Professional Documents
Culture Documents
TRABAJO DE GRADO
FACULTAD DE INGENIERÍA
PROGRAMA DE INGENIERIA DE SISTEMAS
ESPECIALIZACIÓN EN SEGURIDAD DE LA INFORMACIÓN
BOGOTÁ D.C., DICIEMBRE DE 2017
DISEÑO DE UN SISTEMA DE SEGURIDAD PERIMETRAL EN LAS
INSTALACIONES DEL CONSORCIO EXPANSION PTAR SALITRE, SEDE
BOGOTÁ D.C
TRABAJO DE GRADO
FACULTAD DE INGENIERÍA
PROGRAMA DE INGENIERIA DE SISTEMAS
ESPECIALIZACIÓN EN SEGURIDAD DE LA INFORMACIÓN
BOGOTÁ D.C., DICIEMBRE DE 2017
INTRODUCCION
Cuando se habla de Seguridad perimetral, muchas veces nos enfocamos en la
instalación de Circuitos Cerrados de Televisión (CCTV), rejas o cerramientos, y a
todo lo relacionado con el resguardo de la infraestructura física o perimetral de las
compañías. En realidad y hasta hace muy poco, era válido tener este concepto de
seguridad, pero en la actualidad y debido al incremento de las brechas en las redes,
los sistemas operativos, los equipos de uso cotidiano, la evolución de la tecnología,
el uso de mecanismos de comunicaciones móviles y el almacenamiento de
información en la nube, hacen que se una a este concepto la seguridad lógica y se
deba ondear más allá de los muros de las empresas, implantando un sistema de
seguridad perimetral integral fusionando los accesos físicos y lógicos.
Toda esta tecnología, mencionada con antelación, genera que las empresas
conecten sus dispositivos de cómputo y móviles, a internet, redes sociales, correos,
a hacer uso de conexiones remotas como VPN´s entre otros, quedando expuestos
a estas grietas lógicas y físicas y a la facilidad con la que pueden ser traspasadas
estas falencias. Es ahí, donde a medida del crecimiento de las conexiones lógicas
y la falta de controles en los ingresos a las plantas físicas, hacen que aumenten los
casos de accesos no autorizados, y estos sean cada vez más frecuentes y que a su
vez estos evolucionen en conjunto a el desarrollo tecnológico; a medida que se
implementan procesos de seguridad, estas falencias toman nuevas formas de
vulnerar la seguridad y llegan a camuflarse en los equipos e ingresar a las empresas
de manera silenciosa, para ejecutar su objetivo y con el aprovechamiento de estas
falencias, viene consigo los incidentes de seguridad y la exposición de las
vulnerabilidades en las distintas bases de conocimiento de identificación de riesgos
y vulnerabilidades como la Common Vulnerabilities and Exposures (CVE) y las
Bugtraq Mailing List, que permiten educar o dar un norte al atacante de los huecos
ya identificados.
RESUMEN
This work is being developed to provide a perimeter security design, both physical
and logical, for the installations of the Salitre PTAR expansion consortium, Bogotá
Colombia headquarters, which will allow securing the data networks as well as the
periphery of the building, To this end, a ring security system has been proposed that
can be implemented gradually, based on the regulations applicable to each of them,
as well as best practices for their development, in these security rings the topics
such as the configuration of networks, the implementation of security mechanisms
such as firewalls, IDS, distribution of media communication networks Vlans, physical
access environments by biometrics and surveillance of infrastructure and
environmental compendium through CCTV.
Generating controls by security rings, as proposed in this project, will allow the most
vulnerable points to be covered, for this the construction plans of the building and
the connection plans such as the data network, the of surveillance, the distribution
of wireless networks and the plans of the communications rooms, which allowed
progress to be made step by step in the segments proposed for the protection of
information.
With the present work, it is intended to provide education in the end users for the
management of information, but in turn to reveal the importance of the
implementation of controls to the management of the consortium and its benefits and
once the Design can be produced according to the priority or the costs assigned to
the area in charge of ensuring this assurance.
Tabla de contenido
1. GENERALIDADES ................................................................................................................ 11
1.1. Contextualización......................................................................................................... 11
1.2. Línea de Investigación ................................................................................................ 11
1.2.1. Planteamiento del Problema ............................................................................. 11
1.2.2. Antecedentes del Problema............................................................................... 13
1.2.3. Pregunta de Investigación ................................................................................. 16
1.2.4. Variables del problema ....................................................................................... 17
1.3. Justificación .................................................................................................................. 17
1.3.1. Defensas datos: .................................................................................................... 18
1.3.2. Defensa Aplicación: ............................................................................................. 18
1.3.3. Defensa Host: ........................................................................................................ 19
1.3.4. Defensa Red: ......................................................................................................... 19
1.3.5. Seguridad Perimetral: ......................................................................................... 19
1.3.6. Seguridad Física:.................................................................................................. 19
1.4. Hipótesis ......................................................................................................................... 19
1.5. Objetivo ........................................................................................................................... 20
1.5.1. Objetivo General ................................................................................................... 20
1.5.2. Objetivos Específicos ......................................................................................... 20
1.7. Presupuesto................................................................................................................... 23
2. Marcos de Referencia.......................................................................................................... 25
2.1. Marco Conceptual ........................................................................................................ 25
2.2. Marco Teórico ............................................................................................................... 31
2.3. Marco Jurídico .............................................................................................................. 31
2.3.1. Normas Internacionales...................................................................................... 31
2.3.2. Normas Nacionales: ............................................................................................ 32
2.4. Marco Geográfico ......................................................................................................... 34
2.5. Marco Demográfico...................................................................................................... 35
2.6. Estado del Arte.............................................................................................................. 36
2.6.1. DEFENSAS DATOS: ............................................................................................. 36
2.6.2. DEFENSA DE APLICACIÓN: .............................................................................. 38
2.6.3. DEFENSA DE HOST ............................................................................................. 39
2.6.4. DEFENSA DE RED: .............................................................................................. 40
2.6.5. SEGURIDAD PERIMETRAL:............................................................................... 48
2.6.6. SEGURIDAD FÍSICA: ........................................................................................... 48
2.6.7. POLÍTICAS Y PROCEDIMIENTOS: ................................................................... 51
3. METODOLOGIA..................................................................................................................... 51
3.1. Fases del Trabajo ......................................................................................................... 51
3.2. Instrumentos o Herramientas Utilizadas................................................................ 51
3.3. Población y Muestra .................................................................................................... 52
3.4. Alcances y Limitaciones ............................................................................................ 52
4. PRODUCTOS A ENTREGAR .............................................................................................. 53
5. RESULTADOS ESPERADOS E IMPACTO ...................................................................... 59
6. ESTRATEGIAS DE COMUNICACIÓN ............................................................................... 59
7. BIBLIOGRAFIA ...................................................................................................................... 61
INDICE DE ILUSTRACIONES
1.1. Contextualización
Una PTAR, por sus siglas, es una Planta de Tratamiento de Aguas Residuales.
Es una instalación que se encarga de retirar la carga contaminante que trae
consigo el agua residual. El consorcio Expansión PTAR Salitre, será el
encargado de realizar la expansión de la infraestructura actual, permitiendo
aumentar la cantidad de litros de agua tratada antes de ser vertida al rio Bogotá;
para ello las PTARES utiliza métodos físicos de separación como la trampa de
sólidos (elementos de tamaño y peso elevado), las rejas gruesas y finas
(elementos que tienen un tamaño menor de 2mm, desarenadores (partículas del
tamaño de las arenas), decantadores primarios y secundarios (partículas sólidas
en suspensión y grasas en suspensión), y procesos biológicos, encargados de
descomponer la materia orgánica con la ayuda de oxígeno que se adiciona con
medios mecánicos (difusores y agitadores). la materia orgánica descompuesta
se recoge del fondo de los decantadores secundarios como fangos secundarios,
que junto a los fangos primarios se tratan en una línea paralela, donde se
digieren, espesan y deshidratan para su disposición final en un vertedero o su
uso puede darse en la agricultura en determinados cultivos.
1
http://www.bbc.com/news/technology-15817335
2
https://www.theregister.co.uk/2016/03/24/water_utility_hacked/
3
http://www.theregister.co.uk/2011/11/18/second_water_utility_hack/
Expansión PTAR Salitre, sede Bogotá D.C, que permitirá resguardar la
información que se maneja en este complejo ambiental, partiendo del
ambiente físico hasta su ambiente lógico.
La distribucion de la red en el
predio se realizo de manera
inadecuada, esta se realizo para
brindar la solucion de
comunicación por el
departamente de IT
1.3. Justificación
POLITICAS Y PROCEDIMIENTOS
1.3.1. Defensas datos: Se pretende establecer la seguridad para los datos
almacenados de manera lógica en la compañía, catalogándolos en 4
grandes grupos.
1.4. Hipótesis
Equipos
Se determina que para el desarrollo de las actividades los miembros del equipo
deben disponer cada uno de un equipo de cómputo (portátil), para realizar la
documentación del proyecto, equipo de telefonía celular para la comunicación
entre los miembros y el sponsor del proyecto, impresora para generar la entrega
de los informes, formatos y encuestas a realizar, Tablet para la captura de
información. (Los valores son calculados por costo en compra)
EQUIPOS TOTAL
Portátil Celular Impresora Tablet MIEMBROS
Marcel
$1´800.000 $50.000 $100.000 $400.000 $2´350.000
Bohórquez
Ángelo
$1´800.000 $50.000 $100.000 $400.000 $2´350.000
Páez
Total $ 3´600.000 $100.000 $200.000 $800.000 $4´700.000
Viajes
Se determinan en valor de viajes realizados en visitas y traslados a la planta y
las oficinas de la PTAR, tomando un promedio de viajes de tres (3) por
semana, dos (2) desplazamientos por día en un periodo de 5 meses, para un
total de 30 viajes por miembro del equipo.
Asesorías y Servicios
Se determina la contratación de dos asesores que cumplirán las funciones
establecidas para la ejecución del proyecto.
Tiempo
Valor total
Formación Rol V. Hora en
tiempo
Horas
Profesional/
Marcel Consultor $30.000
Especialista en 48 $1´440.000
Bohórquez /Asesor 0
Seguridad
Profesional/
Ángelo Consultor
Especialista en $30.000 48 $1´440.000
Páez /Asesor
Seguridad
Total $60.000 96 $ 2´400.000
EQUIPOS TOTAL
Portátil Celular Impresora Tablet MIEMBROS
Marcel $1´800.00 $50.000 $100.000 $400.000 $2´350.000
Bohórquez 0
Ángelo $1´800.00
$50.000 $100.000 $400.000 $2´350.000
Páez 0
Desplazamientos Total por
V. Viaje N. Viajes miembro
Marcel
$100.000 $400.000 $2´350.000
Bohórquez
Ángelo
$100.000 $400.000 $2´350.000
Páez
Insumos y Papelería Total por
Tintas Papelería Internet miembro
Marcel
$120.000 $30.000 $40.000 $2´350.000
Bohórquez
Ángelo
$120.000 $30.000 $40.000 $2´350.000
Páez
Tiempo
Valor total
Formación Rol V. Hora en
tiempo
Horas
Profesional/
Marcel Consultor
Especialista $30.0000 48 $1´440.000
Bohórquez /Asesor
en Seguridad
Profesional/
Ángelo Consultor
Especialista $30.000 48 $1´440.000
Páez /Asesor
en Seguridad
TOTAL PROYECTO $8´092.000
2. Marcos de Referencia
Fuente: http://www.datacentershoy.com/2013/02/estandares-en-el-data-center.html
Para esto hemos, planteamos como una solución el uso de los siguientes
mecanismos, tomando como base la normatividad descrita en la GTC-
ISO/IEC 27002-2015.
Fuente: https://www.pcmag.com/article2/0,2817,2372364,00.asp
Fuente: http://4.bp.blogspot.com/_vGyeq0aSq6c/SDmT4QlfVMI/AAAAAAAAAGI/JTGpaj86N30/s400/i_grafico-infra01.gif
Fuente:https://www.qnap.com/images/products/Application/notes/nastoldap01.JPG
https://help.ubnt.com/hc/en-us/article_attachments/202811330/sample_LAN_topology_w_VLANs_1-5.png
Fuente: https://userscontent2.emaze.com/images/6f6ac2c5-91be-4d6b-99ff-866e3bc5a17c/98466eeec2a86dc0567b5c9a6f4bfb2c.jpg
Fuente Propia
Las siguientes son las actividades que se tendrán en cuenta en este primer paso.
Perímetro de seguridad física: Se utilizarán perímetros de seguridad
barreras tales como paredes, puertas de acceso controlado con tarjeta
o mostradores de recepción atendidos para proteger las áreas que
contienen información y servicios de procesamiento de información.
Control de acceso físico: Las áreas seguras deben estar protegidas
con controles de acceso apropiados para asegurar que sólo se permite
el acceso a personal autorizado.
El acceso físico al edificio: se realiza a través de un control de
seguridad a la entrada, siendo obligatorio el uso de biométricos para
la portería de ingreso, posterior a esto se determina mediante roles y
perfiles de acceso, las demás dependencias a la cuales los empleados
tendrán accesos. Estos registros se realizan mediante asignación en
software de control allí se capturará los nombres de los empleados, su
identificación las horas de entrada y salida. El control de acceso tendrá
que ser regulado por unos protocolos de actuación definidos por la
empresa, desde las áreas de la jefatura de Recursos Humanos.
Seguridad de oficinas, recintos e instalaciones: Se aplicarán las
características de seguridad física para oficinas, recintos e
instalaciones. Protección contra amenazas externas y ambientales. Se
aplicarán protecciones físicas contra daño por incendio, inundación,
terremoto, explosión, manifestaciones sociales y otras formas de
desastre natural o artificial.
Para esto se plantea el manejo de alarmas de incendio y que la
infraestructura física está cubierta al 100% dando prioridad a las áreas
de mayor impacto, como lo son las financieras, las de TI y de archivo,
que son las áreas donde se maneja la información más importante del
consorcio
Seguridad de los equipos Informáticos: Se controlará mediante
softwares como VNC o RADMIN, que permitan realizar auditorías al
personal de manera sigilosa y sin que estos se den cuenta de esta,
donde se podrá determinar si el uso de los equipos es el adecuado y
que al retirarse de las instalaciones la pérdida, daño, robo o puesta en
peligro de los activos y la interrupción de las actividades sea
anticipada. En el momento de la asignación de los equipos de
cómputo, se le hará firmar a la persona custodia del bien, la política
elaborada para el cuidado y seguridad de los equipos de cómputo de
la organización, así como la política de confidencialidad de la
información y el manejo de la misma.
Ubicación y protección de los equipos Informáticos: Los equipos
estarán ubicados adecuadamente para reducir el riesgo debido a
amenazas o peligros del entorno, y las oportunidades de acceso no
autorizado, mediante control de acceso biométrico exclusivo del
personal de tecnología, este cuarto deberá contar con las medidas
necesarias para evitar sobrecalentamiento de los equipos, UPS de
respaldo que garanticen la continuidad de la operación, para esto se
sugiere apoyarse de las normas ANSI/TIA/EIA que brindan las mejores
prácticas en la implementación de los cuartos de comunicaciones.
Suministro de energía: Los equipos estarán protegidos contra fallas
en el suministro de energía y otras anomalías causadas por fallas en
los servicios de suministro a través de tomas de energía reguladas
conectadas a la UPS Central asignada al área respectiva.
Seguridad del cableado: El cableado de energía eléctrica y de
telecomunicaciones que transporta datos o presta soporte a los
servicios de información estará protegido contra interceptaciones o
daños.
Mantenimiento de los equipos: Los equipos recibirán mantenimiento
adecuado para asegurar su continua disponibilidad e Integridad a
través de la ejecución del plan de mantenimiento de equipos de
cómputo establecido en la política de mantenimiento de equipos de la
compañía.
Seguridad en la reutilización o eliminación de equipos: Antes de
realizar la reasignación de equipos de cómputo, se verificarán todos
los elementos del equipo que contenga medios de almacenamiento
asegurando que se haya eliminado cualquier software licenciado y
datos sensibles y que se hayan sobrescrito de forma segura, antes de
la eliminación.
3. METODOLOGIA
OBJETIVO GENERAL
INFORME DE RESULTADOS
Luego de realizadas los respectivos analisis y descripciones de cada una de las capas de
aseguramiento que se plantean, se presentan los siguientes resultados
DEFENSA DE DATOS:
Se realiza la entrega de la politica de creacion de usuarios que permitira dar acceso al personal
a la informacion que ellos requieran, para esto se plantea la implementacion de un servidor con
Directorio activo, que permitira la creacion de los usuarios del domino y la asignacion de la ruta
de acceso a la infromacion directamente desde el area de tecnologia, sin que estos tengan que
realizar el desplazamiento a los puestos de trabajo y realizando la entrega de los equipos con el
mapeo de la informacion a manejar por el nuevo empleado, para aquellos empleados que se
denominan flotantes, es decir que interactuan entre la red LAN y las redes exteriores
conectandoce a redes ajenas a la empresa, se plantea el uso de VPN, para conexiones seguras
y la instalacion de un sistema PGP de encriptacion de datos desde el arranque de la bios
DEFENSA DE APLICACIÓN:
Se realiza la validacion del antivirus que posee en la actualidad el consorcio, determinando que
este cubre las necesidades primarias, ya que presta servicios como, control de dispositivos,
permite ser manejado desde plataformas den la nube que cuentan con el aseguramiento
adecuado, graficos de analis de deteccion de virus, ejecucion de la aplicacion desde la consola
en nube, que descarga la actualizacion de la base de datos, sin importar que el empleado se
encuentre o no en la red LAN de la empresa, control de contenido de acceso a la la web,
mediante listas negras garantizando que consumos de datos como streaming esten limitados
DEFENSA DE HOST
Se diseña una politica de aseguramiento por hardening, teniendo presente la depuracion
periodica de aplicaciones, softwares. Usuarios inactivos y/o retirados, asi como la generacion de
auditorias a los puertos de conexión que se sugieren inicien con el 100% de ellos cerrados e ir
realizando la apertura de los mismos a medida que sea necesario el uso, adicional la
iplementacion de un sistema de actualizaciones automaticas programadas en los horarios off line
de las actividades empresariales, garantizando que los equipos esten con los ultimos parches
emitidos por las casas fabricantes y que puedan ser vulnerado, cear politicas de seguridad GPO
desde el directoria activo, que permita el boqueo a los componentes de los equipos de computo
que no sean necesarios para el desarrollo de las actividades, seguimiento a los logs generados
por la consola de antivirus y que permitan cerrar las brechas de seguridad a nivel de hardaware y
software.
DEFENSA EN RED
Para esta de fensa en red se realiza la entrega de un anexo donde se plantea las
configuraciones, elementos a usar y normatividad a aplicar para la implementacion de la
acometidad de red, los equipos de software y hardware y la configuracion logica a nivel de red a
aplicar.
ANEXO 6
4.9. Plano de cuarto de comunicaciones
ANEXO 7
Plano de Circuito Cerrado de Televisión
ANEXO 8
5. RESULTADOS ESPERADOS E IMPACTO
6. ESTRATEGIAS DE COMUNICACIÓN
Se sugiere la socialización del proyecto a los empleados del consorcio, pues estos
serán quienes manejen la información diariamente, adicional generar campañas de
refuerzo que pueden ser apoyadas desde el área de tecnología, implantando
mediante políticas de servidores, fondos de pantalla que afiancen este proceso,
vinculación del personal a grupos de seguridad y que estos sean los lideres ante
sus compañeros, una forma de educar a los empleados siempre será la interacción
con ellos
CONCLUSIONES