sistema de seguridad perimetral en la empresa jfc

1

SISTEMA DE SEGURIDAD PERIMETRAL EN LA EMPRESA JFC ELECTRICAL ENGINEERING S.A.S.

DANIEL EDUARDO CALDERON DIAZ JHON FREDDY TOVAR SEMANATE

LEONARDO GARCIA CUELLAR

UNIVERSIDAD COOPERATIVA DE COLOMBIA FACULTAD DE INGENIERIAS

PROGRAMA INGENIERIA DE SISTEMAS NEIVA 2019

2

SISTEMA DE SEGURIDAD PERIMETRAL EN LA EMPRESA JFC ELECTRICAL ENGINEERING S.A.S.

DANIEL EDUARDO CALDERON DIAZ JHON FREDDY TOVAR SEMANATE

LEONARDO GARCIA CUELLAR

Informe Final de práctica social, empresarial y solidaria presentado como requisito para optar al título de INGENIERO DE SISTEMAS

Asesora

MSC. IRLESA INDIRA SÁNCHEZ MEDINA

UNIVERSIDAD COOPERATIVA DE COLOMBIA FACULTAD DE INGENIERIAS

PROGRAMA INGENIERIA DE SISTEMAS NEIVA 2019

3

NOTA DE ACEPTACIÓN

Presidente del Jurado

Jurado

Jurado

Neiva, Noviembre de 2019

4

DEDICATORIA Principalmente a Dios, por darme la sabiduría necesaria para llegar hasta esta instancia; a mis padres Oswaldo y Magnolia por inculcarme los valores que me han permitido llegar hasta acá, por apoyarme siempre y además de ser mis padres son mis mejores amigos, a mi hermano Víctor; a mis abuelos Humberto y Doris que son mis segundos padres, a mi tía Sandra y demás familiares que han sido un apoyo incondicional en este proceso académico y profesional.

Daniel Eduardo Calderón Díaz Agradezco a Dios por darme la oportunidad de estar en este mundo y dedicó este logro con todo mi amor y cariño a mi amada esposa Jenny Paola Gutiérrez por su sacrificio y esfuerzo, por creer en mi aunque hemos pasado momentos difíciles siempre ha estado brindándome su comprensión cariño y amor. A mi amado hijo Juan Felipe Tovar por ser mi fuente de motivación e inspiración para poder superarme cada día más y así seguir luchando para que la vida nos depare un futuro mejor. A mi querida suegra Carme Atehortua que con sus palabras de aliento nunca me dejaron decaer para que siguiera adelante y para todas aquellas personas que estuvieron a mi lado apoyándome en este proceso y lograron que este sueño se haga realidad.

Jhon Freddy Tovar Semanate

5

AGRADECIMIENTOS En primer lugar a Dios por permitirnos cumplir esta meta tan importante para nuestras vidas, por guiarnos en el camino y fortalecernos espiritualmente.

A nuestras familias, en especial a nuestros padres, quienes con sus consejos fueron el motor y la motivación para culminar este proceso, muchas gracias por su paciencia y comprensión, y sobre todo por su amor. Queremos mostrar nuestra gratitud a todas aquellas personas que estuvieron presentes de una u otra manera en nuestro proceso de realización de esta meta, de este sueño tan importante que hoy se hace realidad, agradecer todas sus ayudas, sus palabras motivadoras, sus conocimientos, sus consejos y su dedicación.

¡Gracias a todos!

6

CONTENIDO

Pág.

1. PROBLEMÁTICA 16 1.1 DESCRIPCIÓN DEL PROBLEMA 16

1.2 PLANTEAMIENTO DEL PROBLEMA 19

2. OBJETIVOS 20 2.1 OBJETIVO GENERAL 20 2.2 OBJETIVOS ESPECÍFICOS 20

3. JUSTIFICACIÓN 21 4. ESTADO DEL ARTE 23

5. MARCO TEÓRICO 26

5.1 SISTEMA DE SEGURIDAD PERIMETRAL 26 5.1.1 Cortafuegos (Firewall) 26 5.1.2 Sistema de Detección y Prevención de Intrusos 28 5.1.3 Antivirus 29

5.1.4 Honeypots 30 5.1.5 UTM - Unified Threat Management 32 5.2 CIBERAMENAZAS 32

5.2.1 Cross-Site Scripting (XSS) 33 5.2.2 Ransomware 34

7

5.2.3 Phishing y Spamming 36 5.3 DISPOSITIVOS QUE GARANTIZAN LA SEGURIDAD PERIMETRAL 38 5.3.1 Fortigate 38 5.3.2 SOPHOS XG86 40 5.3.3 IPFIRE 41

5.4 NORMATIVIDAD APLICABLE 41

5.4.1 NTC 27001 41 5.4.2 NTC 27002 42

6. METODOLOGÍA 43

6.1 DIAGNÓSTICO 43

6.1.1 Infraestructura Física 43 6.1.2 Infraestructura de Red 43

6.1.3 USO DE LA RED 45 6.1.4 Posibles Incidentes Presentados 46 6.1.5 Encuesta a Usuarios Finales 47

6.2 METODOLOGÍA DISEÑO Y SELECCIÓN SEGURIDAD PERIMETRAL 53 6.2.1 Alternativas Mercado de Soluciones de Seguridad Perimetral 53

6.2.2 Selección de Seguridad Perimetral 55

6.3 DISEÑO Y CONFIGURACIÓN DE SEGURIDAD PERIMETRAL 63 6.3.1 Servicios 71 6.3.1 Monitoreo 71 6.3.2 Proxy 74 6.3.3 Filtro de Contenido 74

8

6.3.4 Firewall 76 6.3.5 IPS 80 6.3.6 Bloqueo de GEO-IP 82 6.4 RESULTADOS 82 7. PROPUESTA DE SEGURIDAD PERIMETRAL 85 7.1 POLÍTICAS DE SEGURIDAD 85

7.1.1 Políticas Generales 86 7.1.2 Políticas de Seguridad Física 87 7.1.3 Políticas de Acceso a la Red 88

7.1.4 Políticas de Seguridad Lógica 89

8. CONCLUSIONES 93

9. RECOMENDACIONES 94 BIBLIOGRAFÍA 95

9

LISTA DE TABLAS

Pág.

Tabla 1. Bugs encontrados en navegadores 18 Tabla 2. Mejores antivirus del 2019 30

Tabla 3. Escala de valoración de acuerdo al modelo AHP 56

Tabla 4. Importancia de criterios de selección 57 Tabla 5. Matriz normalizada . Matriz normalizada 57

Tabla 6. Porcentajes ponderados 58 Tabla 7. Valores máximos permisibles del CR 58 Tabla 8. Tamaño de la matriz 58 Tabla 9. Importancia de alternativas frente a costo 59

Tabla 10. Matriz formalizada 59 Tabla 11. Importancia de alternativas frente a desempeño 60

Tabla 12. Matriz normalizada alternativas – desempeño 60 Tabla 13. Importancia alternativas administración 61 Tabla 14. Matriz normalizada alternativas – administración 61 Tabla 15. Importancia de alternativas frente a soporte 62

Tabla 16. Matriz normalizada alternativa soporte 62 Tabla 17. Puntajes obtenidos en la selección de Seguridad Perimetral 63 Tabla 18. Comparativa de precios acorde al Sistema de Seguridad Perimetral 85

10

LISTA DE ILUSTRACIONES

Pág.

Ilustración 1. Percepción de los riesgos mundiales 2017 – 2018 16 Ilustración 2. Firewall implementado en una red LAN 27

Ilustración 3. Zona desmilitarizada implementada 27

Ilustración 4. Esquema de un IDS (Intrusion Detection System) 28 Ilustración 5. Esquema de un IPS (Intrusion Prevention System ) 29

Ilustración 6. Configuración general de Honeypot en un sistema red 31 Ilustración 7. Porcentaje de crecimiento de ataques XSS 33 Ilustración 8. Ejemplo de venta de ransomware en DeepWeb 34 Ilustración 9. Captura pantalla infección con WannaCry o WanaCrypt0r 2.0 35

Ilustración 10. Correo phishing 37 Ilustración 11. URL Sospechosa. Ataque de Phishing 37

Ilustración 12. Diagrama de red de la empresa JFC 46 Ilustración 13. Encuesta de percepción de seguridad en la empresa JFC 47 Ilustración 14. Clasificación de las marcas UTM según Gartner 53 Ilustración 15. Diagrama jerárquico modelo toma de decisiones multicriterio 56

Ilustración 16. Paso 1 - Instalación Sistema Seguridad Perimetral IPFire 2.23 63 Ilustración 17. Paso 2 - Selección de lenguaje IPFire 2.23 64 Ilustración 18. Paso 3 - Selección de Sistema de Archivos 64

Ilustración 19. Paso 4 - Instalación del sistema 65 Ilustración 20. Paso 5 - Reinicio del servidor, luego de instalación realizada 65

11

Ilustración 21. Paso 6 - Selección de zona horaria 66 Ilustración 22. Paso 7 - Selección nombre de host 66 Ilustración 23. Paso 8 - Establecimiento contraseña usuario root 67 Ilustración 24. Paso 9 - Configuración de red 67 Ilustración 25. Paso 10 - Tipo de configuración de red 68

Ilustración 26. Paso 11 - Selección de tarjetas de red a usar 68

Ilustración 27. Paso 12 - Configuración IP 69 Ilustración 28. Paso 13 - Configuración Interfaz - Red 69

Ilustración 29. Paso 14 - Configuración DNS y Puerta de Enlace 70 Ilustración 30. Configuración de Servidor DHCP 70 Ilustración 31. Instalación servicios Sistema Seguridad Perimetral – IPFIRE 71 Ilustración 32. Conexiones establecidas Sistema de Seguridad Perimetral. 72

Ilustración 33. Configuración Proxy 75 Ilustración 34. Configuración de contenido filtrado 75

Ilustración 35. Configuración avanzada de contenido filtrado 76 Ilustración 36. Log de Filtrado de contenido 76 Ilustración 37. Reglas Firewall aplicadas Sistema de Seguridad Perimetral 77 Ilustración 38. Administración web de Sistema de Seguridad Perimetral 77 Ilustración 39. Opciones de configuración del Firewall 77 Ilustración 40. Configuración de redes Peer To Peer - P2P 78 Ilustración 41. Iptables 78

Ilustración 42. Iptables Mangles 79 Ilustración 43. Iptables NAT 79

12

Ilustración 44. Firewall log (IPs) 79 Ilustración 45. Log del Firewall 80 Ilustración 46. Sistema de detección de intrusiones - IPS 80 Ilustración 47. Reglas del Sistema de detección de intrusiones 81 Ilustración 48. Log Sistema de Detección de Intrusiones 81

Ilustración 49. Configuración GeoIP 82

Ilustración 50. Bloqueo de contenido con el IPFIRE implementado 82 Ilustración 51. Bloqueo de redes sociales con IPFIRE implementado 83

Ilustración 52. Bloqueo de contenido - Twitter, con el IPFIRE 83 Ilustración 53. Bloqueo de contenido, página de descargas masivas, IPFRE 84

13

LISTA DE IMÁGENES

Pág.

Imagen 1. Infraestructura física JFC ELECTRICAL ENGINEERING S.A.S. 43 Imagen 2. Servidor de la empresa JFC ELECTRICAL ENGINEERING S.A.S 44

Imagen 3. CPU área contable JFC ELECTRICAL ENGINEERING S.A.S. 45

Imagen 4. Switch usado en la empresa JFC 45

14

LISTA DE GRÁFICOS

Pág.

Gráfico 1. Pregunta 1 – Encuesta de percepción 48 Gráfico 2. Pregunta 2 – Encuesta de percepción 48

Gráfico 3. Pregunta 3 – Encuesta de percepción 49

Gráfico 4. Pregunta 4 – Encuesta de percepción 49 Gráfico 5. Pregunta 5 – Encuesta de percepción 50

Gráfico 6. Pregunta 6 – Encuesta de percepción 50 Gráfico 7. Pregunta 7 – Encuesta de percepción 51 Gráfico 8. Pregunta 8 – Encuesta de percepción 51 Gráfico 9. Pregunta 9 – Encuesta de percepción 52

Gráfico 10. Pregunta 10 – Encuesta de percepción 52 Gráfico 11. Monitoreo gráfico del Sistema de Seguridad Perimetral 72

Gráfico 12. Monitoreo de tráfico externo Sistema de Seguridad Perimetral 73 Gráfico 13. Monitoreo de tráfico interno Sistema de Seguridad Perimetral 73 Gráfico 14. Promedio de calidad de servicio Gateway 74

15

RESUMEN

El presente proyecto pretende identificar las problemáticas en cuanto a ciberseguridad que presenta la empresa JFC ELECTRICAL ENGINEERING S.A.S. y de esta manera poder diseñar e implementar un sistema de seguridad perimetral basado en las necesidades de la empresa. En el diseño e implementación del sistema de seguridad perimetral se tiene en cuenta la metodología de análisis de decisión multicriterio AHP sugerida por Thomas L. Saaty, la cual permite seleccionar la mejor opción acorde a varios criterios designados por el gerente de la compañía, para luego proceder a implementar el sistema, teniendo en cuenta el análisis de requisitos previos, entre los que se encuentra, la encuesta realizada a los empleados, que dejan en evidencia la pertinencia del proyecto. Finalmente se realizan las respectivas conclusiones y recomendaciones para el sistema de seguridad perimetral seleccionado, teniendo en cuenta parámetros desde su instalación hasta su parametrización acorde a necesidades puntuales.

16

1. PROBLEMÁTICA 1.1 DESCRIPCIÓN DEL PROBLEMA Según el Foro Económico Mundial1, los ataques cibernéticos se encuentran en el top diez (10) de los riesgos mundiales actuales más latentes, y el primero en el campo tecnológico como se presenta en la ilustración 1. Ilustración 1. Percepción de los riesgos mundiales 2017 – 2018

Fuente: Informe de riesgos mundiales 2018 – Foro económico mundial

Que los ataques cibernéticos se encuentren en la cima como un riesgo mundial no es por suerte, pues gracias a la globalización, las empresas se encuentran generando millones de datos al día (información financiera, operativa, administrativa, comercial, etc), a tal punto, que estos se han convertido en uno de los recursos de mayor valor, y es allí, donde los ciberdelincuentes se fijan. A esto se suma la poca atención de los empresarios en tomar medidas para mitigar el impacto que pueda surgir cuando sean atacados, por ejemplo, en el 2017 con solo los ataques WannaCry y NotPetya, se afectaron 300.000 computadores en 150 países, con pérdidas trimestrales de USD 300.000.000 a las compañías afectadas2. Entre los ataques más frecuentes fueron los correos electrónicos

1 Foro económico mundial, «Informe de riesgos mundiales 2018,» Ginebra, 2018 2 Ibid.

17

maliciosos y el secuestro cibernético. Otros de los ciberataques más sonados fueron el que sufrió la firma japonesa Sony en 2014, lo que llevó a cancelar la película The Inteview3. Por otra parte, los cibercrímenes tienen características como4:

Exponencial: son personas dedicadas a los ciberataques con estructuras organizadas, en donde solo una persona de estas, puede robar a más de cien (100) millones de usuarios.

Automatizado: todo lo realiza un software, el cual puede desde robar cuentas de redes sociales, hasta información financiera.

Tridimensional: no solo desde un computador se pueden realizar y controlar ataques, ahora la Revolución 4.0 ha conectado muchos dispositivos de nuestra vida diaria y laboral a la web, claro ejemplo lo vivió Arabia Saudí5 que debió interrumpir la producción de crudo, tras ser atacado por vehículos no tripulados – drones; ataque llevado a cabo de manera remota.

Ninguna persona que tenga acceso a la web se encuentra exenta de ataques, incluso, el mismo programa usado para navegar tiene sus deficiencias de seguridad. Según un proyecto liderado por Google, denominado Project Zero6 demuestra que todos los navegadores sin excepción tienen vulnerabilidades como lo demuestra la tabla 1. En Colombia, las empresas no son ajenas a los ciberataques, pues solo en abril y junio del 2019, se realizaron 42 billones de intentos de estos ataques7, entre los cuales se encuentran exploits, pishing, malware y DDoS, tal cual como lo demostró Juan Carlos Puentes, country mánager de Fortinet; si a esto se agrega

3 BBC, «El FBI acusa al gobierno de Corea del Norte del hackeo a Sony Pictures,» 19 Diciembre 2014. [En línea]. Available: https://www.bbc.com/mundo/ultimas_noticias/2014/12/141219_ultnot_corea_norte. 4 DELOITTE, «Ecosistema de ciberseguridad: Preparándonos para la defensa,» Agosto, Bogotá, 2018. 5 El Pais, «Arabia Saudí interrumpe la mitad de su producción de crudo tras un ataque con drones,» 15 Septiembre 2019. [En línea]. Available: https://elpais.com/internacional/2019/09/14/actualidad/1568456455_053067.html 6 Google, «Project Zero,» 21 Septiembre 2017. [En línea]. Available: https://googleprojectzero.blogspot.com/2017/09/the-great-dom-fuzz-off-of-2017.html. 7 Blue Radio, «Phishing y malware, las mayores amenazas cibernéticas para los colombianos,» 2019 Septiembre 2019. [En línea]. Available: https://www.bluradio.com/lanube/phishing-y-malware-las-mayores-amenazas-ciberneticas-para-los-colombianos-225840-ie6860225.

18

que en el 40% de las empresas no existe un rol definido para poder tomar decisiones efectivas para detectar y enfrentar las amenazas8.

Tabla 1. Bugs encontrados en navegadores Fuente: Project Zero – Google

En lo que requiere al presupuesto asignado a ciberseguridad, es preocupante, pues el 50% de las empresas colombianas asignan solo del 1% al 5% de sus ingresos [6], si se tiene en cuenta el impacto que podría ocasionar dicho ataque, la inversión se vería irrisoria; pues para detectar y estar preparados para una amenaza, se debe contar con un presupuesto alineado al riesgo de la posibilidad de perder la información. Actualmente la inversión en seguridad informática en el departamento del Huila es muy pobre, a tal punto que, los empresarios lo asumen como un costo más no como una inversión, es por ello que, al verificar las infraestructuras de TI manejadas en las empresas se refleja la desestimación de proteger la red interna de la organización y con ellos los datos de amenazas y ataques cibernéticos. JFC ELECTRICAL ENGINEERING S.A.S. no ha sido ajeno a esta problemática, pues a medida que la empresa ha crecido, el volumen de información y su grado de confidencialidad se ha convertido en un punto crítico, ya que en los últimos años se ha vivido una serie de acontecimientos que han expuesto los datos comerciales y bancarios, los cuales no se han podido dimensionar, a tal punto que, hoy en día no se conoce si se ha extraído información confidencial. La empresa posee un canal de internet de banda ancha (10 Mbps), con tres (3) routers, los cuales son usados por seis (6) usuarios. Entre sus principales usos se encuentra el pago de facturas a proveedores mediante transacciones electrónicas,

8 DELOITTE, «Ciber Riesgos y seguridad de la información en América Latina & Caribe - Reporte Colombia,» Bogotá, 2019.

19

envíos y recepción de correos (cotizaciones, proveedores, clientes) y compartir archivos en red. Estos usos se han ido incrementando día a día con la expansión de la empresa, en donde correos tipo pishing enviados a áreas como Contabilidad y Compras, aumentan gradualmente, los cuales ocasionalmente no se han abierto, solicitando ayuda a una empresa conocedora del tema. Así como las cantidades de transferencias electrónicas que se manejan diario son cada día mayores, convirtiendo la red en blanco fácil para ciberataques. Igualmente, el uso sin restricciones en la red interna permite el acceso a las amenazas sin ningún obstáculo, pues todo el personal de la empresa tiene permiso para navegar en la intranet. Lo mencionado anteriormente ha conllevado a una serie de planteamientos el cual apuntan a la capacidad de reacción que tiene la empresa para mitigar y enfrentar amenazas que impliquen pérdidas de información por diferentes ataques que pueda haber en la red y web.

1.2 PLANTEAMIENTO DEL PROBLEMA ¿Cuál es el mejor sistema de seguridad perimetral que permita mitigar las pérdidas de información por ataques informáticos en la empresa JFC ELECTRICAL ENGINEERING S.A.S. acorde a sus características?

20

2. OBJETIVOS 2.1 OBJETIVO GENERAL Implementar un sistema de seguridad perimetral apoyada de la ISO 27001 e ISO 27002 que garantice la protección de la información en la empresa JFC. 2.2 OBJETIVOS ESPECÍFICOS

Análisis del sistema de información en la empresa JFC utilizando una encuesta y aplicación de la metodología APTH.

Identificar aspectos representativos de la ISO 27001 e ISO 27002, en cuanto a la seguridad perimetral para su respectiva aplicación en la empresa JFC.

Describir la propuesta de diseño del sistema de seguridad perimetral utilizando la ISO 27001 e ISO 27002 para la protección de la información en la empresa JFC.

21

3. JUSTIFICACIÓN Hoy en día la mayoría de las empresas a nivel mundial hacen diversas actividades en la web, desde búsqueda de clientes, hasta la recepción y envío de pagos vía transferencia electrónica, el caso específico de Colombia, tan solo en el año 2018 ocupó el cuarto lugar en ventas a través de internet9, lo que se traduce a grandes sumas de dinero que se transfieren a diario de un lugar a otro en la web. JFC ELECTRICAL ENGINEERING S.A.S al año 2019 lleva un porcentaje importante en transacciones financieras realizadas por la web, el cual ha aumentado a través del tiempo. Por otra parte, el manejo de información en los correos se ha convertido en un cuello de botella, pues es allí donde llega mucha información que de una u otra manera es posible bloquear con un sistema de seguridad perimetral, pues, si bien es cierto, la implementación de un antivirus a los usuarios finales, permite proteger el servidor y/o computadores de programas maliciosos, no es suficiente para mitigar los ataques y amenazas provenientes del exterior, es por ello que, la implementación de un sistema de seguridad perimetral (SSP) en la infraestructura de red con políticas de seguridad es el paso que se debe dar para estar preparados ante cualquier eventualidad. En muchos casos los ataques no solicitan al usuario permiso alguno, simplemente se ejecutan como los llamados bots, gusanos o troyanos, estos se propagan en la web buscando usuarios que por coincidencia bajen un programa, o al dar click en algún enlace, y sin permiso alguno se ejecuten en el computador, infectándolo. La implementación de un SSP permite supervisar el tráfico entrante y saliente de la red, así como bloquear el que no es deseado y dejar pasar los que son identificados, filtrar cierto contenido que es permitido a los usuarios, de esta manera se preparará a la empresa ante cualquier eventualidad de seguridad que pueda surgir blindando la empresa mediante hardware o software específico para contrarrestar amenazas. El Sistema de seguridad perimetral, además, ayudará a optimizar la conectividad de los usuarios, pues muchos sitios que consumen considerable cantidad de ancho de banda serán limitados, dejando acceder a aquellos que son netamente necesarios para las actividades laborales, como lo son cuentas de correo, páginas financieras, de proveedores, y buscadores. Hay que mencionar, además, la confiabilidad y disponibilidad que brinda al momento de realizar conexiones hacia la red interna, desde el exterior, mediante VPN (Virtual Private Network), esto, teniendo en cuenta que, en muchos casos, los empleados de la empresa deben conectarse estando fuera de la red interna.

9 Blacksip, «Reporte del Ecommerce en Colombia,» Bogotá, 2019.

22

La empresa JFC ELECTRICAL ENGINEERING S.A.S consciente de las amenazas informáticas a las cuales toda empresa se encuentra sometida en la red, y que han sido víctimas muchas multinacionales, ha decidido evaluar y diseñar la mejor alternativa de sistema de seguridad perimetral hardware o software para ser implementada en la empresa teniendo en cuenta costo/beneficio, viendo la oportunidad no solo fortalecer la infraestructura y el área de TIC mediante herramientas que permitan mitigar riesgos de ciberseguridad, sino, ser pionera en el departamento del Huila con implementación de buenas prácticas en seguridad informática.

23

4. ESTADO DEL ARTE La seguridad informática en el mundo actual ha cogido tal relevancia que ya todas las empresas sin importar su tamaño están viendo la importancia de tener un sistema de seguridad perimetral que permita mitigar amenazas y aunque en Colombia, todavía falta mucho camino por recorrer, se han dado pasos importantes, así lo evidencia el Ministerio de las Tecnologías y Comunicaciones – MINTIC en donde realiza un informe que no es frecuente en la región sobre Ciberseguridad en las empresas con el fin de luego, poder sugerir medidas e implementar políticas en cuanto a la prevención de riesgos en la red10. Este informe arrojó resultados que, si bien no son alentadores, son la base para poder llegar a la meta mencionada anteriormente. El 37% de las empresas encuestadas afirman que se encuentran preparadas para cualquier incidente de seguridad informática que pueda suceder, luego si se revisan los resultados a manera municipal, tan solo el 28% de las empresas se sienten preparadas para ello. Asimismo, estas afirman y hacen responsables al departamento de TI de cualquier evento que pueda suceder en seguridad, que a su vez cuentan con una infraestructura de apoyo como lo es el sistema de seguridad perimetral. De esta manera, existen diversas implementaciones tanto se sistema de seguridad perimetral como de sus componentes, claro ejemplo de ello tenemos el trabajo para la Implementación de un Firewall TMG Forefront para la Seguridad Perimetral de la Red de Datos de la Clínica Aliada11 en donde además de realizar la implementación, se hace todo el estudio de las amenazas cibernética acorde a las aplicaciones, intranet y demás servicios TI de la Clínica Aliada, obteniendo como principales conclusiones la mitigación de riesgos de ataques malware y spam en toda la red de datos de la clínica, así como la optimización de la red al implementar y la facilidad de trabajar desde otras ubicaciones (para funcionarios que no se encuentren en la red interna) a través del servicio VPN (Virtual Private Network). Igualmente se han realiza diseños para la implementación de Sistemas de seguridad perimetral en empresas y Consorcios colombianos como el trabajo de grado Diseño de un sistema de seguridad perimetral en las instalaciones del Consorcio Expansion PTAR Salitre, Sede Bogotá D.C.12 en donde se parte desde

10 Ministerio de las Tecnologías y Comunicaciones - MINTIC, «Impacto de los incidentes de seguridad digital en Colombia,» Bogotá, 2017. 11 CASTILLO PALOMINO, R. G., DOMINGUEZ CHAVEZ, M. A. y SULCA GALARZA, C. I., Implementación de un Firewall TMG Forefront para la Seguridad Perimetral de la Red de Datos de la Clínica Aliada, Lima: Universidad Peruana de las Américas, 2017. 12 BOHORQUEZ, M. A. y PAEZ CUADROS, L. A., Diseño de un sistema de seguridad perimetral en las instalaciones del consorcio Expansion PTAR Salitre, Sede Bogotá D.C., Bogotá: Universidad Católica, 2017

24

el diseño de todo el SSP con las mejores prácticas de seguridad, incluyendo desde la configuración y distribución de las redes mediante VLANS de comunicación, acceso físico por biometría, CCTV, firewall y demás; cuyos resultados son las sugerencias para que dicha implementación sea lo más exitosa posible. En muchos casos existen implementaciones específicas como el trabajo de grado Implementación de un firewall construido a partir de software y una placa de circuitos compacta o sbc (single board computer) en la empresa Taio Systems de la ciudad de Popayán13 en el cual se construye y configura una placa de circuitos bajo plataforma Open Source, de acuerdo a las características de red de la organización; las conclusiones permitieron corroborar que componentes de un Sistema de seguridad perimetral como lo es el firewall, permiten denegar, bloquear y filtrar todo aquel usuario no deseado, protegiendo a su vez la información de la empresa. Igualmente, siguiendo la línea de software libre, el trabajo de grado Implementación de un firewall sobre plataforma Linux en la empresa de contabilidad Armas & Asociados14 en donde hace comparativas de soluciones firewalls tanto en hardware como software, y selecciona para dicha empresa en particular solución de software libre debido a su relación coste/beneficio, así como la posibilidad de actualizarlo constantemente encontrando posibles errores o fallas de seguridad, pues debido que es software de libre acceso, muchas personas lo utilizan y revisan. Por otra parte, en la medida que ha transcurrido el tiempo y con la globalización, empresas dedicadas al sector de ciberseguridad han dado pautas para poder no solo diseñar e implementar Sistemas de seguridad perimetral basado en las necesidades de la empresa, si no las políticas, de manera que los usuarios finales interioricen que es responsabilidad de cada uno mantener al margen las amenazas, pues en muchas ocasiones sucede por la desinformación de los usuarios, quienes terminan abriendo una URL, o dando información ingenuamente. En el caso del Instituto Nacional de Tecnologías de la Comunicación en su monografía titulada Seguridad Perimetral15, en donde presentan toda una gama de productos para poder construir el SSP, así como sus principales características, relación costo/beneficio, recomendaciones y demás. Esta monografía además, sugiere buenas prácticas en la implementación del sistema, dejando a su vez, listado de fabricantes con referencias de hardware y

13 CHICAIZA PAREJA, J. S. «Implementación de un firewall construido a partir de software y una placa de circuitos compacta o sbc (single board computer) en la empresa Taio Systems de la ciudad de Popayán,» Universidad Nacional Abierta y a Distancia - UNAD, Popayán, 2017 14 ESPARZA MOROCHO,J. P. «Implementación de un firewall sobre plataforma Linux en la empresa de contabilidad Armas & Asociados,» Escuela Politécnica Nacional, Quito, 2013. 15 Instituto Nacional de Tecnologías de la Comunicación - INTECO, «Seguridad Perimetral,» Catálogo de empresas y soluciones de seguridad TIC, pp. 7-116, 2010.

25

software recomendados, los cuales ha clasificado y comparado según reputación de las referencias de los equipos y softwares que manejan. Para poder diseñar e implementar un sistema de seguridad perimetral es necesario conocer las principales tecnologías del mercado, así como experiencias de casos reales de ello, el trabajo de grado Estudio de las tecnologías de seguridad perimetral informáticas y propuesta de un plan de implementación para la agencia nacional de tránsito16 hace un análisis con características y conceptos en cuanto a redes, amenazas, vulnerabilidades y técnicas de ataque a tener en cuenta para determinar los requerimientos de la red de la empresa en particular con el fin de cumplir el objetivo de diseñar e implementar el SSP. Los resultados son claros, en donde establecen políticas de seguridad, controles de sitios web a través de firewalls, filtrados de contenidos, establecimiento de protocolos de túneles como PPTP o L2TP para establecer comunicaciones privadas protegiendo la información, sugiriendo solución UTM en combinación con diversas funcionalidades, todo ello acorde a las necesidades de la empresa. Asimismo, hay artículos que describen los pasos acordes a los requerimientos de la empresa para diseñar un SSP para una red de datos, como es el artículo Seguridad perimetral para la red de datos17, el cual tiene en cuenta como plus la escalabilidad que debe tener el diseño en toda red, permitiendo evolucionar con el tiempo, brindando confiabilidad y disponibilidad.

16 CHICAIZA GARCIA, Diego Francisco. Estudio de las tecnologías de seguridad perimetral informáticas y propuesta de un plan de implementación para la agencia nacional de tránsito, Quito: Pontificia Universidad Católica del Ecuador, 2014. 17 TORRES BOLAÑOS, R. J. «Seguridad perimetral para la red de datos,» Universidad Técnica del Norte, Quito.

26

5. MARCO TEÓRICO 5.1 SISTEMA DE SEGURIDAD PERIMETRAL Para el diseño e implementación de un sistema de seguridad perimetral en la red, se debe conocer conceptos específicos de los componentes que lo integran, esto con el fin de poder ajustar las necesidades de la empresa al sistema a seleccionar. El Sistema de seguridad perimetral (SSP) son todos aquellos componentes de seguridad sea hardware o software, que integran la infraestructura red y cuyo único fin tiene proteger los elementos y activos internos de la organización con su respectiva información del medio externo, en este caso, la web o internet. 5.1.1 Cortafuegos (Firewall) Elemento de red que permite definir políticas de accesos, permitiendo o denegando el tráfico entre redes (mínimo dos) según se definan sus reglas. Hay dos políticas o maneras de implementarlo, denegando todo a excepción de ciertas IPs (lista blanca), o aceptando todo a excepción de ciertas IPs (lista negra)18. Es pertinente mencionar que la primera es muy rigurosa, se recomienda cuando se conoce claramente cómo funciona el sistema teniendo en cuenta qué se debe abrir. La segunda política permite una gestión mucho más fácil, pues solo se debe tener en cuenta aquellos puertos o direcciones que nos interesa para protegerlos, la contraparte es el no poder controlar todo lo que está abierto, dejando la oportunidad que un software abra un puerto determinado. Ahora bien, se debe establecer el orden de las reglas del cortafuego, pues cuando un paquete llega, se debe decidir que se hace con él. Acorde al orden de las reglas del cortafuego se compara hasta que encuentre una que le afecte, haciendo lo que esta regla mencione (aceptar o denegar), después de ello no se revisarán más reglas para ese paquete. En caso de tener reglas muy permisivas entre las primeras, puede que las siguientes no se apliquen, dejando inservible el cortafuegos19. Existen diferentes tipos de cortafuegos o firewalls:

Circuitos a nivel de pasarela: uso exclusivo para aplicaciones específicas.

Cortafuegos de capa de red: su funcionamiento se basa en el filtrado a nivel de capa de red IP source / IP destination.

18 Intypedia - Information Security Encyclopedia, «Seguridad perimetral,» Madrid, 2011. 19 ALTADILL IZURA, P. X., «IPTABLES Manual práctico,» Bilbao, 2013

27

Cortafuegos de capa de aplicación: permite filtrar protocolos específicos, por ejemplo, TCP, SQL, etc.

Cortafuegos personal: como su nombre lo indica son para computadores y smartphones personales.

A continuación, se ilustra la configuración de una red con un cortafuegos típico: Ilustración 2. Firewall implementado en una red LAN

Fuente: elaboración propia

Es pertinente ubicar el cortafuegos entre el router de servicio del proveedor de internet y el switch o equipo que interconecte la red LAN (Local Area Network), que no es más que la red local de la empresa. En muchas ocasiones, es necesario que componentes de la red interna interactúen con la red externa (internet), como es el caso específico de los servidores web, para ello, se debe hacer una excepción, situando dicho componente fuera de la red interna, y es donde entra en juego el concepto de DMZ (Demilitarized Zone), por lo cual, el cortafuegos ya tendría tres entradas, y su función toma mayor relevancia.

Ilustración 3. Zona desmilitarizada implementada Fuente: elaboración propia

28

5.1.2 Sistema de Detección y Prevención de Intrusos Herramienta utilizada para proteger la infraestructura de manejo de información, cuya función principal es monitorear y detectar comportamientos y eventos sospechosos tanto en host como en red, en tiempo real20, así como responder ante cualquier eventualidad. En cuanto a los Sistemas de Prevención, fueron la evolución del primer grupo (Sistema de Detección), los cuales por su enfoque y rápida respuesta ante eventos sospechosos son más complejos, pues además de monitorea, interviene activamente al ver paquetes sospechosos, de esta manera realiza exámenes robustos de sesiones sospechosas, tomando acciones de manera inmediata ante un posible ataque. Su implementación de estos sistemas suele ser por separados o combinados (IDS/IPS), tanto en una red como en un host particular. Al implementarse en una red, se puede monitorear el tráfico de ésta, actuando entre los atacantes de manera oculta, en cuanto a la implementación en un host pueden monitorear todo el tráfico dirigido a un equipo específico, así como los comportamientos inusuales que ocurran en el sistema21. La base del funcionamiento de estos sistemas es en la detección de eventos que coincidan con los registrados en las reglas definidas o a través de patrones de comportamiento inusuales. Ilustración 4. Esquema de un IDS (Intrusion Detection System)

Fuente: Imagen obtenida de commons.wikimedia.org | CC BY-SA 4.0

20 Backtrack Academy, «Qué es un sistema de detección y prevención de intrusos,» 10 Abril 2018. [En línea]. Available: backtrackacademy.com/articulo/que-es-un-sistemas-de-deteccion-y-prevencion-de-intrusos-ids 21 Ibid

29

Ilustración 5. Esquema de un IPS (Intrusion Prevention System )

Fuente: Imagen obtenida de commons.wikimedia.org | CC BY-SA 4.0

Sus principales diferencias con los firewalls son22:

Están atento a los ataques internos en la red.

Detectan ataques dirigidos de los propios cortafuegos.

Investigan el contenido y los archivos de registros de cortafuegos, routers, etc.

Son un complemento, las cuales se crearon para trabajar en conjunto con otras herramientas para crear una solución de seguridad robusta, como lo es el Sistema de Seguridad Perimetral.

5.1.3 Antivirus Programa usado para detectar y eliminar malware como virus, keyloggers, troyanos, entre otros. Pueden instalarse tanto en computadores (usuario final) como servidores, su método de funcionamiento es sencillo, pero ahora vienen con características completas pues permiten escanean los programas antes de abrirlos, así como las unidades externas conectadas, el disco duro normal, los mensajes de correo electrónico, las conexiones de red entrante, las páginas web, entre muchas otras. Por ello, se debe configurarlo acorde a las necesidades, ya que puede llegar la posibilidad de ralentizar el computador, surgiendo un efecto negativo en el usuario final. Los antivirus poseen una gran cantidad de base de datos que se están actualizando constantemente (allí la importancia de tenerlo licenciado) de virus actuales, que son las firmas de estos (virus), al escanear el programa o unidad externa realmente están buscando mediante comparación esas firmas para poder bloquearlas y eliminarlas, antes de que se siga propagando.

22 WARE, C. «Sistemas de Detección y Prevención de Instrusos - Estado del Arte,» Montevideo, 2011

IPS

30

En el mercado se encuentran diversas marcas las cuales ofrecen diversas características y eficiencia. A continuación, se mostrará una comparativa realizada por PCWORLD, revista especializada de informática23. Tabla 2. Mejores antivirus del 2019 Posición Antivirus

1 Bitdefender Total Security (2019)

2 Norton Security Deluxe

3 ESET Internet Security 11

4 Kaspersky Security Cloud

5 BullGuard Premium Protection

6 McAfee Total Protection

7 AVG Ultimate (2019)

8 Sophos Home Premium

9 Avast Premier (2019)

10 Avira Antivirus Pro (2019)

Fuente: PC WORLD, «Los mejores antivirus para Windows de 2019,» 13 Agosto 2019. [En línea]. Available: https://www.pcworld.es/mejores-productos/seguridad/antivirus-windows-3675796/.

La clasificación anterior se realizó con la ayuda de AV-TEST, organización independiente dedicada al análisis de antivirus y la empresa británica SE Labs, las cuales evaluaron la capacidad de reacción que tiene un antivirus para la detección de malware usando métodos tradicionales, capacidad de detener los ataques, así como de eliminar contenido malicioso. 5.1.4 Honeypots Sistemas trampas para observar el comportamiento de un ataque informático, con el único fin de analizar la intrusión y método usado; por lo cual, su objetivo principal es simular un equipo vulnerable para atraer al atacante, por lo cual permite:

Analizar vulnerabilidades del sistema.

Conocer nuevos ataques.

Desviar al atacante, salvando el sistema principal: también para persuadirlo con el fin de ganar tiempo y poder actuar con las medidas necesarias.

Conocer nuevo malware o Zero-Days

Localizar atacantes a través de IP’s, para incorporarlas en la lista negra del cortafuegos (firewall).

23 PC WORLD, «Los mejores antivirus para Windows de 2019,» 13 Agosto 2019. [En línea]. Available: https://www.pcworld.es/mejores-productos/seguridad/antivirus-windows-3675796/.

https://www.pcworld.es/mejores-productos/seguridad/antivirus-windows-3675796/

31

A continuación, se mostrará una configuración general de un Honeypot, en donde se atrae al atacante de manera que el sistema verdadero se encuentre a salvo: Ilustración 6. Configuración general de Honeypot en un sistema red


De acuerdo con el objetivo para el que se emplea, el Honeypot se clasifica de la siguiente manera:

Honeypot de producción: empleado para proteger una red o reducir daños de un ataque.

Honeypot de investigación: empleado para recolectar información del atacante, conocer métodos de intrusión, herramientas, etc.

De igual modo, existen diferentes tipos de Honeypot según la interacción con el atacante:

Baja interacción: simulan la parte de un sistema específico, son instalados como una aplicación en un host. Sirven exclusivamente para recolectar cierta información de ataques concretos, entre los que se encuentran la monitorización de puertos.

Media interacción: añade más información y con ello mayor riesgo, ejemplo de ello son los Honeypot jaulas, los cuales simulan un Sistema Operativo real.

Alta interacción: sistemas completos y realistas, recoge mucha más información que los dos anteriores, aun así, son más peligrosos, pues los atacantes pueden usar este sistema como plataforma para atacar la red verdadera.

32

Honeynet es un Honeypot de alta interacción que permite capturar toda la información del atacante, la gran dificultad de estos es la configuración de dichas medidas de control precisamente para poder recolectar todos los datos que se requieren.

5.1.5 UTM - Unified Threat Management UTM o Gestión Unificado de Amenazas, es un centro de gestión centralizado de la mayoría de las amenazas que puedan afectar una empresa. Sus principales funciones son:

Antivirus.

Cortafuegos o Firewall.

Sistemas de detección y prevención de intrusiones “IDS/IPS”.

Antiphishing.

Antispam.

Redes privadas virtuales o VPN.

Sistemas de protección de redes inalámbricas wifi.

Filtrado de contenido Las UTM son caracterizadas por su sencillez en la manera de poder reunir muchas funcionalidades en cuanto a seguridades de red en una sola solución, con asistencia de un único equipo y ejecutarlos desde una sola consola. Estos equipos han sobresalido gracias a la aparición de amenazas mixtas, las cuales resultan de la combinación de varios tipos de malware y ataques dirigidos a partes diferentes de la red de forma simultánea24, es por ello que muchas empresas deciden combinar el uso de un dispositivo UTM con el uso de Seguridad Perimetral basado en software, para lograr contrarrestar el malware que se infiltre. 5.2 CIBERAMENAZAS La llegada del internet y con ello la globalización ha desatado otro tipo de guerras, pues ahora los campos de batalla se trasladaron a la web en donde aparecen conceptos como ciberataques, hackers, seguridad informática, entre otros.

24 KASPERSKY, «¿Qué es la gestión unificada de amenazas (UTM)?,» 2017. [En línea]. Available: https://latam.kaspersky.com/resource-center/definitions/utm.

33

5.2.1 Cross-Site Scripting (XSS) Se basa en ataques al lado del cliente, entre los que se encuentran el robo de la sesión (apropiación de la cuenta), inclusión de troyanos de autenticación, ataques contra el navegador, descarga de software malicioso, y otros. Existen tres tipos de Cross-Site Scripting para atacar a los navegadores de los usuarios25:

XSS reflejado: se da gracias a que la aplicación no valida los datos utilizados, los cuales son ingresados por el usuario y codificados como HTPL o Javascript. Permitirá ejecutar cualquier comando deseado por el atacante en el navegador de la víctima; es muy frecuente usar publicidad maliciosa para que el usuario interactúe con el enlace o página controlada.

XSS Almacenado: la aplicación no valida los datos almacenados que son ingresados por los usuarios, como consecuencia, estos son visualizados o manipulados por otro usuarios. Este tipo de Crosss-Site Scripting es clasificado como riesgo de nivel crítico.

XSS Basados en DOM: frameworks en JavaScript, aplicaciones de página única o APIs incluyen datos dinámicamente, controlables por un atacante. Idealmente, se debe evitar procesar datos controlables por el atacante en APIs no seguras26.

Estos tipos de ataques crecieron han estado en crecimiento en el 201727 según informó la Base de Datos Nacional de Vulnerabilidades de los Estados Unidos. Ilustración 7. Porcentaje de crecimiento de ataques XSS Fuente: Informe de la NVD (National Vulnerability Database) – 2017

25 Owasp Foundation, «Los diez riesgos más críticos en Aplicaciones Web,» OWASP Top 10 - 2017, 2017 26 Ibid. 27 Centro Criptológico Nacional, «Ciber Amenazas y Tendencias,» Madrid, 2018

34

5.2.2 Ransomware Tipo de ciberataque cuya función principal es secuestrar la información de la víctima para exigir pago de rescate. Actúan códigos conocidos como filecoder o Cryptolocker, entre muchos más28. Su método de infección es a través correos electrónicos, con la apertura de archivos adjuntos, al hacer clic en ellos, también se han detectado en programas de activación (comúnmente llamado piratear) de software reconocidos como Adobe Photoshop y Microsoft Office. Este tipo de amenaza es muy usado debido a la facilidad en conseguirse por la web29, en donde vendían específicamente Karmen como ransomware as a service por 175 dólares. Asimismo, otro claro ejemplo de la fácil distribución de este tipo de ataque en la DeepWeb, fue el estudio realizado por Sophos, en donde se atribuye al grupo Rainmaker Labs, el cual lo vende en 389 dólares30. Ilustración 8. Ejemplo de venta de ransomware en DeepWeb

Fuente: Ransomware As A Service: Deconstructing Philadelphia31

Entre los Ransomware más conocidos se encuentran:

28 Enjoy Safet Technology - ESET, «TODO SOBRE EL RANSOMWARE: Guía básica y preguntas frecuentes,» 2016. 29 Recorded Future, «Recorded Future,» 18 Abril 2017. [En línea]. Available: https://www.recordedfuture.com/karmen-ransomware-variant/. 30 Sophos, «Ransomware as a service (RaaS): Descontructing Philadelphia,» Massachusetts, 2017. 31 Ibid

35

Petya: el cual además de cifrar los datos almacenados, sobreescribe el registro de inicio maestro (MBR) del disco duro, lo que causa que los usuarios finales (computadores) infectados, no pudieran iniciarse.

NotPeya: versión mejorada de la anterior, el cual usa múltiples técnicas de difusión entre las que se encuentra la usada por WannaCry, así como técnicas de propagación en redes locales mediante herramientas integradas de Microsoft32.

WannaCry: ataca redes usando un protocolo que ayuda a los equipos a comuicarse con las impresoras y otros dispositivos conectados a la red (SMBv1). Su fin principal es impedir el acceso de los usuarios a sus archivos mediante el cifrado, haciendo de esta manera un secuestro de información. Este tipo de ransomware usa métodos de la Agencia de Seguridad Nacional de Estados Unidos (EternalBlue y DoublePulsar), pues fue filtrado por el grupo The Shadow Brokers33. A continuación, se muestra una captura de pantalla de un computador infectado con WannaCry o WanaCrypt0r 2.0.

Ilustración 9. Captura pantalla infección con WannaCry o WanaCrypt0r 2.0 Fuente: WannaCry34

Los expertos recomiendan mantener actualizados los computadores, especialmente aquellos que usan Sistema Operativo Windows, así como tener antivirus instalado y Cortafuegos en la red que permita detectarlos.

32 Centro Criptológico Nacional, «Ciber Amenazas y Tendencias,» Madrid, 2018 33 Avast, «WannaCry,» 2017. [En línea]. Available: https://www.avast.com/es-es/c-wannacry. 34 Ibid

36

5.2.3 Phishing y Spamming A diferencia del anterior, el phishing es un método que usa ingeniería social (práctica para robar información confidencial a personas, con el simple hecho de realizar diversas preguntas ya sea en una conversación telefónica, personal o en un correo electrónico, para ello ganarse la confianza de la víctima es esencial, o simplemente persuadirlo35. Normalmente el atacante se hace pasar por una persona o empresa de confianza utilizando correo electrónico o mensajería instantánea. Existe varios tipos de phishing teniendo en cuenta el objetivo36:

Phishing Tradicional: se liga a la falsificación de un sitio web conocido por la víctima, en donde el usuario ingresa las credenciales en este sitio falso, las cuales son capturadas y enviadas al atacante. Es el más usado, y se envía al mayor número de personas posibles.

Spear Phishing: no es masivo, ya se tienen identificados un grupo de usuario concreto; es por ello que, la Ingeniería Social en este tipo es mucho más importante.

Whale Phishing / Whaling: ya se tienen identificados usuarios concretos, puede ser personal directores financieros, gerentes, y aquellos que tengan la mayor cercanía con el manejo del dinero de las empresas; la Ingeniería Social en este tipo es la más sofisticada, pues se requiere un estudio previo de las víctimas, para poder elaborar el mensaje adecuado.

Es importante tener en cuenta que la mayoría de los ataques phishing contienen graves errores de ortografía, así como de redacción, en muchos casos se debe al uso de herramientas automáticas de traducción, o aparecen caracteres raros en el link, un ejemplo de ello nos muestra Alejandro Pinto en su blog37, en donde se muestra un correo aparentemente enviado por Bancolombia, al parecer todo en normalidad, en donde se afirma que la cuenta se encuentra bloqueada, por lo cual debe dar clic en el link suministrado y digitar la clave de la cuenta para desbloquearla:

35 DOLAN, A. «Social Engineering,» SANS Institute Information Security Reading Room, 2004. 36 Andalucía CERT - Centro de Seguridad TIC, «Informe de divulgación Phishing,» Sociedad Andaluza para el Desarrollo de las Telecomunicaciones, Andalucía, 2017. 37 PINTO. A. «Blog de Alejandro Pinto en la Universidad Tecnológica de Pereira,» 4 Diciembre 2013. [En línea]. Available: http://blog.utp.edu.co/alejandropinto/phishing-dos-casos-personales-y-como-puede-cuidar-su-informacion-y-la-de-su-empresa/.

37

Ilustración 10. Correo phishing Fuente: Phishing: Dos Casos Personales y Cómo Puede Cuidar Su Información y la de Su Empresa38

Al ingresar el portal es similar al original, a diferencia de la URL: Ilustración 11. URL Sospechosa. Ataque de Phishing Fuente: Phishing: Dos Casos Personales y Cómo Puede Cuidar Su Información y la de Su Empresa39

Al revisar la URL, definitivamente se concluye que es un ataque de phishing, en donde el ciberdelincuente está esperando que el usuario ingrese las credenciales de la cuenta para poder capturarlas y robarla. Por otra parte, el spam o correo basura, generalmente se distribuye con fines publicitarios, aun así, es un medio para usar el phishing, distribuyendo links y URLs falsas, así como código dañino. La porción de correo spam que llega es a tal

38 PINTO. A. «Blog de Alejandro Pinto en la Universidad Tecnológica de Pereira,» 4 Diciembre

2013. [En línea]. Available: http://blog.utp.edu.co/alejandropinto/phishing-dos-casos-personales-y-como-puede-cuidar-su-informacion-y-la-de-su-empresa/. 39 Ibid

38

cantidad que en el 2018 el 52,48% de los correos que llegaron, era de este tipo, en donde China fue la mayor fuente de estos correos. El 74,15% de este tipo de correos tenían menos de 2 KB de tamaño, y el 18,32% de ellos, contenían phishing40. 5.3 DISPOSITIVOS QUE GARANTIZAN LA SEGURIDAD PERIMETRAL Actualmente hay gran diversidad de equipos y software que garantizan la seguridad perimetral en una red, teniendo en cuenta características como rendimiento, costo, y administración, se puede seleccionar la mejor alternativa, a continuación se describirán algunos de estos: 5.3.1 Fortigate Equipo hardware dedicado cuyo fabricante, Fortinet, tiene su sede principal en Estados Unidos. Dentro de sus características a resaltar se encuentran41:

Protocolo de gestión remota: http

Rendimiento de 950 Mbps, 180000 paquetes por segundo

SSL inspección rendimiento, 200 MBps

Firewall latencia (64-byte UDP), 130 µs

IPS rendimiento, 240 Mbps

Rendimiento IPS (HTTP), 600 MBps

Rendimiento VPN (512-bit IPSec), 75

Capacidad de Sesiones concurrentes TCP, 900000

Políticas Firewall permitidas, 5000

Túneles VPN IPSec puerta a puerta de enlace permitidos, 20

Túneles VPN IPSec cliente para Gateway permitidos, 250

40 Securelist, «Spam and phishing in 2018,» 12 Marzo 2019. [En línea]. Available: https://securelist.com/spam-and-phishing-in-2018/89701/. 41 Fortinet, «Datasheet FortiGate/FortiWiFi,» 1 11 2019. [En línea]. Available: https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/FortiGate_FortiWiFi_30E.pdf.

39

Usuarios concurrentes VPN SSL, 80

Número de dispositivos de fortitoken, 20

Seguridad completa y avanzada en un formato compacto de escritorio.

La mejor seguridad validada por NSS Labs, Virus Bulletin y AV Comparatives.

La mayor protección contra amenazas de la industria, IPsec VPN y rendimiento de inspección SSL.

Capacidades de SD-WAN incorporadas para permitir la adopción de la nube con un costo de WAN reducido.

Administración centralizada en la nube e implementación sin intervención.

Protección contra malware, exploits y sitios web maliciosos en tráfico cifrado y no cifrado.

Prevención y detección contra ataques conocidos y desconocidos utilizando inteligencia de amenazas continua de los servicios de seguridad de FortiGuard Labs impulsados por Inteligencia Artificial.

Servicios de seguridad.

Ofrece grandes capacidades de enrutamiento, conmutación, control inalámbrico y VPN IPsec de alto rendimiento para consolidar la funcionalidad de red y seguridad.

La vista del Single Pane of Glass con el Centro de operaciones de red (NOC) proporciona una visibilidad de 360 ° para identificar problemas de forma rápida e intuitiva.

La lista de verificación de cumplimiento predefinida analiza la implementación y remarca las prácticas recomendadas para mejorar la postura general de seguridad.

El FortiGate soporta módems 3G / 4G externos que permiten conectividad WAN adicional o redundante para máxima confiabilidad. El FortiGate también puede funcionar como un controlador de punto de acceso inalámbrico para ampliar aún más las capacidades inalámbricas.

40

5.3.2 SOPHOS XG86 Según el fabricante, la versión XG86 posee las siguientes características42

Firewall básico Firewall, IPsec y VPN SSL, protección inalámbrica (los AP se venden por separado).

Protección de redes IPS, RED, VPN HTML5, ATP, Security Heartbeat.

Protección web Antimalware, protección, visibilidad y control web y de aplicaciones.

Protección de Sandstorm Tecnología de última generación de espacio seguro en la nube.

Dispositivo de hardware de la serie XG Procesador multinúcleo de Intel, almacenamiento de estado sólido, conectividad flexible.

AV-proxy, 360 Mbps.

Rendimiento del firewall, 3 Gbps

IMIX del firewall, 800 Mbps

Rendimiento la VPN, 225 Mbps

Rendimiento del IPS, 580 Mbps

NGFW (IPS + Control aplic.) máx, 310 Mbps

Rendimiento del antivirus (proxy), 360 Mbps

Conexiones simultáneas, 3.200.000

Conexiones nuevas/seg, 15.000

Número máximo de usuarios con licencia sin restricciones

42 Sophos, «Sophos XG Firewall,» 1 11 2019. [En línea]. Available: https://www.sophos.com/es-es/medialibrary/pdfs/factsheets/sophos-xg-series-appliances-brna.pdf.

41

5.3.3 IPFIRE Sistema de Seguridad Perimetral Open Source, lo que permite implementarlo sin restricción alguna de licencias, dentro de sus principales características se encuentran43:

Solución software, el cual puede ser instalado en un servidor.

Sistema Firewall cuya configuración es bastante intuitiva.

Políticas de seguridad, la cual pueden implementare mediante LAN y DMZ para administrar los riesgos de la red.

Posee una gran comunidad que permite alimentar la base de datos de nuevas vulnerabilidades y ataques.

Permite filtrar los paquetes de manera instantánea, logrando rendimientos en decenas de Gigabit por segundo.

Sistema de detección de intruso, el cual analiza todo el tráfico de manera que detecta exploits, fuga de datos, entre otras actividades sospechosas, para luego activar alertas y bloquear el ciberataque.

VPN (Virtual Private Network), el cual permite conectar la ubicación de la red a través de una conexión cifrada.

Web proxy, filtrando y permitiendo acceso restringido al uso de internet, acorde a los permisos configurados.

5.4 NORMATIVIDAD APLICABLE Para la implementación del Sistema de Seguridad Perimetral es de vital importancia conocer la normatividad que rige, es por ello que se revisará la ISO 20071 y la ISO 20072: 5.4.1 NTC 27001 Norma Técnica Colombiana 27001, la cual da las pautas para la implementación de un sistema de seguridad de información. Es de mencionar que son directrices, las cuales deben ser adoptadas por la compañía, acorde a las necesidades de la

43 IPFire, «IPFire Features,» 1 11 2019. [En línea]. Available: https://www.ipfire.org/features.

42

empresa, según su estructura, requisitos de seguridad y procesos44. Este sistema debe estar diseñado de manera tal que aseguren los controles para proteger la información de la compañía. 5.4.2 NTC 27002 Norma Técnica Colombiana 27002, la cual describe los procedimientos para la gestión de la seguridad de la información, así como evaluación de riesgos. En ella se describen los conceptos básicos de seguridad informática a tener en cuenta, y con el cual se parte para desarrollar las políticas de seguridad. Esta norma pretende ser una guía para establecer y desarrollar normas de seguridad informática en las compañías, de manera que se pueda ser eficiente al momento de detectar riesgos, así como la evaluación de riesgos45.

44 Icontec Internacional, «NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 27001,» Icontec Internacional, Bogotá, D.C., 2006. 45 Icontec Internacional, «GUÍA TÉCNICA COLOMBIANA GTC-ISO/IEC 27002,» Icontec Internacional, Bogotá, D.C., 2015.

43

6. METODOLOGÍA 6.1 DIAGNÓSTICO Inicialmente se realizó un diagnóstico de la empresa JFC ELECTRICAL ENGINEERING S.A.S. en cuanto a percepción de los usuarios, componentes de red, uso de la misma, entre otros. 6.1.1 Infraestructura Física JFC ELECTRICAL ENGINEERING S.A.S. posee una débil infraestructura física que no permite albergar componentes de red dedicados, se encontró que no tiene un espacio dedicado para estos equipos, lo que causa desorganización y desubicación al momento de analizar la red o en caso de cualquier eventualidad de ciberseguridad que se pueda presentar, pues no hay una centralización definida para los equipos de red. Adición a ello, se puede verificar que la empresa no tiene cableado estructurado, por lo que todas las conexiones de los usuarios finales se hace vía inalámbrica. Imagen 1. Infraestructura física JFC ELECTRICAL ENGINEERING S.A.S. Fuente: JFC ELECTRICAL ENGINEERING S.A.S.

6.1.2 Infraestructura de Red La empresa JFC ELECTRICAL ENGINEERING S.A.S. posee los siguientes elementos de red:

Un (1) Servidor con intranet Hewlett Packard: en el cual se aloja toda la información de la empresa, y cuyo acceso es libre, por lo que cualquier usuario

44

conectado a la red interna, puede obtener desde la información de contratación, hasta financiera, pagos a proveedores, nóminas, etc.

Un (1) módem principal genérico: en el cual llega el servicio de internet de 10 Mb, a través de cable coaxial.

Dos (2) Módem inalámbricos genéricos: los cuales soportan toda la operación de la empresa. Su protección se limita a la contraseña del SSID (Service Set Identifie) que posee el mismo, algo crítico, pues cualquier computador conectado por medio inalámbrico puede acceder a dicha contraseña con unos simples pasos.

Switch básico; en el cual se conectan los equipos de escritorio mediante cables de red UTP categoría 5, marca genérica.

Seis (6) Equipos escritorio marcas genéricas: los cuales son usados por el personal que se encuentra en la empresa.

Una (1) impresora a láser Hewlett Packard: la cual se encuentra conectada a la red mediante cable UTP categoría 5, marca genérica.

Una (1) impresora de tinta continua Hewlett Packard: conectada a la red vía inalámbrica.

Sistema de Circuito Cerrado de Televisión (CCTV): compuesto por seis (6) cámaras y que, a su vez se encuentra conectado a la red.

Imagen 2. Servidor de la empresa JFC ELECTRICAL ENGINEERING S.A.S Fuente: JFC ELECTRICAL ENGINEERING S.A.S

45

Imagen 3. CPU área contable JFC ELECTRICAL ENGINEERING S.A.S. Fuente: JFC ELECTRICAL ENGINEERING S.A.S

Imagen 4. Switch usado en la empresa JFC Fuente: JFC ELECTRICAL ENGINEERING S.A.S.

6.1.3 USO DE LA RED Ya con lo mencionado líneas atrás, se realiza el diagnóstico del uso dado a la red, así como la diagramación de los componentes que la comprenden:

46

Ilustración 12. Diagrama de red de la empresa JFC Fuente: elaboración propia

La empresa JFC ELECTRICAL ENGINEERING S.A.S. cuenta con un canal de banda ancha de 10 Mbs, los cuales son usados para:

Realizar pagos a proveedores vía transferencia electrónica.

Envío, recepción y consulta de correos electrónicos. Es de mencionar que no se tiene dominio propio, por lo cual, los correos corporativos manejados son aquellos que se pueden crear para uso personal.

Carga y descarga de información por medio de Google Drive.

Consulta vía web del Circuito Cerrado de Televisión (CCTV). En cuanto a la red interna, se usa para lo siguiente;

Compartir archivos internos.

Enviar impresiones vía inalámbrica. 6.1.4 Posibles Incidentes Presentados La empresa JFC ELECTRICAL ENGINEERING S.A.S. en sus 5 años de funcionamiento no ha tenido directamente incidentes según lo que dice su gerente, pero esta afirmación puede ser correcta, como no, ya que, la falencia de equipos de seguridad perimetral, que permitan verificar ataques a la empresa hace que esta afirmación se convierta en una hipótesis. Por estas razones, se diagnosticará los posibles incidentes que se hayan presentado por no contar con un sistema de seguridad perimetral:

47

Phishing: correos que llegan a la bandeja de entrada y que traen consigo información falsa, haciéndose pasar por entidades financieras, o en muchos casos como comparendos de foto multas, cuyo único fin es robar información confidencial como credenciales bancarias.

Robo de información: difícilmente con la infraestructura actual que se tiene es posible evaluar si se ha infiltrado información, esto debido a que cualquier usuario con acceso a la red interna, tiene acceso a toda la información de la empresa.

Al usar correo personal y no organizacional (con dominio) la empresa se encuentra expuesta a los riesgos de la web sin ningún tipo de protección, pues las cuentas de empresa ofrecen como plus, el respaldo de todo un equipo profesional para mitigar ataques a los servidores de correo.

Afortunadamente la empresa no ha sido víctima del popular malware Ramsonware, el cual se propagó mundialmente en el 2017, en caso de que hubiera pasado, la posibilidad de recuperar la información hubiera sido bastante lejana. 6.1.5 Encuesta a Usuarios Finales Se realizaron encuestas a todo el personal que trabaja en la empresa JFC ELECTRICAL ENGINEERING S.A.S. (seis personas), con el fin de conocer la percepción los usuarios e importancia que le da la empresa en cuanto a la seguridad informática. En el siguiente link se puede ingresar (https://forms.gle/KkHhknpfDrj9onSi7). Ilustración 13. Encuesta de percepción de seguridad en la empresa JFC Fuente: elaboración propia – Google Forms.

https://forms.gle/KkHhknpfDrj9onSi7

48

Los resultados fueron los siguientes:

¿Quién es responsable de instalar y mantener el software de seguridad en la empresa?

Gráfico 1. Pregunta 1 – Encuesta de percepción Fuente: elaboración propia – Google Forms.

Es claro que no hay personal encargado para la seguridad informática de la empresa, y si lo hay, no lo conocen. Es importante que la gerencia defina y comparta a sus colaboradores la persona que estará a cargo de ella. Se sugiere un colaborador con conocimientos de informática, el cual pueda dar soporte básico en caso de alguna incidencia, y quien debe ser apoyado por una empresa/persona experta en seguridad informática.

¿Quién usa la red Wi-Fi de la empresa? Gráfico 2. Pregunta 2 – Encuesta de percepción Fuente: elaboración propia – Google Forms.

No todas las personas deben tener acceso a la red, para ello se debe tener restricciones de acceso. Se sugiere crear VLANs para poder segmentar áreas críticas como contabilidad, y dejar una red para visitantes, en la cual exclusivamente tengan acceso a la web y no a componentes de la red interna de la empresa.

49

¿Usa la red Wi-Fi para conectarse desde el celular? Gráfico 3. Pregunta 3 – Encuesta de percepción Fuente: elaboración propia – Google Forms.

La red de la empresa debe ser exclusivo para cuestiones laborales, por ello, se debe diseñar políticas de uso, así como, la interiorización de todos los colaboradores para que dichas políticas sean efectivas.

¿Se encuentra confirme con la velocidad del internet? Gráfico 4. Pregunta 4 – Encuesta de percepción Fuente: elaboración propia – Google Forms.

Es evidente que la infraestructura tanto física como en equipos de red no permite una buena fluidez en la navegación, resultado de ello son los resultados de la presente pregunta, asimismo, también se debe por el mal uso de ella, ya que generalmente en muchas empresas que no cuentan con un Sistema de Seguridad Perimetral que le permita filtrar contenido y páginas web, los usuarios ingresan a contenido que consumen bastante banda ancha, claro ejemplo es YouTube.

50

¿Con qué frecuencia se cambian las contraseñas de la empresa? Gráfico 5. Pregunta 5 – Encuesta de percepción Fuente: elaboración propia – Google Forms.

Nuevamente se revela la importancia del acompañamiento de las Políticas de Seguridad con el Sistema de Seguridad Perimetral. Hoy en día, no es posible que una organización se encuentre usando las mismas contraseñas que hace un (1) año, estas deben ser volátiles, cambiarse periódicamente.

¿Puede reconocer un correo que contenga código con virus? Gráfico 6. Pregunta 6 – Encuesta de percepción Fuente: elaboración propia – Google Forms.

El 66,7% de las personas que trabajan no pueden reconocer un correo malicioso, punto débil que se debe reforzar, para mitigar el típico ataque pishing que sufren las organizaciones.

51

¿Ante cualquier eventualidad de hackeo (computador infectado con virus), sé a quién acudir?

Gráfico 7. Pregunta 7 – Encuesta de percepción Fuente: elaboración propia – Google Forms.

Como se evidenció en la pregunta N°1, gran mayoría de los colaboradores de la empresa JFC no conoce a quién acudir ante cualquier contaminación que pueda sufrir el computador, gran debilidad que se evidencia, pues los primeros minutos son críticos para poder reaccionar, si la persona no conoce quién le puede ayudar, no se podrá actuar rápidamente.

¿Ha sido víctima de un ataque informático? Gráfico 8. Pregunta 8 – Encuesta de percepción Fuente: elaboración propia – Google Forms.

Una persona de la empresa ha sufrido ataques, lo que lleva a la reflexión, ¿hubo robo de información?, no es posible conocer, pues no hay un Sistema de Seguridad Perimetral que lo permita; afortunadamente, según conversaciones con el gerente no ha sido dinero, ¿pero la información?, ¿puede ser la competencia?, ¿se robaron información de proveedores? ¿O de clientes?.

52

¿Con qué frecuencia descarga archivos de internet? Sea PDF, Excel, Word, etc. Gráfico 9. Pregunta 9 – Encuesta de percepción Fuente: elaboración propia – Google Forms.

Diariamente se descarga información, pero no es posible filtrar qué tipo de archivos se está descargando, pues uno de estos puede contener virus con los cuales se puede filtrar información, o en el peor de los casos, secuestrarla.

¿Los programas usados en la empresa tienen licencia? Gráfico 10. Pregunta 10 – Encuesta de percepción Fuente: elaboración propia – Google Forms.

Uno de los pasos importantes a dar es usar software 100% licenciado, con eso se evita que un código malicioso se filtre a través de los programas comúnmente llamados “piratas”, los cuales son descargados con un software “activador”, pues lo que realmente hace es abrir una puerta trasera

53

6.2 METODOLOGÍA DISEÑO Y SELECCIÓN SEGURIDAD PERIMETRAL Considerando que el Sistema Unificado de Amenazas es el componente más importante de una solución de seguridad perimetral, es de gran importancia encontrar alternativas que ofrecen el mercado que se adecuen a las necesidades y capacidad de la empresa, que permitan obtener la mejor relación costo-beneficio en la solución a diseñar. 6.2.1 Alternativas Mercado de Soluciones de Seguridad Perimetral En primera instancia, de acuerdo al diagnóstico realizado en puntos anteriores, la empresa JFC cuenta con un canal de internet de 10Mbps y máximo 7 usuarios concurrentes. En promedio, un usuario realiza hasta máximo 200 conexiones concurrentes en lo que incluyen actualizaciones de sistemas operativos, validaciones de software en la red, navegación web y aplicativos web como Facebook, drive, etc; por tanto, las conexiones concurrentes máximas estimadas no superan las 1500 y al ancho de banda máximo será de 10 Mbps. Con lo anterior, se determina que el sistema UTM a implementar, no requiere gran procesamiento y capacidad de análisis, concluyendo que basta con soluciones de gama baja que pueden abarcar el tráfico estimado de red. Se realiza una revisión de los mejores Firewall que existen en el mercado, según el informe de la empresa de consultoría y de investigación GARTNET, la cual clasifica las marcas en el cuadrante mágico de Firewalls de redes empresariales en LÍDERES, COMPETIDORES, JUGADORES DE NICHO Y VISIONARIOS. Ilustración 14. Clasificación de las marcas UTM según Gartner Fuente: Gartner, «Magic Quadrant for Enterprise Network Firewalls,» 4 Octubre 2018.

54

Al revisar el cuadrante, se encuentra la empresa SOPHOS, es líder en el segmento de JUGADORES DE NICHO, lo cual es una clasificación de empresas dedicadas a brindar soluciones de seguridad perimetral a Pymes y pequeñas empresas como es el caso de JFC. En busca de un dispositivo de baja gama que pueda cumplir con los requerimientos de capacidad de la empresa se encuentra la referencia XG 86, el cual cuenta con las siguientes características:

Capacidad de usuarios recomendados: de 1 a 10 usuarios

Máxima capacidad para VPN: 255 Mbps

Máxima capacidad de UTM: 1Gbps

Máxima conexiones concurrentes: 2.000.000

Nuevas conexiones por segundo: 18.000

Precio aproximado en el mercado appliance: 350 USD

Precio aproximado de licencia por 1 año: 154 USD Por otra parte, se identifica una marca líder en sistemas de seguridad perimetral, la cual tiene un fuerte reconocimiento en la región y se característica por su fuerte relación costo- beneficio según el informe citado, por lo que se considera una alternativa viable para el diseño de la solución requerida: Fortinet. Al revisar los modelos disponibles de baja gama, que se adecuen a los requerimientos de la empresa JFC, se encuentra la referencia FortiGate 30 E, que cuenta con las siguientes características:

Capacidad de usuarios recomendados: de 1 a 100 usuarios

Máxima capacidad para VPN: 100 Mbps

Máxima capacidad de UTM: 950 Mbps

Máxima conexiones concurrentes: 900.000

Nuevas conexiones por segundo: 15.000

Precio aproximado en el mercado appliance: 430 USD

Precio aproximado de licencia por 1 año: 817 USD

55

Finalmente, se contempla una solución de software Opensource basada en Linux la cual es reconocida en los diferentes foros de discusión y ratings calificados por personal conocedores del tema; se trata del software IPFire. IPfire es una solución bajo Linux que tiene las funciones de puerta de enlace, y cuenta con las funcionalidades destacadas de un sistema de seguridad perimetral. Su capacidad de análisis y procesamiento depende en mayor medida de las características y recursos físicos de la máquina donde se implemente, por lo que se dificulta obtener métricas de rendimiento y capacidad, teniendo en cuenta, además, que a diferencia de los sistemas vistos anteriormente, no cuenta con hardware especializado y enfocados al área de seguridad. 6.2.2 Selección de Seguridad Perimetral Con el fin de definir la mejor alternativa de seguridad perimetral para la empresa JFC ELECTRICAL ENGINEERING S.A.S., se define la metodología de análisis de decisión multicriterio AHP sugerida por Thomas L. Saaty [39], el cual está orientado a la ejecución de un estudio de criterios de selección y alternativas, organizadas en una estructura jerárquica que permite valorar la importancia de cada criterio a evaluar según el papel que esta tenga en la consecución de los objetivos definidos por la empresa. La metodología define el siguiente proceso de análisis:

Creación del sistema jerárquico donde se incluyan el objetivo, criterios y alternativas.

Creación de la Matriz de comparación de importancias de criterios

Creación de la Matriz de comparación de importancia de alternativas con respecto a cada criterio

Relación de importancia entre alternativas y criterios de selección Teniendo en cuenta lo anterior, para la selección del mejor sistema de seguridad perimetral se tiene en cuenta cuatro (4) criterios de selección, los cuales fueron analizados y definidos con el personal asignado por la empresa JFC, en orden prioritario: 1. Costo de la solución 2. Desempeño de la solución 3. Facilidad de administración y gestión del sistema 4. Asistencia y soporte técnico brindado

56

El primer paso a seguir es la creación del sistema jerárquico donde se incluyan el objetivo, criterios y alternativas:

Objetivo: diseñar un sistema de seguridad perimetral hardware o software que permita proteger la información de ciberataques en la empresa JFC.

Criterios de selección: costo de la solución, desempeño, facilidad de administración y gestión del sistema, asistencia y soporte técnico brindado.

Alternativas: UTM Fortinet FortiGate 30E, UTM Sophos XG86, Firewall IPFire Linux OpenSource.

A continuación, se ilustra el diagrama jerárquico del modelo de toma de decisiones multicriterio: Ilustración 15. Diagrama jerárquico modelo toma de decisiones multicriterio Fuente: elaboración propia

Lo siguiente será crear la matriz de comparación de importancias de criterios, para ello se tiene en cuenta la siguiente escala de valoración de acuerdo al modelo AHP: Tabla 3. Escala de valoración de acuerdo al modelo AHP Fuente: SAATY T., «The Analytic Hierarchy Process,» New York, 1980.

57

Nota: los valores 2, 4, 6 y 8 suelen utilizarse en situaciones intermedias, y las cifras decimales en estudios de gran precisión.” De acuerdo con la tabla anterior, se establece el nivel de importancia de cada criterio con respecto a los otros de tal manera que se ajusten a los requerimientos brindados por la empresa, destacando como factor fundamental, el criterio de costos (debido a que es una Pyme), seguidos por el desempeño y asistencia técnica y finalizando con la facilidad de administración de la solución. Teniendo en cuenta lo mencionado líneas atrás, se realiza la matriz de importancia de criterios de la siguiente manera: Tabla 4. Importancia de criterios de selección

IMPORTANCIA DE CRITERIOS DE SELECCIÓN

CRITERIOS COSTO DESEMPEÑO ADMINISTRACIÓN SOPORTE

COSTO 1 2 4 2

DESEMPEÑO 0,5 1 2 1

ADMINISTRACIÓN 0,25 0,5 1 0,5

SOPORTE 0,5 1 2 1

SUMATORIA 2,25 4,5 9 4,5

Fuente: elaboración propia.

En la tabla anterior se puede evidenciar el nivel de importancia de cada criterio de selección con respecto a los otros, donde uno (1) significa que los criterios son de igual importancia e impacto para lograr el objetivo, los números superiores a uno (1) indican mayor importancia del criterio ubicado en la fila, y los números inferiores a uno (1) indican menor importancia del criterio ubicado en la fila. Paso siguiente, se realiza el cálculo del peso ponderado por cada criterio de selección. Para ello, se realiza la normalización de la matriz, que consiste en dividir el valor de cada celda por la sumatoria de la respectiva columna, y finalmente, sumar los valores por fila. Tabla 5. Matriz normalizada . Matriz normalizada

MATRIZ NORMALIZADA PESO POND CRITERIO COSTO RENDIMIENTO ADMINISTRACIÓN SOPORTE

COSTO 0,44 0,44 0,44 0,44 44%

DESEMPEÑO 0,22 0,22 0,22 0,22 22%

ADMINISTRACIÓN 0,11 0,11 0,11 0,11 11%

SOPORTE 0,22 0,22 0,22 0,22 22%


Finalmente se obtienen los porcentajes ponderados de los criterios de selección para el sistema de seguridad perimetral:

58

Tabla 6. Porcentajes ponderados CRITERIO PESO PONDERADO

COSTO 44%

DESEMPEÑO 22%

ADMINISTRACIÓN 11%

SOPORTE 22%


Para comprobar que la matriz junto con los datos que la componen representa correctamente la información recopilada, es necesario calcular el parámetro Ratio de Consistencia (CR), la cual debe obtener como valores máximos los siguientes: Tabla 7. Valores máximos permisibles del CR Fuente: SAATY T., «The Analytic Hierarchy Process,» New York, 1980.

El cálculo del indicador se realiza por medio de la siguiente fórmula:

𝑪𝑹 = 𝑪𝑰

𝑰𝑹

Donde CR corresponde al Ratio de consistencia, CI es el índice de consistencia y RI es el índice aleatorio que se define de acuerdo al tamaño de la matriz. Tabla 8. Tamaño de la matriz Fuente: elaboración propia.

Para el cálculo del índice de consistencia, se recurre a la siguiente fórmula:

𝑪𝑰 =𝝀𝒎𝒂𝒙 − 𝒏

𝜼 − 𝟏

Donde 𝝀𝒎𝒂𝒙 es la suma de los valores del vector obtenidos en la multiplicación punto a punto de la matriz de priorización con los porcentajes ponderados obtenidos.

𝝀𝒎𝒂𝒙 = [

𝟏 𝟐 𝟒 𝟐𝟎. 𝟓 𝟏 𝟐 𝟏

𝟎. 𝟐𝟓 𝟎. 𝟓 𝟏 𝟎. 𝟓𝟎. 𝟓 𝟏 𝟐 𝟏

] . [

𝟎. 𝟒𝟒𝟎. 𝟐𝟐𝟎. 𝟏𝟐𝟎. 𝟐𝟐

] = [

𝟏. 𝟕𝟖𝟎. 𝟖𝟗𝟎. 𝟒𝟒𝟎. 𝟖𝟗

] = 𝟒

𝑪𝑰 =𝟒 − 𝟒

𝟒 − 𝟏= 𝟎

59

𝑪𝑹 =𝟎

𝟑= 𝟎

El valor CR < 10% indica una buena consistencia de los datos. De igual manera, se realiza el proceso de comparación entre las diferentes alternativas de tal manera que se le otorga la importancia adecuada por cada uno de los criterios establecidos, obteniendo lo siguiente: Criterio costo: teniendo en cuenta los costos aproximados mencionados en los numerales anteriores, se obtiene que FORTINET es el más costoso, seguido de SOPHOS, y finalmente el software gratuito IPFIRE. Teniendo en cuenta lo anterior, se establece la siguiente matriz de importancia. Tabla 9. Importancia de alternativas frente a costo

IMPORTANCIA DE ALTERNATIVAS FRENTE A COSTOS

ALTERNATIVA FORTINET SOPHOS IPFIREWALL

FORTINET 1 0,5 0,125

SOPHOS 2 1 0,25

IPFIREWALL 8 4 1

SUMATORIA 11 5,5 1,375


Normalizando la tabla se obtiene: Tabla 10. Matriz formalizada

MATRIZ FORMALIZADA ALTERNATIVAS - COSTO PUNTOS


FORTINET 0,09 0,09 0,09 9%

SOPHOS 0,18 0,18 0,18 18%

IPFIREWALL 0,73 0,73 0,73 73%


Se realiza la verificación de la información y la matriz por medio del Ratio de Consistencia.

𝝀𝒎𝒂𝒙 = [𝟏 𝟎. 𝟓 𝟎. 𝟏𝟐𝟓𝟐 𝟏 𝟎. 𝟐𝟓𝟖 𝟒 𝟏

] . [𝟎. 𝟎𝟗𝟎. 𝟏𝟖𝟎. 𝟕𝟑

] = [𝟎. 𝟐𝟕𝟎. 𝟓𝟓𝟐. 𝟏𝟖

] = 𝟑

𝑪𝑰 =𝟑 − 𝟑

𝟑 − 𝟏= 𝟎

𝑪𝑹 =𝟎

𝟐= 𝟎

El valor CR < 10% indica una buena consistencia de los datos.

60

Criterio Desempeño: teniendo en cuenta el informe Gartner de 201846 acerca de los mejores Firewalls del mercado, se seleccionaron las mejores alternativas (ver ítem 6.2.1) en el mercado acorde a las necesidades de la empresa. Inicialmente, Fortinet se posiciona como una de las marcas líderes, ofreciendo servicios de seguridad y protección de la infraestructura desde pequeñas a grandes corporaciones y siendo catalogado como una de las marcas líder en seguridad, es considerado la mejor opción frente a desempeño, seguido de la marca Sophos, la cual es catalogada como jugadores de nicho, lo que significa que se considera como una de las mejores alternativas para pequeñas empresas por su relación costo-beneficio. Finalmente, se selecciona un UTM OpenSource basado en Linux IPFire, que a pesar de considerarse un buen Firewall, no supera las características y atribuciones técnicas de los mencionados anteriormente, ya que no cuenta con hardware específico para labores de seguridad informática, teniendo en cuenta lo anterior, se establece la siguiente matriz de importancia. Tabla 11. Importancia de alternativas frente a desempeño

IMPORTANCIA DE ALTERNATIVAS FRENTE A DESEMPEÑO

CRITERIO FORTINET SOPHOS IPFIREWALL

FORTINET 1 2 4

SOPHOS 0,5 1 2

IPFIREWALL 0,25 0,5 1

SUMA 1,75 3,5 7


Normalizando la tabla se obtiene: Tabla 12. Matriz normalizada alternativas – desempeño

MATRIZ NORMALIZADA ALTERNATIVAS - DESEMPEÑO PUNTOS


FORTINET 0,571 0,571 0,571 57%

SOPHOS 0,285 0,285 0,285 29%

IPFIREWALL 0,142 0,142 0,142 14%



𝝀𝒎𝒂𝒙 = [𝟏 𝟐 𝟒

𝟎. 𝟓 𝟏 𝟐𝟎. 𝟐𝟓 𝟎. 𝟓 𝟏

] . [𝟎. 𝟓𝟕𝟎. 𝟐𝟗𝟎. 𝟏𝟒

] = [𝟏. 𝟕𝟏𝟎. 𝟖𝟔𝟎. 𝟒𝟑

] = 𝟑

46 Gartner, «Magic Quadrant for Enterprise Network Firewalls,» 4 Octubre 2018.

[En línea]. Available: https://www.gartner.com/doc/reprints?id=1-5A0412M&ct=180731&st=sb

https://www.gartner.com/doc/reprints?id=1-5A0412M&ct=180731&st=sb

61

𝑪𝑰 =𝟑 − 𝟑

𝟑 − 𝟏= 𝟎

𝑪𝑹 =𝟎

𝟐= 𝟎

El valor CR < 10% indica una buena consistencia de los datos. Criterio Administración: las interfaces de configuración del sistema de seguridad perimetral juegan un papel importante a la hora de realizar ajustes que permitan al mayor rendimiento de la red sin comprometer la seguridad de la información, buscando siempre evitar que la infraestructura de red sea atacada por terceros, ya que una interfaz fácil e intuitiva permite configuraciones acertadas, de acuerdo a los requerimientos de la empresa. Teniendo en cuenta el informe de Gartner de 2018, los usuarios manifiestan como fortaleza la mayor integración del producto tanto en las marca Fortinet como Sophos, sin embargo, en el caso IPFire, no se cuenta con documentación clara y suficiente, que permita al usuario una fácil recepción de los procesos de configuración. Tabla 13. Importancia alternativas administración

IMPORTANCIA DE ALTERNATIVAS FRENTE A ADMINISTRACIÓN


FORTINET 1 1 2

SOPHOS 1 1 2


SUMA 2,5 2,5 5


Normalizando la tabla se obtiene: Tabla 14. Matriz normalizada alternativas – administración

MATRIZ FORMALIZADA ALTERNATIVAS - ADMINISTRACIÓN PUNTOS


FORTINET 0,4 0,4 0,4 40%

SOPHOS 0,4 0,4 0,4 40%

IPFIREWALL 0,2 0,2 0,2 20%



𝝀𝒎𝒂𝒙 = [𝟏 𝟏 𝟐𝟏 𝟏 𝟐

𝟎. 𝟓 𝟎. 𝟓 𝟏] . [

𝟎. 𝟒𝟎𝟎. 𝟒𝟎𝟎. 𝟐𝟎

] = [𝟏. 𝟐𝟏. 𝟐𝟎. 𝟔

] = 𝟑

𝑪𝑰 =𝟑 − 𝟑

𝟑 − 𝟏= 𝟎

62

𝑪𝑹 =𝟎

𝟐= 𝟎

El valor CR < 10% indica una buena consistencia de los datos. Criterio Soporte y Asistencia técnica: tanto las marcas Fortinet, como Sophos, cuentan con el servicio de soporte técnico incluídos en la licencia, en el caso de IpFire, no cuenta con una plataforma de soporte o asistencia técnica, salvo los foros públicos donde personas sin ánimo de lucro, brindan soluciones generales a algunos incidentes que se publican. Teniendo en cuenta lo anterior, se presenta la siguiente matriz: Tabla 15. Importancia de alternativas frente a soporte

IMPORTANCIA DE ALTERNATIVAS FRENTE A SOPORTE


FORTINET 1 1 8

SOPHOS 1 1 8


SUMA 2,125 2,125 17


Normalizando la tabla se obtiene: Tabla 16. Matriz normalizada alternativa soporte

MATRIZ NORMALIZADA ALTERNATIVAS - SOPORTE PUNTOS


FORTINET 0,470 0,470 0,470 47%

SOPHOS 0,470 0,470 0,470 47%

IPFIREWALL 0,058 0,0589 0,058 6%


Se realiza la verificación de la información y la matriz por medio del Ratio de Consistencia:

𝝀𝒎𝒂𝒙 = [𝟏 𝟏 𝟖𝟏 𝟏 𝟖

𝟎. 𝟏𝟐𝟓 𝟎. 𝟏𝟐𝟓 𝟏] . [

𝟎. 𝟒𝟕𝟎. 𝟒𝟕𝟎. 𝟎𝟔

] = [𝟏. 𝟒𝟏𝟏. 𝟒𝟏𝟎. 𝟏𝟖

] = 𝟑

𝑪𝑰 =𝟑 − 𝟑

𝟑 − 𝟏= 𝟎

𝑪𝑹 =𝟎

𝟐= 𝟎

El valor CR < 10% indica una buena consistencia de los datos.

63

A continuación, se recopilan los resultados obtenidos para cruzarlos con los pesos de importancia de los criterios de selección, se realiza la sumatoria entre la multiplicación del peso del criterio y el puntaje obtenido por cada alternativa. Tabla 17. Puntajes obtenidos en la selección de Seguridad Perimetral Fuente: elaboración propia

Acorde a los resultados de los criterios brindados por gerencia, la mejor opción a implementar en la empresa JFC es la solución de software libre seguridad perimetral IPFIREWALL, el cual se describirá a continuación 6.3 DISEÑO Y CONFIGURACIÓN DE SEGURIDAD PERIMETRAL Ya con la selección del Sistema de Seguridad Perimetral seleccionado, IPFIRE, se procede a instalarlo en el server principal de la empresa JFC. Ilustración 16. Paso 1 - Instalación Sistema Seguridad Perimetral IPFire 2.23 Fuente: elaboración propia

% ALTERNATIVA PUNTOS % ALTERNATIVA PUNTOS % ALTERNATIVA PUNTOS

COSTO 44% 9% 0,04040404 18% 0,08080808 73% 0,32323232

DESEMPEÑO 22% 57% 0,12698413 29% 0,06349206 14% 0,03174603

ADMINISTRACIÓN 11% 40% 0,04444444 40% 0,04444444 20% 0,02222222

SOPORTE 22% 47% 0,10457516 47% 0,10457516 6% 0,0130719

PUNTUACIÓN TOTAL 31,60% 29,30% 39,00%

RECOPILACIÓN DE PUNTAJES OBTENIDOS EN LA SELECCIÓN POR MÚLTIPLES CRITERIOS

CRITERIO % CRITERIOFORTINET SOPHOS IPFIREWALL

64

Ilustración 17. Paso 2 - Selección de lenguaje IPFire 2.23


Ilustración 18. Paso 3 - Selección de Sistema de Archivos


65

Ilustración 19. Paso 4 - Instalación del sistema


Ilustración 20. Paso 5 - Reinicio del servidor, luego de instalación realizada


66

Ilustración 21. Paso 6 - Selección de zona horaria Fuente: elaboración propia

Ilustración 22. Paso 7 - Selección nombre de host Fuente: elaboración propia

67

Ilustración 23. Paso 8 - Establecimiento contraseña usuario root (Super administrador) Fuente: elaboración propia

Ilustración 24. Paso 9 - Configuración de red Fuente: elaboración propia

68

Ilustración 25. Paso 10 - Tipo de configuración de red Fuente: elaboración propia

Ilustración 26. Paso 11 - Selección de tarjetas de red a usar Fuente: elaboración propia

69

Ilustración 27. Paso 12 - Configuración IP Fuente: elaboración propia

Ilustración 28. Paso 13 - Configuración Interfaz - Red Fuente: elaboración propia

70

Ilustración 29. Paso 14 - Configuración DNS y Puerta de Enlace Fuente: elaboración propia

Ilustración 30. Configuración de Servidor DHCP Fuente: elaboración propia

71

6.3.1 Servicios Se procede a instalar los servicios que se ven a continuación: Ilustración 31. Instalación servicios Sistema Seguridad Perimetral – IPFIRE Fuente: elaboración propia

Estos servicios fueron agregados acorde a las necesidades de la empresa, en donde PID es el número del proceso que corre sobre el Sistema Operativo y Memoria es la cantidad en KB consumida de memoria RAM, en el servidor. Estos servicios usan aproximadamente 387 Mb, algo a considerar, pero que no impacta en el rendimiento del Server, pues posee una memoria RAM de 8 Gb. 6.3.1 Monitoreo Además de los servicios activados en el Sistema de Seguridad Perimetral, se agregó el monitoreo de las conexiones que establecen los clientes, de tal manera que se pueda verificar:

Protocolo: usado para definir las reglas del firewall a implementar, qué bloquear y qué no.

Origen/Destino de las peticiones: permite conocer desde y hacia donde se están conectando los usuarios.

Consumo de ancho de banda: permite analizar qué conexión se encuentra saturando la red.

72

Estado de conexión: permite conocer en tiempo real qué conexiones se encuentran activas, en otras palabras, qué páginas o servicios web están usando los usuarios actualmente.

Es pertinente mencionar que las direcciones resaltadas en color verde, pertenecen a la LAN de la red (equipos de los usuarios), las rojas son las respuestas directas de la WAN o internet, en cuanto a las que se encuentran sin resaltar tienen como origen el Sistema de Seguridad Perimetral. Ilustración 32. Conexiones establecidas Sistema de Seguridad Perimetral. Fuente: elaboración propia

En cuanto a los recursos físicos usados, es posible monitorear de manera más específica el uso de la memoria RAM, en donde se puede evidenciar la fecha y hora de mayor consumo, para así poder tomar decisiones en cuanto a los servicios web que se encuentran solicitando los usuarios. Gráfico 11. Monitoreo gráfico del Sistema de Seguridad Perimetral Fuente: elaboración propia

73

Para el monitoreo de tráfico es posible verificar picos de tráfico según horas y fechas, con el fin de analizar e implementar posibles mejoras, asimismo, con ello se pueden detectar ciberataques, generalmente cuando la red se encuentre saturada. A continuación se muestran gráficas de red tanto entrantes como salientes: Gráfico 12. Monitoreo de tráfico externo Sistema de Seguridad Perimetral Fuente: elaboración propia

Gráfico 13. Monitoreo de tráfico interno Sistema de Seguridad Perimetral Fuente: elaboración propia

Por otra parte, se configuró la visualización del promedio de calidad de servicio, en donde se puede argumentar con datos y gráficas al proveedor del servicio cuando la latencia se encuentre alta, lo que para el usuario es, conexión lenta a las páginas web.

74

Gráfico 14. Promedio de calidad de servicio Gateway Fuente: elaboración propia

6.3.2 Proxy Servicio usado para el filtrado de contenido, pues es el encargado de interceptar, almacenar y analizar los paquetes, generando información valiosa, la cual es enviada al IPS (Sistema de Prevención de Intrusos) para que este haga su respectivo trabajo de bloquear o dejar pasar dichos paquetes. Adición a ello, funciona como caché, almacenando información localmente, de tal manera que al solicitar un servicio, este pueda responder de manera ágil, ayudando bastante a la experiencia del usuario en la navegación. Para nuestro diseño, se establece el puerto Proxy como el 800. 6.3.3 Filtro de Contenido El sistema de Seguridad Perimetral, contienen unas categorías con listas actualizadas de URLs, en donde se clasifican acorde a su contenido, y de los cuales se puede seleccionar lo que se quiere bloquear, es por ello, que se recomienda estar actualizando el sistema de seguridad perimetral a su versión más reciente, pues cada día surgen páginas. Por otra parte, se manejan

75

excepciones llamadas Listas negras y Listas blancas, en la primera se pueden bloquear URLs deseadas (en este caso fue Facebook), en las segundas, se puede ingresar las URLs que no se deseen bloquear Ilustración 33. Configuración Proxy Fuente: elaboración propia

Ilustración 34. Configuración de contenido filtrado Fuente: elaboración propia

76

Ilustración 35. Configuración avanzada de contenido filtrado Fuente: elaboración propia

Con el fin de poder revisar el contenido bloqueado, se tiene un registro histórico (log) con todas las URLs rechazadas: Ilustración 36. Log de Filtrado de contenido Fuente: elaboración propia

6.3.4 Firewall Bloquea todas las conexiones de la WAN hacia la LAN. En este caso se permite el acceso a la interfaz web de administración (Puerto, 444), de otra manera, no hubiera sido posible acceder a la configuración del Sistema de Seguridad Perimetral. En caso de que se exponga servicios como páginas web, aplicativos, bases de datos, el Firewall nos permite el acceso, así como redirigir el tráfico hacia un host específico.

77

Ilustración 37. Reglas Firewall aplicadas Sistema de Seguridad Perimetral Fuente: elaboración propia

Ilustración 38. Administración web de Sistema de Seguridad Perimetral Fuente: elaboración propia

Ilustración 39. Opciones de configuración del Firewall Fuente: elaboración propia

78

Asimismo, permite bloquear conexiones Peer to Peer, las cuales son transferencias de archivos entre hosts, que en la mayoría de casos contienen software malintencionado: Ilustración 40. Configuración de redes Peer To Peer - P2P Fuente: elaboración propia

Las configuraciones realizadas en el Firewall tienen como resultado a los IPTABLES, los cuales contienen las reglas establecidas y configuradas por el ya mencionado (Firewall), estas almacenan el servicio (target), origen (source) y destino (destination): Ilustración 41. Iptables Fuente: elaboración propia

79

Ilustración 42. Iptables Mangles Fuente: elaboración propia

Ilustración 43. Iptables NAT Fuente: elaboración propia

Se cuenta con logs, en los cuales se encuentran los registros históricos de las actividades realizadas: Ilustración 44. Firewall log (IPs) Fuente: elaboración propia

80

Ilustración 45. Log del Firewall Fuente: elaboración propia

6.3.5 IPS Servicio encargado de mitigar los ataques, pues detecta y detiene las amenazas acordes a los patrones analizados. Se basa en reglas, las cuales son actualizadas diariamente, por lo cual, realiza una comparación de su base de datos con los paquetes que transitan por la red, de manera que al concordar con sus reglas, bloquea la conexión. Este servicio es uno de los más importantes en el Sistema de Seguridad Perimetral, pues es el que detecta directamente los ataques en la red de la empresa, entre los más conocidos se encuentra el DoS, inyección SQL, entre otros. Ilustración 46. Sistema de detección de intrusiones - IPS Fuente: elaboración propia

81

Ilustración 47. Reglas del Sistema de detección de intrusiones Fuente: elaboración propia

Asimismo, se tiene un registro histórico (log) de las actividades e incidencias por el IPS, de esta manera se podría realizar una auditoría de seguridad exhaustiva: Ilustración 48. Log Sistema de Detección de Intrusiones Fuente: elaboración propia

82

6.3.6 Bloqueo de GEO-IP Permite bloquear IPs por país, de manera tal que no se pueda establecer conexiones a URLs que tengan origen de cierta región, ya configurada. Ilustración 49. Configuración GeoIP Fuente: elaboración propia

6.4 RESULTADOS A continuación se evidenciarán los resultados de un host (usuario final), al implementar el Sistema de Seguridad Perimetral mediante IPFIRE: Ilustración 50. Bloqueo de contenido con el IPFIRE implementado Fuente: elaboración propia

83

Ilustración 51. Bloqueo de redes sociales con IPFIRE implementado Fuente: elaboración propia

Ilustración 52. Bloqueo de contenido - Twitter, con el IPFIRE Fuente: elaboración propia

84

Ilustración 53. Bloqueo de contenido, página de descargas masivas, IPFRE Fuente: elaboración propia

85

7. PROPUESTA DE SEGURIDAD PERIMETRAL Acorde al diseño y configuración del Sistema de Seguridad Perimetral, se realiza la propuesta para implementarlo con la infraestructura adecuada, de manera que pueda trabajar eficientemente: Tabla 18. Comparativa de precios acorde al Sistema de Seguridad Perimetral Fuente: elaboración propia. Precios sugeridos por los fabricantes y compañías expertas en implementación de sistemas TI.

Como se puede evidenciar, el IPFIRE es aproximadamente un 40% más económico que el FORTIGATE (licenciado) en la implementación, y un 28% más económico que el XG86. Ahora, anualmente se debería estar renovando la licencia en las otras dos soluciones; es por ello que, se seleccionó el IPFIRE, teniendo en cuenta a su vez, el rendimiento y las prestaciones acorde a las necesidades de la empresa JFC. La propuesta incluye cableado estructurado, con el fin de mejorar la conectividad y seguridad, pues se podrá segmentar las áreas sensibles como la Contable, de manera que exclusivamente el personal de dicha área tenga acceso a la información financiera. Dentro de la propuesta se incluye la implementación de las siguientes políticas de seguridad. 7.1 POLÍTICAS DE SEGURIDAD Con el propósito de identificar acciones, procedimientos y circunstancias que contribuyen a aumentar el riesgo frente a la seguridad de la información, se realiza un análisis de la dinámica de trabajo de la empresa JFC y el uso de los recursos tecnológicos en las instalaciones de la empresa identificando los siguientes puntos:

Dejar los equipos de cómputo encendidos en horas no laborables y/o periodos de tiempo muy prolongados.

VR. UNIT VR. TOTAL VR. UNIT VR. TOTAL VR. UNIT VR. TOTAL

Equipo de Seguridad Unidad 1 $ - $ - $ 1.225.000 $ 12.250.000 $ 2.384.000 $ 2.384.000

Licencia Anual Sistema de Seguridad Perimetral Año 1 $ - $ - $ 392.000 $ 392.000 $ 890.000 $ 890.000

Configuración Sistema Seguridad Perimetral Global 1 $ 850.000 $ 850.000 $ 850.000 $ 850.000 $ 560.000 $ 560.000

Soporte técnico Sistema Seguridad Perimetral Año 1 $ 600.000 $ 600.000 $ 600.000 $ 600.000 $ 500.000 $ 500.000

Punto de cableado estructurado Unidad 6 $ 420.000 $ 2.520.000 $ 420.000 $ 2.520.000 $ 420.000 $ 2.520.000

Rack pequeño de comunicaciones Unidad 1 $ 350.000 $ 350.000 $ 350.000 $ 350.000 $ 350.000 $ 350.000

$ 4.320.000 $ 5.937.000 $ 7.204.000TOTAL

DESCRIPCION UNIDAD CANTIPFIRE XG86 FORTIGATE

86

Permitir que personal no vinculado a JFC ingresen sin previa autorización a las zonas restringidas donde se almacena, procesa o manipula información sensible.

No clasificar la información de acuerdo a su importancia, sensibilidad o nivel de privacidad.

No contar con sitios especiales de almacenamiento de información con niveles de seguridad físicos que restrinjan el acceso a los mismos.

Instalar software los equipos de cómputo de JFC que pueda atentar contra las leyes de derechos de autor o propiedad intelectual, así como en la integridad del dispositivo y la información almacenada en el mismo.

Guardar información clasificada como importante, sensible o de restricciones especiales en cualquier dispositivo de almacenamiento que no pertenezca a JFC.

Conectar computadores portátiles u otros dispositivos electrónicos personales a la red de datos de JFC sin la debida autorización.

Entregar, enseñar o divulgar información clasificada de JFC a personas o entidades no autorizadas.

Otorgar privilegios de acceso a los activos de información a empleados o terceros no autorizados.

Consumir alimentos y bebidas, cerca de los recursos tecnológicos.

Acceso a sitios o portales web que puedan perjudicar el dispositivo por medio de descargas e instalaciones en segundo plano de malware.

7.1.1 Políticas Generales Asignación de personal técnico calificado responsable de la seguridad de la información; es importante que la empresa JFC cuente con personal técnico calificado encargado de realizar las verificaciones, validaciones frente al cumplimiento de las presentes políticas de seguridad de la información, así como actividades relacionadas que permitan disminuir el riego de pérdida de información en la empresa. Finalización de la Relación Laboral de empleados: al momento de la desvinculación o cambio de roles en la compañía, todo empleado o contratista debe hacer entrega de todos los equipos o dispositivos y la información otorgada y

87

generada en el desarrollo de sus actividades laborales en el transcurso de la vinculación. Dicha entrega debe realizarse por medio del personal asignado, el cual realizará las validaciones y verificaciones necesarias para corroborar la entrega adecuada de todos los recursos físicos y lógicos. Gestión de Incidentes de Seguridad de la Información: es responsabilidad de los empleados y contratistas de JFC informar cualquier situación sospechosa o incidente de seguridad que comprometa la confidencialidad, integridad y disponibilidad de la información al personal encargado de la seguridad de la información. Es necesario contar con un registro de incidentes de Seguridad de la Información donde se indique el caso, las acciones preventivas y/o correctivas implementadas para cada uno de ellos, y en caso de pérdidas o daños, especificar el alcance estimado del caso. Establecer los mecanismos de control necesarios para recolectar y preservar la evidencia de las investigaciones y casos que se realicen durante el análisis de un incidente de Seguridad de la Información. Sanciones: se establecen sanciones administrativas y legales según sea el caso, para todo caso que se ejecute en contra de lo dispuesto en la presente política de seguridad, conforme a lo dispuesto por las normas estatutarias escalafonarias y convencionales que rigen al personal de JFC, se realizarán las acciones correspondientes ante el o los organismos pertinentes. Además de las sanciones disciplinarias o administrativas, de acuerdo al caso o acción que perjudique la seguridad de la información y haya sido reportado y evaluado, puede incurrir también en responsabilidad patrimonial, cuando ocasiona un daño que debe ser indemnizado y/o en responsabilidad penal cuando su conducta constituye un comportamiento considerado delito por el código penal y leyes especiales. 7.1.2 Políticas de Seguridad Física En cuanto a seguridad física

Las áreas asignadas para el almacenamiento de información sensible y ubicación del servidor se resguardarán mediante el uso de controles de acceso físico, a fin de permitir el acceso solo a personal autorizado.

Es responsabilidad del personal encargado de la seguridad de la información y del personal con acceso a la misma, garantizar que los controles de seguridad físicos permanezcan cerrados para evitar acceso a la información por personal no autorizado.

88

Requerir que el personal vinculado a JFC utilicen una identificación visible.

Los equipos asignados como respaldo deben ubicarse a una distancia segura para evitar el daño de un desastre que afecte las instalaciones de la empresa.

Proporcionar equipo contraincendios ubicado de tal manera que sea de fácil y rápido acceso en caso de incendio.

Monitorear las condiciones ambientales tales como temperatura y humedad, que puedan afectar el correcto funcionamiento de los equipos relacionados a los servicios de información.

Los derechos de acceso deben ser revisados y actualizados constantemente.

Es responsabilidad de todos los empleados acatar las normas de seguridad y mecanismos de control de acceso de la empresa.

En cuanto a seguridad y mantenimiento de los equipos.

Los equipos que hacen parte de la infraestructura tecnológica de JFC deben ser ubicados y protegidos adecuadamente para prevenir la pérdida, daño, robo o acceso no autorizado a los mismos.

La compañía adoptará los controles necesarios para mantener los equipos alejados de sitios que puedan tener riesgo de amenazas potenciales como fuego, explosivos, agua, polvo, vibración, interferencia electromagnética y vandalismo entre otros.

Los empleados velarán por el uso adecuado de los equipos de cómputo asignados, por lo cual, dichos equipos no deben estar a disposición de personas no autorizadas por JFC.

Es necesario realizar mantenimientos preventivos y correctivos de manera periódica, tanto a los equipos de cómputo, tanto a los equipos de cómputo de los empleados, como a los dispositivos de los servicios de información, teniendo en cuenta adicionalmente la vida útil de los mimos, contemplando en caso de ser necesario, la renovación tecnológica para evitar obsolencias.

7.1.3 Políticas de Acceso a la Red La conexión de los equipos de cómputo a la red corporativa deberá ser autorizada por el personal encargado de los sistemas de información, el cual debe realizar una validación previa de las condiciones de seguridad.

89

La conexión de los equipos móviles como celulares y tablets, y equipos de terceros autorizados para conectarse a la red corporativa deberá ser autorizada por el personal encargado de los sistemas de información, el cual debe realizar una validación previa de las condiciones de seguridad. 7.1.4 Políticas de Seguridad Lógica Internet es una herramienta de trabajo que permite el intercambio de información global para las diferentes actividades laborales y no laborales, por lo cual el uso adecuado de este recurso se controla, verifica y monitorea, con el fin de dar el máximo aprovechamiento del recurso orientado a las actividades laborales y evitar adicionalmente la navegación en sitio de contenido sexualmente explícito, discriminatorio, que implique un delito informático o cualquier otro uso que se considere fuera de los límites permitidos. Publicación, envío o adquisición de material sexualmente explícito, discriminatorio, que implique un delito informático o de cualquier otro contenido que se considere fuera de los límites permitidos. Publicación o envío de información confidencial sin la aplicación previa de los controles para salvaguardar la información y sin la autorización de los propietarios respectivos. Utilización de otros servicios disponibles a través de Internet que permitan establecer conexiones o intercambios no autorizados por el área de tecnologías de las informaciones y comunicaciones. Publicación de anuncios comerciales o material publicitario, salvo el área de Comunicaciones cuando lo requiera. Promover o mantener asuntos o negocios personales. Descarga, instalación y utilización de programas de aplicación o software no relacionados con la actividad laboral y que afecte el procesamiento de la estación de trabajo o de la red. Navegación en redes sociales, sin una justificación por parte de la compañía. Uso de herramientas de mensajería instantánea no autorizadas por el área de tecnologías de la información y comunicación. Se realizará monitoreo permanente de tiempos de navegación y páginas visitadas por los empleados, contratistas y demás terceros autorizados por medio del firewall implementado IPFIRE. Así mismo, esta herramienta se encuentra configurada para bloquear conexiones a sitios web no autorizados por JFC. Así

90

mismo, se puede inspeccionar, registrar e informar las actividades realizadas durante la navegación. El uso de Internet no considerado dentro de las restricciones anteriores es permitido siempre y cuando se realice de manera ética, razonable, responsable, no abusiva y sin afectar la productividad ni la protección de la información. Asimismo, para el uso de redes inalámbricas: Los usuarios de las redes inalámbricas deben ser sometidos a las mismas condiciones de seguridad de las redes cableadas en lo que respecta identificación, autenticación, control de contenido de internet y cifrado entre otros. El personal encargado del área de servicios de información será la responsable de validar a quien se le asignarán los servicios a través de redes inalámbricas. En ningún caso se podrá dejar configuraciones y contraseñas por defecto en los equipos inalámbricos. Por otra parte, la asignación de los diferentes recursos tecnológicos se da como herramientas de trabajo para uso exclusivo de los funcionarios. El uso adecuado de estos recursos se encuentra sujeto a las siguientes políticas: La instalación de cualquier tipo de software en los equipos de cómputo es responsabilidad exclusiva del personal encargado de los sistemas de información, por tanto son los únicos autorizados para realizar esta labor. Ningún activo de información adquirido y que sea configurable, debe ser instalado con la configuración por defecto del fabricante o proveedor, incluyendo cuentas y claves de administrador. Los equipos de cómputo deben ser suspendidos, apagados o bloquear la sesión, por los usuarios que los tienen a cargo, cada vez que se retiren del puesto de trabajo. Los usuarios no deben realizar cambios físicos en las estaciones de trabajo, tales como, cambio de ubicación, mantenimientos, repotenciación, modificaciones en su configuración física. Estas actividades sólo podrán ser realizadas por el personal autorizados Los equipos de cómputo asignados deben ser devueltos al personal designado para la recepción de equipos una vez sean reemplazados o cuando el funcionario o contratista responsable de dicho equipo finalice su vinculación con JFC. Para la protección contra software malicioso se plantea:

Realizar anualmente un estudio de mercado de las herramientas de software para la prevención de software malicioso que cumpla con las necesidades y

91

relaciones de costo y beneficio, para ser instaladas en todos los equipos de cómputo de JFC.

Todos los recursos informáticos y la infraestructura de procesamiento, comunicaciones y seguridad de la información deberán estar protegidos mediante herramientas y software de seguridad que prevengan el ingreso de código malicioso a la red interna, así como mecanismos para detectar, prevenir y recuperar posibles fallos dados por código malicioso.

Las herramientas y demás mecanismos de seguridad implementados no deberán ser deshabilitados o desinstalados sin autorización previa

No está permitido escribir, generar, compilar, copiar, propagar, ejecutar o intentar introducir cualquier código de programación diseñado para auto replicarse, dañar o afectar el desempeño de cualquier equipo o red institucional.

Todos los medios de almacenamiento que se conecten a equipos de la infraestructura de la compañía deberán ser escaneados en búsqueda de código malicioso o cualquier elemento que pudiera afectar la seguridad de la información.

Los sistemas, equipos e información institucionales deberán ser revisados periódicamente para verificar que no haya presencia de código malicioso.

En cuanto a la administración de back-ups, Recuperación y Restauración de la información, se propone las siguientes políticas:

Las copias de seguridad serán responsabilidad del personal asignado para los sistemas de información y seguridad de la misma.

Cada empleado es responsable de la seguridad de la información que maneja, en caso de cambio de equipo el empleado será el responsable de realizar la respectiva copia de seguridad de la información que necesita.

Se deberá establecer un plan de restauración de copias de seguridad que serán probados a intervalos regulares con el fin de asegurar que son confiables en caso de emergencia.

La información de las copias de seguridad será almacenada en sitios físicos diferentes donde se encuentran los sistemas de información, para mitigar el riesgo de pérdida de información en caso de desastre en las instalaciones de JFC

92

Finalmente, se plantean políticas para la gestión de vulnerabilidades técnicas:

El personal asignado para los sistemas de información y seguridad de la misma de la empresa se encargará de identificar las vulnerabilidades técnicas de las diferentes plataformas tecnológicas y para esto definirá las herramientas y/o servicios necesarios.

El personal asignado para los sistemas de información y seguridad de la misma será responsable de proponer y ejecutar un programa de evaluación y gestión de vulnerabilidades que debe ser utilizado para la plataforma tecnológica de la compañía.

93

8. CONCLUSIONES

Con la implementación del sistema de seguridad perimetral la red se encuentra segura, de esta manera, se puede monitorear y crear reportes de casos que se presenten, en cuanto a las incidencias que afecten la seguridad de la información, para así, poder generar alertas y sus respectivos bloqueos.

La encuesta aplicada a los usuarios, permitió analizar la situación actual de la empresa JFC en cuanto a seguridad informática, y brindó el camino a seguir para atacar las falencias.

Debido a las políticas y reglas de seguridad implementadas, la conexión de internet mejoró de manera considerable, a tal punto, que los usuarios se demoran menos tiempo en sus labores diarias.

Con las restricciones y bloqueos implementados a páginas indebidas, se disminuyó el riesgo de navegación en sitios con malware, por ende, el riesgo de sufrir ataques bajó considerablemente.

El monitoreo del Firewall permite identificar navegación de sitios por usuario para realizar auditorías y seguimientos a la red.

Los ataques desde la red WAN (Wide Área Network) son detectados y bloqueados por el firewall y el sistema de detección de intrusiones, con la configuración realizada a la red de JFC.

94

9. RECOMENDACIONES Es de vital importancia definir sitios seguros de los equipos que almacenan la información física, con acceso restringido a personal sin autorización; de esta manera, se estaría mitigando la fuga de información mediante ingeniería social. La empresa JFC debe definir una persona o empresa, la cual se encuentre encargada de los sistemas de información, con el fin de dar un responsable tanto a los equipos como a la información, permitiendo el buen manejo y custodia de los datos. Se debe crear un procedimiento de recepción de información y equipos de manera que haya continuidad en el proceso, y no depender de una empresa o persona la cual se encuentre encargada de lo mencionado.

95

BIBLIOGRAFÍA ALTADILL IZURA, P. X., «IPTABLES Manual práctico,» Bilbao, 2013. Andalucía CERT - Centro de Seguridad TIC, «Informe de divulgación Phishing,» Sociedad Andaluza para el Desarrollo de las Telecomunicaciones, Andalucía, 2017. Avast, «WannaCry,» 2017. [En línea]. Available: https://www.avast.com/es-es/c-wannacry. BBC, «El FBI acusa al gobierno de Corea del Norte del hackeo a Sony Pictures,» 19 Diciembre 2014. [En línea]. Available: https://www.bbc.com/mundo/ultimas_noticias/2014/12/141219_ultnot_corea_norte. Backtrack Academy, «Qué es un sistema de detección y prevención de intrusos,» 10 Abril 2018. [En línea]. Available: backtrackacademy.com/articulo/que-es-un-sistemas-de-deteccion-y-prevencion-de-intrusos-ids. Blacksip, «Reporte del Ecommerce en Colombia,» Bogotá, 2019. Blue Radio, «Phishing y malware, las mayores amenazas cibernéticas para los colombianos,» 2019 Septiembre 2019. [En línea]. Available: https://www.bluradio.com/lanube/phishing-y-malware-las-mayores-amenazas-ciberneticas-para-los-colombianos-225840-ie6860225. BOHORQUEZ, M. A. y PAEZ CUADROS, L. A., Diseño de un sistema de seguridad perimetral en las instalaciones del consorcio Expansion PTAR Salitre, Sede Bogotá D.C., Bogotá: Universidad Católica, 2017 CASTILLO PALOMINO, R. G., DOMINGUEZ CHAVEZ, M. A. y SULCA GALARZA, C. I., Implementación de un Firewall TMG Forefront para la Seguridad Perimetral de la Red de Datos de la Clínica Aliada, Lima: Universidad Peruana de las Américas, 2017. Centre Seguretat TIC de la Comunitat Valenciana, «Cómo identificar phishing,» Valencia, 2018. Centro Criptológico Nacional, «Ciber Amenazas y Tendencias,» Madrid, 2018. CHICAIZA GARCIA, Diego Francisco. Estudio de las tecnologías de seguridad perimetral informáticas y propuesta de un plan de implementación para la agencia nacional de tránsito, Quito: Pontificia Universidad Católica del Ecuador, 2014.

https://www.avast.com/es-es/c-wannacry

https://www.avast.com/es-es/c-wannacry

https://www.bbc.com/mundo/ultimas_noticias/2014/12/141219_ultnot_corea_norte

https://www.bluradio.com/lanube/phishing-y-malware-las-mayores-amenazas-ciberneticas-para-los-colombianos-225840-ie6860225

https://www.bluradio.com/lanube/phishing-y-malware-las-mayores-amenazas-ciberneticas-para-los-colombianos-225840-ie6860225

96

CHICAIZA PAREJA, J. S. «Implementación de un firewall construido a partir de software y una placa de circuitos compacta o sbc (single board computer) en la empresa Taio Systems de la ciudad de Popayán,» Universidad Nacional Abierta y a Distancia - UNAD, Popayán, 2017. DELOITTE, «Ciber Riesgos y seguridad de la información en América Latina & Caribe - Reporte Colombia,» Bogotá, 2019. DELOITTE, «Ecosistema de ciberseguridad: Preparándonos para la defensa,» Agosto, Bogotá, 2018. DOLAN, A. «Social Engineering,» SANS Institute Information Security Reading Room, 2004. El Pais, «Arabia Saudí interrumpe la mitad de su producción de crudo tras un ataque con drones,» 15 Septiembre 2019. [En línea]. Available: https://elpais.com/internacional/2019/09/14/actualidad/1568456455_053067.html. Enjoy Safet Technology - ESET, «TODO SOBRE EL RANSOMWARE: Guía básica y preguntas frecuentes,» 2016. ESPARZA MOROCHO,J. P. «Implementación de un firewall sobre plataforma Linux en la empresa de contabilidad Armas & Asociados,» Escuela Politécnica Nacional, Quito, 2013. Foro económico mundial, «Informe de riesgos mundiales 2018,» Ginebra, 2018. Fortinet, «Datasheet FortiGate/FortiWiFi,» 1 11 2019. [En línea]. Available: https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/FortiGate_FortiWiFi_30E.pdf.

Gartner, «Magic Quadrant for Enterprise Network Firewalls,» 4 Octubre 2018. [En línea]. Available: https://www.gartner.com/doc/reprints?id=1-5A0412M&ct=180731&st=sb Google, «Project Zero,» 21 Septiembre 2017. [En línea]. Available: https://googleprojectzero.blogspot.com/2017/09/the-great-dom-fuzz-off-of-2017.html. Icontec Internacional, «NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 27001,» Icontec Internacional, Bogotá, D.C., 2006. Icontec Internacional, «GUÍA TÉCNICA COLOMBIANA GTC-ISO/IEC 27002,» Icontec Internacional, Bogotá, D.C., 2015.

https://elpais.com/internacional/2019/09/14/actualidad/1568456455_053067.html

https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/FortiGate_FortiWiFi_30E.pdf

https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/FortiGate_FortiWiFi_30E.pdf

https://www.gartner.com/doc/reprints?id=1-5A0412M&ct=180731&st=sb

https://googleprojectzero.blogspot.com/2017/09/the-great-dom-fuzz-off-of-2017.html

https://googleprojectzero.blogspot.com/2017/09/the-great-dom-fuzz-off-of-2017.html

97

Instituto Nacional de Tecnologías de la Comunicación - INTECO, «Seguridad Perimetral,» Catálogo de empresas y soluciones de seguridad TIC, pp. 7-116, 2010.

Intypedia - Information Security Encyclopedia, «Seguridad perimetral,» Madrid, 2011. IPFire, «IPFire Features,» 1 11 2019. [En línea]. Available: https://www.ipfire.org/features. KASPERSKY, «¿Qué es la gestión unificada de amenazas (UTM)?,» 2017. [En línea]. Available: https://latam.kaspersky.com/resource-center/definitions/utm. Ministerio de las Tecnologías y Comunicaciones - MINTIC, «Impacto de los incidentes de seguridad digital en Colombia,» Bogotá, 2017. MOSCOTE MEDINA R. L. Sistema de detección y prevención de intrusos IPS para la VLAN de servidores de la Sociedad Minera de Santander S.A.S. en Bucaramanga (Santander), Bucaramanga, 2017. National Vulnerability Database - NVD, «National Vulnerability Database,» 2017. [En línea]. Available: https://nvd.nist.gov/vuln/detail/CVE-2017-8801 y Owasp Foundation, «Los diez riesgos más críticos en Aplicaciones Web,» OWASP Top 10 - 2017, 2017. PC WORLD, «Los mejores antivirus para Windows de 2019,» 13 Agosto 2019. [En línea]. Available: https://www.pcworld.es/mejores-productos/seguridad/antivirus-windows-3675796/. PINTO. A. «Blog de Alejandro Pinto en la Universidad Tecnológica de Pereira,» 4 Diciembre 2013. [En línea]. Available: http://blog.utp.edu.co/alejandropinto/phishing-dos-casos-personales-y-como-puede-cuidar-su-informacion-y-la-de-su-empresa/. SAATY T., «The Analytic Hierarchy Process,» New York, 1980. Recorded Future, «Recorded Future,» 18 Abril 2017. [En línea]. Available: https://www.recordedfuture.com/karmen-ransomware-variant/.

Securelist, «Spam and phishing in 2018,» 12 Marzo 2019. [En línea]. Available: https://securelist.com/spam-and-phishing-in-2018/89701/. Sophos, «Sophos XG Firewall,» 1 11 2019. [En línea]. Available: https://www.sophos.com/es-es/medialibrary/pdfs/factsheets/sophos-xg-series-appliances-brna.pdf.

https://www.ipfire.org/features

https://latam.kaspersky.com/resource-center/definitions/utm

https://nvd.nist.gov/vuln/detail/CVE-2017-8801



http://blog.utp.edu.co/alejandropinto/phishing-dos-casos-personales-y-como-puede-cuidar-su-informacion-y-la-de-su-empresa/

http://blog.utp.edu.co/alejandropinto/phishing-dos-casos-personales-y-como-puede-cuidar-su-informacion-y-la-de-su-empresa/

https://www.recordedfuture.com/karmen-ransomware-variant/

https://securelist.com/spam-and-phishing-in-2018/89701/

https://www.sophos.com/es-es/medialibrary/pdfs/factsheets/sophos-xg-series-appliances-brna.pdf

https://www.sophos.com/es-es/medialibrary/pdfs/factsheets/sophos-xg-series-appliances-brna.pdf

98

Sophos, «Ransomware as a service (RaaS): Descontructing Philadelphia,» Massachusetts, 2017. TORRES BOLAÑOS, R. J. «Seguridad perimetral para la red de datos,» Universidad Técnica del Norte, Quito. WARE, C. «Sistemas de Detección y Prevención de Instrusos - Estado del Arte,» Montevideo, 2011.

sistema de seguridad perimetral en la empresa jfc

Documents