ELABORACIÓN DE ESTRATEGIAS Y POLÍTICAS DE SEGURIDAD PARA EL CLOUD COMPUTING DE LA CARRERA DE SISTEMAS

Texto completo

(1)i. CARRERA DE ANÁLISIS EN SISTEMAS. “ELABORACION DE ESTRATEGIAS Y POLÍTICAS DE SEGURIDAD PARA EL CLOUD COMPUTING DE LA CARRERA DE SISTEMAS.”. Proyecto de investigación previo a la obtención del título de Tecnólogo Analista de Sistemas. Autor: Villavicencio Catota Ricardo Ismael. Tutor: Ing. Jaime Basantes. Quito, Abril 2014. Evaluación de Estrategias, políticas y servicios de Seguridad del Cloud Computing de la Carrera de Sistemas.”.

(2) ii. DECLARATORIA El abajo firmante, declara que los contenidos y los resultados obtenidos en el presente proyecto, como requerimiento previo para la obtención del Título de Tecnólogo en Analista de Sistemas, son absolutamente originales, auténticos y personales y de exclusiva responsabilidad legal y académica de los autores. ----------------------------------------------------. Ricardo Ismael Villavicencio Catota CC 1726248253. Evaluación de Estrategias, políticas y servicios de Seguridad del Cloud Computing de la Carrera de Sistemas.”.

(3) iii. APROBACIÓN DEL TUTOR. En mi calidad de tutor del trabajo sobre el tema: “Evaluación de Estrategias, políticas y servicios de Seguridad del Cloud Computing de la Carrera de Sistemas” Del “Instituto Superior Tecnólogo Cordillera”, presentado por la ciudadano: Ismael Villavicencio, estudiante de la Escuela de Sistemas, considero que dicho informe reúne los requisitos y méritos suficientes para ser sometido a la evaluación por parte del Tribunal de Grado, que el Honorable Consejo de Escuela designe, para su correspondiente estudio y calificación.. Quito, Abril 2014. -----------------------------Ing. Jaime Basantes TUTOR. -----------------------------Ing .Hugo Heredia LECTOR. Evaluación de Estrategias, políticas y servicios de Seguridad del Cloud Computing de la Carrera de Sistemas.”.

(4) iv. APROBACIÓN DEL TRIBUNAL DEL TRABAJO DE GRADUACIÓN. Los miembros del Tribunal de Grado designado por el Honorable Concejo de la Escuela de Sistemas, aprueban el trabajo de investigación de acuerdo con las disposiciones reglamentarias emitidas por el Centro de Investigaciones Tecnológicas y Proyectos del Instituto Tecnológico Superior Cordillera” para proyectos de grado de Tecnólogos en Analistas de Sistemas: al Sr: Ricardo Ismael Villavicencio Catota.. Quito, Abril 2014. Para constancia firman:. PRESIDENTE. VOCAL 1. VOCAL 2. Evaluación de Estrategias, políticas y servicios de Seguridad del Cloud Computing de la Carrera de Sistemas.”.

(5) v. CONTRATO DE CESIÓN SOBRE DERECHOS PROPIEDAD INTELECTUAL Comparecen a la celebración del presente contrato de cesión y transferencia de derechos de propiedad intelectual, por una parte, el estudiante VILLAVICENCIO CATOTA RICARDO ISMAEL por sus propios y personales derechos, a quien en lo posterior se le denominará el “CEDENTE”; y, por otra parte, el INSTITUTO SUPERIOR TECNOLÓGICO CORDILLERA, representado por su Rector el Ingeniero Ernesto Flores Córdova, a quien en lo posterior se lo denominará el “CESIONARIO”. Los comparecientes son mayores de edad, domiciliados en esta ciudad de Quito Distrito Metropolitano, hábiles y capaces para contraer derechos y obligaciones, quienes acuerdan al tenor de las siguientes cláusulas: PRIMERA: ANTECEDENTE.- a) El Cedente dentro del pensum de estudio en la carrera de análisis de sistemas que imparte el Instituto Superior Tecnológico Cordillera, y con el objeto de obtener el título de Tecnólogo en Análisis de Sistemas, el estudiante participa en el proyecto de grado denominado “Elaboración de Estrategias y Políticas de Seguridad para el Cloud Computing de la carrera de Análisis de Sistemas ”, el cual incluye la creación y desarrollo del programa de ordenador o software, para lo cual ha implementado los conocimientos adquiridos en su calidad de alumno. b) Por iniciativa y responsabilidad del Instituto Superior Tecnológico Cordillera se desarrolla la creación del programa de ordenador, motivo por el cual se regula de forma clara la cesión de los derechos de autor que genera la obra literaria y que es producto del proyecto de grado, el mismo que culminado es de plena aplicación técnica, administrativa y de reproducción. SEGUNDA: CESIÓN Y TRANSFERENCIA.- Con el antecedente indicado, el Cedente libre y voluntariamente cede y transfiere de manera perpetua y gratuita todos los derechos patrimoniales del programa de ordenador descrito en la clausula anterior a favor del Cesionario, sin reservarse para sí ningún privilegio especial (código fuente, código objeto, diagramas de flujo, planos, manuales de uso, etc.). El Cesionario podrá explotar el programa de ordenador por cualquier medio o procedimiento tal cual lo establece el Artículo 20 de la Ley de Propiedad Intelectual, esto es, realizar, autorizar o prohibir, entre otros: a) La reproducción del programa de ordenador por cualquier forma o procedimiento; b) La comunicación pública del software; c) La distribución pública de ejemplares o copias, la comercialización, arrendamiento o alquiler del programa de ordenador; d) Cualquier transformación o modificación del programa de ordenador; e) La protección y registro en el IEPI el programa de ordenador a nombre del Cesionario; f) Ejercer la protección jurídica del programa de ordenador; g) Los demás derechos establecidos en la Ley de Propiedad Intelectual y otros cuerpos legales que normen sobre la cesión de derechos de autor y derechos patrimoniales.. Evaluación de Estrategias, políticas y servicios de Seguridad del Cloud Computing de la Carrera de Sistemas.”.

(6) vi. TERCERA: OBLIGACIÓN DEL CEDENTE.- El cedente no podrá transferir a ningún tercero los derechos que conforman la estructura, secuencia y organización del programa de ordenador que es objeto del presente contrato, como tampoco emplearlo o utilizarlo a título personal, ya que siempre se deberá guardar la exclusividad del programa de ordenador a favor del Cesionario. CUARTA: CUANTIA.- La cesión objeto del presente contrato, se realiza a título gratuito y por ende el Cesionario ni sus administradores deben cancelar valor alguno o regalías por este contrato y por los derechos que se derivan del mismo. QUINTA: PLAZO.- La vigencia del presente contrato es indefinida. SEXTA: DOMICILIO, JURISDICCIÓN Y COMPETENCIA.- Las partes fijan como su domicilio la ciudad de Quito. Toda controversia o diferencia derivada de éste, será resuelta directamente entre las partes y, si esto no fuere factible, se solicitará la asistencia de un Mediador del Centro de Arbitraje y Mediación de la Cámara de Comercio de Quito. En el evento que el conflicto no fuere resuelto mediante este procedimiento, en el plazo de diez días calendario desde su inicio, pudiendo prorrogarse por mutuo acuerdo este plazo, las partes someterán sus controversias a la resolución de un árbitro, que se sujetará a lo dispuesto en la Ley de Arbitraje y Mediación, al Reglamento del Centro de Arbitraje y Mediación de la Cámara de comercio de Quito, y a las siguientes normas: a) El árbitro será seleccionado conforme a lo establecido en la Ley de Arbitraje y Mediación; b) Las partes renuncian a la jurisdicción ordinaria, se obligan a acatar el laudo arbitral y se comprometen a no interponer ningún tipo de recurso en contra del laudo arbitral; c) Para la ejecución de medidas cautelares, el árbitro está facultado para solicitar el auxilio de los funcionarios públicos, judiciales, policiales y administrativos, sin que sea necesario recurrir a juez ordinario alguno; d) El procedimiento será confidencial y en derecho; e) El lugar de arbitraje serán las instalaciones del centro de arbitraje y mediación de la Cámara de Comercio de Quito; f) El idioma del arbitraje será el español; y, g) La reconvención, caso de haberla, seguirá los mismos procedimientos antes indicados para el juicio principal. SÉPTIMA: ACEPTACIÓN.- Las partes contratantes aceptan el contenido del presente contrato, por ser hecho en seguridad de sus respectivos intereses. En aceptación firman a los 22 días del mes de Abril del dos mil catorce.. f)___________________ C.C.. 172624825-3 CEDENTE. f)___________________ Instituto Superior Tecnológico Cordillera CESIONARIO. Evaluación de Estrategias, políticas y servicios de Seguridad del Cloud Computing de la Carrera de Sistemas.”.

(7) vii. AGRADECIMIENTO Agradezco a Dios porque me ha brindado la oportunidad de seguir adelante y la fe puesta para culminar esta carrera Un profundo agradecimiento a los Directivos, Docentes, personal Administrativo y compañeros del ITSCO por la paciencia, apoyo constante y la metodología de enseñanza que me guiaron en el proceso educativo. Especialmente a mi tutor Ing. Jaime Basantes y al Ing. Hugo Heredia como Director de Escuela por el valioso aporte profesional, técnico y humano brindado en el transcurso de estudios en el Instituto. Evaluación de Estrategias, políticas y servicios de Seguridad del Cloud Computing de la Carrera de Sistemas.”.

(8) viii. DEDICATORIA A mi abuelita padres y hermanos que me apoyaron y han estado junto a mí en las buenas y en las malas. A mi familia y amigos quienes me daban palabras de aliento para culminar este proyecto.. Ricardo Ismael. Evaluación de Estrategias, políticas y servicios de Seguridad del Cloud Computing de la Carrera de Sistemas.”.

(9) ix. ÍNDICE GENERAL. DECLARATORIA .................................................................................................... ii APROBACIÓN DEL TUTOR ................................................................................ iii APROBACIÓN DEL TRIBUNAL DEL TRABAJO DE GRADUACIÓN........ iv CONTRATO DE CESIÓN SOBRE DERECHOS PROPIEDAD ........................ v AGRADECIMIENTO ............................................................................................. vii DEDICATORIA ..................................................................................................... viii ÍNDICE GENERAL ................................................................................................. ix ÍNDICE DE TABLAS ............................................................................................. xii ÍNDICE DE FIGURAS .......................................................................................... xiii RESUMEN EJECUTIVO ...................................................................................... xiv ABSTRACT ............................................................................................................. xv CAPÍTULO I: ANTECEDENTES .......................................................................... 1 1.01 Contexto ...................................................................................................................... 1 1.02 Justificación.................................................................................................................. 2 1.03 Definición del Problema Central (Matriz T) ................................................................ 3. CAPÍTULO II: ANÁLISIS DE INVOLUCRADOS .............................................. 5 2.01 Mapeo de Involucrados ................................................................................................ 5 2.02 Matriz de Análisis de Involucrados (Ver Anexo A01)............................................... 6. CAPÍTULO III: ÁRBOL DE PROBLEMA - OBJETIVOS ................................. 7 3.01 Árbol de Problemas ...................................................................................................... 7 3.02 Árbol de Objetivos ....................................................................................................... 9. CAPÍTULO IV : ANÁLISIS DE ALTERNATIVAS .......................................... 10 4.01 Matriz de Análisis de Alternativas ............................................................................ 10 4.02 Matriz de Análisis de Impacto de los Objetivos......................................................... 11 4.03 Diagrama de Estrategias ............................................................................................. 13 4.04 Matriz de Marco Lógico (ver anexo A02).................................................................. 15. CAPITULO V: PROPUESTA................................................................................ 16 5.01 Infraestructura Informática ......................................................................................... 16 5.01.01 Hardware ............................................................................................................... 16 5.01.02 Sofware ................................................................................................................ 16 5.01.03 Networking ............................................................................................................ 16 5.02 Metodología de Implantación..................................................................................... 16 5.02.01 Evaluación de la seguridad .................................................................................... 16 5.02.02 Desarrollo de plan de acción ................................................................................. 21 Evaluación de Estrategias, políticas y servicios de Seguridad del Cloud Computing de la Carrera de Sistemas.”.

(10) x 5.02.03 Presentación del documento plan de acción de seguridad y protección de la información a las autoridades............................................................................................. 24 5.02.03 Implantación de acción de seguridad .................................................................... 26 5.03. FASES SECUENCIALES DE EJECUCIÓN ........................................................ 27. 5.03.01 Identificación de actores directos e indirectos involucrados ................................. 27 5.030.2 Recolección de información. ................................................................................. 28 5.03.03 Recolección de Información Técnica ................................................................... 30 5.03.04 Enumeración y Caracterización ............................................................................ 31 5.03.04.01 Caracterización de Sistemas ............................................................................. 31 5.03.04.02 Caracterización de Aplicaciones ...................................................................... 31 5.03.05 Análisis de Tráfico ............................................................................................... 31 5.03.06 Análisis de Vulnerabilidades Sistemas y Aplicaciones ......................................... 32 5.03.07 Análisis remoto del Cloud Computing .................................................................. 33 5.03.07.01 Ataques Pasivos................................................................................................ 33 5.03.07.01.01 objetivos : .................................................................................................... 33 5.03.07.02 Ataques Activos ............................................................................................... 34 5.04 Desarrollo del informe .............................................................................................. 35 5.04.01 Descripción del estado actual ................................................................................ 36 5.04.02 Análisis y Recomendaciones Técnicas.................................................................. 38 5.04.03 Conclusiones y Propuestas de acción .................................................................... 38 5.05 Implantación de la solución........................................................................................ 38 5.05.01 Introducción .......................................................................................................... 38 5.05.02 Alcance General del Plan de Seguridad Informático ............................................ 39 5.05.03 Propósito del Plan de Seguridad Informático ........................................................ 40 5.05.04 Objetivos del Plan de Seguridad Informático........................................................ 40 5.05.05 Rol y Responsabilidad........................................................................................... 41 5.06 Políticas y Lineamientos de Seguridad Informática .................................................. 42 5.06.01 Objetivo ................................................................................................................. 43 5.06.02 Alcance .................................................................................................................. 43 5.06.03 Políticas ................................................................................................................. 43 5.07 Ubicación y protección de equipos ............................................................................ 43 5.07.01 Suministros de energía ......................................................................................... 46 5.07.02 Seguridad del cableado.......................................................................................... 47 5.07.03 Administración y controles de red ........................................................................ 48 5.07.04 Internet y correo electrónico ................................................................................ 51 5.07.05 Prohibiciones: ........................................................................................................ 52 5.08 Políticas de Seguridad Lógica (Datos) ...................................................................... 58 5.08.01 Objetivo ................................................................................................................. 58 Evaluación de Estrategias, políticas y servicios de Seguridad del Cloud Computing de la Carrera de Sistemas.”.

(11) xi 5.08.02 Alcance .................................................................................................................. 58 5.08.03 Políticas ................................................................................................................. 58 5.08.04 Compromiso de confidencialidad......................................................................... 58 5.08.05 Software ............................................................................................................... 59 5.08.06 Dirección de Sistemas ........................................................................................... 60 5.08.07 Escritorios, Pantallas ............................................................................................. 60 5.08.08 Protección contra software malicioso................................................................... 61 5.08.09 Resguardo de la información................................................................................. 62 5.09 Políticas de Controles de Acceso ............................................................................. 63 5.09.01 Objetivos ............................................................................................................... 63 5.09.02 Alcance .................................................................................................................. 64 5.09.03 Reglas de control de acceso .................................................................................. 64 5.09.04 Administración de accesos de usuarios ................................................................. 64 5.09.05 Administración de contraseñas de usuario ............................................................ 65 5.00.06 Administración de contraseñas críticas ................................................................. 66 5.09.07 Uso de contraseñas .............................................................................................. 67 5.09.08 Sistema de administración de contraseñas ............................................................ 69 5.09.09 Acceso a las zonas restringidas ............................................................................. 69 5.09.10 Acceso y registro de visitas ................................................................................... 70 5.09.11 Acceso al equipo de cómputo................................................................................ 71 5.09.12 Creación y asignación de claves de acceso. .......................................................... 72 5.09.13 Supervisión de las políticas ................................................................................... 74. CAPÍTULO VI: ASPECTOS ADMINISTRATIVOS ......................................... 76 6.01 Recurso Humano ........................................................................................................ 76 6.02 Presupuesto ................................................................................................................ 76 6.03 Cronograma. ............................................................................................................... 76. CAPITULO VII: CONCLUSIONES Y RECOMENDACIONES ...................... 77 7.01 Conclusiones .............................................................................................................. 77 7.02 Recomendaciones ...................................................................................................... 78. ANEXOS .................................................................................................................. 79 Anexo A01 Matriz de Análisis de Involucrados ................................................................ 79 Anexo A02 Matriz Marco Lógico ...................................................................................... 82. Bibliografía ............................................................................................................... 84. Evaluación de Estrategias, políticas y servicios de Seguridad del Cloud Computing de la Carrera de Sistemas.”.

(12) xii. ÍNDICE DE TABLAS Tabla 1 Matriz de Fuerzas T ............................................................................................. 3 Tabla 2 Matriz de Análisis de Alternativas ..................................................................... 10 Tabla 3 Matriz de Análisis de Impacto de los Objetivos................................................. 12 Tabla 4 Hardware ............................................................................................................ 16 Tabla 5 Software.............................................................................................................. 16 Tabla 6 Networking ......................................................................................................... 16 Tabla 7 Recurso Humano ................................................................................................ 76 Tabla 8 Recurso económico ............................................................................................ 76. Evaluación de Estrategias, políticas y servicios de Seguridad del Cloud Computing de la Carrera de Sistemas.”.

(13) xiii. ÍNDICE DE FIGURAS Figura 1 Mapeo de Involucrados ....................................................................................... 5 Figura 2 Árbol De Problemas ............................................................................................ 7 Figura 3 Árbol de Objetivos .............................................................................................. 9 Figura 4 Diagrama De Estrategias ................................................................................... 14 Figura 5 Estructura de la Nube en la Computación ......................................................... 37. Evaluación de Estrategias, políticas y servicios de Seguridad del Cloud Computing de la Carrera de Sistemas.”.

(14) xiv. RESUMEN EJECUTIVO El Cloud Computing es la próxima revolución en la tecnología de la información. Brinda servicios transparentes de tecnología de la información a negocios, aumentando su agilidad y su productividad. Acelera el tiempo de llegada al mercado de nuevos productos y servicios, mejora la eficiencia y la utilización de recursos, brinda a las personas relacionadas con el negocio a recursos de TI poderosos y transforma a TI de un modelo de capital intensivo en un modelo de facturación de pago por consumo. Al optimizar la distribución y la administración de aplicaciones y otros recursos en una nube híbrida, la empresa puede tener la capacidad de reducir su gasto total en TI un 25% o más.. Justamente este proyecto de grado trata de ello enfocándose en las fortalezas y debilidades de mantiene la plataforma montada en la Carrera de Sistemas, se ha realizado un análisis de la infraestructura que mantiene, determinando si esta cumple con las normas internacionales, de seguridad asignadas a este tipo de servicio.. En la Carrera de Sistemas, se ha montado una infraestructura de Cloud Computing, que prestara sus servicios, pero para que se inicie con esta tecnología de punta es necesario que esta sea validada, y evaluada con todas las normas internacionales, especialmente las ISO 9.000, que estipula las seguridades; por consiguiente el presente documento plasma las estrategias y políticas de seguridad que se han diseñado, con la finalidad de precautelar la seguridad de la información, sus aplicaciones y los servicios que esta plataforma prestara a todo el ITSCO.. Las estrategias y políticas desarrolladas, son en base a las experiencias del personal de seguridad de la información en los Data Center que ahora funcionaran en la NUBE.. Evaluación de Estrategias, políticas y servicios de Seguridad del Cloud Computing de la Carrera de Sistemas.”.

(15) xv. ABSTRACT Cloud computing is the next revolution in information technology. Provides transparent services to information technology business, increasing agility and productivity. Accelerates time to market of new products and services, improving efficiency and resource utilization, provides people -related business and IT resources powerful transforms IT from a capital intensive model in a model of turnover Metered. By optimizing the distribution and application management and other resources in a hybrid cloud , the company may be able to reduce their total IT spending 25% or more. Just this graduation project is therefore focusing on the strengths and weaknesses of the platform remains mounted Carrera Systems, has conducted an analysis of the infrastructure remains, determining whether it meets international standards of security assigned to this type of service. Race Systems , has set up a cloud computing infrastructure , to lend their services, but to start with this technology is necessary that this is validated and evaluated with all international standards , especially ISO 9000 , which provides the assurances ; Therefore this document plasma strategies and security policies that are designed with the aim to safeguard the security of the information , applications and services that this platform lend the whole ITSCO . The strategies and policies developed are based on the experiences of the staff of Information Security in Data Center now functioned in the CLOUD.. Evaluación de Estrategias, políticas y servicios de Seguridad del Cloud Computing de la Carrera de Sistemas.”.

(16) 1. CAPÍTULO I: ANTECEDENTES 1.01 Contexto El Instituto Tecnológico Superior Cordillera, se encuentra ubicado en la Provincia de Pichincha, Cantón Quito, en la parroquia la Concepción, en las calles Av. la Prensa y Zamora, es una institución de educación a nivel Superior, actualmente cuenta con 10 carreras, y más de 6.000 alumnos en sus tres modalidades de estudio, gradúa tecnólogos en las distintas especialidades que oferta. Siendo una Institución educativa de formación Superior, es lógico se encuentre a la vanguardia tecnológica en todos sus campus de enseñanza y aprendizaje, por consiguiente cuenta con la infraestructura que permita guiar y conocer las bondades y características, especiales, en la delicada labor que cumple como formadora de los futuros líderes tecnológicos del país.. La Internet desde su aparecimiento ha tenido un enorme crecimiento, determinando la necesidad que sus usuarios exploten los servicios que brinda este avance tecnológico, que se han generalizado en la red, como lo son la: mensajería instantánea, web mail, redes sociales, mapas, documentos, respaldos de datos, videos online, y un sin fin de servicios. Todas estas aplicaciones no están instaladas en sus computadores, sino en la llamada “nube de Internet”. De esta forma, cuando se utilizan servicios de la “nube”, se utilizan servicios que forman parte de Cloud Computing, un modelo de computación en el que todo se puede brindar.. Es por ello que las diferentes instituciones han incursionado en los servicios que ofrece el Cloud Computing, y especialmente las organizaciones que se dedican a la educación superior, estas no se han quedado atrás, dando un aval a los aspectos tecnológicos que se imparten, El Instituto Superior Cordillera, consciente de la variedad de servicios que se ofrecen con esta tecnología ha implementado una plataforma que lo soporte y pueda beneficiar a todo su aparato operativo, es decir alumnos, docentes,. personal. administrativo y de servicios.. De aquí nace la necesidad de analizar este paradigma del Cloud Computing, con todas las bondades y seguridades que pueda ofrecer, a fin de reducir su impacto en el ITSCO, Evaluación de Estrategias, políticas y servicios de Seguridad del Cloud Computing de la Carrera de Sistemas.”.

(17) 2. cabe señalar que esto constituye un esfuerzo económico, pues no solo se necesita la infraestructura adecuada sino que además personal dedicado para mantener los sistemas funcionando.. Al momento EL ITSCO, ha implementado el Cloud Computing, para que se exploten con todos sus servicios, pero no se encuentra validado con las seguridades que debe brindar, por consiguiente es necesario que se homologue a los estándares de seguridad vigentes y se realicen las pruebas de contingencia. que garanticen su óptimo. rendimiento. 1.02 Justificación La seguridad informática ha tomado gran auge, debido a las cambiantes condiciones y nuevas plataformas tecnológicas disponibles. La posibilidad de interconectarse a través de redes, ha abierto nuevos horizontes a las empresas para mejorar su productividad y poder explorar más allá de las fronteras nacionales, lo cual lógicamente ha traído consigo, la aparición de nuevas amenazas para los sistemas de información. El implementar esta tecnología trae muchos beneficios, especialmente a toda la comunidad estudiantil del Instituto Cordillera que se considera superior a los 6.000 beneficiarios, entre estudiantes, cuerpo docente, administrativo y personal de servicios de la Institución, el solucionar la problemática de seguridad para su acceso determina que se minimicen los riesgos en los servicios que se ofrecen, garantizado la continuidad del negocio en todo tiempo. Esta tecnología trae muchos beneficios, especialmente si se desarrollan documentos y directrices que orienten el uso adecuado de estas destrezas tecnológicas y recomendaciones para obtener el mayor provecho de estas ventajas, evitando el uso indebido de las mismas, lo cual puede ocasionar serios problemas a los bienes, servicios y operaciones de la Organización.. La importancia que tiene esta tecnología radica es que se aplica a una Institución Educativa, que mantiene el liderato en la implementación en nuestro país, ya que las organizaciones de tipo comercial aún no han considerado el beneficiarse de estos. Evaluación de Estrategias, políticas y servicios de Seguridad del Cloud Computing de la Carrera de Sistemas.”.

(18) 3. servicios, que son de tecnología de vanguardia y que permiten optimizar los recursos y el tiempo disponible en los data center de las entidades. 1.03 Definición del Problema Central (Matriz T) Tabla 1 Matriz de Fuerzas T ANALISIS DE FUERZAS T Situación Empeorada. Situación Actual. Situación Mejorada. con Plataforma Tecnológica no Plataforma vulnerabilidades al confiable a los servicios que acceso de los brinda. servicios de Cloud Computing de la Carrera de Sistemas Fuerzas Impulsadoras I PC I PC 1 4 3 4 Montado una infraestructura de Cloud Computing con vulnerabilidades Establecimiento de políticas de seguridad. Plataforma confiable, estable y eficaz de servicios, en la nube para la Carrera de Sistemas. Fuerzas Bloqueadoras Falta de conocimiento de esta tecnología. 1. 3. 3. 4 Nueva tendencia tecnológica de servicios para las empresas. 2. 5. 3. 5 Falta de recursos económicos. 2. 4. 3. 4. pocas. Implementación de hardware contra vulnerabilidades Falta de política de estado que garantice la seguridad en esta tecnología.. Implementación de servicios limitados 2 Investigación limitada de esta tecnología. 5. 3. 4 Falta de material didáctico y bibliográfico del Cloud Computing. 1 = Bajo 2 = Medio Bajo 3 = Medio 4 = Medio Alto 5 = Alto. Evaluación de Estrategias, políticas y servicios de Seguridad del Cloud Computing de la Carrera de Sistemas.”.

(19) 4. Conclusión Siendo el Instituto Tecnológico Superior Cordillera, una de las organizaciones pioneras al implementar este tipo de tecnología, es lógico suponer que no cuente con los conocimientos de vanguardia que garanticen la seguridad y e integridad de los datos y servicios que presta. Consciente de la debilidad que existe en la actualidad en el Instituto Cordillera, su departamento técnico ha iniciado con un proceso de protección de fronteras, que permita tener una infraestructura confiable en todo tiempo, pero a pesar de ello no ha sido suficiente ya que este tipo de tecnología necesita ser homologada a las realidades actuales, esto es por el servicio que brinda. Cabe recalcar que existen fuerzas bloqueadoras que no han permitido que su implementación sea del todo exitosa, y es por la sencilla razón que este tipo de servicio y tecnología es nuevo en nuestro medio y no existe material y conocimiento de soporte para proteger la misma.. Evaluación de Estrategias, políticas y servicios de Seguridad del Cloud Computing de la Carrera de Sistemas.”.

(20) 5. CAPÍTULO II: ANÁLISIS DE INVOLUCRADOS 2.01 Mapeo de Involucrados Figura 1 Mapeo de Involucrados. Figura 1- Mapeo de Involucrados: determina todos los actores que forman parte del negocio y tienen relación directa con el mismo ,en nuestro caso existe dos niveles de involucrados directos e indirectos.. Evaluación de Estrategias, políticas y servicios de Seguridad del Cloud Computing de la Carrera de Sistemas.”.

(21) 6. Conclusión El árbol de involucrados determina, todos los actores que forman parte del negocio y que tienen relación directa con el negocio, en nuestro caso se puede apreciar que existe dos niveles de involucrados directos e indirectos, en primera instancia se mantiene una asociación con actores que modifican e intervienen en la implementación tecnológica de la plataforma de Cloud Computing En el Instituto tecnológico Superior Cordillera. Por otro lado en un nivel más alejado se encuentran los actores indirectos y que tienen estrecha relación con los actores principales, por consiguientes son parte de las reglas del negocio pero se los considera actores indirectos. 2.02 Matriz de Análisis de Involucrados (Ver Anexo A01) Análisis Los actores involucrados en todas las reglas del negocio, determinan claramente los intereses que tiene cada uno de ellos, sobre el problema central, es muy válido este argumento si se considera que cada uno de ellos lo mira desde una arista diferente, lo que implica que el entorno cambie, de acuerdo al actor que intervenga. También se tiene que considerar que existen problemas al iniciar el análisis, de todas las características que encierra el implementar una infraestructura tecnológica de esta naturaleza, y más aún que la misma mantenga todas las seguridades, y por ende garantice la integridad de los datos. Los recursos que dispone cada uno de los actores depende del grado de involucramiento que tiene, si son involucrados directos tienen mayores recursos, igualmente cada actor tiene un grado de interés sobre el proyecto, considerando el grado de involucramiento que mantiene en las reglas del negocio. Considera todos los actores directos e indirectos los conflictos que se pueden presentar en el desarrollo del proyecto, analizando los conflictos que tiene para cada actor.. Evaluación de Estrategias, políticas y servicios de Seguridad del Cloud Computing de la Carrera de Sistemas.”.

(22) 7. CAPÍTULO III: ÁRBOL DE PROBLEMA - OBJETIVOS 3.01 Árbol de Problemas Figura 2 Árbol De Problemas. Plataforma Insegura Tecnología no explotada en la Carrera De Sistemas. Discontinuidad en la utilización de los servicios del Cloud Computing de la Carrera De Sistemas. Vulnerabilidad e Inseguridad de los datos almacenados en el Cloud Computing. EFECTOS. Plataforma no confiable para utilización de servicios. Plataforma con vulnerabilidades al acceso de los servicios de Cloud Computing de la Carrera de Sistemas. PLOBLEMA CENTRAL. Escasez de material didáctico y bibliográfico. CAUSAS. Descontinúa utilización de la plataforma del Cloud Computing. Deficiente conocimiento sobre los servicios del Cloud Computing. Plataforma de tecnología nueva en el mercado. Inexistencia de técnicos capacitados en el Cloud Computing. Tecnología aun no difundida en nuestro medio. Fig. 2 Árbol de problemas: La nube y la seguridad es el dilema de los usuarios, donde las causas son el mayor detalle para la vulnerabilidad de la plataforma, por otro lado los efectos que causa el mantener una tecnología sin validación de seguridad y vulnerabilidad hacen que la plataforma no sea confiable para poder acceder a todos los servicios, sin embargo las estrategias y procedimientos de seguridad que se implementen será el éxito para el ITSCO.. Evaluación de Estrategias, políticas y servicios de Seguridad del Cloud Computing de la Carrera de Sistemas.”.

(23) 8. Conclusiones Con la finalidad de poder analizar las causas y efectos, se tiene que considerar que existen con mayor detalle las causas que ocasionan que exista una plataforma con vulnerabilidades al. acceso de los servicios de Cloud Computing de la Carrera de. Sistemas, por lo tanto se tiene que mencionar que esta es una nueva innovación tecnológica, que algunas instituciones están probando su eficacia y eficiencia, la falta de material de estudio y bibliográfico determinan que resulte ser un mito la implementación de este servicio. Por otro lado los efectos que causa el mantener una tecnología sin la validación de seguridad y vulnerabilidad, hacen que la plataforma no sea confiable para poder accesar a todos los servicios que pueda brindar, sin embargo las estrategias y procedimientos de seguridad que se implementen será el éxito del Cloud Computing para el ITSCO.. Evaluación de Estrategias, políticas y servicios de Seguridad del Cloud Computing de la Carrera de Sistemas.”.

(24) 9. 3.02 Árbol de Objetivos Figura 3 Árbol de Objetivos. PLATAFORMA DE CLOUD COMPUTING SEGURA Y CONFIABLE PARA EXPLOTACION DE SERVICIOS FINALIDAD DEL PROYECTO. IMPLEMENTAR ESTRATEGIAS Y POLITICAS DE SEGURIDAD PARA EL CLOUD COMPUTING DE LA CARRERA DE SISTEMAS. EMITIR POLITICAS DE SEGURIDAD PARA LA PLATAFORMA DEL CLOUD. PROPÓSITO DEL PROYECTO. EMITIR POLITICAS DE SEGURIDAD PARA LA PLATAFORMA DEL CLOUD. EVALUAR ESTRATEGIAS Y POLITICAS DE SEGURIDAD EN EL CLOUD COMPUTING. VERIFICAR LAS SEGURIDADES EXTERNAS DEL CLOUD COMPUTING. COMPONEN TES DEL PROYECTO. DEMANDA DE UTILIZACION DE SERVICIOS DEL CLOUD COMPUTING DE LA CARRERA DE SISTEMAS. PROBAR LA EFECTIVIDAD DE LA PLATAFORMA CONTRA ATAQUES EXTERNOS. GENERAR ATAQUES DE FUERZA BRUTA CONTRA LA PLATAFORMA. VALIDAR LA DENEGACION DE SERVICIOS DE LA PLATAFORMA DEL CLOUD COMPUTING. MEDIR LOS ACCESOS DE LOS USUARIOS A LA PLATAFORMA DEL CLOUD COMPUTING. Fig. 3 Árbol de Objetivos: Dentro de los componentes del proyecto encuentra la efectividad de la plataforma, para cumplir el propósito y evaluar las estrategias y políticas de seguridad para cumplir la finalidad del proyecto segura y confiable. Evaluación de Estrategias, políticas y servicios de Seguridad del Cloud Computing de la Carrera de Sistemas.”.

(25) 10. CAPÍTULO IV : ANÁLISIS DE ALTERNATIVAS 4.01 Matriz de Análisis de Alternativas Para efectuar el siguiente cuadro de análisis de alternativas se debe identificar tres situaciones para llegar a implantarlo con efectividad, la primera es identificar las soluciones de alternativas, la segunda evaluar la factibilidad técnica, financiera, social y política, la tercera la estrategia general a ser acogida. Tabla 2 MATRIZ DE ANÁLISIS DE ALTERNATIVAS. OBJETIVOS. Impacto sobre el propósit. Factibilida técnica. Factibilida financiera. Factibilida social. 4. 4. 4. 3. 3. 18. Alta. 4. 4. 3. 3. 3. 17. Media Alta. 4. 4. 4. 4. 3. 19. Alta. 4. 4. 4. 4. 4. 20. Alta. 4. 4. 4. 4. 4. 20. Alta. Desarrollar estrategias de seguridad en el Cloud Computing. Verificar las seguridades exteriores del Cloud Computing. Validar el acceso contra intrusos externos a la plataforma. Implementar políticas de seguridad en el Cloud Computing. Medir la efectividad de seguridad del Cloud Computing. TOTAL. 20. 20. 19. 18. Factibilid política. 17. Total. Catego rías. 94. Evaluación de Estrategias, políticas y servicios de Seguridad del Cloud Computing de la Carrera de Sistemas.”.

(26) 11. Conclusiones En la matriz de análisis de alternativas podemos darnos cuenta que Desarrollar estrategias y políticas de seguridad en el Cloud Computing, es una de las prioridades para la evaluación de la plataforma, por consiguiente se han asignado un valor alto, considerando la importancia de la misma, otro objetivo a ser considerado es la validación de las seguridades que actualmente tiene la plataforma, a la cual se le asigna igualmente alto, otro objetivo es ;a validación contra el acceso indebido de los intrusos internos a la plataforma, igualmente dando la prioridad de acuerdo a su importancia. 4.02 Matriz de Análisis de Impacto de los Objetivos Podrán analizar la factibilidad de lograrse, impacto de género, impacto ambiental, relevancia, sostenibilidad que les brindara los objetivos planteados en el cuadro a continuación presentando cada uno de estos como se involucra en los temas anteriormente nombrados.. Evaluación de Estrategias, políticas y servicios de Seguridad del Cloud Computing de la Carrera de Sistemas.”.

(27) 12. Tabla 3 Matriz de Análisis de Impacto de los Objetivos. OBJETIVOS. Factibilidad de lograrse. Impacto de género. Impacto ambiental. Relevancia. Total. Los beneficios Incrementa la Ayuda a Beneficia las Permite la 94 son mayores que participación controlar el expectativas de participació los costos de las personas entorno físico los favorecidos n de clientes puntos. Efectividad en Mejora la Mejora el Es prioritario encontrar sitios relación entre entorno social para los poblados para personas beneficiarios sus negocios. Servicios efectivos sobre en la ubicación de sus empresas. Mejora la comunicación entre los clientes y quien brinda los servicios Efectividad en Incrementa el los clientes fortalecimiento residentes que de los derechos ingresan. de clientes.. T O T A L. Sostenibili dad. Mejora el entorno de acceso a Alta verificar sus datos. Mejora el Busca extender entorno su negocio a cultural entre mayor volumen personas en el mercado. Los clientes serán capases de Media dar sus alta opiniones para mejorar Adelanto en el Se brindara Ayudará a uso de los ayuda de implementar recursos empleado hacia mejoras en Alta tecnológicos los clientes el futuro. Efectividad al Seguridad en Mejora en el Eficiencia y brindar los los clientes que entorno de la seguridad en servicios a sus adquieren el vida diaria los servicios clientes servicio prestados. Lograr el fortalecimie nto de la alta calidad de vida. Mantener una eficiencia en el servicio de geomarketing. Defiende la Crecimiento Confirmación visualidad del continuo en el del sitio con clientes en sus entorno de seguridad servicios mercado adquiridos servicios de geomarketing. Conseguir estabilidad y confianza en los posibles Alta clientes. 20 puntos. 20 puntos. 17 puntos. 19 puntos. 18 puntos. 94. Evaluación de Estrategias, políticas y servicios de Seguridad del Cloud Computing de la Carrera de Sistemas.”.

(28) 13. Conclusiones El análisis de impacto de factibilidad de los objetivos si influye en el impacto de género miramos la participación, relación, respeto, derecho, integridad y visualidad tanto el hombre como la mujer pues la seguridad implica a todos. En el impacto ambiental controla, reforma, el adelanto de la tranquilidad y el vivir con una mejor calidad de vida. 4.03 Diagrama de Estrategias Al crear el diagrama de estrategias se debe tener en cuenta ciertos parámetros como son los siguientes establecer la estructura y alcance de las estrategias, vincular a cada estrategia todos los objetivos que pueden ser trabajados de forma preferida, determinar los límites del proyecto y por ultimo determinar los objetivos específicos. El diagrama de estrategias representa el proceso de concepción, la consideración de la información clave, la intervención de las partes interesadas y la gestión del calendario. Visualiza las decisiones tomadas durante la elaboración de la estrategia y sus consecuencias sobre los objetivos seleccionados y los impactos esperados. El diagrama de estrategias constituye un complemento útil a los diagramas de objetivos y de efectos.. Evaluación de Estrategias, políticas y servicios de Seguridad del Cloud Computing de la Carrera de Sistemas.”.

(29) 14. Figura 4 Diagrama De Estrategias Plataforma segura y confiable con integridad de información en el Cloud Computing. Plataforma segura con estrategias y políticas de seguridad. Más personas con conocimiento de sus servicios y beneficios.. Ofrecer información sobre la plataforma del Cloud Computing. Dar a conocer los servicios que ofrece el Cloud Computing. Fortalecer la confianza en los alumnos y docentes para utilizar la plataforma.. La seguridad será responsabilidad del personal técnico del ITSCO. Existencia de la plataforma Cloud Computing. Implementación de la plataforma del Cloud Computing en la Carrera de Sistemas Montado sin niveles de seguridad de frontera Determinada para dar servicios, posterior a la validación de seguridad. Desarrollar estrategias y políticas de seguridad. Capacitar a los alumnos, docentes y administrativos en la utilización del Cloud Computing. Elaborar manuales de beneficios de la plataforma. Emitir políticas y estrategias de seguridad, para el Cloud Computing.. Recopilación de información sobre las seguridades del Cloud Computing. Buscar formas de como recopilar información del Cloud Computing. Hacer investigaciones del servicio del Cloud Computing.. Fig. 4 Diagrama de Estrategias: las estrategias propuestas determinaran que el sistema Clound Computing cumpla con los objetivos planteados y llegar a una plataforma segura y confiable con integridad de información.. Evaluación de Estrategias, políticas y servicios de Seguridad del Cloud Computing de la Carrera de Sistemas.”.

(30) 15. 4.04 Matriz de Marco Lógico (ver anexo A02) El desarrollo de estrategias y políticas de seguridad se reflejara en indicadores ya que el número de usuarios es indefinido que deseen el servicio de Cloud Computing implementado en la carrera de sistemas su medio de verificación será con el conteo de accesos a la plataforma y la seguridad que brinde a los usuarios . Mediante el despliegue de información relacionada con el Cloud Computing se podrá incrementar la utilización de la Nube. Para su uso se estipularán normas sobre su utilización todo el cumplimiento realizado se refleja en la seguridad qué brinda el servicio.. Evaluación de Estrategias, políticas y servicios de Seguridad del Cloud Computing de la Carrera de Sistemas.”.

(31) 16. CAPITULO V: PROPUESTA 5.01 Infraestructura Informática 5.01.01 Hardware Tabla 4 Hardware Características Intel Core i3 Intel Core i5 Intel Core duo. Ubicación Laboratorio Laboratorio Laboratorio. Arquitectura CISC CISC CISC. 5.01.02 Sofware Tabla 5 Software Software Windows seven Linux Centos Windows XP Cain y Abel Back Track 5. Ubicación Laboratorio Laboratorio Laboratorio Laboratorio Laboratorio Laboratorio. 5.01.03 Networking Tabla 6 Networking Equipo Ruteador Firewall DNS Servidor Web Servidor Antivirus. Ubicación Redes ITSCO Redes ITSCO Redes ITSCO Redes ITSCO Redes ITSCO. 5.02 Metodología de Implantación 5.02.01 Evaluación de la seguridad El análisis de la evaluación de la seguridad del Cloud Computing de la Carrera de Sistemas, y los servicios de los que se beneficiaran todos los actores involucrados tiene como objeto detectar puntos débiles en la plataforma y los servicios que se ejecutaran. Evaluación de Estrategias, políticas y servicios de Seguridad del Cloud Computing de la Carrera de Sistemas.”.

(32) 17. sobre la misma. Se entiende por puntos débiles, errores de configuración o de falta de hardware en la zona desmilitarizada, que puedan ser causa de vulnerabilidades susceptibles de ser explotadas por potenciales atacantes. Por tanto, será importante conocer con exactitud los puntos débiles, con el fin de recomendar los controles adecuados para eliminarlos o evitar su explotación con éxito de los atacantes. Todos los servicios tienen la misma importancia dentro de la Institución. Por esto, y porque el análisis de vulnerabilidades es una tarea que puede consumir mucho tiempo, deberá realizarse una selección de cuáles son las pruebas sobre las que se realizará, a fin de poder determinar el análisis.. Los objetivos típicos de este tipo de análisis serán los sistemas operativos, firewall, cuyo mal funcionamiento pueda causar un impacto importante en los procesos de la Institución, o aquellos que por su visibilidad están más expuestos a posibles ataques.. Deberá ser la Institución en este caso el ITSCO quien, con el asesoramiento del equipo de trabajo que efectúe el análisis, decida cuales son los servicios que deben ser analizados para optimizar la plataforma que se encuentran en la nube.. 5.02.01.01 Análisis remoto. Se proporcionara especial atención a las seguridades que pueden ser explotadas remotamente, ya que éstas pueden suponer un mayor riesgo al no requerir de presencia física para su explotación. Las seguridades, habitualmente estarán asociadas a puertos de aplicación que esperan recibir conexiones remotas. El primer paso del análisis de seguridades, por tanto será identificar cuáles son los puertos del firewall de la zona desmilitarizada que son accesibles de forma remota. Un método para conseguir esta información será la realización de un escaneo de puertos con software como: • Free IP scanner • Nmap • Ultra port scanner El objetivo del escaneo de puertos será verificar que puertos (típicamente TCP o UDP) Evaluación de Estrategias, políticas y servicios de Seguridad del Cloud Computing de la Carrera de Sistemas.”.

(33) 18. están a la escucha en un sistema determinado, y por tanto, pueden recibir conexiones remotas. Es esta una información de suma importancia, ya que una gran parte de las seguridades asociadas a servicios, tienen que ver con las posibilidades de conexión remota de las mismas. La técnica básica para saber el estado de un puerto es tratar de realizar una conexión contra el mismo y analizar el resultado, pudiendo obtenerse tres valores para el estado de un puerto: Abierto: El puerto está a la escucha y listo para recibir conexiones. Cerrado: El puerto no está a la escucha Filtrado: Existe algún dispositivo (típicamente un cortafuegos/firewall) que no permite realizar conexiones contra el puerto. Existen diferentes técnicas de escaneo de puertos, muchas de ellas orientadas a tratar de evitar métodos de detección y seguridad de los sistemas objetivo, pero en el caso que ocupa pueden no ser relevantes, ya que deberá contarse con la aprobación y el permiso por escrito del propietario de los sistemas para realizar el escaneo y las acciones correspondientes, pudiendo realizar los escaneos y análisis sin necesidad de utilizar técnicas de camuflaje (stealth), salvo en el caso en que existan dispositivos de seguridad.. Que puedan invalidar los resultados de dichas pruebas. Una vez establecido el alcance de los sistemas sobre los que se realizará el análisis, se deberá elegir la profundidad del mismo, es decir, deberá decidirse sobre que puertos se realizarán las posteriores comprobaciones. Evidentemente, para que el análisis sea completo, debería comprobarse el estado de todos los puertos (tanto TCP como UDP1), pero dado que en ocasiones esto puede llevar más tiempo del que se tendrá disponible, en ciertos casos será posible reducir el número de puertos a analizar, bien porque se tenga la certeza de que el sistema sólo escucha en ciertos puertos, o porque existan dispositivos de filtrado que sólo permitan la conexión a puertos determinados. De esta forma, la complejidad del escaneo de puertos y el consiguiente análisis de seguridades se reducirá haciéndose mucho más manejable.. Evaluación de Estrategias, políticas y servicios de Seguridad del Cloud Computing de la Carrera de Sistemas.”.

(34) 19. Tras realizar el escaneo de puertos, se dispone de la información referente a que puertos tiene disponibles cada sistema para aceptar conexiones remotas. Cada uno de estos puertos estará asociado a un servicio y por tanto a una aplicación. El siguiente paso será averiguar cuáles son dichas aplicaciones y, si es posible, la versión de las mismas. Conocer el software específico que está instalado en un sistema es una de las primeras labores que intentará abordar un potencial atacante, ya que con esta información, se pueden conocer cuáles son las debilidades y vulnerabilidades que presentan las aplicaciones remotamente accesibles, y de esta forma acceder a los métodos de explotación de la vulnerabilidad (o exploits). El resultado de la ejecución de un exploit se materializa habitualmente en un compromiso del sistema, que puede ir desde la eventual destrucción de sus datos al acceso no lícito de sus recursos. La identificación de software a partir de los puertos por los que escucha puede realizarse mediante las respuestas (banners) que proporciona el servicio ante una conexión entrante.. No obstante, dado que los banners pueden y deben, ser modificados por motivos de seguridad, esta no es una manera adecuada de realizar esta tarea. Existen multitud de aplicaciones, muchas de ellas de código libre (open source), que automatizan la tarea de identificar las aplicaciones asociadas a un puerto. Estas aplicaciones no se limitan a reconocer los banners de respuesta, sino que analizan las respuestas de la aplicación ante ciertas entradas, y en base a diferencias de implementación conocidas, son capaces de deducir, eso sí, con un grado de precisión variable, la aplicación y versión que está proporcionando el servicio en cuestión. Este proceso (escaneo + identificación), es la forma en la que un posible atacante trabajaría, y es importante llevarlo a cabo con el fin de crear consciencia de qué información podría ser obtenida con estos medios. No obstante, desde el punto de vista del análisis de seguridad, y con el fin de tener certeza sobre la veracidad de los resultados obtenidos, la identificación de aplicaciones y sus versiones debería ser abordada adicionalmente mediante el análisis local de los sistemas en cuestión. Evaluación de Estrategias, políticas y servicios de Seguridad del Cloud Computing de la Carrera de Sistemas.”.

(35) 20. En este punto, a un posible atacante le bastaría consultar alguno de los múltiples servicios disponibles en Internet que permiten conocer las seguridades y vulnerabilidades (y los exploits) de una versión de aplicativo determinada. Por el contrario, la labor del equipo de trabajo será averiguar cuáles son los parches o actualizaciones adecuadas para solucionar los problemas de dicho aplicativo. En caso de que no existiesen o no se pudiesen aplicar dichos parches o actualizaciones, deberán buscarse alternativas que disminuyan el nivel de riesgo de exposición de estas aplicaciones. Actualmente, las redes de comunicaciones en las que se ubican los sistemas analizados, son rara vez planas. Es habitual la existencia de diferentes segmentos, separados por diferentes dispositivos y con distintas políticas de acceso. Por tanto, el análisis de seguridades y vulnerabilidades ofrecerá diferentes resultados dependiendo desde que origen se realice. Teniendo esto en cuenta, para que los resultados de los análisis sean válidos, éstos deberán ser realizados desde todas las posibles ubicaciones que puedan ocupar los potenciales atacantes, ofreciendo así distintos perfiles de visibilidad (y de exposición al riesgo) del sistema analizado. De forma típica, se realizarán análisis desde las siguientes ubicaciones: • Internet: Desde Internet se tendrá acceso a los servicios públicamente accesibles de la organización. Mediante este análisis se verificará que sólo estos servicios son accesibles de forma pública. • DMZ: Si en la organización existen segmentos de DMZ, deberán realizarse los escaneos hacia los servidores internos desde esta ubicación, ya que es un punto de entrada habitual una vez que ha sido comprometido alguno de los servidores públicos. De esta forma podrá conocerse que grado de visibilidad tendrán los servidores internos para un atacante que ya ha conseguido comprometer algún sistema de la organización. • Mismo segmento: El escaneo desde el mismo segmento de red permite conocer sin acceder físicamente al sistema cuales son los servicios que tiene configurados, tanto Evaluación de Estrategias, políticas y servicios de Seguridad del Cloud Computing de la Carrera de Sistemas.”.

(36) 21. los que se están utilizando como los que están en funcionamiento sin ser utilizados debido a malas prácticas de administración o instalaciones por defecto. • Red Interna: Dado que una gran parte de los incidentes de seguridad en los sistemas de las organizaciones proviene de la propia organización, es importante conocer que servicios son accesibles (y por tanto posibles causas de vulnerabilidad) desde las redes de usuarios internos. 5.02.02 Desarrollo de plan de acción Por lo general en las Instituciones educativas no existe una estructura organizativa adecuada para la implementación de tecnologías de punta, careciendo en muchos casos de la figura del responsable de seguridad, cuyo rol asume la misma persona responsable de Centro de Tecnología (sistemas y/o comunicaciones), lo que unido a la falta de responsabilidad explícita y a las importantes carencias formativas en el área de seguridad de la información, hace que las medidas de seguridad implantadas suelan ser muy básicas y respondan en casi todos los casos, a necesidades puntuales para solventar un problema existente, o a la implantación de una nueva funcionalidad o aplicación dentro de la Institución Por consiguiente es necesario desarrollar un Plan de Acción, que permita validar toda la infraestructura tecnológica montada, a fin de poder emitir políticas y estrategias de seguridad que permitan, la continuidad del negocio en todo tiempo y circunstancia, esta tarea requiere de un plan muy bien diseñado con bases tecnológicas prácticas que hayan sido implementadas en otras instituciones educativas, u organizaciones de similar trascendencia. La información es uno de los activos más importantes para la comunidad del ITSCO que, como otros recursos de la misma, tiene un gran valor y por consiguiente debe ser debidamente protegida. El objetivo de la seguridad de la información es proteger a ésta de una amplia gama de amenazas especialmente si consideramos que se encuentra estableciendo el Cloud Computing como una estrategia de servicio y de almacenamiento de información, y de esta manera poder optimizar recursos humano y tecnológico, y garantizar la continuidad de la actividad de la Institución, minimizar el. Evaluación de Estrategias, políticas y servicios de Seguridad del Cloud Computing de la Carrera de Sistemas.”.

(37) 22. daño a la misma y maximizar el retorno sobre las inversiones y las oportunidades, teniendo como objetivo la preservación de la confidencialidad (garantizando que la información sea accesible sólo por aquellas personas autorizadas a tener acceso a ella), integridad (salvaguardando la exactitud y totalidad de la información y, en su caso, los métodos de procesamiento de la misma) y la disponibilidad (garantizando que los usuarios autorizados tengan acceso a la información y los recursos correspondientes siempre que se requiera). La seguridad de la información se consigue implementando un conjunto adecuado de controles y medidas de seguridad que abarcan políticas, procedimientos, prácticas, estructuras organizacionales o funciones del software, entre otras, que garanticen los objetivos específicos mencionados anteriormente. En el diseño o desarrollo de muchos sistemas de información, en algunos casos, no se tienen en cuenta requisitos o características de seguridad adecuadas. Por ello, la seguridad que puede lograrse por medios técnicos es limitada y debe ser apoyada por una gestión y procedimientos adecuados, participando todos los actores directos e indirectos involucrados en el manejo, servicio y gestión del Cloud Computing de la Institución. Es esencial, por tanto, que la Institución. identifique sus requisitos de seguridad. mediante la evaluación de los riesgos a los que se enfrenta, además de identificar los requisitos legales, normativos, reglamentarios y contractuales que debe cumplir, y los principios, objetivos y requisitos para el procesamiento de la información que ha desarrollado para respaldar sus operaciones.. Una vez identificados los requisitos de seguridad, deben seleccionarse e implementarse las acciones y medidas de seguridad adecuadas para reducir los riesgos a un nivel aceptable. Estas acciones y medidas de seguridad serán las identificadas inicialmente en el informe y serán desarrolladas en detalle, incluyendo recursos necesarios para su implementación, planificación o valoración económica cuando corresponda, en el documento. Este documento conformará el Plan de Acción de la Información de la Institución que incluirá de forma general la planificación completa para la implementación de las acciones identificadas de forma que puedan establecerse unos hitos y fechas asociadas Evaluación de Estrategias, políticas y servicios de Seguridad del Cloud Computing de la Carrera de Sistemas.”.

(38) 23. para el cumplimiento y consecución de determinados objetivos a nivel de organización, departamento o incluso personal del ITSCO, y particularmente para cada uno de los actores involucrados en el Cloud Computing: • Desarrollo técnico y tecnológico (organizativo cuando corresponda) completo y en detalle de la acción. • Planificación completa y detallada de cada acción, incluyendo tiempos y plan de implantación (corto, medio y largo plazo). • Identificación de recursos humanos necesarios, incluyendo explícitamente si deben o pueden ser internos o externos. • Valoración económica en aquellos casos que pueda realizarse (tanto si se trata de acciones realizadas por proveedores externos como si deben realizarse internamente). • Ofertas de proveedores en aquellas acciones que requieran de un tercero para su implementación. Las acciones a incluir dentro del documento del Plan de Acción del ITSCO dependerán de las medidas de seguridad que la Institución ya tuviese implementadas y del grado de “impacto” de la seguridad de la información en la cultura organizacional de la Institución si bien, como orientación, algunas de las acciones que habitualmente serán incluidas podrán ser: • Mejora de la estructura organizativa tecnológica de la Institución (establecimiento de comité de seguridad, asignación de responsabilidades, etc.) • Posible exteriorización de algunas funciones de Ingeniería de Tecnología. • Desarrollo y difusión de políticas de seguridad y procedimientos asociados • Mejoras en las plataformas de sistemas o en el centro de proceso de datos • Mejoras en la seguridad de los dispositivos de comunicaciones (redes inalámbricas, WAN, LAN, segmentación de redes, etc.) • Análisis de vulnerabilidades • Desarrollo del proceso de gestión de la continuidad del negocio Evaluación de Estrategias, políticas y servicios de Seguridad del Cloud Computing de la Carrera de Sistemas.”.

(39) 24. • Análisis de riesgos • Desarrollo del plan de contingencia IT • Plan de formación • Otros En algunos casos será necesario, e incluso aconsejable, el contacto con terceras partes expertas en determinada área, o la petición de oferta a proveedores para el correcto dimensionamiento tanto en recursos humanos como económicos de algunas de las acciones necesarias en el manejo del Cloud Computing. 5.02.03 Presentación del documento plan de acción de seguridad y protección de la información a las autoridades Objetivo: Informar y presentar del plan de seguridad y protección de la información a las autoridades para su aprobación, sentando así la base para su posterior implantación. Finalizado el documento PLAN DE ACCIÓN DEL ITSCO Y PROTECCIÓN DE LA INFORMACIÓN deberá realizarse la presentación y defensa del mismo a las autoridades. Esta presentación deberá haber sido planificada con anterioridad en la misma presentación del informe y establecerá una continuidad en el proyecto de implantación de la seguridad objeto de este método.. La aprobación del documento PLAN DE ACCIÓN DEL ITSCO Y PROTECCIÓN DE LA INFORMACIÓN por la alta dirección supondrá un hito crucial en el compromiso de la Institución en la inclusión de la seguridad de la información en todos sus procesos, puesto que en caso afirmativo, esta aprobación supondrá el comienzo del Plan de Acción de Seguridad de la Información según las características, planificación y estimación de recursos humanos y económicos correspondientes. Será en este punto cuando la alta dirección cuente con toda la información para valorar en su justa medida los esfuerzos necesarios que la organización deberá tomar para cumplir sus objetivos de disminución del riesgo y mejora de sus niveles de seguridad, juzgando la conveniencia de los plazos y acciones propuestas en el documento PLAN DE ACCIÓN Del ITSCO Y PROTECCIÓN DE LA INFORMACIÓN y ajustando o modificando los mismos teniendo en cuenta otras consideraciones adicionales que en Evaluación de Estrategias, políticas y servicios de Seguridad del Cloud Computing de la Carrera de Sistemas.”.

(40) 25. algunos casos puede aportar únicamente este nivel de dirección como estrategias globales de negocio, sinergias existentes con otras organizaciones, etc. Para la realización de la presentación, al igual que en el caso de la presentación del Informe, deberá tenerse en cuenta que es muy probable que la audiencia no tenga una formación técnica en el campo de la seguridad y por tanto deberá enfocarse el mensaje adecuadamente. Para ello serán de aplicación todas las recomendaciones ya efectuadas en el punto “Presentación del Informe del Estado de Seguridad Informática a las autoridades”. Se incluye a continuación a modo de ejemplo, y como referencia, una posible estructura de la presentación del documento PLAN DE ACCIÓN DE SEGURIDAD Y PROTECCIÓN DE LA INFORMACIÓN: • Introducción sobre el origen del documento PLAN DE ACCIÓN DE SEGURIDAD Y PROTECCIÓN DE LA INFORMACIÓN y el proceso de desarrollo asociado. • Descripción temporal y justificada del corto, medio y largo plazo describen el tipo de acciones y su razón para ser incluidas en dichos plazos. • Planificación general: identificación de todas y cada una de las acciones a realizar a corto, medio y largo plazo. • Corto Plazo: descripción detallada de cada acción a realizar en este plazo incluyendo plazo temporal de implantación, recursos necesarios (indicando explícitamente si son internos y/o externos), propuestas de proveedores cuando aplique, tareas incluidas y valoración económica (por ejemplo, aquellas tareas con un plazo de cumplimiento inferior a 6 meses). • Medio Plazo: descripción detallada de cada acción a realizar como se ha indicado anteriormente (de 6 a 12 meses). • Largo Plazo: descripción detallada de cada acción a realizar como se ha indicado anteriormente (más de 12 meses). • Propuesta de Planificación Temporal: propuesta con fechas reales objetivo de cumplimiento del documento PLAN DE ACCIÓN DE SEGURIDAD Y PROTECCIÓN DE LA INFORMACIÓN (traslado de la planificación propuesta al calendario real con propuesta de fechas para hitos, finalización de acciones, etc.).. Evaluación de Estrategias, políticas y servicios de Seguridad del Cloud Computing de la Carrera de Sistemas.”.