Upload File

trabajo final de seguridad informatica

prev
next
out of 28
Download Trabajo Final de Seguridad Informatica

Upload: carlos-sotomayor

Post on 16-Oct-2015

68 views

Category:

Documents


1 download

Report

Tags:

DESCRIPTION

trabajo sobre implementacion de seguridad informatica

TRANSCRIPT

{company}

UNIVERSIDAD SAN MARTIN DE PORRESFACULTAD DE INGENIERA Y ARQUITECTURA

TRABAJO FINAL DE INVESTIGACIN DE SEGURIDAD INFORMTICA

IMPLEMENTACIN DE UN NAC EN MAXIEFECTIVO SAC

PROFESORIng. Cabrera Mora Adonis AlainINTEGRANTESBernal Rey AlvaroJaulis Rua JorgeLuna Gomez ChristianVilcarromero Giraldo RenattoLima- Per2013

Propuesta Nmero:105262

Versin:5.0

Fecha:23 de Octubre de 2013

Propuesta ComercialPreparada para: Jorge de la Cruz Ampuero

Gerente de Tecnologa de Informacin

MAXIEFECTIVO PERU SAC

Direccin: Calle Monterosas 270 Oficina 802- Chacarilla SurcoTelfono: 419 8888

ndice

2ndice

4Resumen Ejecutivo

5Visin General del Cliente

7Necesidades de Negocios, Expectativas y Prioridades a ser tenidas en cuenta

11Diseo de la solucin

11Requerimientos del Cliente

12Descripcin de la Solucin

17Diagrama de la Arquitectura Propuesta (PARA EL CLIENTE)

18Cobertura de los Requerimientos solo si el cliente lo solicita

19Escalabilidad de la Solucin Propuesta

Para cualquier consulta o duda referida al presente documento, favor de contactarse con:

Luna Gomez ChristianEMPRESA NET SECURITYAv. Roberto Revoredo - 1570Telfono: 9992 19442

[email protected]

Resumen Ejecutivo

Este presente documento refleja la propuesta comercial de nuestra empresa NET SECURITY que se encarg de hacer una consultora para mejorar la seguridad de la empresa MAXIEFECTIVO SAC que es una entidad financiera que se dedica a realizar prstamos de dinero a travs de dar garanta a travs de joyas de oro.

Luego de un profundo anlisis a la empresa Maxiefectivo, hemos podido hallar deficiencias, a pesar de ser una entidad financiera, donde poseen un excelente control de seguridad fsica (personal y vigilancia) , pero concerniente al mbito de redes es un poco deficiente. Por ello, esta propuesta busca optimizar la seguridad y calidad de sus conexiones tanto internas como externas, ya que desea mejorar su modelo de negocio ofreciendo otros servicios por internet para sus clientes o al manipular la informacin.

La solucin contempla un Modelo de Acceso Basado en Roles (RBAC), asegurando as que la informacin sea consultada y manipulada slo por usuarios autorizados. Adems, se encargar de bloquear eficazmente el acceso a la red de dispositivos no deseados, donde cada servidor realizar un servicio en especfico, controlar la duracin de acceso de los usuarios.As mismo, se propondr capacitar al personal a travs de buenas polticas ya que de nada sirve un RBAC cuando los empleados divulgan las claves o los tienen ante en el acceso no autorizado de cualquier personaUna vez implementada esta solucin MAXIEFECTIVO SAC podr dar un mejor servicio a sus cliente asegurando la integridad de sus datosVisin General de MAXIEFECTIVOVISIONSer la empresa de prstamos inmediatos ms grande y reconocida por los clientes, enfocndose en sistemas innovadores para consolidar la calidad, la excelencia, la seguridad y la rapidez en nuestros servicios.CERTIFICACIN DE LA EMPRESA

: Situacin ActualMAXIEFECTIVO SAC actualmente presenta 15 agencias en todo el Per donde la mayora de ellas se encuentran presentes en el departamento de Lima, por ende podemos tener cuenta la cantidad de informacin que esta posee. Adems de ello la empresa tiene presencia en otros pases en Centroamrica donde en cada una funciona de manera independiente.Principales Agencias

SUCURSAL DETALLE

Agencia Bellavista

Direccin: Av. Oscar R. Benavides 3866 Mall Aventura Plaza (Bellavista)

Referencias: Frente al Motorplaza (A la altura del ingreso de Sodimac Constructor).

Agencia Plaza Lima Norte

Direccin: Avenida Alfredo Mendiola 1400 Int. LS 105C.C Plaza Lima Norte (Independencia).

Referencias: Costado de Serpost, debajo de Cinepolis o Happy Land.

Agencia Real Plaza Trujillo

Direccin: Av. Csar Vallejo 1345 Int. R 5 Centro Comercial Real Plaza (Trujillo).

Referencia: Entre Taca y Oescle.

Agencia Mall Aventura Plaza Trujillo

Direccin: Av. America Oeste 750 Urb. Ingenio (C.C.Aventura Plaza, 1 Nivel LC 1009) (Trujillo).

Referencias: Ingreso por la puerta principal a Tiendas Ripley, Al costado del Patio Constructor de Sodimac.

Para detallar los controles actuales que lleva la empresa mencionaremos acorde el siguiente grfico donde seala lo ideal que debera ofrecer la empresa para proteger no solo la informacin sino tambin hardware, software y elementos fungibles (documentos).

Control Fsico:

Vigilancia: Actualmente contratan los servicios de la empresa G4S que les provee de personal de seguridad en cada uno de las sucursales existentes.

Cmaras de Vigilancia: Presentes dentro y fuera del local que son tiles para la identificacin de personas cuando se tratan de cometer asaltos.

Control Ambiental: Presente en los Data center, y control de incendios.Control Lgico y Tcnico:

Autenticacin: Presente al momento de identificar a los usuarios privilegiados que poseen acceso a la informacin

Sistemas de Monitoreo: Presente en los data center de la organizacin donde por lo general solo tiene acceso personas autorizadas, pero de todas maneras se realizan ya que puede surgir cualquier imprevisto.

Control AdministrativoPolticas: Actualmente MAXIEFECTIVO presenta solo algunas polticas que permiten una gestin media, entre la que podemos destacar.

Horarios: Existen ciertas horas donde el personal de mantenimiento solo puede estar o cuando ocurre alguna eventualidades.

Manipulacin de documentos: Aquellos documentos que son importantes y que posteriormente ya no son necesarios son picados y desechados, no se queman ya que se tiene una tendencia ergonmica. Realizacin de respaldos de las transacciones realizadas en un da, a travs de un proceso batch que carga en una base de datos SQL Server 2008 R2 donde se carga la disponibilidad.

Alta Disponibilidad: Donde almacenan la informacin diaria en cintas magnticas que son almacenadas esto para tener respaldos ante cualquier desastre o ataque.

Standares

Actualmente se quiere implantar un control estricto para poder obtener la certifizacion ISO 27000 ya que actualmente tampoco poseen ni la ISO 9000.Programas de Entrenamiento: Para concientizar al personal de que no deben divulgar fcilmente la informacin interna a a terceros ya que cualquier extrao puede obtener el modus Operandi de la empresa

Necesidades deL Negocio, Expectativas y Prioridades (REQUERIMIENTOS)Luego de habernos reunido y hablado con la empresa se ha podido recopilar esta informacin sobre las principales fortalezas que tiene la presente organizacin:Servidor de Base de Datos

La siguiente topologa muestra se almacena en una base de datos comn todas las transacciones realizadas en cada agencia, por lo general llega a tomar 1 hora y media, por ende se establece un determinado horario en la madrugado para procesarlas.Servidor de Aplicaciones

La topologa muestra cmo se mantiene la comunicacin entre todos los servidores de base de datos ya que existe una base de datos por cada localidad es decir una para Lima y los otras en su respectivo departamento. Este servidor se utiliza a nivel de toda la organizacin para mantener un seguimiento de los empleados o terceros entrantes a zonas especficas para realizar labores, donde el usuario encargado de realizar el registro de terceros lleva el control de las personas que solicitan ingresar para realizar un servicio solicitado por la empresa.

Problemas Existentes Encontrados Como resultado del anlisis realizado, apreciamos las deficiencias de seguridad en las redes que posee la empresa, entre las cuales podemos mencionar. No contar con firewalls establecidos entre cada sucursal ya que el flujo de la informacin que permite a usuarios no autorizados tener acceso a las redes privadas de la empresa. No poseer un NIDS (Sistema de deteccin de intrusos en una Red) bien establecido, el cual detecte anomalas que inicien un riesgo potencial, tales como ataques de denegacin de servicio, escaneadores de puertos o intentos de entrar en un ordenador, analizando el trfico en la red en tiempo real.

Es por ello que proponemos implementar un Sistema de Gestin de Acceso a Redes para controlar de manera eficiente y eficaz la informacin manejada, ya sea dentro de la empresa como la de sus clientes, al momento de ofrecer sus variados servicios.A continuacin detallaremos nuestra propuesta, la cual ayudar a mejorar la calidad y seguridad de sus diversos procesos de negocio. Los objetivos del presente proyecto son: Gestin centralizada de redes.

Mejorar la seguridad de la informacin de la empresa.

Obtener una certificacin que mejore la Percepcin por parte de los clientes Disminuir los riesgos de fuga de informacin.

Permitir el acceso slo a personal autorizado basado en roles.En base a estos requerimientos proponemos la siguiente solucin:

Instalacin e Implementacin de un Sistema de Gestin de Acceso a Redes. La presente solucin contar con las siguientes caractersticas:

Bloquear eficazmente el acceso a la red de dispositivos no deseados. Registrar de forma automtica a un cliente o dispositivo. Controlar la duracin de acceso a la red mediante parmetros de configuracin. Modelo de Acceso Basado en Roles (RBAC), etc.Diseo de la solucin

La solucin que se presenta a continuacin contemplar las acciones para controlar de manera eficiente y eficaz la informacin manejada por la empresa NetSecurity.

Seguidamente detallaremos los requerimientos tomados en cuenta para el Diseo de la solucin:

Requerimientos del ClientePara el diseo de la solucin se deben cumplir con los siguientes requerimientos mnimos: Gestionar la seguridad de la informacin, para lo cual podrn tener como referencia el estndar ISO 27000 teniendo en cuenta los tres pilares de la seguridad de la informacin. Confidencialidad, Integridad y Disponibilidad

Velar que la informacin enviada a los clientes est libre de software malicioso. Proteger las claves de acceso a los sistemas de informacin. La identificacin y autenticacin en los dispositivos y sistemas de cmputo de las entidades deber ser nica y personalizada.

Evitar que programas o dispositivos capturen la informacin de sus clientes y de sus operaciones.

Ofrecer el soporte necesario para que los clientes puedan realizar sus operaciones monetarias por los diferentes medios siempre y cuando stos lo permitan.

Ofrecer una buena poltica de gestin de contraseasFunciones especficas de la solucin

El software netSecurity Network Access Control proporciona las ventajas del control de acceso a la vez que se adaptar a la empresa y su infraestructura.

Dar Soporte de software de Network Access Control: El software de CISCO IOS Network Access Control da soporte a los distintos tipos de usuarios y gestionarlos de manera eficaz para cumplir las directivas.

Dar Suministro de funcionalidad esencial de Network Access Control: con el dispositivo Network Access Control integrado, puede suministrar control de acceso basado en la identidad y basado en la aplicacin para endpoints no gestionados, como invitados y contratistas.

Gestionar las conexiones entrantes: Registrar el acceso a la red de ciertas computadoras para mejorar los sistemas de riesgos, como los porttiles de terceras personas.Explicacin grfica

CARACTERISTICAS Y VENTAJAS Obtener un cumplimiento normativo continuo

Comprobar el cumplimiento de la Alta Direccin antes de permitir el acceso a la red.

Esto servir tambin para cuando se realicen auditoras donde se debe obtener validacin de la directiva empresarial y de seguridad en tiempo real. Evitar amenazas de forma continua

Bloquear amenazas antes y despus de la admisin utilizando un conocimiento profundo del estado variable del sistema, el cumplimiento de las normativas y los usuarios. Proteger las oficinas remotas y sucursales

Asegurarse de que sea imposible acceder a los recursos de la sede central establecindola de forma segura y fiable.

Consiga visibilidad en tiempo real

Supervisar al personal interno en tiempo real, despus de las conexin, para poder conocer el comportamiento de estos. Adaptar los controles de accesoAdaptar los controles de acceso dependiendo de una situacin especfica para asegurarse de que todos los usuarios, desde los altos mandos hasta visitantes, obtengan el acceso apropiado al tiempo que mantiene la seguridad de su red.Sistema de Deteccin de Intrusos (IDS)Este dispositivo se encargara del monitoreo de las actividades de red o del sistema para las actividades maliciosas o violaciones a las polticas y produce informes a una estacin de administracin. Algunos sistemas pueden tratar de detener un intento de intrusin, pero esto no es necesario ni se espera de un sistema de vigilancia. La deteccin de intrusiones y sistemas de prevencin (PDI) se centran principalmente en la identificacin de posibles incidencias, registro de informacin sobre ellos, e informar los intentos.Snort

Es un IDS en tiempo real desarrollado por Martin Roesch y disponible. Se puede ejecutar en UNIX y Windows. Actualmente es el sistema de deteccin de intrusos ms utilizado. La versin 1.9 dispone de unas 1.700 reglas y de multitud de aplicaciones para el anlisis de sus alertas.

Snort se basa en la librera libpcap para la captura de paquetes.

Arquitectura Snort

Decodificador de paquetes: se encarga de tomar los paquetes que recoge la libpcap y almacenarlos en una estructura de datos en la que se apoyan el resto de capas.Preprocesadores: Hacen un pre tratado de los paquetes. Por ejemplo, el preprocesador ip_frag se encarga de reensamblar fragmentos IP y el stream4 reconstruye el flujo TCP a partir de los segmentos almacenados en memoria.

Motor de deteccin: implementa el algoritmo Boyer-Moore para la bsqueda de firmas. Este algoritmo es el ms eficaz conocido para la bsqueda de un patrn en una cadena arbitrariamente larga.

El problema es que en los IDSs no existe un nico patrn sino varios. Se han diseado ciertas mejoras aadiendo una estructura de datos Aho Corasick lo cual tericamente mejora el rendimiento hasta en un 500%.

Etapas de salida: Se utiliza cuando un ataque ha sido detectado. En este caso Snort dispone de plug-ins para el almacenamiento de la alerta en mltiples formatos: SQL (PostgreSQL, MySQL, Oracle, UnixOBDC), ASCII, XML, WinPopup, syslog.Diagrama de la Arquitectura Propuesta

A Nivel Especfico:Cobertura de los Requerimientos

RequerimientoObservaciones

Gestionar la seguridad de la informacin, para lo cual podrn tener como referencia el estndar ISO 27000, o el que lo sustituya.Cumple. El hecho de disponer de la certificacin segn ISO/IEC 27001 le ayuda a gestionar y proteger sus valiosos activos de informacin. Es la nica norma internacional auditable que define los requisitos para un sistema de gestin de la seguridad de la informacin (SGSI). La norma se ha concebido para garantizar la seleccin de controles de seguridad adecuados y proporcionales.

Proteger las claves de acceso a los sistemas de informacin. La identificacin y autenticacin en los dispositivos y sistemas de cmputo de las entidades deber ser nica y personalizada.Cumple. Detallado en la descripcin de producto correspondiente al punto anterior.

Velar porque la informacin enviada a los clientes est libre de software malicioso.Cumple. El software netSolutions Network Access Control evita que se desactiven las herramientas de seguridad para que no puedan ingresar cualquier malware.

Dotar a sus terminales o equipos de cmputo de los elementos necesarios que eviten la instalacin de programas o dispositivos que capturen la informacin de sus clientes y de sus operaciones.Cumple. Detallado en la descripcin de producto correspondiente al punto anterior.

Establecer los mecanismos necesarios para que el mantenimiento y la instalacin o desinstalacin de programas o dispositivos en las terminales o equipos de cmputo slo pueda ser realizado por personal debidamente autorizado.

Cumple. Detallado en la descripcin de producto correspondiente al punto anterior.

Ofrecer los mecanismos necesarios para que los clientes tengan la posibilidad de personalizar las condiciones bajo las cuales realicen operaciones monetarias por los diferentes canales, siempre y cuando stos lo permitan. En estos eventos se puede permitir que el cliente inscriba las cuentas a las cuales realizar transferencias, registre las direcciones IP fijas y el o los nmeros de telefona mvil desde los cuales operar.Cumple. Limita las cuentas que realizaran transferencias y otras actividades indicadas.

Ofrecer la posibilidad de manejar contraseas diferentes para los instrumentos o canales, en caso de que stos lo requieran y/o lo permitan.Cumple. Brinda seguridad a cada una de los canales requeridos por el usuario.

Establecer procedimientos para el bloqueo de canales o de instrumentos para la realizacin de operaciones, cuando existan situaciones o hechos que lo ameriten o despus de un nmero de intentos de accesos fallidos por parte de un cliente, as como las medidas operativas y de seguridad para la reactivacin de los mismos.Cumple. Se puede programar las veces que se pueden intentar ingresar a la sesin adems de avisar al usuario la incidencia.

Elaborar el perfil de las costumbres transaccionales de cada uno de sus clientes y definir procedimientos para la confirmacin oportuna de las operaciones monetarias que no correspondan a sus hbitos.Cumple. Es posible personalizar las transacciones ms usadas desde la consola.

Escalabilidad de la Solucin

La escalabilidad se refiere a la capacidad de un sistema de aumentar su rendimiento y ajustarse a ello. Esto se condigue al sumarle capacidad de hardware e implementar nuevas funciones que aumente la fluidez del proceso.

NetSecurity Network Access Control es una solucin independiente al sistema operativo(Windows, linux, MACOSX). Esto intenta no encerrar al cliente en un tipo de tecnologa y facilitar la implementacin. Tambien soporta completamente 64 bits

Escalabilidad verticalEst sujeto a la mejora de su sistema aumentando recursos, por ejemplo adquirir IDS que permitan vigilar el trfico de las redes internas

Escalabilidad horizontal

Consiste en aadir ms mquinas a la aplicacin, por ejemplo tener otros servidores que sirvan como espejo y uno ms que sea el balanceador de carga.

CONCLUSIONES

El sistema de gestin de acceso a red NetSecurity Network Access Control es capaz de controlar a nivel de red y gestionarla. El sistema permite un acceso desde cualquier lugar logrando obtener los mismos servicios y esto nos va a facilitar ya que poseemos varias sucursales. La ventaja competitiva adquirida nos va servir para poder mejorar nuestros servicios y obtener una buena seguridad de la informacin, por ende otorgar un mejor servicio al cliente La implantacin del IDS es importante y se justifica ya que existen muchos riesgos actualmente desde software especializado y hacker, cracker y ciberterroristas. Es importante tambin verificar los huecos de seguridad que ocurren en el software, donde el cifrado en los paquetes es importante.


Juan miguel-velasco-lopez-urda-seguridad-informatica-seguridad-informatica

Tico trabajo seguridad informatica

Instituto internacional de seguridad cibernética certificaciones seguridad informatica, maestrias en seguridad informatica

Auditoría Informatica y Seguridad Informatica

Seguridad Informatica

TRABAJO DE SEGURIDAD INFORMATICA

Trabajo práctico Nº Organismos oficiales de seguridad informatica

Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007exa.unne.edu.ar/depar/areas/informatica/Sistemas... · Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

Trabajo partico n°5 seguridad informatica

Trabajo Seguridad Informatica ULT

Trabajo día 1 Seguridad informatica

Trabajo seguridad informatica Marta M

Seguridad Informatica Introduccion a Seguridad Informatica

Trabajo seguridad informatica fatima

Seguridad informatica

Trabajo de seguridad informatica 1