UNIVERSIDAD DON BOSCO VICERRECTORIA DE ESTUDIOS DE POSTGRADO MAESTRIA EN SEGURIDAD Y GESTION DE RIESGOS INFORMATICOS
TAREA: Resolución caso I y caso II
PROFESOR:
Mtr. RENE ARTURO ANGULO ARRIAZA
PRESENTADO POR: ING. ELIO ENRIQUE CASTELLÓN TORRES ING. OSCAR DANIEL ELIAS SÁNCHEZ ING. RODRIGO ANTONIO MARTÍNEZ ALVAREZ
1
CONTENIDO 1. INTRODUCCIÓN .................................................................................................................................. 1 2. DELIMITACIÓN DEL TEMA Y PLANTEAMIENTO DEL PROBLEMA ....................................... 2 2.1 CASO I ............................................................................................................................................. 2 2.1.1 Delimitación del problema .................................................................................................. 2 2.1.2 Planteamiento del Problema ............................................................................................... 2 2.2 CASO II ............................................................................................................................................ 3 2.2.1 Delimitación del problema .................................................................................................. 3 2.2.2 Planteamiento del Problema ............................................................................................... 3 3. JUSTIFICACIÓN ................................................................................................................................... 4 4. OBJETIVOS .......................................................................................................................................... 5 4.1 General ............................................................................................................................................ 5 4.2 Especifico ....................................................................................................................................... 5 1. MARCO DE INVESTIGACIÓN ........................................................................................................ 6 5.1 MARCO TEORÍCO ............................................................................................................................. 6 5.1.1 Centro de llamadas ................................................................................................................... 6 5.1.2 CRM ............................................................................................................................................... 6 5.1.3 Salesforce .................................................................................................................................... 7 5.1.4 Relaciones con clientes ........................................................................................................... 7 5.1.5 La seguridad de la información como inversión ............................................................... 7 5.1.6 FIREWALL como seguridad en la red .................................................................................. 9 5.1.7 MEDIDAS DE SEGURIDAD ...................................................................................................... 9 5.1.7.1 Doble factor de autenticación ............................................................................................. 9 5.1.7.2 Sistemas eléctricos de alta disponibilidad .................................................................... 10 5.1.7.3 Políticas de seguridad ........................................................................................................ 11 5.1.7.3 Sistemas de vigilancia ........................................................................................................ 12 5.1.7.4 Contratos con limitaciones legales para la seguridad ............................................... 13 5.2 MARCO REFERENCIA ................................................................................................................... 13 5.3 MARCO METODOLOGICO ............................................................................................................ 16 5.3.1 Resolución CASO 1 ................................................................................................................ 16 5.3.1.1Situación actual ................................................................................................................. 16 5.3.1.2 Solución propuesta ......................................................................................................... 16 5.3.1.3 Estado de Resultados (cifras expresadas en miles de dólares). ......................... 17 i
5.3.1.4 Calculo de ROSI ................................................................................................................ 17 5.3.1.5 Identificación de elementos de seguridad y riesgos .............................................. 18 5.3.1.6 Opciones tecnológicas propuestas ............................................................................. 19 5.3.2 Resolución CASO 2 ................................................................................................................ 20 5.3.2.1Situación Actual ................................................................................................................ 20 5.3.2.2Identificación de elementos de seguridad y riesgos ............................................... 20 5.3.2.3 Solución propuesta ......................................................................................................... 23 6.0 Política general de seguridad sugerida. ........................................................................... 25 7. BIBLIOGRAFÍA .................................................................................................................................. 26
ii
1. INTRODUCCIÓN En el siguiente trabajo se presentará un análisis y soluciones de dos casos de estudio de la catedra de fundamentos de ciberseguridad, las dos soluciones presentadas en la cuales se ha aplicado los diferentes enfoques de trabajo propuestos por la ciberseguridad, desde la identificación de los factores clave de seguridad, los riesgos y las posibles vulnerabilidades en los sistemas de las organización en las diferentes etapas de implementación de los proyectos propuestos, tomando como base el valor de la información como un bien intangible y de suma importancia para las empresas, se dará a conocer un enfoque de cálculo de beneficios respecto a los riesgos, además de conocer dispositivos que ofrezcan un ventajas tecnológicas que cumplen con los requerimientos y se ajustan a las necesidades de seguridad dispuestas en los casos de estudio ante posibles, con el fin de anticipar posibles incidentes de seguridad, que comprometan la integridad, disponibilidad y confidencialidad de la información y activos de las empresas. En el marco de este trabajo se realizó una investigación documental de las herramientas y sistemas involucrados en los casos de estudio, se analizaron las necesidades de los planteamientos y determino trabajar bajo el enfoque de ciberseguridad de eliminar de la ecuación de riesgo a tantas amenazas como sea posible, minimizar el impacto y definir protocolos de actuación para prevenir, en la medida que los riesgos se conviertan en incidentes de seguridad y que puedan causar los daños o generar perdidas económicas en las empresas.
1
2. DELIMITACIÓN DEL TEMA Y PLANTEAMIENTO DEL PROBLEMA 2.1 CASO I 2.1.1 Delimitación del problema Una empresa requiere implementar soluciones de seguridad que le permita mitigar riesgos relacionados con: un mal diseño inicial de la arquitectura de la red, perdida de información de clientes y fallas en la red, resultado un equipo de comunicaciones defectuoso.
2.1.2 Planteamiento del Problema Una organización especializada en la venta de Maestrías en línea ha establecido un Call Center regional en El Salvador, se trae tráfico de voz desde México hasta Argentina, se pide una alta calidad del servicio de voz. La empresa quiere una contingencia por fallas de servicios que este ubicada en Honduras, específicamente en la ciudad de Tegucigalpa, la contingencia deberá ser online. Para este propósito, la empresa compro licencias se salesforce.com, para llevar allí la relación con los clientes. Han contratado también un proveedor internacional que es el responsable de traer el tráfico de voz de toda la región y servirlo en El Salvador y/o Guatemala, y tiene una certificación ISO 27001:2013 en el proceso de prestación del servicio y como alcance los procesos relacionados al Call Center. Por salir en internet con Salesforce, existe otro enlace contratado a un proveedor local (El Salvador y Honduras). El Call Center está constituido por 20 computadoras y tienen 40 agentes en turnos rotativos para cubrir horarios desde las 6:00 am hasta las 10:00pm de lunes a domingo. En un día alto de trabajo fluyen 30 llamadas por hora, y en un día bajo 10. El producto se vende a $150 mensuales por 4 años, y la convertibilidad de las llamadas mensuales es de 2% (esperado para el primer año), para el segundo el 3%, y de allí en adelante un 4%. Los pagos de los clientes se realizan por medio de cobros a tarjetas de crédito directamente por el sistema, lo cual fue un desarrollo interno que facilita la reserva de los fondos en la tarjeta de los clientes a quienes se les vende el producto, la ventaja estratégica es la fácil segmentación de direcciones, sexo, edad, tipos de tarjetas de crédito, banco emisor de la tarjeta de crédito.
2
2.2 CASO II
2.2.1 Delimitación del problema Una empresa transnacional, la cual tiene presencia en los países: El Salvador, Honduras, Nicaragua, Costa Rica, Panamá, Guatemala, México DF, esta empresa desea implementar medidas seguridad para solventar problemas de comunicaciones entre países, asegurara los datos entre sistemas transaccionales, ampliar el servicio de telefonía y homogenizar los servicios. 2.2.2 Planteamiento del Problema Una organización transnacional que implementa una red corporativa regional de voz (sus recursos económicos son ilimitados), pero están muy preocupados por temas como el espionaje industrial en las conversaciones que fluyen en el sistema, robo de información de la base de datos, empleados descontentos que estén traicionando a la compañía, también por malos usos de los equipos de comunicación (las plantas de comunicación); estás deben cumplir ciertos temas de negocio como inhabilitación de llamadas entrantes de números desconocidos, inhabilitación de las llamadas a números salientes que no corresponden a números válidos de la oficina; ellos por ejemplo no quieren que de cierto grupo de extensión se llame a países que nos sean los del caso de estudio. Desean también grabar llamadas telefónicas e interactuar con el ERP SAP para ciertas consultas a la base de datos desde un menú interactivo por teléfono. Las oficinas están ubicadas en México (DF) y Centroamérica; todas están instaladas en edificios seguros (de la cadena de edificios del Wall trade Center). Las unidades de negocio de la compañía también están preocupadas por las altas inversiones en las actualizaciones de las plantas telefónicas análogas y otras digitales en sus oficinas (dudan de la veracidad de estos datos ya que parece inversiones de equipos nuevos y no de actualizaciones según el criterio de ellos), estas actualizaciones han traído consigo muchos problemas de intercomunicación, proveedores heterogéneos que no se hacen responsables del tráfico y se pasan el problema entre ellos y el ISP. Se requiere implementar plantas telefónicas y firewalls en los países con los servicios de telefonía.
3
3. JUSTIFICACIÓN En la actualidad la Ciberseguridad es un tema muy importante en las empresas, ya que el tema de la información es considerando crucial para la continuidad de negocio, el asegurar los procesos, bancos de datos, carteras de clientes y transacciones son unos de los hitos que proponen la ciberseguridad en la actualidad, esta es la razón por la cual con la resolución de los casos de estudio antes mencionados proponemos una serie de soluciones tecnológicas que busquen establecer y dar continuidad a los principios fundamentales de la seguridad, además de generar más control al momento de monitorear y dar seguimiento a los eventos de seguridad.
4
4. OBJETIVOS
4.1 General •
Desarrollar soluciones que abarquen las problemáticas presentadas y sus diferentes requerimientos en ambos casos de estudio, considerando primordial la integridad, confidencialidad y disponibilidad de la información.
4.2 Especifico §
Comprender las diferentes problemáticas que se están presentando en las empresas y cuáles son los factores que intervienen en ellos.
§
Justificar las distintas alternativas seleccionadas para cada solución propuesta, en el marco de la seguridad.
§
Brindar soluciones que aporten a la calidad de los servicios y aporten valor a las empresas.
5
1. MARCO DE INVESTIGACIÓN 5.1 MARCO TEORÍCO El trabajo de investigación está elaborado mediante la recopilación de información técnica, conceptos y definiciones de los temas a tratar, con el propósito de procurar coherencia y consistencia de los principios de seguridad y enfoques en los que se basa este trabajo.
5.1.1 Centro de llamadas Históricamente, los Call Centers nacieron de la oportunidad de prestar un servicio inmediato al cliente a través del teléfono. Al principio era principalmente informativo y tenía un carácter de servicio accesorio a la oferta principal del producto. Sin embargo, su utilización se expandió considerablemente, debido principalmente a dos factores: • •
Fuerte competencia, que convirtió un servicio de lujo en un canal habitual y necesario de contacto con el cliente. Fuerte demanda del cliente particular, que cada vez goza de menos tiempo de ocio y por tanto le da más valor a su tiempo libre.
Esto, unido a una fuerte innovación tecnológica, hacía presagiar al sector un brillante porvenir, que en la realidad no ha cubierto todavía las expectativas que se habían puesto en él. Ahora bien, cabe destacar el esfuerzo que están realizando las compañías del sector por corregir y potenciar las carencias que en el día a día se están dando.
5.1.2 CRM Un CRM es una solución de gestión de las relaciones con clientes, orientada normalmente a gestionar tres áreas básicas: la gestión comercial, el marketing y el servicio postventa o de atención al cliente. El uso de un CRM forma parte de una estrategia orientada al cliente en la cual todas las acciones tienen el objetivo final de mejorar la atención y las relaciones con clientes y potenciales. La herramienta CRM y la orientación al cliente proporcionan resultados demostrables, tanto por disponer de una gestión comercial estructurada y que potencia la productividad en las ventas como por ofrecer un conocimiento profundo del cliente que permite plantear campañas de marketing más efectivas. Las funciones de atención al cliente de una herramienta CRM potencian además la fidelización y satisfacción de los clientes, lo que tiene un impacto muy positivo en términos de ventas recurrentes y cruzadas.
6
5.1.3 Salesforce SalesForce, es una herramienta de gestión de relaciones con clientes que nos ayuda en esta tarea aportando una agenda, una herramienta para concertar citas, y múltiples opciones para realizar un seguimiento de nuestras actividades comerciales. Entra dentro de la categoría de programas CRM, Customer Relationship Management. Según sus siglas en inglés se refiere específicamente a la gestión de las relaciones con nuestros clientes y en un sentido amplio es ante todo una filosofía empresarial que no está ligada ninguna tecnología. Productos como SalesForce, SugarCRM.com o MSDynamics CRM son buenas implementaciones que facilitan su adopción. 5.1.4 Relaciones con clientes Esta es la clave. A diferencia de las teorías de marketing masivo, la filosofía CRM nos dice que tratemos a los clientes uno a uno, que conozcamos sus necesidades y gustos individuales y que tengamos en cuenta su historial de compra para atenderlo de la mejor manera posible. Esto ya lo hacía el tendero de toda la vida, sólo que para él era posible acordarse y llevar de cabeza las preferencias de su centenar de clientes. Otra cosa distinta es si tenemos que tratar con miles de contactos. En ese caso necesitaremos la ayuda de un software específico que vaya más allá de la agenda y calendario que ofrecen Outlook o Gmail. Algo que nos permita agrupar cuentas, colaborar entre un equipo de vendedores disperso, centralizar el registro de comunicaciones con nuestros clientes y obtener informes de evolución y estado.
5.1.5 La seguridad de la información como inversión ¿El riesgo merece la inversión? Y es que la cultura de la reactividad frente a la preventiva está tan extendida, que, si no se ha tenido recientemente un incidente de seguridad informática en una empresa, la lectura que se suele hacer es que “si no se está teniendo accidentes es que todo se está haciendo bien, para qué entonces hacer más inversiones”. Se percibe entonces que la intención de inversión en Seguridad en la Información es inversamente proporcional a los resultados que se está obteniendo. ROSI (retorno de inversión en seguridad de la información) Tradicionalmente, para cualquier gestor una inversión debe tener unos ingresos superiores a la misma, de lo contrario no es viable. 7
¿Cómo cuantificar o medir entonces la rentabilidad de la seguridad? El problema es que, si bien podemos calcular el coste total de la inversión en Seguridad de la Información, los ingresos los deberíamos medir como el ahorro de costes ante un incidente en nuestros sistemas. Pero la opinión general en las empresas y de algunos profesionales de nuestro país es que es difícil de calcular y cuantificar. Sin embargo, hay una manera de estimar los beneficios financieros (es decir, ahorro de costes) de seguridad de la información y de cuantificar la inseguridad. En primer lugar, es necesario estimar el coste del daño potencial que se produciría ante un incidente, teniendo en cuenta los siguientes factores: • El alcance del incidente potencial, qué departamentos se verían afectados, unidades y procesos del negocio. • El coste externo de la reposición de equipos, bienes y materiales que fueron dañados por el siniestro. • El coste interno de los empleados dedicados a resolver el incidente. • Sanciones legales y/o contractuales si no se cumple con la legislación vigente o con nuestros clientes. • La pérdida de ingresos, tanto de los clientes actuales, como de los potenciales en el momento del siniestro. El siguiente paso consiste en estimar la probabilidad del suceso. Para ello hay que tener en cuenta las amenazas y vulnerabilidades de nuestro actual sistema, así como las medidas de seguridad existentes en el momento de la evaluación. La mejor manera es evaluar la frecuencia temporal con la que un incidente de este tipo podría tener lugar. Cuando se multiplica la esperanza de pérdida y la probabilidad del suceso, obtenemos la Esperanza Perdida Anualizada (ALE). Por último, es necesario estimar cuánto va a costar las medidas de seguridad a implantar teniendo en cuenta los siguientes factores: • • • •
Valor de adquisición. Coste del hardware, del software, servicios de implementación, etc. Valor residual de las medidas de seguridad. Los costes externos de mantenimiento. Los costes internos de mantenimiento, principalmente empleados destinados al efecto.
8
5.1.6 FIREWALL como seguridad en la red Un Firewall NextGen o de siguiente generación es un sistema de seguridad para redes dentro de un dispositivo de Hardware o en una versión basada en software que es capaz de detectar y prevenir ataques sofisticados a través de forzar políticas de seguridad a nivel de aplicación, así como a nivel de puertos o protocolos de comunicación. Los Firewalls NextGen integran tres activos principales: • • •
Capacidades empresariales. Un sistema de prevención de intrusión (IPS) Control de aplicaciones.
En adición al filtrado dinámico de paquetes (DPS) de los firewalls de primera generación, un NGFW provee contexto adicional a la toma de decisión del firewall al proveer la habilidad de entender los detalles del tráfico que está pasando a través de la aplicación WEB y tomar acciones para bloquear el tráfico que pudiera conducir a explotar una vulnerabilidad en la infraestructura de red. Los Firewalls NextGen combinan las capacidades de los firewalls tradicionales, incluyendo, filtrado de paquetes, traducción de direcciones de red (NAT) Bloqueo de URL y redes privadas virtuales (VPN) con funcionalidades de calidad de servicio (QoS) y otras capacidades no encontradas en Firewalls de primera generación, entre estas se incluyen: • • • • •
Prevención de Intrusión Inspección SSL y SSH Inspección profunda de paquetes de comunicación Detección y prevención de malware basada en reputación Reconocimiento de apps
Los Firewalls NextGen buscan reducir de manera importante el creciente número de ataques que se llevan a cabo en las capas 4-7 del modelo OSI para redes. (Capa de Transporte, Capa de Sesión, Capa de Presentación y Capa de Aplicación)
5.1.7 MEDIDAS DE SEGURIDAD
5.1.7.1 Doble factor de autenticación
Debido a que han aumentado considerablemente las técnicas para romper o comprometer contraseñas, de diversas formas, las cuales son cada día más sofisticadas, las buenas prácticas muchas veces no son suficientes y nos encontramos con la realidad de que, aún habiendo tomado todas las precauciones, nuestra contraseña se vio 9
expuesta debido a factores que escapan de nuestro control. Es por eso que surgió el concepto de autenticación de doble factor. ¿Qué es la Autenticación de doble Factor? Un sistema de doble autenticación es aquel que utiliza dos de los tres factores de autenticación que existen para validar al usuario. Estos factores pueden ser: • • •
Algo que el usuario sabe (conocimiento), como una contraseña. Algo que el usuario tiene (posesión), como un teléfono o token que le permite recibir un código de seguridad. Algo que el usuario es (inherencia), o sea, una característica intrínseca del ser humano como huellas dactilares, iris, etc.
Por lo general, los sistemas de doble autenticación suelen utilizar los factores conocimiento (nombre de usuario y contraseña) y posesión (teléfono o token para recibir código de seguridad. Se trata de una medida de seguridad adicional que complementa la autenticación tradicional en los servicios. En otras palabras, además de requerir un nombre de usuario y contraseña, solicita el ingreso de un segundo factor de autenticación, como puede ser por ejemplo, un código de seguridad. Generalmente, este código se genera en un dispositivo del usuario como un teléfono celular o token. Luego, la persona debe ingresarlo para poder validarse en el sistema. Con este modelo de autenticación, si un atacante ha logrado obtener el usuario y contraseña de alguna manera, aún así no podrá iniciar sesión debido a que no tendrá forma de obtener el código de seguridad ya que no posee el dispositivo del usuario.
5.1.7.2 Sistemas eléctricos de alta disponibilidad
UPS Centralizada Como el nombre lo sugiere, la infraestructura de backup centralizada consiste en una o dos UPS grandes colocadas a lo largo del perímetro de la sala de servidores, al final de una línea de servidores, o en una localización independiente, cercana. Las UPS centralizadas son semejantes a una red gigante de protección de energía que engloba a toda la red de una organización. Para las grandes empresas, la protección de energía monofásica, común en las UPS descentralizadas menores, es probable que sea insuficiente para sus necesidades de protección de energía. La UPS centralizada está proyectada teniendo en mente las necesidades de hardware de los servidores de alta densidad. Como éstos normalmente operan con energía trifásica, la UPS más robusta es la elección adecuada, en la medida en que puede proveer protección tanto para cargas trifásicas como para cargas monofásicas. Los servidores ahora están operando considerablemente más intensamente que en épocas pasadas, pero las temperaturas más altas pueden reducir drásticamente la vida útil de las baterías de la UPS. La localización remota de la UPS 10
centralizada protege a sus baterías, extendiendo, de esta forma, su ciclo de vida y reduciendo las demoradas y caras sustituciones prematuras de las baterías. Las UPS centralizadas operan generalmente en línea, en arquitectura de doble conversión, que produce una mayor estabilidad en la curva de potencia y elimina la mayoría de las fallas de energía (o sea, picos, distorsiones, surtos). La UPS descentralizada, por otro lado, fue concebida para reaccionar a distorsiones de energía (por medio de una arquitectura interactiva con la línea), lo que puede significar que las anomalías son transferidas a dispositivos finales. Además, en una arquitectura de backup centralizado, las UPS se mantienen apartadas de los racks de servidores, liberando espacio crítico para el hardware del servidor.
5.1.7.3 Políticas de seguridad Una política de seguridad informática es una forma de comunicarse con los usuarios y los gerentes. Las PSI establecen el canal formal de actuación del personal, en relación con los recursos y servicios informáticos, importantes de la organización. No se trata de una descripción técnica de mecanismos de seguridad, ni de una expresión legal que involucre sanciones a conductas de los empleados. Es más bien una descripción de los que deseamos proteger y el porqué de ello. Cada PSI es consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informáticos críticos de la compañía. 5.1.7.4Elementos de una política de seguridad informática
Una PSI debe orientar las decisiones que se toman en relación con la seguridad. Por tanto, requiere de una disposición por parte de cada uno de los miembros de la empresa para lograr una visión conjunta de lo que se considera importante. Las PSI deben considerar entre otros, los siguientes elementos: •
• • •
Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual aplica. Es una invitación de la organización a cada uno de sus miembros a reconocer la información como uno de sus principales activos, así como, un motor de intercambio y desarrollo en el ámbito de sus negocios. Invitación que debe concluir en una posición. Objetivos de la política y descripción clara de los elementos involucrados en su definición. Responsabilidades por cada uno de los servicios y recursos informáticos a todos los niveles de la organización. Requerimientos mínimos para configuración de la seguridad de los sistemas que cobija el alcance de la política.
11
• •
Definición de violaciones y de las consecuencias del no cumplimiento de la política. Responsabilidades de los usuarios con respecto a la información a la que ella tiene acceso.
Las PSI (Políticas de Seguridad Informática) deben ofrecer explicaciones comprensibles acerca de por qué deben tomarse ciertas decisiones, transmitir por qué son importantes estos u otros recursos o servicios. De igual forma, las PSI establecen las expectativas de la organización en relación con la seguridad y lo que ella puede esperar de las acciones que la materializan en la compañía. Deben mantener un lenguaje común, libre de tecnicismos y términos legales que impidan una comprensión clara de las mismas, sin sacrificar su precisión y formalidad dentro de la empresa. Por otra parte, la política debe especificar la autoridad que debe hacer que las cosas ocurran, el rango de los correctivos y sus actuaciones que permitan dar indicaciones sobre la clase de sanciones que se puedan imponer. No debe especificar con exactitud qué pasará o cuándo algo sucederá; no es una sentencia obligatoria de la ley. Finalmente, las PSI como documentos dinámicos de la organización, deben seguir un proceso de actualización periódica sujeto a los cambios organizacionales relevantes: crecimiento de la planta de personal, cambio en la infraestructura computacional, alta rotación de personal, desarrollo de nuevos servicios, cambio o diversificación de negocios entre otros.
5.1.7.3 Sistemas de vigilancia Los sistemas de cámaras IP ofrecen videovigilancia económica y fácil de administrar para soluciones de seguridad física. ¿Pero sabía que una cámara IP también puede ayudarlo a aumentar la productividad? A continuación, se mencionan algunas de las ventajas empresariales de los sistemas de cámaras IP, así como las características que conviene tener en cuenta a la hora de adquirir una cámara IP. Principales ventajas empresariales de las cámaras IP •
•
•
Fortalezca la seguridad física. Las cámaras IP permiten supervisar de manera sencilla y económica oficinas, pasillos, puertas traseras u otros lugares desde cualquier parte del mundo. De esta manera se garantiza la seguridad física de los empleados. *Proteja recursos valiosos. Las cámaras IP también ayudan a proteger inventarios y otros recursos valiosos de la empresa, tal como la información, al prevenir su robo. Incremente la productividad. Las cámaras IP también ayudan a las empresas a aumentar la productividad, ya que los empleados pueden dedicarse a sus tareas 12
al tiempo que supervisan la recepción, la planta de manufactura, la caja o el depósito.
5.1.7.4 Contratos con limitaciones legales para la seguridad Un acuerdo de confidencialidad (ADC), acuerdo de no divulgación (en inglés nondisclosure agreement o NDA), también referidos como contratos o convenios de confidencialidad, es un contrato legal entre al menos dos entidades para compartir material confidencial o conocimiento para ciertos propósitos, pero restringiendo su uso público. De manera más formal, estos textos se pueden titular también como Acuerdo de confidencialidad y no divulgación. Un ADC crea una relación confidencial entre los participantes para proteger cualquier secreto comercial. Por tanto, un ADC puede proteger información de una empresa privada. Los ADC se firman habitualmente cuando dos empresas o individuos acuerdan alguna relación comercial y necesitan entender los procesos usados en la otra compañía con el propósito de evaluar el interés de dicha relación. Los acuerdos de confidencialidad pueden ser mutuos, de modo que las dos partes tienen restricciones de uso de la información proporcionada, o pueden afectar sólo a una de las partes. También es común que un empleado firme un acuerdo de confidencialidad o acuerdo similar en el momento de su contratación. Son muy comunes en el campo de las tecnologías de la información.
5.2 MARCO REFERENCIA A continuación, se presenta el marco de referencia de los elementos tecnológicos contemplados tanto en el caso 1 y 2: 1. Firewall: Un firewall (llamado también “cortafuego”), es un sistema que permite proteger a una computadora o una red de computadoras de las intrusiones que provienen de una tercera red (expresamente de Internet). El firewall es un sistema que permite filtrar los paquetes de datos que andan por la red. Se trata de un “puente angosto” que filtra, al menos, el tráfico entre la red interna y externa. Un firewall puede ser un programa (software) o un equipo (hardware) que actúa como intermediario entre la red local (o la computadora local) y una o varias redes externas.
2. Switch: Un switch es un dispositivo de propósito especial diseñado para resolver problemas de rendimiento en la red, debido a anchos de banda pequeños y embotellamientos. El switch puede agregar mayor ancho de banda, acelerar la salida de paquetes, reducir tiempo de espera y bajar el costo por puerto.
13
3. Router: Un router también conocido como enrutador, o rúter es un dispositivo que proporciona conectividad a nivel de red o nivel tres en el modelo OSI. Su función principal consiste en enviar o encaminar paquetes de datos de una red a otra, es decir, interconectar subredes, entendiendo por subred un conjunto de máquinas IP que se pueden comunicar sin la intervención de un encaminador (mediante puentes de red o un switch), y que por tanto tienen prefijos de red distintos. 4. Enlace de Red: Una red de computadoras es un conjunto de equipos informáticos y software conectados entre sí por medio de dispositivos físicos con la finalidad de compartir información, recursos y ofrecer servicios. 5. Salesforce: Salesforce es una empresa estadounidense de software bajo demanda, más conocida por producir un CRM llamado Sales Cloud. Además de esta solución, la empresa cuenta con otros productos con enfoque en la atención al cliente, marketing, inteligencia artificial, gestión de comunidades, creación de aplicativos entre otras frentes. Las soluciones de Salesforce son indicadas para PyMEs y también para grandes corporaciones. 6. ROSI: La definición de Retorno sobre la Inversión en Seguridad es la siguiente: ROSI = mitigación del riesgo monetario – costo del control. Por lo tanto, se determina que una inversión en seguridad es rentable si el efecto de mitigación del riesgo es mayor que los costos estimados. 7. ERP: Los sistemas de planificación de recursos empresariales ('ERP', por sus siglas en inglés, enterprise resource planning) son los sistemas de información gerenciales que integran y manejan muchos de los negocios asociados con las operaciones de producción y de los aspectos de distribución de una compañía en la producción de bienes o servicios. 8. CRM: (Customer Relationship Management) Se aplica a metodologías, software y, en general, a las capacidades de Internet que ayudan a una empresa a gestionar las relaciones con sus clientes de una manera organizada. 9. Base de Datos: Una base de datos es un “almacén” que nos permite guardar grandes cantidades de información de forma organizada para que luego podamos encontrar y utilizar fácilmente.
14
10. NGF: Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar o descifrar el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios. Los cortafuegos pueden ser implementados en hardware o software, o en una combinación de ambos. Los cortafuegos se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet, especialmente intranets. 11. Doble factor de autenticación: Se trata de una medida de seguridad extra que frecuentemente requiere de un código obtenido a partir de una aplicación, o un mensaje SMS, además de una contraseña para acceder al servicio. Para los usuarios de PC, que ya están cansados de tener que memorizar una docena de contraseñas, esta parece ser la última cosa que necesitan, pero el doble factor de autenticación puede ser la diferencia entre ser víctima de un cibercriminal y mantenerse protegido 12. Call Center: Call center es una noción de la lengua inglesa que puede traducirse como centro de llamadas. Se trata de la oficina donde un grupo de personas específicamente entrenadas se encarga de brindar algún tipo de atención o servicio telefónico. 13. Sistemas transaccionales: Es un tipo de sistema de información diseñado para recolectar, almacenar, modificar y recuperar todo tipo de información que es generada por las transacciones en una organización. 14. Central telefónica: Es el lugar (puede ser un edificio, un local, una caseta o un contenedor) utilizado por una empresa operadora de telefonía donde se alberga el equipo de conmutación y los demás equipos necesarios para la operación de las llamadas telefónicas. Es decir, es el lugar donde se establecen conexiones entre los lazos (bucles) de los abonados, bien directamente o bien mediante retransmisiones entre centrales de la señal de voz. Las centrales se conectan entre sí mediante enlaces de comunicaciones entre centrales o enlaces Inter centrales. 15. Antivirus: Un antivirus es un programa informático que tiene el propósito de detectar y eliminar virus y otros programas perjudiciales antes o después de que ingresen al sistema.
15
5.3 MARCO METODOLOGICO A continuación, se presentan las soluciones propuestas para cada caso de estudio respectivamente
5.3.1 Resolución CASO 1 5.3.1.1Situación actual
Diagrama 1 Situación Actual Caso 1
5.3.1.2 Solución propuesta
Diagrama 2 Solución Propuesta Caso 1
16
5.3.1.3 Estado de Resultados (cifras expresadas en miles de dĂłlares).
Tabla 1 Estado de resultados
Como se puede observar al final de cada periodo se percibiĂł una utilidad positiva, con un gran margen de ganancia. 5.3.1.4 Calculo de ROSI InversiĂłn SEC
Buen mes Mal mes
$9,031.85 $9,031.85
SLE
ARO
$17,826.48 $5,942.16
MR 4 4
ALE 95% 95%
$57,600.00
Tabla 2 Variables para el cĂĄlculo ROSI
đ?‘…đ?‘‚đ?‘†đ??ź =
&'(∗*+,+-.,+/0 2.,+/34/5, /6 5/78,+/0 4/5, /6 5/78,+/0
ALE: Perdida anual esperada. Ratio de mitigaciĂłn: el mĂĄximo rango de mitigaciĂłn de la soluciĂłn de seguridad Costo de soluciĂłn: es el costo de soluciĂłn de seguridad ROSI (Best case scenario)
650.02%
ROSI (Worst case scenario)
150,01%
Tabla 3 Valores resultantes, ROSI
17
Tras el análisis del ROSI se concluye, que es factible la implementación de los equipos de seguridad porque segun el ROSI en ambos escenarios la perdida seria significativa sino se implementan las soluciones propuestas. 5.3.1.5 Identificación de elementos de seguridad y riesgos Integridad ü ü ü ü ü
Validación y manejo de los pagos en línea. Manejo de los datos de Salesforce Doble autenticación de los agentes y supervisores del Call Center Contar con redundancia en fuentes de servidores ante fallo del mismo. Acceso a servidores solo debe ser permitido a usuarios autorizados por TI.
Disponibilidad ü ü ü ü ü
Respaldo con sistemas UPS Tener enlaces redundantes de datos Backup de información de clientes y empleados. Incluir antivirus en cada una de las estaciones de trabajo Contar con planta eléctrica que cumpla con demanda de energía.
Confidencialidad ü ü ü ü ü ü
Contenido de llamadas con los clientes. Bloqueo de puertos no autorizados en la red. Datos sobre métodos de pago de los clientes. Detalles sobre la infraestructura de red local y/o proveedores. Bloqueo de redes inalámbricas con autenticación y cifrado. Bloqueo de puertos USB para evitar fuga de información o infección por las mismas.
Riesgos de la operación ü ü ü ü ü
Pérdida de conexión con la LAN, debido al switch actual. Falta de coordinación para cubrir los horarios establecidos. Falta de mantenimiento de las estaciones de trabajo de los agentes. Fallas de red eléctrica del local, propiciando una caída de los sistemas. No contar con detectores de humo y extintores ante la ocurrencia de un siniestro.
Amenazas informáticas ü Factor humano verificar antecedentes de empleados ü Vulnerabilidad en el proceso de pago en línea. ü Pérdida de la integridad de datos de la DB de Clientes (salesforce). 18
ü Escuchas de llamadas con clientes ü Ataques informáticos provenientes de la nube. 5.3.1.6 Opciones tecnológicas propuestas Dispositivo FortiGate100e
Descripción
Cisco Small Business 200 Series SLM2048T-NA FIDO U2F Security Key
Dispositivo para autenticación SO soportados: Windows, Linux y Mac Con un toque activa la seguridad en función de la criptografía de clave pública. Se identifica como un dispositivo USB HID que es estándar en todas las computadoras No es necesario instalar ningún software ni controladores del cliente, ni baterías, ni partes móviles, y funciona a través de USB. Resistente al aplastamiento e impermeable. Pesa solamente 3 gramos. Fabricado en USA y Suecia con alta seguridad y calidad. Grabador Hikvision 1080 Disco duro 1 TB 5 camaras indoor/outdoor de 710p , 1.27MP, IR, 30 metros, 2.8 - 12mm vari-focal lens, DS-2CE56C5T-(A)VFIR
CCTVHikvision
Control Acceso Hikvision
6 Gbps salida a través del Firewall 4 Gbps rendimiento VPN IPSEC 250 Mbps rendimiento SSL VPN 2.000,000 sesiones concurrentes (TCP) 10,000 políticas de firewall 30,000 nuevas sesiones/segundo (TCP) 2000 enlaces entre sitios con tunel VPN IPSec VPN Puertos WAN de hasta 2x, LAN 14x (RJ45)y una interfaz DMZ 48 x RJ45 + 2 x SFP 8K MAC Address Table 128 VLAN Support Primary Port Speed: 10 GBase-T
de
Módulo de control acceso
Costo $2,381.99
Equipo
$1899.95/ licencia para 5 años
$249.91
$900.00
$600.00
$700.00
DS-K2601 Magneto acceso a puerta Marcador de Huella con control a puerta de acceso DSK1T804 Lector de tarjeta DS-K1101M Tarjetas de acceso
19
Antivirus Kaspersky
Kaspersky antivirus licencia para 5 años para 50 equipos
$2300.00
Tabla 4 Opciones tecnológicas a utilizar
5.3.2 Resolución CASO 2 5.3.2.1Situación Actual
Diagrama 1 Situación Actual Caso 2
5.3.2.2Identificación de elementos de seguridad y riesgos Integridad ü BD de SAP y Softland ü SLA con proveedores de Enlaces. 20
ü Acceso a Sistemas y BD solo a usuarios autorizados. ü Doble autenticación Disponibilidad ü ü ü ü ü
QoS de las llamadas de la red telefónica análoga y digitales La alta disponibilidad de los sistemas transaccionales en la red corporativa Calidad de los enlaces de datos Red eléctrica de respaldo Respaldos periódicos de las bases de datos
Confidencialidad ü Implementación de medidas de seguridad informática en la infraestructura organizacional. a. Firewalls, VPN, IPS, DLPs. b. Políticas de control de acceso. c. Seguridad perimetral en instalaciones críticas. ü Encriptado del tráfico de VoIP ü Implementación de contratos de confidencialidad a la empresa, que apare legalmente a la empresa ante la pérdida de datos a través de los empleados.
Identifiquen elementos de riesgos del proyecto de seguridad informática. ü ü ü ü
Espionaje industrial de las conversaciones que fluyen en el sistema. Robo de información de la base de datos (SOFTLAND, SAP) Empleados descontentos, que traicionen la empresa Malos usos de los equipos de comunicación
Amenazas informáticas ü ü ü ü ü ü
Escuchas de llamadas de la red corporativas Usuarios mal intencionados Fallas los enlaces heterogéneos Uso inadecuado de los recursos respecto a control de acceso No todas las sedes tienen firewalls. Incumplimiento a las políticas de seguridad establecidas.
21
Problema
Proyecto/proyectos
Objetivo
Espionaje Industrial
Implementaciones políticas de seguridad, para la prevención de la perdida de datos(DLP).
Prevenir la perdida de información crítica para la empresa.
Auditorias para medir el cumplimiento de las políticas.
Escuchas de conversaciones
Implementación Firewalls Fortinet.
de
Configuración de enlaces VPN, IPS entre países.
Cantidad de mitigadas.
Robo de información de los sistemas expuestos, base de datos.
Implementar en una nueva arquitectura de la red en conjunto a servicios de prevención de perdida de datos.
Prevenir la perdida de información crítica para la empresa.
Reportes constantes de las intrusiones detectadas a los sistemas. Aplicar un control más escritos de privilegios de acceso.
Implementaciones medidas Empleados descontentos que disuasivas respecto a la información de la empresa traicionen a la O implementar un compañía
Prevenir daños a la imagen y activos de la empresa ocasionados por personas que traicionen las ideales organizaciones.
Disponer de asesoría legal con la que la empresa garantice sus intereses desde el punto de la ciberseguridad.
programa de concientización a los empleados descontentos.
Mal uso de las plantas telefónicas (que los empleados estén llamando a sus parientes a números privados)
Métrica recomendada
intrusiones
Obtener una garantía legal y compromiso con el personal de la empresa como medida de disuasión de no divulgación.
Implementar una transición de los sistemas análogos a telefonía IP y digital, implantar un sistema políticas y controles disuasivos, cámaras y micrófonos en las oficinas en cada una de las plantas.
Tener cero tolerancias contra la mala utilización de activos de la empresa para solventar intereses personales.
Empleados de Gestionar una plaza de oficina que hablan supervisión de pollitas internas demasiado por teléfono sin justificante alguna.
Concientizar y controlar el uso de dispositivos no autorizados por la compañía.
Reducción en un 100% de incidentes de mal uso de activos y los costos de incidentes y mal uso.
Auditorias programadas a los historiales de llamadas de los agentes. Sanciones disciplinaras a quien no respete las normas del espacio de cubículos.
Tabla 5 Cuadro de proyectos y métricas
22
5.3.2.3 Solución propuesta
Diagrama 2 Solución propuesta Caso 2
CANTIDAD 7 7 7 7 9 7 850
PRODUCTO Avaya IP Office 500 v2 Firewall FortiGate-100e Licencias Firewall por año Switch Cisco Catalyst 2960- 48PST-L
Enlaces E1 Protección de enlaces E1 Telefonos IP
Además de las soluciones propuestas en el diagrama se han identificado otro tipo de medidas de seguridad adicionales que se implementarán para garantizar la continuidad del negocio. • • • •
Contratación de enlaces redundantes de proveedor de servicios de internet. Establecer un acuerdo con la empresa de telefonía para que suministre el equipo de protección contra amenazas de seguridad. Instalación de un respaldo de energía UPS centralizado en todas las instalaciones. Instalación de una planta eléctrica que suministre más de la demanda de energía generada por la operación. 23
•
• •
Establecer un SLA con el proveedor de los dispositivos de telecomunicaciones de VoIP donde permita la disponibilidad de soporte a equipos y refacciones ante fallas críticas de los dispositivos y sistemas. Implementación de políticas de seguridad, sobre usuarios y equipos. Contratación de personal encargado de la seguridad (CISO).
Puntos que verificar
Avaya IP OFFICE platform
Asterisk
Escala
3.000 usuarios 150 sistemas IP Office ü Terminales protegidas por PIN ü Traducción de Direcciones de Red (NAT por sus siglas en inglés) ü Protocolos de autenticación PAP/CHAP ü Perfiles de tiempo ü Servicio VPN ü Registro de Auditoría de Gestión de Sistemas El software IP Office virtualizado Servidor dedicado Dispositivo IP Office 500 v2 Cualquier combinación de los anteriores 3.000 usuarios Por implementación de AVAYA IP OFFICE
Depende de la arquitectura de hardware de los servidores. Políticas de seguridad que se implementen, Ejemplo: Bloqueo de puertos, Whitelist de ip's para peticiones entrantes, Manejo de contextos.
Protocolos de Seguridad.
Modelos de implementación Máximo de usuarios Dispositivos soportados
Compatibilidad con CRM Disponibilidad de soporte
Teléfonos IP Teléfonos digitales Teléfonos analógicos Softphones Inalámbricos Analógicos y Digitales (incluyendo DECT) ü Cualquier combinación de los anteriores ü Soluciones CRM ü Salesforce ü MS Dynamics ü SAP Soporte disponible bajo licenciamiento ü ü ü ü ü
Asterisk GPLv2 versión 14.6.0 Referencia: Pentium 1, 166mhz, 32meg ram: Soporta 4 llamadas SIP con codec g71 ü Teléfonos IP ü Teléfonos digitales ü Teléfonos analógicos
ü SAP ü SQL Server ü CRM Dependerá del proveedor de la solución Ejemplo: Teledynamic Communications § § § § §
Teliax TelTub ThinkBright TinCanTalk ZingoTel
Tabla 6 Comparativa de plantas Telefónicas
24
Tras la comparativa se recomienda utilizar la plataforma de comunicaciones de Avaya IP Office 500 v2 debido a su alta compatibilidad con equipos de usuarios finales y soluciones CRM y otras plantas telefónicas, además de tener soporte y asistencia técnica de alta disponibilidad. Avaya cuenta con un gran número de proveedores autorizados a nivel de la región Latinoamérica, que brindan soporte y cumplen con garantías de cambios de piezas y equipos. 6.0 Política general de seguridad sugerida. “La empresa es reconocerá de la importancia de la seguridad en la información en las actividades de negocio a nuestros clientes, y con la finalidad única de identificar, proteger y asegurar los activos de información crítica, evitando incidentes de seguridad que comprometan las directrices principales del negocio, la empresa se compromete a integrar modelos de gestión de seguridad para fortalecer la seguridad informática.”
25
7. BIBLIOGRAFÍA Basalo, A. (15 de Marzo de 2018). pymesyautonomos. Recuperado el 20 de Enero de 2012, de https://www.pymesyautonomos.com/tecnologia/salesforce-que-la-fuerza-acompane-tus-ventas CERT-PY. (Junio de 2016). cert.gov.py. Recuperado el 13 de Marzo de 2018, de https://www.cert.gov.py/application/files/8914/3230/6320/Autenticacion_Doble_Factor.pdf Delta Electronics, I. (2013). UPS CENTRALIZADA Y UPS DISTRIBUIDA: UNA COMPARACION. Compativo, Delta Electronics, Inc. Recuperado el 18 de Marzo de 2018, de http://www.deltapowersolutions.com/media/download/White-Paper_Centralized-UPS-andDistributed-UPS-A-Comparison_WP0012_es-co.pdf.pdf Diaz, D. (12 de Mayo de 2009). daviddiazdelacruz.wordpress.com. Recuperado el 16 de Marzo de 2018, de https://daviddiazdelacruz.wordpress.com/2009/05/12/politicas-informaticas-para-tuempresa/ Diego Amendolia, J. C. (2004). criptored.upm.es. (J. E. Sznek, Ed.) Recuperado el 18 de Marzo de 2018, de http://www.criptored.upm.es/guiateoria/gt_m148q.htm elegircrm.com. (2009). Recuperado el 17 de Marzo de 2018, de https://www.elegircrm.com/crm/quees-un-crm ESET. (19 de Febrero de 2014). WeLiveSecurity. (ESET, Editor) Recuperado el 17 de Marzo de 2017, de https://www.welivesecurity.com/la-es/2014/02/19/doble-factor-autenticacion-que-es-porquelo-necesito/ Kohen, I. (2 de Octubre de 2017). csoonline.com. Recuperado el 15 de Marzo de 2018, de https://www.csoonline.com/article/3229887/security/how-to-calculate-your-return-onsecurity-investments.html León, S. M. (5 de Agosto de 2014). Tipos de Enlaces en Redes. Recuperado el 14 de Marzo de 2018, de https://prezi.com/cmcx0stuq0ek/tipos-de-enlaces-en-redes/ Mistretta, A. (28 de Julio de 2017). blogs.cisco.com. Recuperado el 10 de Marzo de 2018, de https://blogs.cisco.com/collaboration/cisco-a-leader-in-2017-gartner-uc-mq-reports Valdés, D. P. (26 de Octubre de 2017). Recuperado el 18 de Marzo de 2018, de maestrosdelweb.com: http://www.maestrosdelweb.com/que-son-las-bases-de-datos/ wikipedia.org. (13 de Marzo de 2018). Obtenido de https://es.wikipedia.org/wiki/Acuerdo_de_confidencialidad wikipedia.org. (Marzo de 2018). Recuperado el 18 de Marzo de 2018, de https://es.wikipedia.org/wiki/Sistema_de_planificaci%C3%B3n_de_recursos_empresariales yubico.com. (s.f.). Recuperado el 17 de Marzo de 2018, de https://www.yubico.com/products/yubikeyhardware/fido-u2f-security-key/ 26