ROSI ROSI (Best case scenario) ROSI (Worst case scenario)
650.02% 150,01%
Tras el anĂĄlisis del ROSI se concluye, que es factible la implementaciĂłn de los equipos de seguridad porque segun el ROSI en ambos escenarios la perdida seria significativa sino se implementan las soluciones propuestas.
• • • • •
Dispositivo para autenticaciĂłn SO soportados: Windows, Linux y Mac Con un toque activa la seguridad en funciĂłn de la criptografĂa de clave pĂşblica. Se identifica como un dispositivo USB HID que es estĂĄndar en todas las computadoras No es necesario instalar ningĂşn software ni controladores del cliente, ni baterĂas, ni partes mĂłviles, y funciona a travĂŠs de USB. Resistente al aplastamiento e impermeable. Pesa solamente 3 gramos. Fabricado en USA y Suecia con alta seguridad y calidad.
D Especificaciones TĂŠcnicas Caso 1
FortiGate-100e
CCTV-Hikvision
Especificaciones • • • • • • • •
6 Gbps salida a travĂŠs del Firewall 4 Gbps rendimiento VPN IPSEC 250 Mbps rendimiento SSL VPN 2.000,000 sesiones concurrentes(TCP)10,000 polĂticas de firewall 30,000 nuevas sesiones/segundo (TCP) 2000 enlaces entre sitios con tunel VPN IPSec VPN Puertos WAN de hasta 2x, LAN 14x (RJ45)y una interfaz DMZ
• • •
Grabador Hikvision 1080 DS-7204HGHI-SH Disco duro 1 TB 5 camaras indoor/outdoor de 710p , 1.27MP, IR, 30 metros, 2.8 - 12mm vari-focal lens, DS-2CE56C5T-(A)VFI
8 Protocolos de Seguridad.
Terminales protegidas por PIN Traducción de Direcciones de Red (NAT por sus siglas en inglés) Protocolos de autenticación PAP/CHAP Perfiles de tiempo Servicio VPN Registro de Auditoría de Gestión de Sistemas
Políticas de seguridad que se implementen, Ejemplo: Bloqueo de puertos, Whitelist de ip's para peticiones entrantes, Manejo de contextos.
Modelos de implementación
El software IP Office virtualizado Servidor dedicado Dispositivo IP Office 500 v2 Cualquier combinación de los anteriores
Asterisk gplv2 versión 14.6.0
Máximo de usuarios
3.000 usuarios Por implementación de AVAYA IP OFFICE
Referencia: Pentium 1, 166mhz, 32meg RAM: Soporta 4 llamadas SIP con códec g71
Dispositivos soportados
Teléfonos IP Teléfonos digitales Teléfonos analógicos Softphones Inalámbricos Analógicos y Digitales (incluyendo DECT) Cualquier combinación de los anteriores
Teléfonos IP Teléfonos digitales Teléfonos analógicos
Compatibilidad con CRM
Soluciones CRM Salesforce ü MS Dynamics SAP
SAP SQL Server CRM
Disponibilidad de soporte
Soporte disponible bajo licenciamiento
Dependerá del proveedor de la solución Ejemplo: Teledynamic Communications Teliax Teltub Thinkbright Tincantalk Zingotel
Control de Acceso Hikvision
Módulo de control acceso DS-K2601 Magneto acceso a puerta Marcador de Huella con control a puerta de acceso DS-K1T804 Lector de tarjeta DS-K1101M Tarjetas de acceso
Antivirus Kaspersky Kaspersky antivirus licencia para 5 años para 50 equipos TABLA IV RESUMEN DE COSTOS
# 1 2 3 4 5 6 7
PRODUCTO Firewall FortiGate-100e Licencias Firewall/5 años Cisco Small Business 200 Series SLM2048T-NA FIDO U2F Security Key CCTV-Hikvision Control de Acceso Antivirus Kaspersky
MONTO $2,381.99 $1,899.95 $249.91 $900.00 $600.00 $700.00 $2,300.00 $9,031.85
CONCLUSIÓN CASO 1 El beneficio obtenido tras la implementación de las mejoras en seguridad le asegura buenos márgenes de beneficios financieros a la empresa ya que se superan las amenazas de seguridad más próximas, se le brinda una solida y segura arquitectura de red con un margen de eficiencia sobre el promedio, dicho esto el invertir en las mejoras de seguridad en este caso es de sumo valor para la empresa. CASO 2 Situación actual se desea invertir en mejoras de seguridad como lo son firewalls, políticas entre otras y en la implementación en una actualización en el sistema actual de comunicaciones a Voip, se disponen de recursos financieros ilimitados. TABLA V
Dispositivos propuestos en la solución Avaya IP Office 500 V.2
Escala • •
COMPARATIVA DE PLANTA TELEFÓNICA PUNTOS QUE Avaya IP OFFICE Asterisk VERIFICAR Escala 3.000 usuarios Depende de la 150 sistemas IP Office arquitectura de hardware de los servidores.
Desde cinco hasta 3.000 usuarios. Conecta hasta 150 sistemas IP Office.
9
FortiGate-100e [3] [4] Especificaciones • • • • • • • •
6 Gbps salida a través del Firewall 4 Gbps rendimiento VPN IPSEC 250 Mbps rendimiento SSL VPN 2.000,000 sesiones concurrentes(TCP)10,000 políticas de firewall 30,000 nuevas sesiones/segundo (TCP) 2000 enlaces entre sitios con tunel VPN IPSec VPN Puertos WAN de hasta 2x, LAN 14x (RJ45)y una interfaz DMZ
[5]
[6]
[7]
TABLA VI CANTIDAD DE EQUIPOS PARA CASO 2
CANTIDAD 7 7 7 7 9 7 850
PRODUCTO Avaya IP Office 500 v2 Firewall FortiGate-100e Licencias Firewall por año Switch Cisco Catalyst 2960- 48PSTL Enlaces E1 Protección de enlaces E1 Telefonos IP
CONCLUSIÓN CASO 2 Tras la comparativa se recomienda utilizar la plataforma de comunicaciones de Avaya IP Office 500 v2 debido a su alta compatibilidad con equipos de usuarios finales y soluciones CRM y otras plantas telefónicas, además de tener soporte y asistencia técnica de alta disponibilidad. Avaya cuenta con un gran número de proveedores autorizados a nivel de la región Latinoamérica, que brindan soporte y cumplen con garantías de cambios de piezas y equipos.
REFERENCIAS [1]
[2]
D. P. Valdés, 26 Octubre 2017. [En línea]. Available: http://www.maestrosdelweb.com/que-son-las-basesde-datos/. [Último acceso: 18 Marzo 2018]. A. Mistretta, «blogs.cisco.com,» 28 Julio 2017. [En línea]. Available:
[8] [9]
[10]
[11]
[12]
[13]
https://blogs.cisco.com/collaboration/cisco-a-leaderin-2017-gartner-uc-mq-reports. [Último acceso: 10 Marzo 2018]. S. M. d. León, «Tipos de Enlaces en Redes,» 2014. I. Kohen, «csoonline.com,» 2 Octubre 2017. [En línea]. Available: https://www.csoonline.com/article/3229887/security/h ow-to-calculate-your-return-on-securityinvestments.html. [Último acceso: 15 Marzo 2018]. ESET, «WeLiveSecurity,» 19 Febrero 2014. [En línea]. Available: https://www.welivesecurity.com/laes/2014/02/19/doble-factor-autenticacion-que-esporque-lo-necesito/. [Último acceso: 17 Marzo 2017]. J. C. Diego Amendolia, «criptored.upm.es,» 2004. [En línea]. Available: http://www.criptored.upm.es/guiateoria/gt_m148q.htm . [Último acceso: 18 Marzo 2018]. D. Diaz, «daviddiazdelacruz.wordpress.com,» 12 Mayo 2009. [En línea]. Available: https://daviddiazdelacruz.wordpress.com/2009/05/12/ politicas-informaticas-para-tu-empresa/. [Último acceso: 16 Marzo 2018]. I. Delta Electronics, «UPS CENTRALIZADA Y UPS DISTRIBUIDA: UNA COMPARACION,» 2013. CERT-PY, «cert.gov.py,» Junio 2016. [En línea]. Available: https://www.cert.gov.py/application/files/8914/3230/6 320/Autenticacion_Doble_Factor.pdf. [Último acceso: 13 Marzo 2018]. A. Basalo, «pymesyautonomos,» 15 Marzo 2018. [En línea]. Available: https://www.pymesyautonomos.com/tecnologia/salesf orce-que-la-fuerza-acompane-tus-ventas. [Último acceso: 20 Enero 2012]. «yubico.com,» [En línea]. Available: https://www.yubico.com/products/yubikeyhardware/fido-u2f-security-key/. [Último acceso: 17 Marzo 2018]. «wikipedia.org,» Marzo 2018. [En línea]. Available: https://es.wikipedia.org/wiki/Sistema_de_planificaci% C3%B3n_de_recursos_empresariales. [Último acceso: 18 Marzo 2018]. «wikipedia.org,» 13 Marzo 2018. [En línea]. Available: https://es.wikipedia.org/wiki/Acuerdo_de_confidencia lidad.
10
AUTORES
Elio Enrique Castellón Torres. Graduado de Ingeniería de Sistemas Informáticos, Universidad de El Salvador. Actualmente labora para Sigma Ingenieros SA de CV como Gerente de TI, actualmente esta cursando la Maestría de Seguridad y Gestión de Riesgos Informáticos en la Universidad Don Bosco, San Salvador. Las áreas en las que se ha desempeñado en los últimos 20 años, Desarrollo de Software, Monitoreo de Sistemas y Administración de proyectos de cableado estructurado.
Rodrigo Antonio Martínez Álvarez Originario de la ciudad de Santa Ana, El Salvador, culmino sus estudios como Técnico en ingeniería en sistemas informáticos en La escuela especializada en ingeniera ITCA FEPADE en 2012, posteriormente en 2016, culmina su carrera como en ingeniero en ciencias de la
computación de la Universidad Francisco Gavidia, actualmente tiene 2 años ejerciendo como asistente de informática en Aldeas Infantiles SOS, El Salvador, y se encuentra cruzando una maestría de seguridad y gestión de riesgos informáticos en la Universidad Don Bosco, Antiguo Cuscatlán, El Salvador. Oscar Daniel Elías Sánchez, Graduado de Ingeniería en Sistemas y Computación, Universidad Tecnológica de El Salvador, actualmente cursando la Maestría en Seguridad y Gestión de Riesgos Informáticos, en el Centro de Estudios de Postgrados en la Universidad Don Bosco, Antiguo Cuscatlán, El Salvador. Cuenta con 6 años de experiencia en las diferentes áreas de la informática. En la actualidad se desempeña como ingeniero de software en STB Group.