EVALUACION: Caso a resolver: El siguiente caso tiene por objeto que usted encuentre la solucin a las diferentes preguntas

que se presentan. Es de desarrollo individual. Si se detecta copia se calificar con la nota mnima. 20% Inicio: 18.11.2011 Entrega: 25.11.2011 ( a la hora de la clase). Impreso.

Descripcin: La empresa Public-Assesment (P-A), es una emergente firma regional dedicada a la realizacin de estudios de medios y redes sociales para el posicionamiento de marcas, productos y servicios, en esta trabajan alrededor de 30 personas, entre periodistas (25), y personal administrativo. Entre las actividades de importancia para esta empresa, se encuentran Investigacin de mercado de forma electrnica va Internet por parte de gran parte de los periodistas de la empresa. Difusin de informacin a travs de redes sociales. Elaboracin de reportes electrnicos y entrega para clientes regionales, nacionales e internacionales a travs de su portal web. Estos reportes son confidenciales. Estos adems son enviados a travs de correo electrnico. Realizacin de encuestas electrnicas a travs de redes sociales. La plataforma tecnolgica de P-A cuenta con una red interna de 45 computadores equipados con Windows XP y una plataforma de servidores basada en 3 servidores cuyas funciones son: Servidor 1: (Linux con NFS y SAMBA) Repositorio de Informacin local, basado en cuenta nica compartida por periodistas. Servidor 2: (Linux con Apache, MySQL y WordPress) Utilizado para subir reportes a clientes, sin cifrado ni certificado, donde cada cliente tiene una cuenta. Servidor 3 (Windows Server, Sistema para Encuestas y correo Exchange), El sistema de encuestas es un software no documentado, con registro en sistemas de archivos local , el cual es ocupado para guardar registro de preferencia de consumidores, capturadas en redes sociales.

Escuela Informtica, Santo Toms Concepcin

Otros antecedentes: - Los servidores estn localizados en la zona de oficinas donde estn los periodistas, para de esta forma mantenerlos a la vista y controlados. Cada computador est protegido contra amenazas antivirus por el producto Avast Free Antivirus. Existe una UPS que brinda respaldo elctrico a los 3 servidores, sin ser esta inteligente, esto es, tal UPS no informa de su estatus. La instalacin de los servidores fue realizada por una empresa externa a la cual P-A ya no se encuentra vinculada. Actualmente P-A slo cuenta con un tcnico local el cual atiende los requerimientos individuales de cada usuario, respecto a instalacin de productos o correccin de problemas. Los servicios de Servidor 1,2 y 3 son visibles desde el exterior de la empresa.

El gerente de Public-Assessment, se ha contactado con usted para que lo ayude y asesore ante los siguientes problemas que l ha podido verificar desde hace un ao a la fecha: ..Realmente tenemos problemas que se han ido incrementando, en primer lugar los reportes a los clientes no siempre estn visibles, por distintas razones incluso se pasan a llevar los cables del computador donde estn los reportes a los clientes. Adems se ha cortado la luz en la noche, lo cual implica que no podemos entregar reportes en la noche, esto es un problema pues muchos de nuestros clientes estn en Japn y Australia, para los cuales esos horarios son productivos. Por otro lado creo que hay bastante desorden,..Ver la nica persona que nos apoya con estos temas es un tcnico que viene cuando lo llamamos por algn problema en los computadores de los periodistas o administrativos, as les instala las cosas que ellos quieren, el problema es que siempre hay problemas de baja de productividad, por que instalan cosas que terminan daando el sistema, o incluso instalan juegos. De virus ni hablar, es un tema recurrente. Me preocupa mucho este tema ya que es posible que nos visiten de la ADS (Asociacin de Distribuidores de software) para auditar nuestras licencias. En un plano ms delicado en las ltimas semanas algunos de los reportes confidenciales elaborados y listos para enviar han sido robados de los computadores de algunos periodistas, con lo cual hemos perdido a dos clientes y algo de respeto en el mercado. Nos interesa garantizar que estos reportes sean ledos slo por nuestros clientes cuando entrar a la web (en cualquier momento) o cuando les enviamos estos por correo. Para colmo!, la semana pasada estuvimos dos das sin servicio pues alguien robo un switch donde se conectaban los servidores.

Preguntas: En base a la situacin descrita responda utilizando los cuadros provistos, las siguientes preguntas: 1. Enumere 10 problemas o amenazas de seguridad de la informacin que identifique (10 pts.). a. Cuenta nica Compartida por periodistas. b. Ni cifrado Ni certificados de servidores. c. No hay seguridad Proxy ni Firewall. d. Los servidores estn localizados en la zona de oficinas e. Avast Free Antivirus. f. UPS no es inteligente. g. Un tcnico local. h. Los servicios de Servidor 1,2 y 3 son visibles desde el exterior de la empresa. i. se pasan a llevar los cables del computador donde estn los reportes a los clientes. j. Se corta luz en la noche, lo cual implica que no que no se puede entregar reportes en la noche. ENTRE OTROS. 2. Indique una posible causa para cada uno de los problemas enumerados en la pregunta 1. (20 pts.). a. nica cuenta Implementada por una empresa Externa a P-A a la cual ya no est vinculada. Por ende con una nica cuenta se forman cuellos de botella al agregar informacin al repositorio, y adems no es posible tener un log claro de los movimientos del repositorio, de quin?, hizo qu? b. Si los servidores no estn cifrados ni certificados estamos expuestos a trabajar en sitios no seguros, disminuye la seguridad considerablemente, y son poco confiables. La causa es generada por la empresa que implemento los servidores, o no se especulaba en el contrato. c. No hay seguridad proxy ni firewall, se puede deducir ya que no existe ningn cifrado de servidores, adems toda la informacin en servidores es vista por muchas gente en redes sociales. Causa a este problema es que no se ha implementado o no ha sido requerida por la empresa. d. Los servidores no pueden estar en reas de oficinas, necesitan una refrigeracin, un lugar, sitio adecuado para su mantenimiento y su funcionabilidad y solo personas indicas pueden tener accesos a ellos. La causa a este problemas mala implementacin del proveedor o no se especulaba en el contrato de implementacin de servidores. e. Para una empresa que trabaja con licencias bajo Windows xp y adems trabaja con sitios de redes sociales, debera ser eficiente comprar un antivirus con licencia para no estar expuestos a virus y malwares, Avast es

un antivirus de escritorio de hogar no empresarial, aunque si existen versiones de avast empresarial, el free no es empresarial. La causa es debida a que no se ha solicitado, y es ah donde encontramos problemas con los computadores de los trabajadores. f. El UPS debera ser capaz de ser inteligente ya que necesitamos que informe de sus estados sobre todo cuando haya un corte de luz significativo para poder reparar esta situacin. La causa de esto se debe a, que al implementarlo no se tomaron las medidas adecuadas de configuracin. g. Es debido tener un tcnico local, ya que no se puede depender una sola persona que cuando la necesitemos este ah para ayudarnos, los servidores deben estar en constante vigilancia y mejora, esto nos ayuda a brindar un mayor desempeo y no reduce los problemas. La causa puede ser que la empresa no se ha dado cuenta de este gran fallo o no tiene los recursos para contratar una persona fija. h. Algunos de los servicios de los servidores no son necesarios que sean visibles desde el exterior es ah donde se producen averas para que los hacker puedan ingresar al sistema. La causa es que los servidores no tienen la seguridad necesaria. i. Los servidores debes estar en un lugar especfico y aislado del resto de oficinas siendo ese lugar solo de servidores y de datos para que los usuarios no puedan interferir en ellos. j. El UPS debe ser eficiente y capaz de garantizar el control de los servidores cuando no haya luz proporcionndoles el voltaje adecuado para que as se puedan entregar los reportes. La causa de esto se debe a una mala implementacin del UPS o una mala configuracin.

3. Relacione los problemas de seguridad encontrados y los recursos afectados, con las actividades de importancia para la empresa: (20 pts.). Sugerencia: Nmero de Problema (Recursos afectados) actividad de importancia a. Cuenta nica (Repositorio de informacin local y log) La mejor Seria Tratar de crear cuentas individuales para as tener un mejor control. b. Cifrado y certificado (Servidores directamente) Hay que implementar cifrado y certificado para asi garantizar la seguridad de los clientes y trabajadores. c. Proxy, Firewall (Servidores y estaciones locales) Implementar Proxy y firewall para poder garantizar una confiabilidad en los servicios. d. Servidores en oficinas (Todos) con servidores en reas publicas en una empresa estas expuesto a muchos problemas por ende debemos buscar la solucin para poder implementar estos servidores adecuadamente en reas exclusivas para ellos.

e. Antivirus (Todos los pcs implementados con avast) Implementacion de un antivirus de confiabilidad para la empresa comprando Cd Keys originales. f. UPS (Servidores, Clientes) configuracin del ups para ser inteligente y capaz de avisar un corte de luz y proporcionar la energa necesaria para estos. g. Tcnico Local (Estaciones de trabajo) Mantencin de computadores y contratacin de personal a cargo de la esta misma, para beneficiar y reducir los problemas en la empresa. h. Visibilidad de servidores (Servidores BD) Cifrar y certificar servidores. Servidores Compartidos (Servidores, Clientes) Implementar servidores en un lugar seguro y confiable aislado de las dems estaciones de trabajo y personal. i. UPS (Servidores, Clientes) Configurar o implementar UPS Eficiente. 4. Complete el siguiente cuadro, dando una descripcin simple del significado de cada uno de los 4 niveles de impacto y de frecuencia de los problemas. (8 pts) Nivel de Impacto 4 Descripcin Vulnerabilidad Servidores (Mediante Web) Vulnerabilidad Servidores (Fsicamente) Nivel de Frecuencia Descripcin Alta , Exposicin a los Cotidianamente usuarios mediante redes sociales Cotidiano Los servidores estn expuestos cotidianamente al personal. Estacin de trabajo Cotidiano Las estaciones de Vulnerable a fallo trabajo son vulnerables a virus, malwares y softwares personales. Tcnico Soporte Frecuente Las estaciones estn frecuentemente sometidas a vulnerabilidades por mal uso y configuraciones insuficientes.

5. Complete el siguiente grfico, colocando en su lugar correspondiente cada uno de los 10 problemas detectados (20 pts.). Considere para esto su conocimiento tcnico, los antecedentes entregados y la conversacin con el gerente de P-A.

FRECUENCIA

IMPACTO

Riesgos
10 5 0 Riesgos Riesgos

a. Ordene segn su anlisis de riesgo los problemas detectados de mayor a menor importancia. (10 pts.) Omito Este paso ya que se puede obtener en 1 solo grafico. 6. Considere que el gerente de P-A, le ha solicitado que le entregue una plan de intervencin integral que le permita atacar los problemas detectados de forma priorizada, y que adems le permitan verificar posteriormente las mejoras logradas, realice por escrito una propuesta de servicios sugeridos al Gerente de PA, justificando cada una de las acciones recomendadas. (50 pts.). Ponga nfasis en buenas prcticas, y responda en base al escenario entregado.

a. Cuenta nica Compartida por periodistas. Se necesita crear distintos tipos de cuentas de usuarios para as todos puedan trabajar acorde y eficientemente, una vez con esto evitaremos los cuellos de botellas y obtendremos mayor optimizacin de la informacin, trabajaremos en tiempo real y nos dar seguridad de donde encontrar el error si lo hubiese, podemos encontrar las mejoras en la claridad de los procesos y las transacciones que efecten los periodistas, a la hora de ingresar informacin a los repositorios. b. Ni cifrado Ni certificados de servidores. Necesitamos obtener certificados de seguridad y darle la seguridad a los clientes con cifrados de las paginas para que as no sean fraudulentos esto lo podemos conseguir con: implementacin de software en nuestros Servidores, las mejoras sern demostradas en la estabilidad y confiabilidad que nos den nuestros servidores con el tiempo, estos garantizaran con los software implementados la seguridad e integridad de los datos. c. No hay seguridad Proxy ni Firewall. La implementacin de un proxy y de un firewall la podemos hacer de 2 maneras una seria mediante software y la otra fsica, cabe resaltar que la implementacin de software no tiene comparacin con la fsica ya que el nivel de seguridad en una implementacin fsica es muy alto. Esto nos beneficiara notablemente para encriptar datos, tambin as nos beneficiara de que los usuarios no entren a sitios poco seguros para que as no vulneren el sistema. Las mejoras sern demostradas de tal forma que los usuarios no tendrn acceso a lo que no necesitan ni tampoco podrn acceder a lo que no necesiten dentro del sistema. d. Los servidores estn localizados en la zona de oficinas Los servidores deben ser cambiados de posicin claramente, no puede haber intervencin de los servidores, de parte de los usuarios as tal que, no sean capaces de alterar los datos o interferir con la utilizacin de estos. Se deben implementar en un lugar seguro y con una refrigeracin adecuada, y con una fsica de hardware adecuada. Deben estar acompaados con un UPS que sea capaz de suministrar la energa necesaria para cada corte o mantencin de energa en la empresa para que as no haya deficiencia en la entrega de informacin a clientes. Las mejoras son evidentes, seguridad de servidores, entrega confiable de datos, las 24 horas del da y adems una mayor eficiencia en ellos por obtener mejor refrigeracin. e. Avast Free Antivirus. La implementacin de un nuevo software antivirus seria eficiente ya que as garantizamos que las estaciones de trabajo estn seguras y sin archivos ni datos corruptos, nos ayuda tambin a desarrollar menos mantenimientos programados para las estaciones de trabajos de los periodistas. Las mejoras

f.

g.

h.

i.

sern evidentes cuando cada vez vayamos desarrollando menos mantenimientos programados para las estaciones de trabajo. UPS no es inteligente. El UPS debe ser capaz de darnos la seal o avisar mediante algn tipo de comunicacin que se a cortado el suministro de luz a ocurrido algo, con seto podemos garantizar que la informacin ser constante y estar a todas horas habilitada para su acceso, evitaremos las cadas a media noche por ejemplo, podremos darnos cuentas de las mejoras cuando implementemos el UPS de buena forma y haciendo pruebas de suministros de energa para darnos cuenta. Un tcnico local. Se debe contratar personal especialista en estos casos ya que el sistema que posee la empresa es de gran cobertura, necesita, y necesitara una persona constante que est al tanto de lo que sucede y sea capaz de solucionar los problemas eficientemente tales como; ayudar a los trabajadores, implementar software mantencin de equipos personales y servidores. Las mejoras sern evidentes cuando cada vez sea ms rpida la solucin de un problema y a su vez cada vez estos sean menos. Los servicios de Servidor 1,2 y 3 son visibles desde el exterior de la empresa. Algunos servicios y servidores no debes ser visibles desde el exterior si el usuario no lo requiere por esto hay que implementar el cifrado cuentas de usuario y encriptacin de datos, esto nos entrega una seguridad de quien esta operando con los datos en qu momento, y cules fueron sus movimientos, por ende si el usuario no tuviese permisos no podra acceder de ninguna manera ya que existira un proxy y firewall que intervendra en su ingreso, las mejoras sern evidentes cuando obtengamos informes para solucionar problemas cotidianos, referentes a los servidores podremos analizar quien fue que hizo y con qu fin, segn esto podemos a su vez tener las copias de seguridad necesaria para poder tener una mayor seguridad. se pasan a llevar los cables del computador donde estn los reportes a los clientes. Implementacin de los servidores en lugares adecuados para que as no haya intervencin de ellos de parte de los trabajadores, si se pasan a llevar los cables y estos son capaces de desconectarse es porque es evidente una mala implementacin e al red y una deficiente implementacin de puestos de trabajos y servidores. Las redes deben estar bien definidas con puestos de trabajos estticos y con buen cableadas de energa y red. Las mejoras las notaremos cuando no tengamos que pasar por los mismos problemas ya que todos esto estar implementado correctamente, en sus respectivos lugares de trabajos.

j. Se corta luz en la noche, lo cual implica que no que no se puede entregar reportes en la noche. La Implementacin de un UPS bien configurado nos ayudara a prevenir todos los fallos de electricidad y energa que pudiesen tener nuestros servidores en cualquier hora, con esto tendremos la garanta de que se entregaran los datos y reportes durante la noche para clientes que estn en otros lugares de nuestro pas. La mejora ser evidente cuando nuestros mismos clientes nos ratifiquen que no han tenido problemas con los servidores o con la solicitud de informacin.