Caso_de_Estudio_UnivExec.pdf

March 26, 2018 | Author: Avlbiker Pro | Category: Password, Authentication, Domain Name System, Internet, Online Safety & Privacy


Comments



Description

CASO DE ESTUDIO Institución de Educación Superior: Universidad de la Excelencia -UELa UE constantemente ha visto afectados sus recursos informáticos debido a ataques de personas mal intencionadas. Preocupados por ésta situación, la UE ha decidido contratar a un grupo de ingenieros expertos en el área de la seguridad de la información, para realizar el análisis de riesgos que pueda conducir a conocer el estado actual de aseguramiento de la información y a generar estrategias claras para gestionar la seguridad de la información y a diseñar su arquitectura de seguridad informática. A continuación se detalla información importante de la institución para tener en cuenta en el diseño de la solución: Información de la institución La UE tiene como misión la formación integral de las personas, mediante la búsqueda de la verdad y la excelencia en los procesos de docencia, investigación y extensión, promoviendo los valores en sus educandos para el bien de la sociedad. La UE tiene como visión ser una institución de excelencia educativa, formando personas con gran capacidad de liderazgo empresarial, social, científico al servicio de la sociedad. Características de la institución Los profesionales que laboran en la organización en general son responsables, puntuales y dispuestos a aceptar y seguir los nuevos retos organizacionales. Los Directivos, conformados por el Rector, Vicerrectores y Decanos, ven el tema de seguridad como un área importante pero no se considera prioritario en los procesos del negocio. El nivel de comunicación y apoyo entre las dependencias para el cumplimiento de los objetivos de la organización es alto. Debido a que es una institución educativa se podrá contar con el apoyo de las dependencias que se requieran para el proceso de sensibilización y educación en el tema de seguridad de la información. Análisis de la infraestructura de red La UE se encuentra interconectada con una topología en estrella de la cual hacen parte: Doce (12) Switches y siete (7) Acces Points (AP) distribuidos en los diferentes edificios de la institución; además de ello, cuenta con 477 computadores de escritorio y 44 portátiles los cuales están distribuidos en las nueve aulas de informática y en las diferentes oficinas de la Institución, 16 portátiles hacen parte de un aula móvil y los 32 restantes se encuentran asignados entre los docentes, administrativos y directivos. Dos canales de Internet contratados con diversos Service Providers (ISP), uno para proveer servicio a los empleados administrativos y académicos y el otro para los estudiantes. La UE cuenta con conectividad a través de LAN y WLAN, ésta última no permite conexión directa a la red LAN, solo a Internet por el servicio de los estudiantes. - D: Uno de 100 GB RAM: 512MB lepus. pero no verifica sí se realiza o no la copia. Los proyectos de grado de los estudiantes son almacenados en CD de acuerdo a las características definidas en la UE. Se tiene un servidor de archivos donde se solicita a los usuarios que se conecten mensualmente a hacer la copia de seguridad de sus equipos de escritorio.339    La Institución realiza copias de seguridad de la información relevante en DVD. el personal técnico sólo recuerda las fechas máximas de las mismas.ue Draco.O: Linux Red Hat 9 D.D: Dos de 80 GB c/u RAM: 4GB                      SERVICIOS WEB MySQL FTP DNS HTTPD Mail Scaner Spam Imap HTTPD MySQL Postgres FTP HTTPD MySQL Postgres FTP DNS HTTPD Tomcat Posgres FTP orion.O: Linux Fedora Core 4 D. - Como plan de contingencia en caso de fallas en el servicio de energía.ue .000 150 180 9 ______ Total: 4.ue                CONFIGURACIÓN S.O: Linux Fedora Core 5 D.O: Linux Fedora Core 6 D. Cada usuario es responsable de la copia de seguridad.ue pegasus.D: Uno de 80 GB RAM: 1GB S. la universidad cuenta con una planta que provee energía a todo el campus.D: Uno de 120 GB RAM: 512MB S. Los servicios de red se encuentran configurados y distribuidos en los siguientes servidores: NOMBRE andromeda.O: Linux Fedora Core 5 D.ue S. La red LAN presta servicios a: Estudiantes: Administrativos: Docentes: Directivos: 4.- Además de ello la sede principal de la EU está interconectada con su seccional ubicada en otra ciudad a través de un canal WAN. además de ello el cuarto de comunicaciones cuenta con UPS.D: Uno de 40 GB RAM: 1GB S. Existe un sistema de información para la gestión de la información académica y administrativa en la UE. Acceso del personal administrativo y académico-administrativo de la UE. Análisis de seguridad de la red .O: Linux Fedora Core 7 D. requerimientos de servicios generales y préstamo de equipos audiovisuales. Windows 2003 Server D.D: Dos de 70 GB c/u RAM: 2GB Cetus.O.ue S. esto quiere decir que cada aplicación cuenta con una base de datos de usuarios. Cuatro de 40 GB c/u RAM. Tampoco se maneja la caducidad de las contraseñas. Administrativos: gestión de la información de los procesos administrativos. Estas aplicaciones son servicios para los empleados (académicos y administrativos).Tucana. también cuenta con un sistema para la gestión tanto de la parte académica como administrativa.D.ue       S.ue    S. Estos aplicativos no cuentan con administración de usuarios única. Matlab Servidor de Archivos DNS HTTPD DHCP FTP Proxy MRTG Monitorización Proxy Samba IpTables Firewall Nagios Monitorización Aplicaciones Institucionales La institución cuenta con tres (3) aplicaciones web de desarrollo in-house que gestionan los requerimientos internos: requerimientos de soporte técnico. el cual se sistematizan los procesos:   Académicos: gestión de la información académica de los estudiantes. 1 GB Auriga.O: Linux CentOS D. Se puede acceder al sistema a través de la red interna y desde Internet.D: Dos de 70 GB c/u RAM: 3GB                DHCP WINS Consola Antivirus Admon. Lic. Acceso por parte de estudiantes y docentes. Consultando a los usuarios se encuentran los siguientes comportamientos para el manejo de sus usuarios y contraseñas de autenticación:  Un usuario y contraseñas diferentes para cada servicio    Diferentes usuarios y diferentes contraseñas para cada servicio Un usuario y una contraseña igual para cada servicio No se tienen políticas ni directrices claras sobre el número mínimo y la conformación de caracteres para las contraseñas. El Director del Departamento de Tecnologías y su equipo de trabajo. 10595 11318 14748 . Un ejemplo que se hizo. Análisis de vulnerabilidades. entre otras cosas se tiene: Análisis de tráfico Mediante éste se identificó que los servicios web institucionales en su proceso de autenticación. También se encontraron. lo que puede causar que personas mal intencionadas ejecuten códigos que causen problemas de denegación de servicios a los usuarios de la red. es que se puede acceder a las tablas de autenticación de usuarios de cualquier servicio o aplicación de la UE. Análisis de puertos. entre otras. Análisis de vulnerabilidades Al realizar el análisis se encontraron una serie de vulnerabilidades dentro de las cuales se encuentran: En el acceso a la plataforma de desarrollo. Domain) es vulnerable al ataque Buffer Overflow. Error de Buffer La versión que se está utilizando de Overflow en BIND BIND (Berkeley Internet Name Alto Draco 9. si no que puede consultar los tables spaces de todas las BD de la institución. El resultado de esta revisión. se encuentra que un usuario de desarrollo de una aplicación particular en la Base de Datos (BD) puede consultar no solo la información de sus BD. se dieron a la tarea de realizar una revisión interna del nivel de seguridad de la red. Pruebas de comportamiento de usuarios. las siguientes vulnerabilidades: DNS permite El DNS envía información de las auriga realizar zonas a cualquiera que se lo Medio transferencias de solicite. envían los datos de las contraseñas en texto claro. mediante la aplicación de: Pruebas de Análisis de tráfico de red. zona Solución: Permitir las transferencias de zona solo con el DNS secundario. al enfrentarse a constantes fallos en la seguridad de la red. Versión La versión de apache que se Alto Draco desactualizada de encuentra instalada presenta Apache errores. Nivel de Vulnerabilidades encontradas Listado de Vulnerabilidades . para la aplicación de la misma se definió un instrumento de acuerdo al rol de cada persona en la institución. Con base en estas encuestas se pudo obtener: Resultados encuesta aplicada a estudiantes Uso de los servicios Web Institucionales Préstamo de Equipos de video Correo Software Biblioteca Software administrativo Software académico Soporte Técnico Otros 24% 0% 55% 0% 100% 0% 0% ¿Con qué frecuencia.Análisis de Puertos Diagrama de Gantt Número de puerto Vs. cambia su(s) contraseña(s)? Quincenal Mensual Bimestral Nunca Otro 5% 14% 22% 48% 11% ¿De cuántos caracteres alfanuméricos (letras. caracteres especiales y números) está compuesta su contraseña? Cuatro Seis Ocho Más de ocho 2% 80% 8% 10% ¿Usted utiliza la red inalámbrica para? Descargar Investigar Chatear Jugar en Línea Otro 27% 49% 39% 14% 0% ¿Qué tipo de información almacena en los computadores que son de uso público en la universidad? Información personal Trabajos Otra 50% 50% 0% . número de veces abierto Pruebas de comportamiento de usuarios Se aplicó una encuesta para determinar el comportamiento de los usuarios con respecto al uso de la información y los recursos informáticos. 10% 30% 10% 50% Un usuario y una contraseña igual para todos los servicios Con usuarios y contraseñas diferentes para cada servicio Un usuario para todos los servicios pero con contraseña diferente d. cambia su(s) contraseña(s)? Quincenal 8% Mensual 33% Bimestral 33% Nunca 13% Otro 13% ¿A quién llama cuando ocurre un problema con su equipo? Dpto. b. c. c. Especifique la forma como usted ingresa a cada uno de ellos. Con usuario diferente pero igual contraseña para todos los servicios Resultados encuesta aplicada a la parte administrativa y académica Uso de los servicios Web Institucionales Préstamo de equipos Software Correo de video Biblioteca 94% 60% 50% Software Financiero 28% Software académico 62% Soporte Técnico 65% Otros 21% ¿Qué tipo de documentos son dejados sobre el escritorio? Datos Personales 10% Info.¿Almacena información en los computadores que son de uso público en la universidad? SI 16% NO 84% ¿Usa el servicio de Internet inalámbrico? SI 46% NO 54% Para acceder a cada uno de estos servicios/aplicativos usted debe ingresar un usuario y una contraseña por servicio/aplicativo. a. a. de Tecnología 72% Compañeros de Trabajo 14% Jefe Inmediato 6% Otros 7% . de la Institución 60% Datos de otras Personas 2% Otra 10% Tiene su contraseña escrita en: Agenda 13% Post-it 2% Ninguna 83% Otros 2% ¿Con qué frecuencia. b. d.de su dependencia 18% Info. ¿Está su equipo de trabajo (portátil o el de la sala de profesores) protegido por algún tipo de autenticación? Contraseña BIOS 6% Contraseña de sesión 34% Ninguna 61% Contraseña Sesión y BIOS 1% Cierra sesión Cuando se levanta de su sitio de trabajo porque necesita ausentarse usted: 41% Activa el protector de pantalla 8% Activa el protector de pantalla suspende el PC 7% Apaga el PC 20% Otra 25% ¿Qué tipo de información almacena en su computador personal (portátil)? Relativa a sus Funciones Personal 6% 34% Personal y de la Institución 61% Otra 1% ¿En su sitio de trabajo se dispone de un lugar seguro donde se guarden los documentos impresos? SI 66% NO 34% ¿Usted deja algunos documentos sobre el escritorio? ¿Utiliza como papel reciclaje documentos que hayan sido impresos con información personal. proyectos. entre otros? SI 72% NO 28% SI 64% NO 36% ¿Se realiza una inspección de los documentos que se van a reutilizar? SI 44% NO 66% ¿Comparte archivos o carpetas en su computador para que sean vistos por otros usuarios de la red? SI 26% NO 74% ¿Utiliza su computador personal (Portátil) como el equipo de trabajo en la institución? SI 40% NO 60% . informes. a. Especifique la forma como usted ingresa a cada uno de ellos. d. b. a.Para acceder a cada uno de estos servicios/aplicativos usted debe ingresar un usuario y una contraseña por servicio/aplicativo. 32% 48% 23% 2% Un usuario y una contraseña igual para todos los servicios Con usuarios y contraseñas diferentes para cada servicio Un usuario para todos los servicios pero con contraseña diferente d. c. b. c. Con usuario diferente pero igual contraseña para todos los servicios . D) A1 Replicación de Malware A14 A2 A3 Fugas de Información Alteración de la Información A15 A16 A4 Destrucción de la Información A17 A5 Divulgación de la información Vulnerabilidad de Sw. (Servicios y Aplicaciones) Sw desactualizado (Servicios y Aplicaciones) Acceso no Autorizado Intercepción de Tráfico e Información DoS Falta Backup de Información Falta Backup de Configuración de Dispositivos Falta de Administración de Logs A18 A6 A19 Daño físico de dispositivos Falta de Aplicación de Buenas Prácticas en el desarrollo in House Falta de Personal disponible A7 A8 A20 A21 A9 A10 A11 A22 A23 A24 Renuncia del Personal Caída del canal WAN Caída del canal Internet Personal A12 A13 A25 A26 Caída del canal Internet Estudiantes Caída de la red LAN . se debe pensar en todos los factores en los que afectaría a la organización si el activo no estuviera disponible. Gestor de B.Análisis de Riesgos Costos de Activos Para calcular el valor real de los activos es importante tener en cuenta tanto su valor comercial como el valor del activo para el negocio. todo esto sin llegar a sobrevalorar los activos. es decir. Listado de Amenazas Código Amenaza Código Amenaza Falta de Administración de Incidentes Errores de configuración (Administradores) Falta Mantenimiento General Falta de Documentación de los procesos de Administración de dispositivos y del sistema Falta de actualizaciones (Sistema Operativo. Antivirus. Listado de salvaguardas Código Salvaguarda Cifrado Copias de Respaldo Controles de Acceso Registro de Actuaciones Detección de Intrusos (Monitorización) Hardening de Dispositivos y Aplicaciones Gestión y administración de claves Definición de Roles de Seguridad Administración de Continuidad del Negocio Auditoría Interna Antivirus Actualizado Análisis de Requerimientos Desarrollo bajo metodologías de calidad CMMI Actualización de Versiones Aplicación de Pruebas de Funcionamiento Mantenimiento de Equipos Definición exacta de Funciones Definición de Políticas de Seguridad Topologías Redundantes Documentación de los Procesos Administrativos y de Configuraciones IDS/IPS PKI ISDN Canal de Contingencia VPN S1 S2 S3 S4 S5 S6 S7 S8 S9 S10 S11 S12 S13 S14 S15 S16 S17 S18 S19 S20 S21 S22 S23 S24 S25 . o Por ningún motivo se debe dejar documentación e información relevante sobre los escritorios cuando la persona a cargo se ausente del sitio de trabajo.  Todos los integrantes de la Institución deben propender por el cumplimiento de las directrices establecidas.  El Departamento de Tecnologías debe realizar actividades de concienciación y capacitación a los usuarios respecto a la importancia y la forma de proteger la información manejada al interior de la Institución. se debe tener en cuenta que: o Debe estar almacenada en un lugar seguro.  El manejo de la información en medio impreso es responsabilidad de cada dependencia. mediante el cumplimento de reglas de comportamiento que faciliten el aseguramiento y protección de los recursos y servicios informáticos. con el fin de retirar los permisos de acceso a los servicios. Objetivo Normas  Los usuarios deben firmar cláusulas de cumplimiento de las Políticas de Seguridad en los contratos laborales y académicos. o La información deberá resguardarse en lugares de difícil acceso a terceros y protegidos de condiciones ambientales que puedan afectarle.  El Departamento de Desarrollo del Personal debe reportar al Departamento de Tecnologías de la renuncia o despido de empleados. o El manejo de la correspondencia debe guiarse bajo las técnicas de oficina vigentes. Departamento de Tecnologías y Seguridad de la Información Desarrollada por Revisada por Rige a partir de Su fecha de publicación .Directrices de Seguridad Informática Se ha definido que como mínimo en las directrices se debe contemplar la siguiente ya definida por el Departamento de Tecnologías de la UE: ID Título de la Directriz Cultura de Seguridad Informática Dirigida a Comunidad Universitaria Involucrar a la comunidad universitaria en el mejoramiento de los esquemas de la Seguridad Informática en la Institución. . de tal manera que se logre proponer lo siguiente: 1) Definición de dos directrices de seguridad que debe tener la Institución en particular con respecto al Activo indicado.TRABAJO A DESARROLLAR EN EQUIPO En equipos de trabajo se debe revisar el estudio de caso. 2) Detallar las normas que se generan para esas directrices.
Copyright © 2024 DOKUMEN.SITE Inc.