Este es un caso de estudio en el cual se requiere garantizar la seguridad de la información para que una Institución de Educación Superior en línea, pueda prestar sus servicios de ventas regionales de forma segura, recomendándole firewalls y Switches, apropiados.
investigación de los Avances tecnológicos del siglo XXI
CRITERIOS DE SEGURIDAD EN UNA EMPRESA DE SERVICIOS DE VENTAS REGIONALES DE EDUCACIÓN SUPERIOR EN LÍNEA
1. Recomendación de equipo de seguridad de red y comunicación.
.
1
CRITERIOS DE SEGURIDAD EN UNA EMPRESA DE SERVICIOS DE
VENTAS REGIONALES DE EDUCACIÓN SUPERIOR EN LÍNEA
Yanira Elizabeth Ascencio García
e-mail: ascencio80@gmail.com
Celenia Evelyn González de Alvarenga
e-mail: cegalvarenga@gmail.com
David Eliseo Martínez Castellanos
e-mail: eliseo.martinez@gmail.com
Boris Alexander Martínez Díaz
e-mail: bmartinezdiaz@gmail.com
Luis Ernesto Pérez Figueroa
e-mail: lepf_luis@msn.com
RESUMEN: Este es un caso de estudio en el cual
se requiere garantizar la seguridad de la información para
que una Institución de Educación Superior en línea,
pueda prestar sus servicios de ventas regionales de
forma segura, recomendándole firewalls y Switches,
apropiados.
Se consideraron tres opciones por cada tipo de equipo,
realizándo una comparación basada en sus
características técnicas y precio; además, se realizó un
análisis de retorno de la inversión (ROI), teniendo como
modelo el recomendado por Microsoft. Este modelo de
cálculo difiere terminológica y metodológicamente con el
modelo estudiado en clase, por lo que se incluye la
comparación de ambas metodologías.
Está incluido el análisis de los elementos de Seguridad de
la información de Integridad, Disponibilidad y
Confidencialidad, para la protección de los activos de la
empresa, imagen corporativa e información de los
clientes, para garantizar la continuidad del negocio y un
crecimiento económico de la empresa.
PALABRAS CLAVE: Firewall, switch, servicios en
línea, seguridad, ROSI.
1 INTRODUCCIÓN
Con la siguiente investigación se tiene como
objetivo el detallar un correcto y óptimo recurso que
ayude en la seguridad de la información para una
Institución educativa que brinda sus servicios en línea.
Para lo cual se realiza una evaluación técnica-
financiera sobre los dispositivos que serán utilizados para
garantizar la disponibilidad, integridad y confidencialidad
de la información de la organización.
Para esto es importante contar con los siguientes
equipos, que cubran las necesidades de la Institución en
un perfecto equilibrio de funcionalidad y precio, de
firewalls y switches.
En esta investigación se evaluaron las
características técnicas de los firewall y Switch de marcas
reconocidas en el mercado, para Firewall WatchGuard
XTM 535, FortiGate 200D y Check Point 2200. Para
Switch Cisco Catalyst 3750, DELL N3048 y HP6600-
48G.4XG.
Luego de definir las características de los equipos
antes mencionados que pueden ser utilizados para el
presente caso de estudio también se ha evaluado que
cumpla con objetivos de la protección de la seguridad de
la información en sus tres características: integridad,
disponibilidad y confiabilidad.
2 PROBLEMA
2.1 DELIMITACIÓN Y PLANTEAMIENTO
DEL PROBLEMA
Existen varios tipos de firewalls y switches los cuales
ayudan a proteger la información de la institución, así
como mantener la disponibilidad, teniendo en cuenta que
existen muchas amenazas que tratarán de atacar la
integridad de la organización y buscarán cómo infiltrarse
en nuestra red.
También con el uso del Firewall evitamos que
usuarios del exterior accedan a la red de la organización
y con el uso de nuevos switches buscamos tener la
disponibilidad de la red para dar un mejor servicio a
usuarios internos como externos.
Debemos tener en cuenta que en el mercado existen
diversas marcas de firewall y switch por lo cual en este
caso de estudio debemos tener la mejor decisión de
escoger aquel dispositivo que garantice y cumpla con los
niveles de seguridad que se necesita en la organización.
2. Recomendación de equipo de seguridad de red y comunicación.
.
2
2.2 JUSTIFICACIÓN DEL PROYECTO
La Empresa de Servicios de Ventas Regionales de
Educación Superior en línea a través de call center,
presenta dificultades de seguridad y comunicación en la
red.
Inicialmente no se consideró como un riesgo, la
ausencia de un firewall colocando en peligro la
información. Adicionalmente, un dispositivo en la red
(switch) presenta fallas, por lo cual es necesario adquirir
el equipo competente que solvente la situación.
Para ello se efectúa una comparación desde dos
enfoques técnico y financiero, que permite seleccionar
entre las marcas más reconocidas de firewalls y switches,
los equipos que cumplan con los requisitos necesarios
para satisfacer las necesidades en cuanto a seguridad y
comunicación en la red actual, y con esto garantizar la
disponibilidad, confidencialidad e integridad de la
información en la empresa y mantener la continuidad del
negocio. Para demostrar la rentabilidad de la inversión se
calcula el valor del ROI, de acuerdo a un White Paper
publicado por Microsoft.
2.3 OBJETIVOS
Determinar y justificar, el mejor corta fuegos
(Firewall) que debe adquirir la empresa, para
garantizar las proyecciones de ventas en los
próximos 4 años.
Presentar el ROSI (Retorno de Inversión de IT)
para la adquisición de los equipos y costos
relacionados para garantizar el éxito del
proyecto los próximos 4 años.
Realizar una presentación y exponer a la Junta
Directiva sobre las recomendaciones de
inversión a realizar, su justificación y retorno de
inversión.
Analizar la infraestructura actual del proyecto en
cuanto a activos de TI y proponer cambios de
mejora, basados en necesidades y riesgos
potenciales que pudieran comprometer el
funcionamiento de las operaciones del negocio.
Revisar la situación actual del proyecto y
proponer cambios de mejora en cuanto a IT que
minimicen los riesgos de operación en los
próximos 4 años asegurando las mejores
inversiones que garanticen calidad y mejor
precio.
3 MARCO TEÓRICO DE LA
INVESTIGACIÓN
3.1 Red informática
Una red informática es aquella que está formada por
computadoras (ordenadores), periféricos y otros
dispositivos que se encuentran interconectados para que
puedan compartir sus recursos. De acuerdo al modo de
interconexión, a la relación entre los elementos, se
pueden clasificar las redes informáticas de distinta forma.
Entre las redes informáticas se encuentra la llamada
red LAN, una sigla que refiere a Local Area Network (Red
de Área Local). Estas redes vinculan computadoras que
se hallan en un espacio físico pequeño, como una oficina
o un edificio. La interconexión se realiza a través de un
cable o de ondas.
3.2 TCP/IP
TCP/IP es un conjunto de protocolos y en algunos
aspectos representa todas las reglas de comunicación
para Internet y se basa en la noción de dirección IP, es
decir, en la idea de brindar una dirección IP a cada equipo
de la red para poder enrutar paquetes de datos.
3.3 Seguridad Perimetral
Arquitectura y elementos de red, que proveen de
seguridad al perímetro de una red local frente a otra que
generalmente es Internet. Entre estos elementos se
encuentran: Cortafuegos, Sistemas de detección y
prevención de intrusos, pasarelas antivirus y sistemas
antispam.
3.4 Cortafuegos (Firewalls)
Elemento de red, donde se define la política de
accesos, permitiendo o denegando el tráfico según se
definan sus reglas. Pueden funcionar de acuerdo a dos
filosofías, una de política restrictiva en la cual se deniega
todo menos lo que se acepta explícitamente y otra de
política permisiva o lista negra, en la que se acepta todo
menos lo que se deniega explícitamente.
Los cortafuegos poseen tipos entre los cuales
podemos mencionar: circuito a nivel de pasarela,
cortafuegos de capa de red, cortafuegos de capa de
aplicación y cortafuegos personal.
3.5 Amenaza
Una Amenaza es la posibilidad de ocurrencia de
cualquier tipo de evento o acción, que puede producir un
daño (material o inmaterial) sobre los elementos de un
sistema, en el caso de la Seguridad Informática, los
Elementos de Información.
Generalmente se distinguen y dividen las amenazas
en tres grupos:
Criminalidad: son todas las acciones, causado
por la intervención humana, que violan la ley y
que están penadas por esta.
Sucesos de origen físico: son todos los eventos
naturales y técnicos, sino también eventos
indirectamente causados por la intervención
humana.
Negligencia y decisiones institucionales: son
todas las acciones, decisiones u omisiones por
parte de las personas que tienen poder e
influencia sobre el sistema. Al mismo tiempo son
las amenazas menos predecibles porque están
3. Recomendación de equipo de seguridad de red y comunicación.
.
3
directamente relacionadas con el
comportamiento humano.
Según WatchGuard entre las amenazas más
comunes a los datos en las pequeñas empresas se
encuentran: Ataques desde adentro, falta de
contingencia, Una mala configuración que compromete la
seguridad, uso temerario de redes de hoteles y quioscos,
uso imprudente de hotspost inalámbricos, datos perdidos
en un dispositivo portátil, servidores web comprometidos,
navegación imprudente de parte de los empleados,
correo electrónico HTML
3.6 Vulnerabilidad
Una vulnerabilidad es una debilidad de cualquier
tipo, que compromete la seguridad del sistema
informático. Las vulnerabilidades pueden ser de diseño,
como en el caso de políticas de seguridad deficientes o
inexistentes, de implementación como el caso de errores
de programación y vulnerabilidades de uso, como
inadecuada configuración de los sistemas informáticos.
3.7 Riesgo
El riesgo es una condición del mundo real, en el cual
hay una exposición a la adversidad conformada por una
combinación de circunstancias del entorno donde hay
posibilidad de pérdidas.
3.8 Coste Total de Propiedad (TCO)
El Coste Total de Propiedad (Total Cost of
Ownership, TCO), es la medida financiera de todos los
costos necesarios para construir, operar, mantener y
mercadear una empresa. El Coste Total de la Propiedad
les permite a los tomadores de decisiones, tener una
visión integral de los costos incurridos durante un periodo
de tiempo específico.
3.9 Retorno de la inversión (ROI)
La fórmula estándar del ROI es ROI = (X – Y) / Y
donde X es el valor final, y Y el valor inicial. En el sentido
financiero el ROI le permite al tomador de decisiones si
debe optar por una decisión de inversión u otra. De forma
similar, si se tienen otros costos incurridos por diferentes
alternativas de inversión, entonces el ROI calculado es
basado en cuál de las alternativas produce un mayor
ahorro de dinero durante la vida del proyecto. El retorno
es llamado reducción de costos, es decir, los ahorros
obtenidos de elegir la opción de inversión A sobre la
opción de inversión B.
4 DESARROLLO DEL CASO
4.1 Arquitectura de la solución
La figura 1 muestra el diagrama de red sugerido. Se
consideró la compra de dos Switches para garantizar alta
disponibilidad de los servicios de red.
Figura 1. Diagrama de Red Sugerido.
4.2 Comparación de firewalls
Para el caso de estudio, se consideraron los equipos
firewall WatchGuard XTM 535, FortiGate 200D, Check
Point 2200, cuyas especificaciones técnicas y precios se
presentan en la tabla 1.
Los equipos evaluados presentan características
técnicas muy similares y son muy competitivos, por lo que
la decisión se hizo basada en el precio de los equipos,
siendo el equipo elegido el WatchGuard XTM 535.
4.3 Opciones de Switches
Según el caso de estudios el switch que se está
utilizando actualmente en la LAN está dando problemas,
por lo cual es un requerimiento sustituirlo y se consideró
que se deben comprar dos switches para alta
disponibilidad. La figura 2 muestra las marcas y modelos
evaluados.
La comparación técnica de estos equipos se
presenta en las tablas 2 y 3. Los precios cotizados se
presentan en la tabla 4.
Los equipos evaluados presentan características
técnicas muy similares y son muy competitivos, por lo que
la decisión se hizo basada en el precio de los equipos,
siendo el equipo elegido el DELL N3048.
4. Recomendación de equipo de seguridad de red y comunicación.
.
4
Tabla1. Comparación de características técnicas y precios
Tabla 2. Características técnicas de equipos de red Switches.
Tabla 3. Elementos de seguridad integrados a los Switches evaluados.
Cisco DELL HP
Modelos Cisco Catalyst 3750 DELL N3048 HP 6600-48G-4XG
Price 9,200 5,345.00 9,370.00
Tabla 4. Precios cotizados
5. Recomendación de equipo de seguridad de red y comunicación.
.
5
Figura 2. Marcas y Modelos de Switches evaluados.
4.4 Análisis financiero (ROI)
El cálculo del retorno de la inversión fue realizado
utilizando la metodología descrita en el White Paper de
Microsoft para el caso de estudio “Microsoft Academy”
obteniendo los resultados descritos en la tabla 5.
5 ELEMENTOS DE SEGURIDAD A
VERIFICAR EN EL CASO
5.1 Integridad
Que se brinde el servicio ofertado efectivamente.
Calidad del servicio de voz.
Que los datos se presente íntegros.
Evitar la alteración no autorizada de datos.
Garantía de la información del cliente.
Tabla 5. Cálculo del ROI para los equipos firewall y switches.
5.2 Disponibilidad
Disponibilidad del servicio en cualquier
momento.
Disponibilidad de los datos del cliente.
Garantizar el servicio a través de otro centro
atención.
Disponibilidad del acceso de internet.
Garantizar el servicio del Sistema según
acuerdo de SLA con proveedor.
5.3 Confidencialidad
Garantizar la información del cliente.
Garantizar la comunicación entre cliente –
proveedor en forma exclusiva.
Asegurar la información del cliente por medio de
contrato de confidencialidad firmado por el
agente.
Denegación de servicio por medio de bloqueo de
aplicaciones.
No permitir dispositivos ajenos al trabajo en
turnos.
6. COMPARACIÓN ENTRE LA
METODOLOGÍA APLICADA EN EL
CASO DE ESTUDIO Y EL ROSI
La metodología en la investigación utilizada en el
documento está basada desde el enfoque técnico
financiero.
En primer lugar, se analizó el planteamiento de la
problemática en la organización concluyendo que debían
adquirirse 3 dispositivos, un firewall y dos switches.
Se realizó un análisis para determinar cuáles serían los
requerimientos técnicos de los equipos y en base a este
análisis se hizo un comparativo de las marcas
reconocidas de los equipos para determinar las marcas y
modelos de los equipos a adquirir, además de considerar
los precios de los equipos, garantías y soporte de los
proveedores.
Posteriormente se efectuó el cálculo del retorno de la
inversión basa en 4 años, se determinaron los ingresos
proyectados de los próximos 4 años basados en el factor
6. Recomendación de equipo de seguridad de red y comunicación.
.
6
de convertibilidad proporcionado, se determinaron
además los gastos y costos de los próximos cuatro años.
Con los datos obtenidos se ingresaron al a una plantilla
en Excel para el cálculo del ROI, para la justificación de
la inversión. Concluyendo así la metodología utilizada
para el caso de estudio 1.
A diferencia de la metodología utilizada en la guía
“metodológica para el cálculo del retorno a la
Inversión (ROI) en seguridad informática.”
No se incluyó de forma detallada el tamaño de la
organización ni la información crítica de esta y el enfoque
utilizado para el cálculo de ROI mediante el Análisis de
riego no fue considerado, por tanto no incluimos en el
cálculo de ROI los valores de la métrica en seguridad
Informática.
7 CONCLUSIONES
Durante el análisis del caso se consideraron
diferentes escenarios de riesgo, incluyendo robo de
información de los clientes, interrupción de operaciones
por denegación de servicio, etc. Situaciones que pueden
repercutir en pérdidas económicas para la compañía.
Luego del análisis económico logramos determinar que
es posible mitigar los riesgos sin incrementar demasiado
los costos de la empresa y así percibir un retorno de la
inversión en seguridad informática.
Se destaca también la importancia de que tiene
evaluar diferentes alternativas de equipo de seguridad y
de comunicaciones, más allá de las marcas hay que
considerar las características técnicas del equipo.
8 BIBLIOGRAFIA
Definición de Red LAN
Disponible en: http://definicion.de/red-lan/
TCP/IP
Disponible en:
http://es.kioskea.net/contents/282-tcp-ip
Intypedia, Information Security Encyclopdia.
Autor: Alejandro Ramos Fraile
http://www.criptored.upm.es/intypedia/docs/es/v
ideo5/DiapositivasIntypedia005.pdf
Gestión de Riesgo en la Seguridad Informática,
Amenazas y Vulnerabilidades.
Autor: MarkusErb
Disponible en:
https://protejete.wordpress.com/gdr_principal/a
menazas_vulnerabilidades/
Las 10 principales amenazas a la seguridad de
los datos de las PyMEs
Autor: Scott Pinzon, WatchGuard.
Disponible en:
http://www.watchguard.com/docs/whitepaper/w
g_top10-summary_wp_es.pdf
Introducción a la seguridad informática -
Vulnerabilidades de un sistema informático
Autor: Elvira Mifsud
Disponible en:
http://recursostic.educacion.es/observatorio/we
b/ca/software/software-general/1040-
introduccion-a-la-seguridad-informatica?start=3
Riesgos Informáticos
Disponible en:
http://audisistemas2009.galeon.com/productos2
229079.html
ROI of Building a Company-wide, Video
Podcasting Portal Using Microsoft SharePoint
2010
Autor principal: Michael Kada, Microsoft
Academy..