Análisis y gestión de riesgos en el marco del SGSI, basado en la Metodología MAGERIT y apoyado en un API Web para su ejecución

Texto completo

(1)ANALISIS Y GESTION DE RIESGOS EN EL MARCO DEL SGSI, BASADO EN LA METODOLOGIA MAGERIT Y APOYADO EN UN API WEB PARA SU EJECUCION. David Alejandro García Hernández Jeisson Herley Ruiz Murillo. UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS FACULTAD TECNOLÓGICA INGENIERIA EN TELEMATICA BOGOTÁ 2017. 1.

(2) ANALISIS Y GESTION DE RIESGOS EN EL MARCO DEL SGSI, BASADO EN LA METODOLOGIA MAGERIT Y APOYADO EN UN API WEB PARA SU EJECUCION. David Alejandro García Hernández Código: 20141678022 Jeisson Herley Ruiz Murillo Código: 20141678032. Documento presentado como requisito para entrega de anteproyecto de grado de Ingeniería en Telemática Monografía. Tutor Jairo Hernández G.. UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS FACULTAD TECNOLÓGICA INGENIERIA EN TELEMATICA BOGOTÁ 2017. 2.

(3) Nota de Aceptación ______________________________ ______________________________ ______________________________ ______________________________. _____________________________ Firma tutor del Proyecto. _____________________________ Firma del Jurado. Bogotá, 09, 08, 2017.. 3.

(4) Dedicamos este proyecto a nuestras familias, y a mis amigos que nos brindaron el apoyo necesario durante su realización.. 4.

(5) AGRADECIMIENTOS. Este proyecto de grado, ha requerido de un gran esfuerzo y dedicación por parte de los Autores cabe destacar que no hubiera sido posible culminar este trabajo, sin la colaboración de las personas que a continuación se mencionan y que directa o indirectamente estuvieron presentes durante el desarrollo de esta tesis. Agradecemos a Dios por brindarnos la fortaleza necesaria para seguir adelante en los momentos difíciles, y por llenarnos de sabiduría para lograr con éxito la culminación de este proyecto. A nuestros padres, agradecemos su constante apoyo moral y económico, y por creer en nuestras capacidades para que esta meta se cumpliera. En general quisiéramos agradecer a todas las personas que han vivido con nosotros la realización de este proyecto.. 5.

(6) TABLA DE CONTENIDO. 1. FASE DE DEFINICION, PLANEACION Y ORGANIZACIÓN .......................... 16 1.1.. TITULO .................................................................................................... 16. 1.2.. TEMA ....................................................................................................... 16. 1.3.. PLANTEAMIENTO DEL PROBLEMA ...................................................... 16. 1.3.1.. Descripción. ....................................................................................... 16. 1.3.2.. Formulación del problema. ................................................................ 17. 1.4.. JUSTIFICACION ...................................................................................... 17. 1.4.1. 1.5.. Justificación Ambiental Y Social ........................................................ 18. OBJETIVOS ............................................................................................. 18. 1.5.1.. Objetivo General. ............................................................................... 18. 1.5.2.. Objetivos Específicos. ....................................................................... 18. 1.6.. ALCANCES .............................................................................................. 19. 1.7.. DELIMITACIONES ................................................................................... 20. 1.7.1.. Delimitación Geográfica. .................................................................... 20. 1.7.2.. Delimitación Temporal. ...................................................................... 20. 1.7.3.. Delimitación Operativa. ...................................................................... 20. 1.8.. MARCO HISTORICO ............................................................................... 20. 1.9.. MARCO TEORICO................................................................................... 21. 1.10.. MARCO CONCEPTUAL ....................................................................... 27. 1.11.. FACTIBILIDAD...................................................................................... 28. 1.11.1.. Factibilidad Técnica. ....................................................................... 28. 1.11.2.. Factibilidad operativa...................................................................... 28. 1.11.3.. Factibilidad Legal. .......................................................................... 28. 1.11.4.. Factibilidad Económica................................................................... 29. 1.11.5.. Cronograma de Actividades ........................................................... 30. 2. SITUACIÓN ACTUAL ..................................................................................... 31 2.1.. Actividad 1: Marco de Referencia Aplicabilidad del Modelo ..................... 31. 2.2.. Actividad 2: Evaluación de oportunidad ................................................... 31 6.

(7) 2.3.. Actividad 3: Información Administrativa y Técnica ................................... 32. 2.3.1.. Misión ................................................................................................ 32. 2.3.2.. Visión ................................................................................................. 32. 2.3.3.. Organigrama ...................................................................................... 33. 2.3.4.. Información Técnica .......................................................................... 33. 2.4.. Actividad 4: Plataforma Tecnológica ........................................................ 35. 2.4.1.. Equipos Activos De Red .................................................................... 37. 2.4.2.. Diseño Lógico Oficina Central ........................................................... 39. 2.4.3.. Diseño Lógico Oficina Eje Cafetero ................................................... 39. 2.4.4.. Equipos De Cómputo......................................................................... 40. 2.4.5.. Centro Datos...................................................................................... 40. 2.4.6.. Cableado Estructurado ...................................................................... 41. 2.4.7.. Cableado Vertical .............................................................................. 42. 2.5.. Actividad 5: Situación Actual de la Seguridad, Norma 27001 – GAP ....... 43. 2.6.. Actividad 6: Determinación del alcance del proyecto ............................... 45. 2.7.. Actividad 7: Planificación del proyecto ..................................................... 46. 2.8.. Actividad 8: Puesta en marcha del proyecto ............................................ 47. 3. ANÁLISIS DE RIESGOS ................................................................................ 48 3.1.. Caracterización de los Activos ................................................................. 48. 3.1.1.. Levantamiento de Activos de Información ......................................... 48. 3.1.2.. Valoración de los Activos ................................................................... 51. 3.1.3.. Identificación y Valoración de Activos ................................................ 52. 3.2.. Caracterización de las Amenazas ............................................................ 55. 3.2.1.. Identificación de las Amenazas ......................................................... 55. 3.2.2.. Valoración de las Amenazas ............................................................. 62. 3.3.. Estimación del Impacto y Riesgo Potencial .............................................. 62. 3.3.1.. Impacto potencial............................................................................... 63. 3.3.2.. Riesgo Potencial: ............................................................................... 63. 3.4.. Salvaguardas ........................................................................................... 64. 3.4.1.. Identificación de las salvaguardas. .................................................... 64 7.

(8) 3.4.2.. Caracterización de las salvaguardas ................................................. 65. 3.4.3.. Identificación y Caracterización de las Salvaguardas ........................ 65. 3.5.. Estimación del Impacto y Riesgo Residual .............................................. 68. 3.5.1.. Impacto Residual ............................................................................... 68. 3.5.2.. Riesgo Residual................................................................................. 69. 4. GESTIÓN DE RIESGOS ................................................................................ 71 4.1.. Toma de Decisiones................................................................................. 71. 4.1.1.. Identificación de los Riesgos Críticos ................................................ 71. 4.1.2.. Calificación del Riesgo ...................................................................... 75. 4.2.. Plan de Seguridad .................................................................................... 82. 4.2.1.. Normativas de Seguridad .................................................................. 82. 4.2.2.. Mitigación del Riesgo ......................................................................... 84. 5. CONSTRUCCIÓN DEL API MAGERIT UD .................................................... 86 5.1.. Metodología ............................................................................................. 86. 5.2.. Diagramas ................................................................................................ 87. 6. CONCLUSIONES ........................................................................................... 91 7. RECOMENDACIONES ................................................................................... 92 8. BIBLIOGRAFÍA ............................................................................................... 93 ANEXOS ................................................................................................................. 2 ANEXO A - Tabla de controles norma ISO 27001 ............................................... 3 ANEXO B - ENCUESTAS .................................................................................. 21 ANEXO C – Valoración de Amenazas ............................................................... 39 ANEXO D – Impacto Potencial .......................................................................... 51 ANEXO E – Riesgo Potencial ............................................................................ 61 ANEXO F – Impacto Residual ............................................................................ 71 ANEXO G - Riesgo residual .............................................................................. 81 ANEXO H – ENTREVISTAS .............................................................................. 94 ANEXO I – MANUAL DE USUARIO ................................................................ 102 ANEXO J – MANUAL DEL SISTEMA .............................................................. 112. 8.

(9) INDICE DE FIGURAS. Figura 1. Arquitectura en capas ............................................................................ 27 Figura 2. Cronograma de actividades ................................................................... 30 Figura 3. Organigrama .......................................................................................... 33 Figura 4. Configuración servidor primario ............................................................. 35 Figura 5. Configuración servidor secundario ......................................................... 36 Figura 6. Esquema de localización vehicular ........................................................ 36 Figura 7. AP TP-LINK TL-WA901ND .................................................................... 37 Figura 8. Huawei S3700 28TP-EI-24S-AC ............................................................ 37 Figura 9. DrayTek Vigor3900 ................................................................................ 37 Figura 10. Cisco Rv320-k9 .................................................................................... 38 Figura 11. UTM Fortigate 60d ............................................................................... 38 Figura 12. Dell Powervault 124T ........................................................................... 38 Figura 13. Diseño Lógico Oficina Central .............................................................. 39 Figura 14. Diseño Lógico Oficina Eje Cafetero...................................................... 39 Figura 15. Lenovo ThinkPad T460S ...................................................................... 40 Figura 16. Lenovo ThinkStation S10 ..................................................................... 40 Figura 17. Dell PowerEdge R620 .......................................................................... 41 Figura 18. Cableado horizontal ............................................................................. 42 Figura 19. Cableado vertical sede Bogotá ............................................................ 43 Figura 20. Cableado vertical sede Bogotá ............................................................ 43 Figura 21. Convenciones evaluación de controles ................................................ 44 Figura 22. Resumen Controles Evaluados ............................................................ 44 Figura 23. Grafico Implementación controles ........................................................ 45 9.

(10) Figura 24. Gráfico de barras implementación controles ........................................ 45 Figura 25. Criterios de valoración .......................................................................... 52 Figura 26. Criterios de degradación ...................................................................... 62 Figura 27. Criterios de probabilidad ...................................................................... 62 Figura 28. Impacto Potencial ................................................................................. 63 Figura 29. Riesgo Potencial .................................................................................. 64 Figura 30. Criterios de salvaguardas ..................................................................... 65 Figura 31. Impacto Residual.................................................................................. 69 Figura 32. Impacto Residual.................................................................................. 70 Figura 33. Kanban Proyecto .................................................................................. 87 Figura 34. Diagrama Entidad- relación .................................................................. 88 Figura 35. Diagrama de secuencia........................................................................ 89 Figura 36. Diagrama de objetos ............................................................................ 90 Figura 37. Convenciones evaluación de controles .................................................. 3 Figura 38. Documentación API (Acceso Web) .................................................... 104 Figura 39. Lista de operaciones .......................................................................... 105 Figura 40. Detalle de operación. ......................................................................... 106 Figura 41. Verificación de la máquina virtual ....................................................... 107 Figura 42. Log de inicio de aplicación ................................................................. 107 Figura 43. Registro de empresa y/o proyecto...................................................... 108 Figura 44. Creación y/o edición de proyecto ....................................................... 109 Figura 45. Edición del proyecto 1. ....................................................................... 109 Figura 46. Edición del proyecto 2. ....................................................................... 110 Figura 47. Edición del proyecto 3 ........................................................................ 110 Figura 48. Edición del proyecto 4 ........................................................................ 111 10.

(11) Figura 49. Página de descarga PostgreSQL ....................................................... 113 Figura 50. Versión de sistema operativo para descarga ..................................... 113 Figura 51. Instalación PostgreSQL 1................................................................... 114 Figura 52. Instalación PostgreSQL 2 ................................................................... 114 Figura 53. Instalación PostgreSQL 3 ................................................................... 115 Figura 54. Instalación PostgreSQL 4 ................................................................... 115 Figura 55. Instalación PostgreSQL 5 ................................................................... 116 Figura 56. Instalación PostgreSQL 6................................................................... 116 Figura 57. Instalación PostgreSQL 7 ................................................................... 117 Figura 58. Instalación PostgreSQL 8 ................................................................... 117 Figura 59. Instalación PostgreSQL 2 ................................................................... 118 Figura 60. Creación base de datos ..................................................................... 118 Figura 61. Restore base de datos ....................................................................... 119 Figura 62. Ubicación archivo restore base de datos ........................................... 119 Figura 63. Pagina descarga JDK 8 ...................................................................... 120 Figura 64. Instalación JDK 8, paso 1 ................................................................... 120 Figura 65. Instalación JDK 8, paso 2 ................................................................... 121 Figura 66. Instalación JDK 8, paso 3 ................................................................... 121 Figura 67. Instalación JDK 8, paso 4 ................................................................... 122 Figura 68. . Diagrama de componentes .............................................................. 123 Figura 69. . Creación de empresa, MageritUD .................................................... 124 Figura 70. Creación de proyecto, MageritUD ...................................................... 124 Figura 71. Creación de dominio, MageritUD ....................................................... 125 Figura 72. Creación de activos, MageritUD ......................................................... 125 Figura 73. Creación de amenazas, MageritUD ................................................... 126 11.

(12) Figura 74. Creación de impacto potencial, MageritUD ........................................ 127 Figura 75. Creación de salvaguardas, MageritUD............................................... 127 Figura 76. Catálogo de activos, MageritUD ......................................................... 128 Figura 77. Catálogo de amenazas, MageritUD ................................................... 128 Figura 78. Catálogo de salvaguardas, MageritUD ............................................... 129 Figura 79. Estructura MageritUD ......................................................................... 129 Figura 80. Magerit.ud-container .......................................................................... 130 Figura 81. Magerit.ud-controller .......................................................................... 130 Figura 82. Magerit.ud-definitions ......................................................................... 131 Figura 83. Magerit.ud-api .................................................................................... 131 Figura 84. Magerit.ud-domain ............................................................................. 132. 12.

(13) RESUMEN Este proyecto fue enfocado a las metodologías de análisis y gestión de riesgos, ya que permiten determinar los riesgos a los que se encuentran expuestas las organizaciones, por tal razón TrackSpia S.A.S, una PYME del mercado de rastreo satelital, permitió llevar a cabo este caso estudio de análisis y gestión de riesgos mediante el uso de la herramienta Magerit UD. El desarrollo del análisis y gestión de riesgos se divide en cuatro capítulos. En la primera parte se documentó la fase de definición, planeación y organización, especificando los datos elementales del proyecto: título, tema del proyecto, planteamiento del problema, justificación, objetivos, alcances y delimitaciones. además, una descripción de cada uno de los libros de la metodología, con su respectivo marco conceptual; detallando los términos elementales de Magerit V3. El segundo capítulo es un estudio de la situación actual de la empresa, puntualizando el marco de referencia de la aplicabilidad del modelo, la evaluación de la oportunidad, alcance del proyecto y como se planificó el proyecto. Importante dentro de la fase de planificación: la descripción de la plataforma tecnológica, información técnica y administrativa de la organización y la situación actual con respecto la norma ISO 27001. En el tercer capítulo, se indica cuáles son los pasos que se deben seguir para encontrar los riesgos sobre cada activo. Estos pasos son: la identificación de los activos, valoración de los activos, caracterización de las amenazas, estimación del impacto y riesgo potencial, identificación de las salvaguardas. El cuarto capítulo describe las medidas pertinentes para realizar de la mitigación de riesgos, tales como: la toma de decisiones, calificación de los riesgos, plan de seguridad, mitigación del riesgo, conclusiones y recomendaciones.. 13.

(14) ABSTRACT This project was focused on risk analysis and management methodologies, since they allow the identification of the risks to which the organizations are exposed. For this reason, TrackSpia SAS, a SME in the satellite tracking market, allowed to carry out this case of Study of risk analysis and management through the use of the Magerit UD tool. The development of risk analysis and management is divided into four chapters.. The first part documented the definition, planning and organization phase, specifying the elementary data of the project: title, project theme, problem statement, justification, objectives, scope and boundaries. In addition a description of each of the books of the methodology, with its respective conceptual framework; detailing the elementary terms of Magerit V3.. The second chapter is a study of the current situation of the company, stating the frame of reference of the applicability of the model, the evaluation of the opportunity, scope of the project and how the project was planned. Important in the planning phase: the description of the technological platform, technical and administrative information of the organization and the current situation with respect to ISO 27001.. The third chapter outlines the steps that must be followed to find the risks for each asset. These steps are: identification of assets, valuation of assets, characterization of threats, estimation of impact and potential risk, identification of safeguards.. The fourth chapter describes the relevant measures to carry out risk mitigation, such as: decision making, risk rating, safety plan, risk mitigation, conclusions and recommendations.. 14.

(15) INTRODUCCIÓN La presente monografía está dirigida a implementar un modelo seguridad por medio de la metodología MAGERIT. Esto haciendo uso de un software que ha sido desarrollado para facilitar el análisis de cada uno de los activos de una organización. Para efectos del presente documento se ha elaborado un caso estudio a la empresa TrackSpia LTDA. En la actualidad un amplio sector de las organizaciones hace uso de las tecnologías de la información y la comunicación (TIC), en donde el gran flujo de información manejada y administrada debe ser almacenado, procesado y transmitido de manera eficaz y eficiente. Desde que se ha hecho masivo el uso de las TIC, se ha requerido cada vez más el acompañamiento de personal experto, la adquisición o alquiler de la infraestructura tecnológica necesaria para contener, transmitir y proteger, el amplio volumen de información. El alcance de la tecnología en las organizaciones, ha determinado que un factor fundamental es la seguridad de cada uno de los recursos informáticos denominados activos, y estos activos son relevantes siempre y cuando respalden la información que es lo más valioso para una organización. Aunque estos activos por más seguridad y protección implementada, no son totalmente seguros, ya que continuamente sufren amenazas; tanto externo como internamente, y para ello existen medidas de seguridad que permiten prevenir y evitar daños. Es allí donde se entra a hablar de las metodologías de análisis de riesgos. Para evitar mitigar todo tipo de riesgo que se pueda convertir en una amenaza y en el peor de los casos materializarse sobre un activo. La finalidad de este proyecto consiste en entregar una solución que permita aplicar una de estas metodologías de análisis de riesgos. Para el caso del presente: MAGERIT, que ha sido creado por el Consejo Superior de Administración Publica de España (CSAE) y busca orientar el análisis de riesgos hacia las tecnologías de la información y la comunicación (TIC).. 15.

(16) 1. FASE DE DEFINICION, PLANEACION Y ORGANIZACIÓN 1.1.. TITULO. Análisis y gestión de riesgos en el marco del SGSI, basado en la metodología MAGERIT y apoyado en un API Web para su ejecución. 1.2.. TEMA. El tema principal del Análisis y gestión de riesgos en el marco del SGSI, basado en la metodología MAGERIT y apoyado en un API Web para su ejecución será todo lo relacionado con el análisis de riesgos, todo basado en la metodología MAGERIT que está orientado a las tecnologías de la información y la comunicación. Por otra parte, se busca por medio del desarrollo de un caso estudio mostrar el uso de la MAGERIT como una metodología confiable para el desarrollo de un análisis de riesgos eficaz y confiable.. 1.3.. PLANTEAMIENTO DEL PROBLEMA. 1.3.1. Descripción. El Sistema de Gestión de la Seguridad de la Información (SGSI) como su nombre lo indica es todo un conjunto de procesos que se involucran en el ciclo de vida de la información para garantizar la confidencialidad, integridad y disponibilidad de la misma. La información y los sistemas que hacen uso de ella (sistemas de información, servicios, equipos de cómputo, entre otros.), son activos demasiado importantes para la empresa, por lo que uno de los procesos de SGSI conocido como: análisis de gestión de riesgos ayuda a prevenir la materialización de las amenazas (una hipótesis de todo aquello que pudiera ocurrir y que tuviera un impacto para la organización) a la que los activos puedan estar expuestos, por lo tanto es de propósito general determinar los componentes de un sistema que requieren protección, evaluar las vulnerabilidades que los debilitan y así como determinar las amenazas que lo ponen en peligro. Algunas de las empresas que se encuentran en crecimiento constante como es el caso de TrackSpia LTDA, que a pesar de tener un flujo constante de clientes y de implementar medidas organizativas que mejoran la producción y calidad de los productos, no se anticipan a las situaciones adversas en donde se vean involucrados los activos de la empresa, y mucho menos clarifican las posibles 16.

(17) pérdidas que estas puedan generar, debido a varios factores, entre los que se encuentran:  Desconocimiento de la importancia de realizar un análisis de riesgos, y sobre todo como este puede ayudar en las empresas que no cuentan con una economía fluctuante.  La poca oferta de herramientas de software que permiten gestionar de manera ordenada el análisis de riesgos propuesto por la metodología.  La falta de interés y/o de tiempo de las personas encargadas de realizar el análisis, la valoración y la creación de salvaguardas.  El uso de herramientas de ofimática suministrados por terceros, que originan costos excesivos de implantación al interior de la compañía, y que en ocasiones promueven el error y/o métricas inexactas de los riesgos. Actualmente se cuenta con metodologías (MAGERIT, OCTAVE, PCI, PMI) que permiten llevar a cabo la detección de amenazas y/o vulnerabilidades. Esta acción es realizada por parte de las personas encargadas de implementar el proceso de seguridad de la información, tarea que en muchas ocasiones es ejecutada con herramientas que no aseguran el cumplimiento concreto del procedimiento según los estándares establecidos por la ISO 27005, lo que conlleva al error o disminuir la objetividad de los resultados, estableciendo salvaguardas ambiguas o en algunos casos ineficaces, lo que damnifica la gestión organizativa o administrativa. 1.3.2. Formulación del problema. ¿Cuáles son las amenazas eventuales a las que está expuesta una organización y como realizar un análisis de gestión de riesgos, cuando no se cuenta con información histórica de incidentes de seguridad apoyado la metodología MAGERIT?. 1.4.. JUSTIFICACION. Teniendo en cuenta el problema, se evidencia que, mediante un análisis concienzudo de la organización, en donde se realice una evaluación cada uno de los activos, se puede lograr validar el nivel de riesgo con el que puede contar cada activo, además de verificar los posibles riesgos con los que puede contar y así. 17.

(18) evaluar el nivel de incidencia que tendría la materialización de un conjunto de amenazas. El apoyo que se brindara al análisis de riesgos por medio del api web, permitirá facilitar que el análisis de riesgos se pueda realizar de una forma uniforme y organizada en donde el gerente del proyecto pueda preocuparse por hacer un correcto levantamiento de los activos y se ocupe de realizar un correcto plan de mitigación y pueda establecer las políticas adecuadas para la mitigación de los riesgos. 1.4.1. Justificación Ambiental Y Social. La justificación ambiental del presente proyecto incluye un análisis global del mismo en su conjunto y un análisis detallado de sus principales componentes. El enfoque técnico adoptado trata de detectar tanto los conflictos como las relaciones positivas que se presentarían entre intereses y entre actividades (impactos ambientales) como resultado de la ejecución del proyecto. 1.5.. OBJETIVOS. 1.5.1. Objetivo General. Analizar por medio de la metodología MAGERIT la aplicación de un esquema de seguridad proporcionando los principios básicos y requisitos mínimos para la evaluación cualitativa de riesgos, obteniendo como resultado los controles que mitiguen la exposición de los activos ante eventuales amenazas. 1.5.2. Objetivos Específicos. . Interpretar la metodología de gestión de riesgos MAGERIT v3 y como es aplicada en un análisis cualitativo para la obtención de resultados en pro de la integridad, confidencialidad, autenticidad, trazabilidad y disponibilidad de la información.. . Establecer por medio de la metodología cuál es el nivel de riesgo aceptable con el cual puede convivir la organización que es objeto del estudio, y por medio de la gestión de riesgos conocer las alternativas para poder manejarlos.. 18.

(19) . Brindar a través la construcción de un api web, una herramienta que permita un análisis de riesgo cualitativo en el marco de la metodología MAGERIT v3.. . Limitar el uso del análisis de riesgos a las tecnologías de la información y la comunicación TIC, evitando su uso a otras áreas administrativas de negocio y funcionales.. 1.6.. ALCANCES. El Proyecto comprende el desarrollo de un análisis de riesgos basado en metodología Magerit que contara con el apoyo de un api web. Para el desarrollo de este cometido se tendrá en cuenta las siguientes etapas  Caracterización de los activos: En donde el usuario podrá ingresar los activos que han sido previamente identificados en la organización para poder empezar a realizar el análisis de riesgos.  Valoración de los activos: El usuario podrá realizar la valoración de los activos en base a lo previamente ingresado.  Caracterización de las amenazas: El usuario podrá identificar las amenazas que podría tener el activo en base al catálogo de elementos.  Valoración de las amenazas: El usuario realizara la valoración de las amenazas, en donde podrá asignar valores tanto al nivel de degradación en cada una de las dimensiones, como una valoración a la probabilidad de ocurrencia que pese sobre esa amenaza en específico.  Estimación del Riesgo: Se procesa e interpreta los resultados obtenidos para determinar el estado del riesgo de la organización. Se podrá realizar la estimación del impacto y como tal la estimación del riesgo.  Caracterización de las Salvaguardas: El usuario podrá identificar las salvaguardias efectivas para la organización junto con la eficacia que tiene cada una de ellas para mitigar el riesgo. Se podrá identificar como se había dicho anteriormente las salvaguardas y el usuario realizara una valoración de las mismas.. 19.

(20) 1.7.. DELIMITACIONES. 1.7.1. Delimitación Geográfica. Análisis y gestión de riesgos en el marco del SGSI, basado en la metodología MAGERIT y apoyado en un API Web para su ejecución, podrá ser aplicado a cualquier tipo de organización tanto de carácter público, como de carácter privado, por lo tanto, el aplicativo se implementará bajo estas condiciones. 1.7.2. Delimitación Temporal. Análisis y gestión de riesgos en el marco del SGSI, basado en la metodología MAGERIT y apoyado en un API Web para su ejecución se ha proyectado para un tiempo de 7 meses, según lo establecido en el cronograma de actividades.. 1.7.3. Delimitación Operativa. Las especificaciones técnicas que debe tener el equipo en el cual se desarrollará el API Web son las siguientes  Sistema Operativo Windows.  Lenguaje de Programación Java.  Servidor Web y de aplicaciones Tomcat.  Ambiente de desarrollo Eclipse.  Motor de Base de Datos PostgreSQL. El caso estudio aplicando MAGERIT para el Análisis de Riesgos abarcara toda la parte TI de la organización, ya que la naturaleza de la metodología así lo indica.. 1.8.. MARCO HISTORICO. El CSAE que es el consejo superior de administración pública de España elaboro MAGERIT como una metodología que permite analizar y evaluar los riesgos de todos los elementos que conforman el área TI de una organización. Claro está que la propuesta inicial estuvo orientada hacia la parte pública. Tal como ellos lo dicen: 20.

(21) “El CSAE ha elaborado y promueve Magerit como respuesta a la percepción de que la Administración Pública (y en general toda la sociedad) depende de forma creciente de los sistemas de in-formación para alcanzar sus objetivos. El uso de tecnologías de la información y comunicaciones (TIC) supone unos beneficios evidentes para los ciudadanos; pero también da lugar a ciertos riesgos que deben gestionarse prudentemente con medidas de seguridad que sustenten la confianza de los usuarios de los servicios.”1 Magerit cuenta con 3 versiones, siendo la más reciente la versión 3, sin embargo su historia se remonta a la versión 1 del año 1997 y una segunda versión del año 2005. Aunque Magerit no es la única metodología para el análisis de riesgos si se podría decir que esta 100% enfocada hacia las tecnologías de la información y la comunicación (TIC). Es importante decir que el análisis de riesgos es la piedra angular en las guías de buen gobierno tal y como lo dice la ISO 385002. Magerit v1.0 introdujo el concepto de dimensiones de seguridad y resistió bien al paso del tiempo en la parte conceptual, ya que cada uno de los términos se siguen utilizando en la versión 3, sin embargo los catálogos de elementos se encuentran desactualizados. El análisis de riesgos se ha visto como una necesidad desde que las organizaciones se dieron cuenta de la importancia de evaluar la seguridad en las organizaciones y poder determinar cómo es, cuánto vale y cómo de protegidos se encuentran los bienes tangibles de la organización. Por ende, desde su evolución, las actividades de gestión de riesgos permiten elaborar un plan de seguridad que, implantado y operado, satisfaga los objetivos propuestos con el nivel de riesgo que se acepta la Dirección.. 1.9.. MARCO TEORICO. MAGERIT V3 Siguiendo la terminología de la normativa ISO 31000, Magerit responde a lo que se denomina “Proceso de Gestión de los Riesgos”, dentro del “Marco de Gestión 1. Magerit-versión 3.0 Metodología de Análisis Y gestión de Riesgos de los Sistemas de Información, Libro 1-Método, https://administracionelectronica.gob.es/pae_Home/dms/pae_Home/documentos/Documentacion/M etodologias-y-guias/Mageritv3/2012_Magerit_v3_libro1_metodo_ES_NIPO_630-12-1718/2012_Magerit_v3_libro1_metodo_es_NIPO_630-12-171-8.pdf. Pág. 6 2 PASTOR, Andrés. 03 de marzo de 2011.ISO 38500: El camino hacia el gobierno TI. [en línea]: http://www.crisoltic.com/2011/03/iso-38500-el-camino-hacia-el-gobierno.html. 21.

(22) de Riesgos”. En otras palabras, MAGERIT implementa el Proceso de Gestión de Riesgos dentro de un marco de trabajo para que los órganos de gobierno tomen decisiones teniendo en cuenta los riesgos derivados del uso de tecnologías de la información. Existen varias aproximaciones al problema de analizar los riesgos soportados por los sistemas TIC: guías informales, aproximaciones metódicas y herramientas de soporte. Todas buscan objetivar el análisis de riesgos para saber cuán seguros (o inseguros) son los sistemas y no llamarse a engaño. El gran reto de todas estas aproximaciones es la complejidad del problema al que se enfrentan; complejidad en el sentido de que hay muchos elementos que considerar y que, si no se es riguroso, las conclusiones serán de poco fiar. Es por ello que en Magerit se persigue una aproximación metódica que no deje lugar a la improvisación, ni dependa de la arbitrariedad del analista. También se ha buscado la uniformidad de los informes que recogen los hallazgos y las conclusiones de las actividades de análisis y gestión de riesgos: Modelo de valor Caracterización del valor que representan los activos para la Organización, así como de las dependencias entre los diferentes activos. Mapa de riesgos Relación de las amenazas a que están expuestos los activos. Declaración de aplicabilidad Para un conjunto de salvaguardas, se indica sin son de aplicación en el sistema de información bajo estudio o si, por el contrario, carecen de sentido. Evaluación de salvaguardas Evaluación de la eficacia de las salvaguardas existentes en relación al riesgo que afrontan. Estado de riesgo Caracterización de los activos por su riesgo residual; es decir, por lo que puede pasar tomando en consideración las salvaguardas desplegadas. Informe de insuficiencias Ausencia o debilidad de las salvaguardas que aparecen como oportunas para reducir los riesgos sobre el sistema. Es decir, recoge las vulnerabilidades del sistema, entendidas como puntos débilmente protegidos por los que las amenazas podrían materializarse. Cumplimiento de normativa Satisfacción de unos requisitos. Declaración de que se ajusta y es conforme a la normativa correspondiente. Plan de seguridad Conjunto de proyectos de seguridad que permiten materializar las decisiones de tratamiento de riesgos.. 22.

(23) Objetivos de Magerit3 Magerit v3 en el libro I. Metodología. Marca los siguientes objetivos: . Objetivos directos: o o. o. . Concienciar a los responsables de las organizaciones de información de la existencia de riesgos y de la necesidad de gestionarlos. Ofrecer un método sistemático para analizar los riesgos derivados del uso de las tecnologías de la información y las comunicaciones (TIC). Ayudar a descubrir y planificar el tratamiento oportuno para mantener los riesgos bajo control.. Objetivo indirecto: o. Preparar a la organización para procesos de la evaluación, auditoría, certificación o acreditación, según corresponda el caso.. Descripción de los Libros de Magerit Libro I. Método. Este libro provee una descripción de la metodología, y dando una visión en conjunto de cada uno de los conceptos que intervienen en la propuesta dada para realizar el análisis de riesgos. Capítulo I: Comenta de forma general que se puede encontrar en la metodología y una descripción general de la historia y el buen gobierno. Capítulo II. Presenta los conceptos básicos de Magerit de una forma muy informal y breve, en donde se conceptualiza cada una de las actividades para llevar a cabo el análisis de riesgos. Capítulo III. Se detalla el método haciendo una descripción detallada especificadamente cada uno de los pasos para llevar a cabo el análisis de riesgos, esta orientación se realiza de forma general para que pueda ser utilizado por cualquier tipo de organización que lo requiera.. 3. Magerit-versión 3.0 Metodología de Análisis Y gestión de Riesgos de los Sistemas de Información, Libro 1-Método, https://administracionelectronica.gob.es/pae_Home/dms/pae_Home/documentos/Documentacion/M etodologias-y-guias/Mageritv3/2012_Magerit_v3_libro1_metodo_ES_NIPO_630-12-1718/2012_Magerit_v3_libro1_metodo_es_NIPO_630-12-171-8.pdf. Pág. 8 23.

(24) Capítulo IV. Proceso de gestión de riesgo, que explica cuáles son las actividades que se hacen en la gestión de riesgos. Capítulo V. Se centra en los proyectos en los que nos podemos encontrar inmersos para la realización del primer análisis de riesgos. Capítulo VI. Se establecen las actividades que serán requeridas para realizar un plan de seguridad una vez que se ha realizado el análisis de riesgos. Capítulo VII. Este capítulo se centra la seguridad de los sistemas de información considerando varios puntos de vista para mitigar los riesgos. Capítulo VIII. Recomendaciones o consejos prácticos para aplicarlos a la hora de realizar el análisis y gestión de riesgos.. Libro II. Catálogo de Elementos. Como su nombre lo indica, proporciona elementos y tareas que sirven para ser aplicados en el análisis y gestión de riesgos. Ofrece: Tipos de activos, Dimensiones y criterios de valoración, amenazas y salvaguardas. Hay dos objetivos que se ofrecen en este libro: 1. Facilitar la labor de las personas que acometen el proyecto, en el sentido de ofrecerles elementos estándar a los que puedan adscribirse rápidamente, centrándose en lo específico de sistema objeto del análisis. 2. Homogeneizar los resultados del análisis, promoviendo una terminología y unos criterios uniformes que permitan comparar e incluso integrar análisis realizados por diferentes equipos.. Libro III. Guía de Técnicas. Describe algunas de las técnicas utilizadas en el análisis y gestión de riesgos. Se considera técnica a un conjunto de heurísticos y procedimientos que ayudan a alcanzar los objetivos propuestos. Para cada una de las técnicas referenciadas en el libro III son las siguientes:    . Se explica brevemente el objetivo que se persigue al utilizarlas. Se describen los elementos básicos asociados. Se exponen los principios fundamentales de elaboración. Se presenta una notación textual y/o gráfica y se citan las fuentes bibliográficas que, sin ser exhaustivas, se han estimado de interés para que el lector profundice en cada materia. 24.

(25) Las técnicas que recoge son las que se enumeran a continuación:           . Análisis mediante tablas. Análisis algorítmico. Árboles de ataque. Técnicas generales. Análisis costo - beneficio. Diagramas de flujo de datos (DFD). Diagramas de procesos. Técnicas gráficas. Planificación de procesos. Sesiones de trabajo: entrevistas, reuniones y presentaciones. Valoración Delphi.. Sistemas Manejadores De Bases De Datos4 Un sistema de gestión de bases de datos se puede definir como una colección de datos interrelacionados y un conjunto de programas para acceder a esos datos. La colección de datos, normalmente denominada Base de Datos contiene información acerca de una organización determinada. El objetivo principal de un SGBD es proporcionar un entorno que sea eficiente para ser utilizado al extraer y almacenar información de la base de datos.. PostgreSQL5 PostgreSQL es un avanzado sistema de bases de datos relacionales basado en Open Source. Esto quiere decir que el código fuente del programa está disponible a cualquier persona libre de cargos directos, permitiendo a cualquiera colaborar con el desarrollo del proyecto o modificar el sistema para ajustarlo a sus necesidades. PostgreSQL está bajo licencia BSD. Un sistema de base de datos relacionales es un sistema que permite la manipulación de acuerdo con las reglas del algebra relacional. Los datos se almacenan en tablas de columnas y renglones. Con el uso de llaves, esas tablas se pueden relacionar unas con otras. 4. KORTH, Henry F. y SILBERSCHATZ, Abraham. Fundamentos de Bases de Datos. España: Mc Graw Hill, 1993. p.1 5. PECOS MARTINEZ DANIEL. Introducción a PostgreSQL [en http://danielpecos.com/docs/mysql_postgres/x15.html. [Citado en 17 de Marzo de 2013]. 25. línea]..

(26) El origen de PostgreSQL se sitúa en el gestor de bases de datos POSTGRES desarrollado en la Universidad de Berkeley y que se abandonó en favor de PostgreSQL a partir de 1994. Ya entonces, contaba con prestaciones que lo hacían único en el mercado y que otros gestores de bases de datos comerciales han ido añadiendo durante este tiempo. PostgreSQL puede funcionar en múltiples plataformas (en general, en todas las modernas basadas en Unix) y, a partir de la próxima versión 8.0 (actualmente en su segunda beta), también en Windows de forma nativa. Para las versiones anteriores existen versiones binarias para este sistema operativo, pero no tienen respaldo oficial. Arquitectura en Capas6 La arquitectura basada en capas se enfoca en la distribución de roles y responsabilidades de forma jerárquica proveyendo una forma muy efectiva de separación de responsabilidades. El rol indica el modo y tipo de interacción con otras capas, y la responsabilidad indica la funcionalidad que está siendo desarrollada. Por ejemplo, una aplicación web típica está compuesta por una capa de presentación (funcionalidad relacionada con la interfaz de usuario), una capa de negocios (procesamiento de reglas de negocios) y una capa de datos (funcionalidad relacionada con el acceso a datos). El estilo de arquitectura basado en capas se identifica por las siguientes características:  Describe la descomposición de servicios de forma que la mayoría de la interacción ocurre solamente entre capas vecinas.  Las capas de una aplicación pueden residir en la misma máquina física (misma capa) o puede estar distribuido sobre diferentes computadores (ncapas).  Los componentes de cada capa se comunican con otros componentes en otras capas a través de interfaces muy bien definidas.  Este modelo ha sido descrito como una “pirámide invertida de re-uso” donde cada capa agrega responsabilidad y abstracción a la capa directamente sobre ella.. 6. PELAEZ JUAN. Arquitectura Basada en Capas [en línea]. http://geeks.ms/blogs/jkpelaez/archive/2009/05/29/arquitectura-basada-en-capas.aspx. [Citado en 17 de Marzo de 2013]. 26.

(27) Arquitectura De N-Capas / 3-Capas Este estilo de despliegue arquitectónico describe la separación de la funcionalidad en segmentos separados de forma muy parecida al estilo de capas, peo en el cual cada segmento está localizado en un computador físicamente separado. Este estilo ha evolucionado desde la aproximación basada en componentes generalmente usando métodos específicos de comunicación asociados a una plataforma en vez de la aproximación basada en mensajes.. Figura 1. Arquitectura en capas (Fuente: https://geeks.ms/jkpelaez/2009/05/30/arquitectura-basada-en-capas/). 1.10. MARCO CONCEPTUAL. Contrato: Es un acuerdo verbal o escrito que trasmite derechos y obligaciones entre la parte que otorga y la parte que acepta. J2EE: Java 2 Enterprise Edition (J2EE), es la especificación creada por SUN Microsystems de un conjunto de guías diseñadas para permitir el desarrollo de aplicaciones que cubran todas las necesidades de una empresa. Arquitectura De Software: Es la organización fundamental de un sistema encarnada en sus componentes, las relaciones entre ellos y el ambiente y los principios que orientan su diseño y evolución. Seguridad Informática: Es la disciplina que se encarga de proteger la integridad y la privacidad de la información almacenada en un sistema informático. Activo Informático: Es un recurso (hardware/software) que posee una organización.. 27.

(28) Tratamiento de los Riesgos: recopila las actividades encaminadas a modificar la situación del riesgo. Análisis de los Riesgos: Busca identificar los riesgos identificados, cuantificando sus consecuencias. Amenaza: Causa potencial de un incidente que puede causar daños a un sistema de información o una organización. Riesgo: Medida de daño probable sobre un sistema.. 1.11. FACTIBILIDAD 1.11.1.. Factibilidad Técnica.. Para el desarrollo de la monografía se utilizará la metodología Magerit v3, y un computador equipado con las siguientes herramientas: El sistema operativo Windows, El manejador de bases de datos PostgreSQL, El servidor de Web, de aplicaciones y de servicios Tomcat, El lenguaje de programación JAVA bajo especificación J2EE.. 1.11.2.. Factibilidad operativa.. El caso estudio estará desarrollado en base a la metodología Magerit, y en cuanto al api Web estará diseñado para operar bajo el sistema operativo Windows. Debido al diseño no demanda un equipo con grandes recursos de cómputo. En cuanto a la factibilidad operativa a nivel de recurso humano, las personas a cargo del proyecto se encuentran capacitadas y se tiene acceso a bibliografía relevante para el desarrollo tanto del caso estudio, como del API Web.. 1.11.3.. Factibilidad Legal.. Magerit es una metodología abierta a quien lo quiera utilizar, por el lado de la parte operativa: el manejador de bases de datos PostgreSQL, el servidor Web y de Aplicaciones Tomcat, funcionan bajo licencia libre.. 28.

(29) 1.11.4.. Factibilidad Económica.. La factibilidad económica discriminada por recursos de hardware, software y recurso humano. Se determina que el proyecto es económicamente factible. Tabla 1. Factibilidad Económica (Fuente propia) Recursos. PROVEEDOR. 1. Hardware. COSTO $1.700.000. 1 Computador con los PERSONAL siguientes requerimientos:. 2. Software. 3. Humano. Memoria RAM 1024 MB Procesador 2.2 GHz - Disco Duro 40 GB libres - Monitor 1024 x 768 de resolución NetBeans Licencia Open GNU,. $0. PostgreSQL. Licencia BSD. $0. Windows Server 2008. Licencia Student, $0 Microsoft Dream spark. Desarrollador. 2 Desarrolladores.. $16.000.000. Salario mensual individual $1’000.000 x 8 meses. 4. Otros. Transportes, almacenamiento alimentación.. medio y. $ 2.500.000. 5. Imprevistos. $1.050.000. Total. $21.150.000. 29.

(30) 1.11.5.. Cronograma de Actividades. Figura 2. Cronograma de actividades (Fuente propia).. 30.

(31) 2. SITUACIÓN ACTUAL Como actividad preliminar se va a realizar el caso estudio para el Análisis y Gestión de Riesgos de las tecnologías de la información, en una empresa del sector servicio. Específicamente una empresa de rastreo satelital denominada TrackSpia LTDA, y para esto fue necesario realizar una serie de actividades con el fin de ayudar determinar la importancia, la magnitud y la planeación del proyecto, así como también establecer un panorama para la puesta en marcha del mismo: Es importante indicar que el análisis de riesgos será realizado bajo la metodología MAGERIT versión 3; como lo sugiere la metodología deberá ser involucrado el personal de las diferentes áreas relacionadas con el modelo de empresa propuesto. Las actividades nombradas anteriormente son las siguientes:. 2.1. Actividad 1: Marco de Referencia Aplicabilidad del Modelo Para la aplicación del marco de referencia es importante que la empresa cumpla con una serie de requisitos mínimos que garanticen la ejecución de inicio a fin de cada una del as fases de análisis y gestión de riesgos, a continuación, se detalla el marco de referencia a cumplir. . . Empresas del sector servicios, que cuenten con aplicaciones de carácter misional, que se expongan de cara a sus clientes y que cumplan con protocolos de seguridad como autenticación y autorización. Que nunca hayan realizado un análisis de riesgos o que no cuenten con información cuantitativa de los incidentes de seguridad, ya que el modelo pretende realizar un análisis cualitativo de riesgos.. La empresa prestadora de servicios informáticos, estableció a partir del modelo planteado en el documento, la estructura necesaria para el inicio del análisis de riesgos. La comunicación entre el gerente del proyecto y los interesados, permitió llevar a cabo una identificación de activos acorde a las necesidades de la empresa. 2.2.. Actividad 2: Evaluación de oportunidad. En la empresa TrackSpia LTDA se ha logrado un gran crecimiento del uso de las tecnologías de la información y la comunicación, no solo en el core del que corresponde al seguimiento y rastreo satelital de los vehículos del sector público y privado, sino además en cada una de las áreas que intervienen en la empresa. Ha sido grande el beneficio que han recibido, pero no se han percatado de los problemas de seguridad que estas tecnologías traen.. 31.

(32) Mediante entrevistas (ver ANEXO H) y encuestas(ver ANEXO B) realizadas a los empleados de los departamentos de: Recursos humanos, Contabilidad, Logística, Rastreo, y presupuesto, se ha percibido que se ha generado incidentes significativos relacionados a la seguridad. Para nombrar algunos de estos inconvenientes, se encuentran la falta de mantenimiento a la cola de mensajería que reporta los incidentes y novedades de cada uno de los vehículos clientes registrados para el rastreo, soportes de información visible para gran parte de los empleados que prestan ayuda telefónica a cada uno de los clientes. Los nombrados anteriormente generan una vulnerabilidad y abre una brecha de seguridad.. 2.3.. Actividad 3: Información Administrativa y Técnica. TrackSpia LTDA es una empresa dedicada a la instalación y mantenimiento de equipos para rastreo satelital de vehículos. Cuenta con tecnología de punta en comunicación bidireccional GPRS que le permitirá, monitorear en tiempo real el movimiento de sus vehículos desde cualquier parte del mundo. El personal técnico es constantemente capacitado en la instalación y mantenimiento de equipos GPRS en todo tipo de vehículos, además de contar con una excelente área de atención al cliente, facilitando así la atención a incidentes en tiempo real. La organización cuenta con dos sedes en Colombia, la sede principal ubicada en la ciudad de Bogotá, donde se encuentran la mayor parte de la operación. La sede eje cafetero, que se encuentra ubicada en la ciudad de Medellín, es una sede con fines comerciales y de soporte técnico. 2.3.1. Misión Proporcionar a nuestros clientes, la mejor opción en el mercado del monitoreo satelital, seguridad y administración de vehículos. Mediante un constante e innovador desarrollo tecnológico, buscamos alcanzar y superar las expectativas de nuestros clientes, permitiendo el crecimiento y valorización de nuestra compañía. 2.3.2. Visión Ser reconocidos como una de las mejores empresas del mercado colombiano en el campo de la Seguridad y control logístico de vehículos y carga. Mediante la mejora continua de nuestros servicios y capital humano buscamos brindar la mejor herramienta que contribuya a disminuir y optimizar los costos de operación y aumentar la productividad de cada uno de nuestros clientes. 32.

(33) 2.3.3. Organigrama. Figura 3. Organigrama (Fuente propia). 2.3.4. Información Técnica Oficina Central. La sede principal de TrackSpia S.A.S, se encuentra en el barrio Castilla, en la ciudad de Bogotá. Es un edificio de tres plantas, que está adecuado para las labores comerciales, técnicas y administrativas, realizadas por cerca de 32 empleados. La primera planta, cuenta con todo el equipamiento técnico necesario para realizar, configuración, instalación y mantenimiento de dispositivos de rastreo satelital, en los vehículos de los clientes. Los técnicos instaladores cuentan con computadoras portátiles que se conectan inalámbricamente, a través de un punto de acceso instalado en la parte alta de la planta, con dicha conexión ingresan a la plataforma de la organización, configuran y verifican el funcionamiento del dispositivo instalado. La segunda planta, es utilizada para llevar a cabo labores administrativas y comerciales de toda la organización, cuenta con cuatro oficinas distribuidas de la siguiente manera:  La oficina de la “Gerencia General”, adecuada con equipamiento tecnológico y mobiliario para una persona.  La oficina de la “Gerencia Comercial”, adecuada con equipamiento tecnológico y mobiliario para una persona.  La oficina para el “Departamento de Ventas”, está conformada con equipamiento tecnológico y mobiliario para cinco personas. 33.

(34)  La oficina de los departamentos de “Administración”, “Recursos Humanos” y “Cartera”, está conformada con equipamiento tecnológico y mobiliario para cinco personas. En la segunda planta, existe un pequeño laboratorio para uso de los técnicos instaladores, con un espacio destinado para almacenamiento del inventario de dispositivos, y el equipamiento tecnológico y mobiliario para una persona. Por otra parte, en esta planta existen algunos dispositivos de uso común, una impresora multifuncional (impresora, escáner y fax) de red, y el punto de acceso inalámbrico. Los equipamientos ubicados en las oficinas, cuentan con una estación de trabajo fija o portátil, un dispositivo telefónico IP, se asignan puntos de conexión cableada Gigabit Ethernet, que se distribuyen por canaleta, hasta cada sitio de trabajo de trabajo. La tercera planta, reúne todas las actividades técnicas y tecnológicas de la organización, se distribuye en 4 oficinas, y un cuarto de equipos. La oficina de la “Unidad de Desarrollo”, está conformada con equipamiento tecnológico y mobiliario para seis personas. La oficina de la “Unidad de Infraestructura”, está conformada con equipamiento tecnológico y mobiliario para cinco personas. El cuarto de datos y equipos, se encuentra anexo a la oficina de la “Unidad de Infraestructura”, cuenta con un acceso controlado por biométricos y cámaras de vigilancia. La oficina de monitoreo, que es una división adscrita a la unidad de infraestructura, está conformada con equipamiento tecnológico y mobiliario para cuatro personas, funciona 24/7 en turnos rotativos de 8 horas por agente. La oficina de los técnicos de configuración e instalación de dispositivo de rastreo satelital, adscritos a la unidad de infraestructura, está conformada con equipamiento tecnológico y mobiliario para cuatro personas. La planta cuenta con un punto de acceso inalámbrico, con cobertura para todo el piso. Los equipamientos ubicados en las oficinas, cuentan con una estación de trabajo fija o portátil, un dispositivo telefónico IP, se asignan puntos de conexión cableada Gigabit Ethernet, que se distribuyen por canaleta, hasta cada sitio de trabajo de trabajo. En el caso de la unidad de desarrollo, las estaciones de trabajo cuentan con una pantalla de 24” adicional por estación. En el caso de la división de monitoreo las pantallas instaladas y adicionales son de 32” cada una. La sede utiliza un canal dedicado de fibra óptica que es proveído por la Empresa de Telecomunicaciones de Bogotá (ETB), con una capacidad de hasta 50 Megabytes, además, tiene un respaldo de conexión a internet de la empresa Claro Colombia, con una capacidad de 20 Megabytes.. 34.

(35) Oficina Eje Cafetero. La sede regional de la organización se encuentra en la ciudad de Armenia. Es una construcción de dos plantas. La primera planta, cuenta con todo el equipamiento técnico necesario para realizar, configuración, instalación y mantenimiento de dispositivos de rastreo satelital, en los vehículos de los clientes. Los técnicos instaladores cuentan con computadoras portátiles que se conectan inalámbricamente, a través de un punto de acceso instalado en la parte alta de la planta, con dicha conexión ingresan a la plataforma de la organización, configuran y verifican el funcionamiento del dispositivo instalado. En la segunda planta se encuentran ubicados el departamento de ventas, la unidad de infraestructura, a la que están adscritos los técnicos instaladores de la sede. Cada área está conformada con equipamiento tecnológico y mobiliario para tres y cinco personas, respectivamente. Además, existe un punto de acceso inalámbrico para toda la planta. En un costado de la planta se encuentra ubicado un gabinete con los equipos de comunicaciones. La sede utiliza un canal dedicado de fibra óptica que es proveído por Claro Colombia de 20 Megabytes de capacidad. Para la comunicación de datos entre sedes, existe una configuración de VPN para recursos restringidos y la conexión a la plataforma es a través del canal público.. 2.4.. Actividad 4: Plataforma Tecnológica. La organización cuenta con un cuarto de equipos, en el cual se tiene un rack con los dos servidores Dell PowerEdge R620, además del sistema de backup Dell Powervault 124T. El servidor principal de la organización, contiene una plataforma Localización Vehicular Automatizada (AVL), realizada como un desarrollo propio. Para funcionar requiere la Máquina Virtual Java (JVM), así como un motor de base de datos PostgreSQL 9.x. Como sistema operativo base utiliza Linux Centos 7.x.. Figura 4. Configuración servidor primario (Fuente propia). 35.

(36) El servidor secundario, es utilizado como contenedor de aplicaciones de apoyo misional, entre ellas un ERP, CRM, correo electrónico, servidor de archivos, entre otros. Utiliza un sistema operativo hipervisor de VMware ESXi, y cuenta con una máquina virtual por servicio expuesto, además, contiene una réplica de la plataforma AVL, utilizada en caso de recuperación de desastres únicamente.. Figura 5. Configuración servidor secundario (Fuente propia). Sistema de localización vehicular automatizada Es una plataforma desarrollada a la medida, que funciona como punto de entrada de la información enviada remotamente desde los dispositivos. Un dispositivo se conecta a la plataforma utilizando protocolos de conexión TCP y/o UDP, una vez es reconocido por el servidor, el dispositivo comienza a enviar datos con la información de la posición, en geo coordenadas (latitud, longitud), y los datos del estado de los sensores conectados al dispositivo. Cuando el sistema AVL reconoce la información, la procesa y almacena en un formato lógico legible para el sistema. Una vez la información es capturada, los usuarios que están registrados como monitores de la aplicación, pueden visualizar esa información a través del sitio web, que funciona bajo protocolo HTTP. El sitio web consume una serie de recursos REST, que una vez cargan la información desde el servidor la actualizan en tiempo real en los navegadores de los usuarios que están monitoreando y con una sesión activa.. Figura 6. Esquema de localización vehicular (Fuente propia). 36.

(37) 2.4.1. Equipos Activos De Red Punto de Acceso TP-LINK TL-WA901ND x 5. Figura 7. AP TP-LINK TL-WA901ND (Fuente. http://www.tp-link.com/ar/products/details/cat-15_TD-W8961ND.html). Descripción: El TP-LINK Punto de Acceso Inalámbrico N TL-WA901ND está diseñado para establecer o ampliar una red inalámbrica N de alta velocidad escalable o para conectar múltiples dispositivos Ethernet habilitados, tales como consolas de juegos, adaptadores multimedia digitales, impresoras o la red dispositivos de almacenamiento conectados a una red inalámbrica. La AP es compatible con una gran cantidad de diferentes funciones que hace que su experiencia de red inalámbrica más flexible que nunca. Ahora, puedes disfrutar de una mejor experiencia de Internet al descargar, juegos, streaming de video o con cualquier otra aplicación que desees utilizar.. Switch x 3: Huawei S3700 28TP-EI-24S-AC x 3. Figura 8. Huawei S3700 28TP-EI-24S-AC (Fuente. http://e.huawei.com/es/products/enterprise-networking/switches/campusswitches/s3700-si-model). Descripción: Los switches empresariales de la serie S3700 de Huawei utiliza hardware de vanguardia y el software de la Plataforma de Enrutamiento Versátil (VRP) de Huawei para brinda agregación y acceso de alto rendimiento para las redes de área de campus empresariales. El S3700 es fácil de instalar y de mantener. Gracias al despliegue de VLAN flexible, las capacidades de PoE, las funciones integrales de enrutamiento y la capacidad de migrar hacia una red IPv6, el S3700 permite que los clientes empresariales construyan redes de TI de próxima generación. Las tecnologías avanzadas de fiabilidad, tales como las de apilamiento, VRRP y RRPP, mejoran la capacidad de recuperación.. Router DrayTek Vigor3900. Figura 9. DrayTek Vigor3900 (Fuente. http://e.huawei.com/es/products/enterprise-networking/switches/campusswitches/Vigor3900). 37.

(38) Descripción: El Vigor3900 es la solución más completa de la familia de Router DrayTek para las aplicaciones de VPN y múltiples WAN de nivel empresarial, este equipo garantiza la seguridad y los beneficios de ahorro de costos para las empresas a través de Múltiples VPN. Este Router no solo ofrece cientos de túneles VPN compatibles con protocolos como PPTP/L2TP/IPSec/L2TP a través de IPSec para satisfacer LAN-to-LAN remotas y las necesidades de comunicación seguras, sino también proporcionar conectividad SSL VPN para brindar un mejor acceso remoto a los usuarios. Con cuatro Gigabit Ethernet puertos SFP y un puerto de fibra activa como interfaces WAN permite corporación para suscribirse servicio de conexión a Internet de hasta a cinco diferentes proveedores de Internet. Router Cisco Rv320-k9. Figura 10. Cisco Rv320-k9 (Fuente. http://e.huawei.com/es/products/enterprise-networking/switches/campus-switches/Cisco Rv320-k9). Descripción: La conectividad de red es el centro de cada pequeña empresa y el acceso seguro, la protección de firewall y el alto rendimiento son los pilares de cada router Cisco® Small Business de la serie R. El router Cisco VPN con WAN Gigabit dual RV320 no es la excepción. Con una interfaz de usuario intuitiva, el router Cisco RV320 está listo para funcionar en minutos. El router Cisco RV320 ofrece acceso confiable y altamente seguro para usted y sus empleados, tan transparente que no sabrá que está allí.. UTM Fortigate 60d. Figura 11. UTM Fortigate 60d (Fuente. http://mv-tech.co.id/fortigate-utm/). Descripción: La serie FortiGate-60D ofrece protección integral. Creada sobre la base del sistema FortiASIC en un chip 2 (SOC2), proporciona un conjunto integrado de tecnologías de seguridad que protegen todas las aplicaciones y datos. Proporciona aceleración de firewall en todos los tamaños de paquetes, aceleración de procesamiento de contenido UTM, acceso remoto seguro y VPN de alta velocidad para un rendimiento y protección superior.. Sistema de backup Dell Powervault 124T. Figura 12. Dell Powervault 124T(Fuente. https://www.etb-tech.com/powervault-124t-autoloader-lto5sas.html#.WX0_pekrXIU). Descripción: El PowerVault 124T es un cargador automático de cintas que permite a los clientes maximizar el respaldo del almacenamiento basado en racks dentro de un chasis de 2U. Su arquitectura expandible y diseño de revista le. 38.

(39) permite administrar y reemplazar rápidamente los cartuchos de tinta para las crecientes necesidades del centro de datos. Estas funciones también lo ayudan a ampliar la capacidad en forma rentable a fin de cumplir con las demandas de respaldo y recuperación futuras. El PowerVault 124T ofrece un respaldo confiable a través de la administración remota mediante cualquier navegador web y, a la vez, posee una integración sin complicaciones con los diversos sistemas operativos, como Microsoft® Windows y Linux®.. 2.4.2. Diseño Lógico Oficina Central. Figura 13. Diseño Lógico Oficina Central (Fuente propia). 2.4.3. Diseño Lógico Oficina Eje Cafetero. Figura 14. Diseño Lógico Oficina Eje Cafetero (Fuente propia). 39.

(40) 2.4.4. Equipos De Cómputo Los equipos de cómputo son los activos informáticos más abundantes en una organización y así mismo son la entrada principal de potenciales amenazas, por lo tanto, se deben tener muy presentes en el momento de realizar el levantamiento de los activos. Lenovo ThinkPad T460S x 20. Figura 15. Lenovo ThinkPad T460S (Fuente. https://www.amazon.com/Lenovo-ThinkPad-T460s-Computer-i56200U/dp/B01FGLGXEE). Descripción: El rendimiento de una PC nunca fue tan rápido. Los procesadores Intel® Core™ i de 6ta generación con seguridad integrada están diseñados para llevar tu productividad, creatividad y juegos en 3D hacia el siguiente nivel. La tecnología Intel® vPro * hace que la administración de nivel empresarial sea aún más conveniente y eficiente. Y con Windows 10 Pro puedes potenciar a tu empresa y a ti mismo para realizar cosas grandiosas en todos los dispositivos de manera segura y en cualquier parte, con cualquier persona y en cualquier momento. Ajustándose a una variedad de presupuestos, también es muy fácil de utilizar. Para que puedas hacer más desde el principio. vPro no está disponible con los procesadores Intel® i5. Lenovo ThinkStation S10 x 20. Figura 16. Lenovo ThinkStation S10 (Fuente. https://www.amazon.com/Lenovo-ThinkPad-T460s-Computer-i56200U/dp/B01FGLGXEE). Descripción: El más llamativo es el Lenovo ThinkStation S10 ofrece un Intel Core 2 y Core 2 Extreme QX965 a 3GHz. Estos procesadores vendrán acompañados de tarjetas gráficas NVIDIA, Ethernet Gigabit Dual y cantidad de puertos de expansión y conexiones USB para conectar todo tipo de accesorios y extender su funcionalidad.. 2.4.5. Centro Datos TrackSpia no cuenta con un centro de datos grande, esto debido a que las necesidades actuales se prestan para tener una data center pequeño y que se ajusta a sus necesidades. 40.