Recomendación de equipo de seguridad de red y comunicación.

.

1

CRITERIOS DE SEGURIDAD EN UNA EMPRESA DE SERVICIOS DE VENTAS REGIONALES DE EDUCACIÓN SUPERIOR EN LÍNEA

Yanira Elizabeth Ascencio García

e-mail: ascencio80@gmail.com Celenia Evelyn González de Alvarenga

e-mail: cegalvarenga@gmail.com David Eliseo Martínez Castellanos

e-mail: eliseo.martinez@gmail.com

Boris Alexander Martínez Díaz e-mail: bmartinezdiaz@gmail.com

Luis Ernesto Pérez Figueroa e-mail: lepf_luis@msn.com

RESUMEN: Este es un caso de estudio en el cual

se requiere garantizar la seguridad de la información para que una Institución de Educación Superior en línea, pueda prestar sus servicios de ventas regionales de forma segura, recomendándole firewalls y Switches, apropiados. Se consideraron tres opciones por cada tipo de equipo, realizándo una comparación basada en sus características técnicas y precio; además, se realizó un análisis de retorno de la inversión (ROI), teniendo como modelo el recomendado por Microsoft. Este modelo de cálculo difiere terminológica y metodológicamente con el modelo estudiado en clase, por lo que se incluye la comparación de ambas metodologías. Está incluido el análisis de los elementos de Seguridad de la información de Integridad, Disponibilidad y Confidencialidad, para la protección de los activos de la empresa, imagen corporativa e información de los clientes, para garantizar la continuidad del negocio y un crecimiento económico de la empresa.

PALABRAS CLAVE: Firewall, switch, servicios en

línea, seguridad, ROSI.

1 INTRODUCCIÓN

Con la siguiente investigación se tiene como objetivo el detallar un correcto y óptimo recurso que ayude en la seguridad de la información para una Institución educativa que brinda sus servicios en línea.

Para lo cual se realiza una evaluación técnica-

financiera sobre los dispositivos que serán utilizados para garantizar la disponibilidad, integridad y confidencialidad de la información de la organización.

Para esto es importante contar con los siguientes

equipos, que cubran las necesidades de la Institución en

un perfecto equilibrio de funcionalidad y precio, de firewalls y switches.

En esta investigación se evaluaron las

características técnicas de los firewall y Switch de marcas reconocidas en el mercado, para Firewall WatchGuard XTM 535, FortiGate 200D y Check Point 2200. Para Switch Cisco Catalyst 3750, DELL N3048 y HP6600-48G.4XG.

Luego de definir las características de los equipos

antes mencionados que pueden ser utilizados para el presente caso de estudio también se ha evaluado que cumpla con objetivos de la protección de la seguridad de la información en sus tres características: integridad, disponibilidad y confiabilidad.

2 PROBLEMA

2.1 DELIMITACIÓN Y PLANTEAMIENTO DEL PROBLEMA

Existen varios tipos de firewalls y switches los cuales

ayudan a proteger la información de la institución, así como mantener la disponibilidad, teniendo en cuenta que existen muchas amenazas que tratarán de atacar la integridad de la organización y buscarán cómo infiltrarse en nuestra red.

También con el uso del Firewall evitamos que

usuarios del exterior accedan a la red de la organización y con el uso de nuevos switches buscamos tener la disponibilidad de la red para dar un mejor servicio a usuarios internos como externos.

Debemos tener en cuenta que en el mercado existen

diversas marcas de firewall y switch por lo cual en este caso de estudio debemos tener la mejor decisión de escoger aquel dispositivo que garantice y cumpla con los niveles de seguridad que se necesita en la organización.

Recomendación de equipo de seguridad de red y comunicación.

.

2

2.2 JUSTIFICACIÓN DEL PROYECTO La Empresa de Servicios de Ventas Regionales de

Educación Superior en línea a través de call center, presenta dificultades de seguridad y comunicación en la red.

Inicialmente no se consideró como un riesgo, la

ausencia de un firewall colocando en peligro la información. Adicionalmente, un dispositivo en la red (switch) presenta fallas, por lo cual es necesario adquirir el equipo competente que solvente la situación.

Para ello se efectúa una comparación desde dos

enfoques técnico y financiero, que permite seleccionar entre las marcas más reconocidas de firewalls y switches, los equipos que cumplan con los requisitos necesarios para satisfacer las necesidades en cuanto a seguridad y comunicación en la red actual, y con esto garantizar la disponibilidad, confidencialidad e integridad de la información en la empresa y mantener la continuidad del negocio. Para demostrar la rentabilidad de la inversión se calcula el valor del ROI, de acuerdo a un White Paper publicado por Microsoft.

2.3 OBJETIVOS

Determinar y justificar, el mejor corta fuegos (Firewall) que debe adquirir la empresa, para garantizar las proyecciones de ventas en los próximos 4 años.

Presentar el ROSI (Retorno de Inversión de IT) para la adquisición de los equipos y costos relacionados para garantizar el éxito del proyecto los próximos 4 años.

Realizar una presentación y exponer a la Junta Directiva sobre las recomendaciones de inversión a realizar, su justificación y retorno de inversión.

Analizar la infraestructura actual del proyecto en cuanto a activos de TI y proponer cambios de mejora, basados en necesidades y riesgos potenciales que pudieran comprometer el funcionamiento de las operaciones del negocio.

Revisar la situación actual del proyecto y proponer cambios de mejora en cuanto a IT que minimicen los riesgos de operación en los próximos 4 años asegurando las mejores inversiones que garanticen calidad y mejor precio.

3 MARCO TEÓRICO DE LA INVESTIGACIÓN

3.1 Red informática

Una red informática es aquella que está formada por

computadoras (ordenadores), periféricos y otros dispositivos que se encuentran interconectados para que puedan compartir sus recursos. De acuerdo al modo de interconexión, a la relación entre los elementos, se pueden clasificar las redes informáticas de distinta forma.

Entre las redes informáticas se encuentra la llamada

red LAN, una sigla que refiere a Local Area Network (Red de Área Local). Estas redes vinculan computadoras que se hallan en un espacio físico pequeño, como una oficina o un edificio. La interconexión se realiza a través de un cable o de ondas.

3.2 TCP/IP TCP/IP es un conjunto de protocolos y en algunos

aspectos representa todas las reglas de comunicación para Internet y se basa en la noción de dirección IP, es decir, en la idea de brindar una dirección IP a cada equipo de la red para poder enrutar paquetes de datos.

3.3 Seguridad Perimetral Arquitectura y elementos de red, que proveen de

seguridad al perímetro de una red local frente a otra que generalmente es Internet. Entre estos elementos se encuentran: Cortafuegos, Sistemas de detección y prevención de intrusos, pasarelas antivirus y sistemas antispam.

3.4 Cortafuegos (Firewalls) Elemento de red, donde se define la política de

accesos, permitiendo o denegando el tráfico según se definan sus reglas. Pueden funcionar de acuerdo a dos filosofías, una de política restrictiva en la cual se deniega todo menos lo que se acepta explícitamente y otra de política permisiva o lista negra, en la que se acepta todo menos lo que se deniega explícitamente.

Los cortafuegos poseen tipos entre los cuales

podemos mencionar: circuito a nivel de pasarela, cortafuegos de capa de red, cortafuegos de capa de aplicación y cortafuegos personal.

3.5 Amenaza Una Amenaza es la posibilidad de ocurrencia de

cualquier tipo de evento o acción, que puede producir un daño (material o inmaterial) sobre los elementos de un sistema, en el caso de la Seguridad Informática, los Elementos de Información.

Generalmente se distinguen y dividen las amenazas

en tres grupos:

Criminalidad: son todas las acciones, causado por la intervención humana, que violan la ley y que están penadas por esta.

Sucesos de origen físico: son todos los eventos naturales y técnicos, sino también eventos indirectamente causados por la intervención humana.

Negligencia y decisiones institucionales: son todas las acciones, decisiones u omisiones por parte de las personas que tienen poder e influencia sobre el sistema. Al mismo tiempo son las amenazas menos predecibles porque están

Recomendación de equipo de seguridad de red y comunicación.

.

3

directamente relacionadas con el comportamiento humano.

Según WatchGuard entre las amenazas más

comunes a los datos en las pequeñas empresas se encuentran: Ataques desde adentro, falta de contingencia, Una mala configuración que compromete la seguridad, uso temerario de redes de hoteles y quioscos, uso imprudente de hotspost inalámbricos, datos perdidos en un dispositivo portátil, servidores web comprometidos, navegación imprudente de parte de los empleados, correo electrónico HTML

3.6 Vulnerabilidad Una vulnerabilidad es una debilidad de cualquier

tipo, que compromete la seguridad del sistema informático. Las vulnerabilidades pueden ser de diseño, como en el caso de políticas de seguridad deficientes o inexistentes, de implementación como el caso de errores de programación y vulnerabilidades de uso, como inadecuada configuración de los sistemas informáticos.

3.7 Riesgo El riesgo es una condición del mundo real, en el cual

hay una exposición a la adversidad conformada por una combinación de circunstancias del entorno donde hay posibilidad de pérdidas.

3.8 Coste Total de Propiedad (TCO) El Coste Total de Propiedad (Total Cost of

Ownership, TCO), es la medida financiera de todos los costos necesarios para construir, operar, mantener y mercadear una empresa. El Coste Total de la Propiedad les permite a los tomadores de decisiones, tener una visión integral de los costos incurridos durante un periodo de tiempo específico.

3.9 Retorno de la inversión (ROI) La fórmula estándar del ROI es ROI = (X – Y) / Y

donde X es el valor final, y Y el valor inicial. En el sentido financiero el ROI le permite al tomador de decisiones si debe optar por una decisión de inversión u otra. De forma similar, si se tienen otros costos incurridos por diferentes alternativas de inversión, entonces el ROI calculado es basado en cuál de las alternativas produce un mayor ahorro de dinero durante la vida del proyecto. El retorno es llamado reducción de costos, es decir, los ahorros obtenidos de elegir la opción de inversión A sobre la opción de inversión B.

4 DESARROLLO DEL CASO

4.1 Arquitectura de la solución La figura 1 muestra el diagrama de red sugerido. Se

consideró la compra de dos Switches para garantizar alta disponibilidad de los servicios de red.

Figura 1. Diagrama de Red Sugerido.

4.2 Comparación de firewalls Para el caso de estudio, se consideraron los equipos

firewall WatchGuard XTM 535, FortiGate 200D, Check Point 2200, cuyas especificaciones técnicas y precios se presentan en la tabla 1.

Los equipos evaluados presentan características

técnicas muy similares y son muy competitivos, por lo que la decisión se hizo basada en el precio de los equipos, siendo el equipo elegido el WatchGuard XTM 535.

4.3 Opciones de Switches

Según el caso de estudios el switch que se está utilizando actualmente en la LAN está dando problemas, por lo cual es un requerimiento sustituirlo y se consideró que se deben comprar dos switches para alta disponibilidad. La figura 2 muestra las marcas y modelos evaluados.

La comparación técnica de estos equipos se

presenta en las tablas 2 y 3. Los precios cotizados se presentan en la tabla 4.

Los equipos evaluados presentan características

técnicas muy similares y son muy competitivos, por lo que la decisión se hizo basada en el precio de los equipos, siendo el equipo elegido el DELL N3048.

Recomendación de equipo de seguridad de red y comunicación.

.

4

Tabla1. Comparación de características técnicas y precios

Tabla 2. Características técnicas de equipos de red Switches.

Tabla 3. Elementos de seguridad integrados a los Switches evaluados.

Cisco DELL HP

Modelos Cisco Catalyst 3750 DELL N3048 HP 6600-48G-4XG

Price 9,200 5,345.00 9,370.00

Tabla 4. Precios cotizados

Recomendación de equipo de seguridad de red y comunicación.

.

5

Figura 2. Marcas y Modelos de Switches evaluados.

4.4 Análisis financiero (ROI) El cálculo del retorno de la inversión fue realizado

utilizando la metodología descrita en el White Paper de Microsoft para el caso de estudio “Microsoft Academy” obteniendo los resultados descritos en la tabla 5.

5 ELEMENTOS DE SEGURIDAD A VERIFICAR EN EL CASO

5.1 Integridad

Que se brinde el servicio ofertado efectivamente.

Calidad del servicio de voz.

Que los datos se presente íntegros.

Evitar la alteración no autorizada de datos.

Garantía de la información del cliente.

Tabla 5. Cálculo del ROI para los equipos firewall y switches.

5.2 Disponibilidad

Disponibilidad del servicio en cualquier momento.

Disponibilidad de los datos del cliente.

Garantizar el servicio a través de otro centro atención.

Disponibilidad del acceso de internet.

Garantizar el servicio del Sistema según acuerdo de SLA con proveedor.

5.3 Confidencialidad

Garantizar la información del cliente.

Garantizar la comunicación entre cliente – proveedor en forma exclusiva.

Asegurar la información del cliente por medio de contrato de confidencialidad firmado por el agente.

Denegación de servicio por medio de bloqueo de aplicaciones.

No permitir dispositivos ajenos al trabajo en turnos.

6. COMPARACIÓN ENTRE LA METODOLOGÍA APLICADA EN EL CASO DE ESTUDIO Y EL ROSI La metodología en la investigación utilizada en el documento está basada desde el enfoque técnico financiero. En primer lugar, se analizó el planteamiento de la problemática en la organización concluyendo que debían adquirirse 3 dispositivos, un firewall y dos switches. Se realizó un análisis para determinar cuáles serían los requerimientos técnicos de los equipos y en base a este análisis se hizo un comparativo de las marcas reconocidas de los equipos para determinar las marcas y modelos de los equipos a adquirir, además de considerar los precios de los equipos, garantías y soporte de los proveedores. Posteriormente se efectuó el cálculo del retorno de la inversión basa en 4 años, se determinaron los ingresos proyectados de los próximos 4 años basados en el factor

Recomendación de equipo de seguridad de red y comunicación.

.

6

de convertibilidad proporcionado, se determinaron además los gastos y costos de los próximos cuatro años.

Con los datos obtenidos se ingresaron al a una plantilla en Excel para el cálculo del ROI, para la justificación de la inversión. Concluyendo así la metodología utilizada para el caso de estudio 1. A diferencia de la metodología utilizada en la guía “metodológica para el cálculo del retorno a la Inversión (ROI) en seguridad informática.” No se incluyó de forma detallada el tamaño de la organización ni la información crítica de esta y el enfoque utilizado para el cálculo de ROI mediante el Análisis de riego no fue considerado, por tanto no incluimos en el cálculo de ROI los valores de la métrica en seguridad Informática.

7 CONCLUSIONES

Durante el análisis del caso se consideraron diferentes escenarios de riesgo, incluyendo robo de información de los clientes, interrupción de operaciones por denegación de servicio, etc. Situaciones que pueden repercutir en pérdidas económicas para la compañía. Luego del análisis económico logramos determinar que es posible mitigar los riesgos sin incrementar demasiado los costos de la empresa y así percibir un retorno de la inversión en seguridad informática.

Se destaca también la importancia de que tiene

evaluar diferentes alternativas de equipo de seguridad y de comunicaciones, más allá de las marcas hay que considerar las características técnicas del equipo.

8 BIBLIOGRAFIA

Definición de Red LAN Disponible en: http://definicion.de/red-lan/

TCP/IP

Disponible en: http://es.kioskea.net/contents/282-tcp-ip

Intypedia, Information Security Encyclopdia. Autor: Alejandro Ramos Fraile http://www.criptored.upm.es/intypedia/docs/es/video5/DiapositivasIntypedia005.pdf

Gestión de Riesgo en la Seguridad Informática, Amenazas y Vulnerabilidades.

Autor: MarkusErb Disponible en: https://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/

Las 10 principales amenazas a la seguridad de los datos de las PyMEs Autor: Scott Pinzon, WatchGuard. Disponible en: http://www.watchguard.com/docs/whitepaper/wg_top10-summary_wp_es.pdf

Introducción a la seguridad informática - Vulnerabilidades de un sistema informático

Autor: Elvira Mifsud

Disponible en: http://recursostic.educacion.es/observatorio/web/ca/software/software-general/1040-introduccion-a-la-seguridad-informatica?start=3

Riesgos Informáticos Disponible en: http://audisistemas2009.galeon.com/productos2229079.html

ROI of Building a Company-wide, Video Podcasting Portal Using Microsoft SharePoint 2010

Autor principal: Michael Kada, Microsoft Academy..