Bach. Roger Lazo Mallqui
CONTENIDO
 TEMA 1 : Modulo: Dirección de Proyectos de TI




Gestión de riesgos – Reserva de Contingencia y de Gestión
TEMA 2 : Modulo: Gestión de Riesgos de TI
Gestión de Riesgos de TI – desde la perspectiva de la
Seguridad de Información
TEMA 3 : Modulo: Redes inalámbricas
¿Cómo afecta las estructuras de los ambientes y como se
realiza un mapa de cobertura para redes indoor?
TEMA 4 : Modulo: Seguridad de la información
ISO 27003
TEMA 5 : Modulo: Seguridad de la información
Proxys en seguridad de la información
TEMA1: GESTION DE PROYECTOS
GESTION DE RIESGOS / RESERVAS DE CONTINGENCIA Y DE
GESTION
Fuente: Guia del PMBOK – 4ta Edición
Figura 1: Fases del proyecto
Fuente: Guia del PMBOK – 4ta Edición
Figura 2: Grupo del Proceso de Planificación
La Gestión del Costo del Proyecto
 Describe los procesos
involucrados en planificar,
estimar, presupuestar y
controlar los costos de
modo que se complete el
proyecto dentro del
presupuesto aprobado.
 Estimar los Costos: Es el
proceso que consiste en
desarrollar una
aproximación de los
recursos financieros
necesarios para completar
las actividades del
proyecto
 Determinar el
Presupuesto: Es el
proceso que consiste en
sumar los costos
estimados de actividades
individuales o paquetes de
trabajo para establecer
una línea base de costo
autorizada.
Fuente: Guia del PMBOK – 4ta Edición
Figura 3: Gestión de Costos
Análisis de Reserva en la Estimación de Costos
 Las estimaciones de costos pueden incluir reservas para contingencias
(llamadas a veces asignaciones para contingencias) para tener en cuenta la
incertidumbre del costo.
 La reserva para contingencias puede ser un porcentaje del costo estimado, una
cantidad fija, o puede calcularse utilizando métodos de análisis cuantitativos.
Análisis de Reserva en el Determinación del Presupuesto
 El análisis de reserva del presupuesto puede establecer tanto las reservas para
contingencias como las reservas de gestión del proyecto
 Las reservas para contingencias son asignaciones
para cambios no planificados, pero potencialmente
necesarios, que pueden resultar de riesgos
identificados en el registro de riesgos.
 Las reservas de gestión son presupuestos reservados
para cambios no planificados al alcance y al costo del
proyecto.
La Gestión de los Riesgos del Proyecto
 Describe los procesos
involucrados en la
identificación, análisis y
control de los riesgos para
el proyecto.
 Monitorear y Controlar
los Riesgos: Es el
proceso por el cual se
implementan planes de
respuesta a los riesgos, se
rastrean los riesgos
identificados, se
monitorean los riesgos
residuales, se identifican
nuevos riesgos y se evalúa
la efectividad del proceso
contra los riesgos a través
del proyectos
Fuente: Guia del PMBOK – 4ta Edición
Figura 3: Gestión de Costos
Análisis de Reserva en el Monitoreo y Control de Riesgos
 A lo largo de la ejecución del proyecto, pueden presentarse algunos riesgos,
con impactos positivos o negativos sobre las reservas para contingencias del
presupuesto o del cronograma.
 El análisis de reserva compara la cantidad de reservas para contingencias
restantes con la cantidad de riesgo restante en un momento dado del proyecto,
con objeto de determinar si la reserva restante es suficiente
Costo del Presupuesto


La Reserva de Contingencia
es para las incógnitas
conocidas (known unknowns),
los elementos que se
identifican en la gestión de
riesgos. Estas reservas cubren
riesgos residuales del proyecto.
La reserva de contingencia se
calcula y es una parte del coste
de referencia.
La Reserva de
Gerenciamiento o Gestión
es para las incógnitas
desconocidas (unknown
unknowns), los elementos que
no se puede identificar en la
en la gestión de riesgos. Las
reservas de gestión se estima
(por ejemplo, el 5% del costo
del proyecto) y forma parte del
presupuesto del proyecto, no
de la línea base.
Figura 4: Costo del Presupuesto
CASO PRACTICO
- PRESUPUESTO DE PROYECTO -
 En el siguiente ejemplo se realizara el presupuesto de
un proyecto de TI de la empresa Wanka Soft para el
proceso de Compras en la cual se abordara la
estimación de la Reserva de Contingencia y Reserva de
Gestión desde el punto de vista de un Análisis de
Riesgo, las tareas a realizar son:
 Identificación de Riesgos
 Valor Inicial esperado del riesgo
 Costos de Contención / Prevención de Riesgos
 Valor Final esperado del Riesgo
 Reserva de Contingencia del Riesgo
 Reserva de Gestión
Identificación de Riesgos
 En primer lugar se identifican los riesgos positivos y
negativos del proyecto. En el desarrollo del del
proyecto se identificaron dos riesgos (uno para una
amenaza y otro para una oportunidad del proceso de
compras), conforme se muestra en la Tabla 1.
ID
Riesgo
Causa Raíz
1
Amenaza: El Analista no tiene el dominio
necesario de la herramienta para el desarrollo del
los diagramas de UML
2
Oportunidad: Mejorar el proceso de compras de la Adquisición de equipos y productos a
empresa
precios más bajos
Efecto
Aumento de las horas de desarrollo y
atraso del proyecto
Tabla 1: Registro de Riesgos
Valor Inicial Esperado de Riesgo
 Cuando se realiza la estimación de la probabilidad y el impacto de cada
riesgo, se genera lo que es la medida de la exposición al riesgo, llamado el
valor esperado o valor monetario esperado. (EMV - El valor monetario
esperado). Valor Esperado de Riesgo = Probabilidad x Impacto
 El siguiente es el análisis de la probabilidad e impacto inicial de riesgo
(Tabla 2).
Medida de Exposición al Riesgo
ID
Riesgo
1
2
Causa Raiz
Amenaza: El Analista no
tiene el dominio
necesario de la
herramienta para el
desarrollo del los
diagramas de UML
Oportunidad: Mejorar el
proceso de compras de la
empresa
Efecto
Probabilidad
Impacto S/.
Valor
Esperado S/.
Aumento de las horas
de desarrollo y atraso
del proyecto
50%
30,000.00
15,000.00
Adquisición de
equipos y productos a
precios más bajos
1%
-20,000.00
-200.00
Valor Esperado Inicial de
Riesgo
14,800.00
Tabla 2: Valor esperado Inicial de Riesgo
Costos de Contención / Prevención de Riesgos
 Las amenazas o riesgos que pueden causar un impacto negativo en
el proyecto deben ser evitados o reducidos a través de acciones de
contención o prevención de riesgos.
 Los riesgos positivos u oportunidades necesitan que su
probabilidad e impacto sean mayores. A continuación se analiza la
contención / prevención de riesgo (Tabla 3).
Contención / Prevención
ID Riesgo
1
2
Reacción
Pagar un curso avanzado de la
herramienta para el analista
Contratar 80 horas de un especialista
de compras
Estrategia
Mitigar: reducir la probabilidad que el
riesgo ocurra
Mejorar: Aumentar la probabilidad que
ocurra el evento
Costo Total de la Contención/Prevención
Tabla 3: Costo de Contención/Prevención
Suma de Paquetes de Trabajo
Contención /Prevención de Riesgos
Costo del Proyecto
S/. 100,000.00
S/. 8,000.00
S/. 108,000.00
Tabla 4: Costo de Proyecto
Costo S/.
S/. 3,200.00
S/. 4,800.00
S/. 8,000.00
Valor Final Esperado del Riesgo
 La formación que se ofrece al analista no elimina el riesgo 1, pero reduce
su probabilidad de 50% a 20%, pero el impacto se mantiene sin cambios.
Al multiplicar la probabilidad por el impacto se obtiene el valor esperado
de S/. 6,000.00 (ver Tabla 5)
 En el segundo riesgo, la contratación de un especialista aumentó la
probabilidad de exposición positiva se produce de 1% a 10%, también sin
alterar su impacto. Así se obtiene un valor esperado de (S/. 2,000.00)
 El valor esperado de los Riesgos del Proyecto se reduce a S/. 4,000.00
Riesgo después de la Contencion /Prevencion
ID Riesgo
Probabilidad
Impacto S/.
Valor Esperado S/.
1
20%
30,000.00
6,000.00
2
10%
-20,000.00
-2,000.00
Valor Esperado Final de
Riesgo
4,000.00
Tabla 5: Valor Esperado Final de Riesgo
Reserva de Contingencia del Riesgo
 Según la Guía del PMBOK "Las reservas para contingencias
son asignaciones para cambios no planificados, pero
potencialmente necesarios, que pueden resultar de riesgos
identificados en el registro de riesgos.”
 Así, para cada riesgo identificado, definimos la reacción a ser
tomada si el riesgo se produce y estimar su costo. Si el riesgo
se cierra sin ocurrir, su reserva de contingencia se libera
ID Riesgo
Contingencia en caso de ocurrir un riesgo
Reacción
1
2
Contratación de 100 horas de
un especialista en la
herramienta
No se aplica
Costo
S/.
12,000.00
-
Total de Reserva de
Contingencia
S/.
12,000.00
Tabla 6: Reserva de Contingencia
 La reserva de contingencia se debe agregar al costo
del proyecto para generar el valor base del proyecto
(ver Tabla 7).
Costo del Proyecto
Reserva de Contingencia
Valor Base o Línea Base de Costos del
Proyecto
S/. 108,000.00
S/. 12,000.00
S/. 120,000.00
Tabla 7: Valor Base del Proyecto
Reserva de Gestión
 Las Reservas de Gestión no son parte de la línea de base del
costo, pero puede ser incluido en el presupuesto total del
proyecto. En este ejemplo se utilizará una reserva del 5% del
costo del proyecto.
 La Reserva de Gestión debe ser sumada a la línea base de costos
del proyecto para que junto al valor esperado de riesgos den
lugar al presupuesto total del proyecto.
Valor Base o Línea Base de Costos del Proyecto
S/. 120,000.00
Valor esperado final de riesgos
S/. 4,000.00
Reserva de Gestión (5% del Costo del Proyecto de S/.
108,000.00)
S/. 5,400.00
Presupuesto Total
Tabla 8: Presupuesto Total
S/. 129,400.00
MUCHAS GRACIAS
CONTENIDO
 TEMA 1 : Modulo: Dirección de Proyectos de TI




Gestión de riesgos – Reserva de Contingencia y de Gestión
TEMA 2 : Modulo: Gestión de Riesgos de TI
Gestión de Riesgos de TI – desde la perspectiva de la
Seguridad de Información
TEMA 3 : Modulo: Redes inalámbricas
¿Cómo afecta las estructuras de los ambientes y como se
realiza un mapa de cobertura para redes indoor?
TEMA 4 : Modulo: Seguridad de la información
ISO 27003
TEMA 5 : Modulo: Seguridad de la información
Proxys en seguridad de la información
TEMA2: GESTIÓN DE RIESGOS DE TI DESDE LA PERSPECTIVA DE
LA SEGURIDAD DE LA INFORMACION
 La
Seguridad de la Información es la
“Preservación de la confidencialidad,
integridad
y
disponibilidad
de
la
información, así como, otras propiedades
como la autenticidades, no rechazo,
contabilidad y confiabilidad también pueden
ser consideradas”.[NTP-ISO/IEC 17799:2007 ]
 La información es un activo que, como otros activos
importantes del negocio, tiene valor para la
organización y requiere en consecuencia una
protección adecuada.
ASPECTOS A EVALUAR A NIVEL DE INFORMACIÓN ELECTRÓNICA
CONFIDENCIALIDAD
 Garantizar que la información sea accesible únicamente
para quienes tengan acceso autorizado [NTP-ISO/IEC
27001:2008]
 Se refiere al hecho de que solo tienen acceso a la
información de la red o que circulan por ella las personas
autorizadas.
INTEGRIDAD
 Salvaguardar la exactitud e integridad de la información y
activos asociados [NTP-ISO/IEC 27001:2008]
 La información no debe cambiar mientras se esta
transmitiendo o almacenando. Nadie puede modificar el
contenido de la información a los archivos y aun menos
eliminarlos
DISPONIBILIDAD
 Garantizar que los usuarios autorizados tengan acceso
a la información y activos asociados cuando sea
necesario [NTP-ISO/IEC 27001:2008]
 Se refiere al hecho de que los usuarios que necesitan la
información siempre tienen acceso a ella.
AUTENTICACION
 El acto de verificar la identidad de un usuario y su elegibilidad
para acceder a la información computarizada. La autenticación
está diseñada para proteger contra conexiones de acceso
fraudulentas. [COBIT Control Objectives for Information and
Related Technology - 4.1]
 Se utiliza para asegurar de que las partes involucradas son
quienes dicen ser.
CONTROL DE ACCESSO
 El proceso que limita y controla el acceso a los recursos de un sistema
computacional; un control lógico o físico diseñado para brindar
protección contra la entrada o el uso no autorizados. [COBIT Control
Objectives for Information and Related Technology - 4.1]
 El control del acceso verifica si el usuario tiene derecho a acceder al
servicio y la información, lo que significa que solo las personas
autenticadas pueden obtener acceso
IRREFUTABILIDAD (NO REPUDIO)
 Requiere que ni el emisor ni el receptor del mensaje
puedan negar la transmisión y que forma parte de
algún tipo de acción.
ANÁLISIS DE RIESGOS DESDE LA PERSPECTIVA DE LA SEGURIDAD
DE LA INFORMACION
Definir el alcance y límites de la SGSI
Definir una política de la SGSI
Definir un enfoque sistemático para la evaluación del riesgo en la organización
Identificar Riesgos
A.
B.
C.
D.




E.
Identificar los activos dentro del alcance de la SGSI y los propietarios de estos activos.
Identificar amenazas a esos activos
Identificar las vulnerabilidades que podrían explotarse mediante estas amenazas.
Identificar los impactos de pérdidas de confidencialidad, integridad y disponibilidad
sobre los activos
Analizar y Evaluar los riesgos
 Evaluar los daños comerciales que podrían resultar de una falla de seguridad, considerando
las consecuencias potenciales de una perdida de confidencialidad, integridad o
disponibilidad de los activos.
 Evaluar las posibilidades de falla de seguridad, teniendo en cuenta las amenazas,
vulnerabilidades e impactos asociados con estos activos y los controles implementados
actualmente
 Estimar los niveles de los riesgos.
 Determinar si el riesgo es aceptable o requiere tratamiento usando el criterio establecido.
F.
Identificar y evaluar opciones para el tratamiento de riesgo.
CASO PRACTICO
- TRANSFERENCIA DE FONDOS  CASO: La Superintendencia Nacional de Aduanas y Administración
Tributaria (SUNAT) desea realizar el envió del proceso de transferencia
de fondos de lo recaudado todos los días hábiles a las cuentas que los
entes beneficiarios tienen en el Banco de la Nación a través de un
archivo plano, cuando el proceso se realice el Banco de la Nación
enviara una respuesta de éxito a través de otro archivo plano
conteniendo el resultado de la Transferencia. Se desea analizar los
aspectos de la seguridad de la información para el presente caso.
Tesoro Publico
SUNAT
Sistema de Transferencia de
Fondos
Banco de la Nacion
ESSALUD
ONP
Diagrama de Contexto
Estructura del Archivo
 El Operador de SUNAT enviara el archivo que contendrá
información del movimiento a realizarse en una de las
cuentas de los entes beneficiarios todos los días hábiles.
 Cada campo tendrá una longitud fija, los campos serán:
Campo
Nro de Operación
Fecha
Código de ente
Nro. de cuenta
Monto
Checksum
Longitud
8 caracteres
8 caracteres, formato “AAAAMMDD”
3 caracteres
10 caracteres
13 enteros y 2 decimales, sin punto decimal,
completado con ceros en la parte inicial
10 dígitos
Ejemplo:
800000012012100626400002152950000000369882030018845355
Donde:
Número de Operación: 80000001
Fecha: 06/10/2012
Ente: 264
Número de cuenta: 0000215325
Monto: 369,882.03
Checksum: 0018845355
Lógica de checksum
Function CampoControlIntegridad(piImporte As Double, psNroOper As String, psCuenta As String) As String
Dim iDivEntera As Currency
Dim iControl As Currency
Dim sCadControl As String * 10
Dim sChecksum As String * 10
CampoControlIntegridad = "0000000000"
iDivEntera = piImporte / 100
iControl = iDivEntera + psNroOper + psCuenta
sChecksum = iControl USING “##########”
CampoControlIntegridad = sChecksum
End Function
Envío de los archivos
 Los archivos planos serán enviados al Banco de la Nación
mediante protocolo FTP al Servidor 255.50.3.24 entre
las 05:00 PM y 05:59 PM.
Recepción de respuesta del Banco de la Nacion
 Por cada archivo remitida por SUNAT, el Banco de la Nacion
deberá generar un archivo de respuesta, el cual deberá copiar el
operador de SUNAT desde el servidor del Banco de la Nación.
Este archivo plano permitirá validar la recepción de los archivos
enviados y la ejecución de la transferencia.
 El archivo de respuesta tendrá la siguiente nomenclatura:
Cabecera: AAAAMMDD_<nroOperacion>CAB.out
CAMPO
TIPO
Tipo de Registro
Fecha
Cantidad de Registros
Registros con error de integridad
Registros con error de validación
LONG.
Texto
Numérico
Numérico
Numérico
Numérico
01
08
06
06
06
OBSERVACIÓN
‘H’ = Cabecera
Formato AAAAMMDD
Cantidad de registros remitidos por SUNAT.
Cantidad de registros con error de integridad
Cantidad de registros con error de validación
Detalle: AAAAMMDD_<nroOperacion>DET.out
CAMPO
Tipo de Registro
Número de Cuenta
Importe
Código de resultado
Descripción del resultado
TIPO
Texto
Numérico
Numérico
Texto
Texto
LONG.
01
10
15
03
30
OBSERVACIÓN
‘D’ = Detalle
Número cuenta de ente
Contenido del archivo de respuesta
 Errores de Integridad





I01 FECHA NO CORRESPONDE
I02 CUENTA ERRADA
I03 IMPORTE NO NUMERICO
I04 CHECKSUM ERRADO
I05 NO COINCIDE EL TOTAL DE CARGOS Y ABONOS
 Errores de validación

V01 CUENTA SIN SALDO SUFICIENTE
 Código de resultado exitoso:

R00 PROCESO OK
Procesamiento de la respuesta
 Si el número de registros de error de integración y de error de validación es igual a
cero, significa que la transferencia se realizó con éxito por lo cual se realizará lo
siguiente:
 Se guardará como fecha de envío la fecha en que fueron enviados los archivos al
Banco de la Nación. Se actualizará el estado de la Nro de Operación.
 Si el número de registros de error de integración o validación es mayor a cero:
 Se enviará un correo a los responsables del Negocio informando el error. A este
correo se le adjuntará el archivo enviado por el Banco de la Nación
Analisis de Riesgos
FACTOR
CONFIDENCIALIDAD
RIESGO
El Operador
dio la cuenta y
password del
Servidor
255.50.3.24 a
otro
Colaborador
Algún agente
modifico los
INTEGRIDAD
datos del
archivo plano.
DISPONIBILIDAD
El Operador
no tiene el
archivo de
Transferencia
de Fondos en
la horas
establecidas
FACTOR
RIESGO
CONSECUENCIA
Personal
Se pueden
ingresar
archivos
fraudulentos
Personal
Las cuentas y
los montos
pueden ser
equivocados
Perdida de
imagen
institucional
Interrupción
del Proceso
de
Tecnología transferencia.
Perdida de
imagen
institucional
CONTROLES
PROBAB.
Establecer política de
seguridad a fin que solo los
Operadores de SUNAT y BN
deben tener acceso al Servidor
255.50.3.24 para enviar y
3 - Posible
recepcionar los archivos vía
FTP. Asimismo en caso se
cambie de personal se deberá
usar una contraseña nueva.
Usar el código
CampoControlIntegridad()
para encriptar la información a
través de un Código de
2CHECKSUM
improbable
Reportar a través de los
errores de Integridad
descritos
Verificar que el proceso que
prepara los archivos a enviar
este conforme una hora antes
de la hora establecida
2improbable
IMPACTO
NIVEL DE
EXPOSICION
4 - Mayor
12
Evitar el
riesgo
5Catastrofico
10
Evitar el
riesgo
4 - Mayor
8
Reducir el
riesgo
ESTRATEGIA
Analisis de Riesgos
FACTOR
AUTENTICACION
RIESGO
El Operador no
envió el correo
al Operador del
BN para
informar que
se esta
enviando el
archivo
CONTROL DE
El Operador
ACCESSO
dio la cuenta y
password a
otro
Colaborador
IRREFUTABILIDAD
El Operador de
SUNAT no
envió el correo
informando el
envío de
archivo
FACTOR
RIESGO
CONSECUENCIA
CONTROLES
PROBAB.
IMPACTO
NIVEL DE
EXPOSICION
ESTRATEGIA
Personal
El proceso de envío del archivo
debe ser automatizado (La
Retraso en el ejecución del envío del archivo a
Proceso de
través de un proceso
Transferencia automatizado que se encargara
de Fondos
de enviarlo vía FTP y asimismo
deberá enviar un correo al
Operador del BN )
3 - Posible
4 - Mayor
12
Reducir el
riesgo
Personal
Establecer política de seguridad a
fin que solo los Operadores de
Se pueden
SUNAT y BN deben tener acceso
ingresar
al Servidor 255.50.3.24 para
3 - Posible
archivos
enviar y recepcionar los archivos
fraudulentos vía FTP. Asimismo en caso se
cambie de personal se deberá
usar una contraseña nueva
4 - Mayor
12
Evitar el
riesgo
Personal
El proceso de envío del archivo
debe ser automatizado (La
Retraso en el ejecución del envío del archivo a
Proceso de
través de un proceso
2 - Posible
Transferencia automatizado que se encargara
de Fondos
que se encargara de enviarlo vía
FTP y asimismo deberá enviar un
correo al Operador del BN )
4 - Mayor
8
Reducir el
riesgo
MUCHAS GRACIAS
CONTENIDO
 TEMA 1 : Modulo: Dirección de Proyectos de TI




Gestión de riesgos – Reserva de Contingencia y de Gestión
TEMA 2 : Modulo: Gestión de Riesgos de TI
Gestión de Riesgos de TI – desde la perspectiva de la
Seguridad de Información
TEMA 3 : Modulo: Redes inalámbricas
¿Cómo afecta las estructuras de los ambientes y como se
realiza un mapa de cobertura para redes indoor?
TEMA 4 : Modulo: Seguridad de la información
ISO 27003
TEMA 5 : Modulo: Seguridad de la información
Proxys en seguridad de la información
TEMA3: REDES INALÁMBRICAS
COMO AFECTA LAS ESTRUCTURAS DE LOS AMBIENTES Y COMO
SE REALIZA UN MAPA DE COBERTURA PARA REDES INDOOR
 Es indispensable entender físicamente cómo las ondas electromagnéticas se
propagan e interactúan con el medio ambiente.
Las ondas electromagnéticas
Velocidad (v) = Frecuencia (f) * Longitud de Onda (λ)
Figura 1: La relación entre frecuencia, longitud de onda y
amplitud y periodo
PROPAGACIÓN DE LAS ONDAS ELECTROMAGNÉTICAS EN IEEE802.11B
 Una onda electromagnética se propaga en línea recta
solamente en el vacío, en cualquier otro medio puede
cambiar su trayectoria debido a la presencia de obstáculos o
de diferencias en la composición del medio que atraviesa.
a. Perdida en el Espacio Libre:
 Cuando una onda se propaga en el espacio, se esparce sobre
una superficie cada vez mayor a medida que se aleja del
transmisor.
FSL (dB) = 20log10 (d) + 20log10 (f) + 32,40
Donde: d= distancia en Km y f= frecuencia en MHz.
b. Mecanismos de Propagación
b.1. Absorción
 Cuando las ondas electromagnéticas atraviesan algún material,
generalmente se debilitan o atenúan. La cantidad de potencia
perdida va a depender de su frecuencia y por supuesto, del material.
La potencia decrece de manera exponencial y la energía absorbida
generalmente se transforma en calor
Cuadro 1: Absorción de materiales
b.2. Reflexión:
 La reflexión de las ondas electromagnéticas ocurre cuando una onda
incidente choca con una barrera existente (un objeto) y parte de la
potencia incidente no penetra el mismo. Las ondas que no penetran
el objeto se reflejan
Figura 2: Reflexión de ondas de radio.
El ángulo de incidencia es siempre igual al ángulo de reflexión.
Una antena parabólica utiliza este efecto para concentrar las ondas de radio
que caen sobre su superficie en una dirección común.
b.3. Difracción:
 La difracción ocurre cuando la trayectoria de radio entre el transmisor y
el receptor está obstruida por una superficie que tiene irregularidades
agudas (bordes). En la difracción se genera una pérdida de potencia de
transmisión, donde la potencia de la onda difractada es
significativamente menor que el frente de onda que la provoca.
Figura 3: Un frente de onda difractado se forma cuando la señal transmitida
incidente es obstruida por ángulos cortantes en la trayectoria
b.4. Dispersión:
 La dispersión ocurre cuando en el camino la señal se encuentra con
objetos cuyas dimensiones son pequeñas en relación a la longitud de
onda. El resultado es que el frente de onda se rompe o dispersa en
múltiples direcciones.
Figura 4: Dispersión de una señal transmitida.
b.5. Refracción:
 La refracción es el cambio de dirección de una onda electromagnética
conforme pasa oblicuamente de un medio a otro, con diferentes
velocidades de propagación. Por lo tanto, la refracción ocurre siempre
que una onda electromagnética pasa de un medio a otro de diferente
densidad.
Figura 5: La refracción de las ondas electromagnéticas.
b.6. Multitrayectoria (multipath)
 Las señales lleguen al receptor a través de diferentes caminos, y por
consiguiente en tiempos diferentes, este fenómeno juega un papel
muy importante en las redes inalámbricas por los retardos e
interferencia que provocan en las comunicaciones inalámbricas.
Figura 6: El fenómeno de la interferencia multitrayectoria
MAPA DE COBERTURA
 Para realizar el diseño es necesario disponer de un MAPA o croquis, en lo posible a escala, o
sino a mano alzada, donde se indiquen dimensiones tales como:
 Largo y Ancho de la Oficina o Piso del Edificio.
 Las oficinas dentro del Piso.
 Material y dimensiones aproximadas, de la paredes de la oficina o piso del edificio,
tales como: Concreto Solido, Muro Seco (Drywall), Separaciones de Vidrio, Ladrillo,
Metal, Madera,etc.
 Es necesario contrastar lo teórico con lo real y verificar donde se debe optimizar el diseño.
 Realizar la simulación a través de un Software
Figura 8: Ingreso a la Plataforma de Simulación
 Podemos observar el resultado en la Figuras 9 de la simulación con los
datos entregados, donde se muestra la cobertura teórica obtenida y será
contrastado con el Mapa de Cobertura Real.
 Para esta operación, es necesario ir tomando puntos de muestras, dentro de
la oficina, piso del edificio o edificio, los que tendrán valores de: potencia,
throughput, ping, http, y que serán ingresados en forma automática, dada
la referencia de dimensiones y ubicación en el MAPA.
Figura 9: Resultado de Plataforma de Simulación.
CASO PRÁCTICO
 Se desea conocer el mapa de cobertura inalámbrica de una
oficina de una sola planta de la empresa SHALOMARIN que
consta de 3 oficinas privadas, una sala de espera, un área de
secretaria y un SS.HH. Las dimensiones aproximadas de la
oficina es de 15m. de largo por 14m. de ancho. Las paredes
externas de la oficina son de block hueco de cemento rematados
con un traba perimetral de concreto armando con varilla de ½”
de diámetro, este material tiene un grado de atenuación muy
fuerte, por lo que la señal de AP no logra atravesar dichas
paredes. En lo que respecta a las paredes internas, están
construidas de bloque de ceniza, material que presenta una baja
oposición a la señal de radio y permite que el AP cubra toda la
oficina.
Figura 11: Plano arquitectónico de la oficina en 3D
Figura 12: Plano arquitectónico de la oficina em 2D
 Diseño de Mapa de Cobertura
 Se realiza la medición del rango de la señal con un
código de colores para diferenciar las diferentes
magnitudes (verde: más alto, rojo: más bajo) y
atenuaciones de la señal del AP, evaluando su campo
de cobertura con un medidor de intensidad de campo
en cada uno de los ambientes (se usa una Laptop con el
programa Ekahau HetMapper).
Figura 13: Conexión establecida entra la laptop y el AP
shalomarin
Figura 15: Mapa de Cobertura en la Oficina de la empresa
SHALOMARIN
MUCHAS GRACIAS
CONTENIDO
 TEMA 1 : Modulo: Dirección de Proyectos de TI




Gestión de riesgos – Reserva de Contingencia y de Gestión
TEMA 2 : Modulo: Gestión de Riesgos de TI
Gestión de Riesgos de TI – desde la perspectiva de la
Seguridad de Información
TEMA 3 : Modulo: Redes inalámbricas
¿Cómo afecta las estructuras de los ambientes y como se
realiza un mapa de cobertura para redes indoor?
TEMA 4 : Modulo: Seguridad de la información
ISO 27003
TEMA 5 : Modulo: Seguridad de la información
Proxys en seguridad de la información
TEMA 4: SEGURIDAD DE LA INFORMACION - ISO 27003
TÉCNICAS DE SEGURIDAD. DIRECTRICES PARA LA IMPLEMENTACIÓN DE
UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
 El Sistema de Gestión de Seguridad de la Información – ISMS es la parte del sistema
integral de gestión, basado en un enfoque del riesgo de la información para
establecer , implementar , operar, monitorear, revisar, mantener y mejorar la
seguridad de la información. [NTP-ISO/IEC 27001]
Figura 1 – Modelo PDCA aplicado al proceso ISMS
 El Objetivo del ISO 27003 es proporcionar orientación práctica
en el desarrollo del plan de implementación para un Sistema de
Gestión de Seguridad de Información.
 PNTP-ISO/IEC 27003:2012 TECNOLOGÍA DE LA
INFORMACIÓN. Técnicas de seguridad –
Directrices para la implementación de un
sistema de gestión de la seguridad de la
información, que es un equivalente de la ISO/IEC
27003:2010 Information technology -- Security
techniques -- Information security management
system implementation guidance, esto debido a
la falta de documentación oficial en español del
presente ISO.
ESTRUCTURA GENERAL DE CAPÍTULOS:
 La PNTP-ISO/IEC 27003 explica la implementación de
un SGSI enfocando en la iniciación, planificación y
definición del proyecto.
Figura 2 – Fases del proyecto SGSI
 Aprobación / Alcance / Análisis Req. / evaluación / Diseñar SGSI
 5.Obtener la
aprobación de la
dirección para la
implementación
de un SGSI
DESCRIPCION DE LA LISTA DE VERIFICACION
FASE DE IMPLEMENTACIÓN
ISO/IEC 27003
NRO. DE PASO
1
ACTIVIDAD, REFERENCIA ISO/IEC 27003
Obtener objetivos del negocio de la
organización
PASO PREREQUISITO
Ninguno
2
Lograr la comprensión de los sistemas de
gestión existentes
3
5.2 Definir objetivos, necesidades de
seguridad de información, requerimientos
del negocio para un SGSI
1,2
4
Obtener las normas reglamentarias, de
cumplimiento y de la industria aplicables a
la empresa
Ninguno
5
5.3 Definir alcance preliminar del SGSI
5.Obtener la aprobación de la
dirección para la
implementación de un SGSI
Ninguno
DOCUMENTO DE SALIDA
Lista de objetivos de negocio de la
organización
Descripción de sistemas de gestión
existentes
Resumen de los objetivos,
necesidades de seguridad de
información y requerimientos de
negocio para el SGSI
Resumen de las normas
reglamentarias, de cumplimiento y de
la industria aplicables a la empresa
Descripción de alcance preliminar del
SGSI(5.3.1)
3,4
Definición de roles y responsabilidades
del SGSI (5.3.2)
6
5.4 Crear el caso de negocio y el plan de
proyecto para aprobación de la dirección
5
7
5.5 Obtener aprobación de la dirección y
compromiso para iniciar un proyecto para
implementar un SGSI
6
Caso de negocio y plan de proyecto
propuesto
Aprobación de la dirección para iniciar
un proyecto para implementar un SGSI
 6. Definir
alcance y
política de un
SGSI
DESCRIPCION DE LA LISTA DE VERIFICACION
FASE DE IMPLEMENTACIÓN
ISO/IEC 27003
NRO. DE
PASO
ACTIVIDAD, REFERENCIA ISO/IEC
27003
PASO PRE-REQUISITO
DOCUMENTO DE SALIDA
• Descripción de límites organizacionales
• Funciones y estructura de la organización
Definir límites organizacionales
7
• Intercambio de información a través de límites
• Procesos de negocio y responsabilidad sobre
los activos de información dentro y fuera del
alcance
• Descripción de los límites de las TIC
6. Definir alcance y política de
un SGSI
9
6.3 Definir límites de las
tecnologías de la información y las
comunicaciones
7
• Descripción de sistemas de información y redes
de telecomunicación describiendo lo
comprendido y lo fuera del alcance
• Descripción de límites físicos para el SGSI
10
6.4 Definir límites físicos
7
11
6.5 Finalizar límites para el alcance
del SGSI
8,9,10
12
6.6 Desarrollar la política del SGSI
11
• Descripción de la organización y sus
características geográficas describiendo alcance
interno y externo
Un documento describiendo el alcance y los
límites del SGSI
Política del SGSI aprobada por la dirección
 7 Realizar un
análisis de la
organización
DESCRIPCION DE LA LISTA DE VERIFICACION
FASE DE IMPLEMENTACIÓN
ISO/IEC 27003
NRO. DE PASO
ACTIVIDAD, REFERENCIA
ISO/IEC 27003
PASO PRE-REQUISITO
DOCUMENTO DE SALIDA
Lista de las principales funciones, ubicaciones, sistemas
de información, redes de comunicación
13
7.2 Definir los
requerimientos de
seguridad de la información
que den soporte al SGSI
Requerimientos de la organización referentes a
confidencialidad, disponibilidad e integridad
12
Requerimientos de la organización relacionados a
requisitos legales y reglamentarios, contractuales y de
seguridad de información del negocio
7 Realizar un análisis de la
organización
Lista de vulnerabilidades conocidas de la organización
Descripción de los principales proceso de la
organización
14
7.3 Identificar activos dentro
del alcance del SGSI
13
Identificación de activos de información de los
principales procesos de la organización
Clasificación de proceso/activos críticos
15
7.4 Generar una evaluación
de seguridad de la
información
14
• Documento del estado actual de seguridad de la
información de la organización y su evaluación
incluyendo controles de seguridad existentes.
• Documento de las deficiencias de la organización
evaluadas y valoradas
 8. Realizar una
evaluación del
riesgo y
Seleccionar
Opciones de
Tratamiento del
Riesgo
DESCRIPCION DE LA LISTA DE VERIFICACION
FASE DE IMPLEMENTACIÓN
ISO/IEC 27003
NRO. DE PASO
ACTIVIDAD, REFERENCIA
ISO/IEC 27003
PASO PREREQUISITO
DOCUMENTO DE SALIDA
• Alcance para la evaluación del riesgo
16
8.2 Realizar una evaluación
del riesgo
15
• Metodología de evaluación del riesgo aprobada,
alineada con el contexto de gestión de riesgos de la
organización.
• Criterio de aceptación del riesgo.
Evaluación del riesgo de alto nivel documentada
17
8.3 Seleccionar objetivos de
control y controles
16
Identificar la necesidad de una evaluación del riesgo más
detallada
Evaluación de riesgos detallada
8. Realizar una evaluación del
riesgo y Seleccionar Opciones
de Tratamiento del Riesgo
Resultados totales de la evaluación de riesgos
Riesgos y las opciones identificadas para el tratamiento
del mismo
8.4 Obtener aprobación de
la dirección para
implementar un SGSI
17
19
Aprobación de la dirección
del riesgo residual
18
Aprobación de la dirección documentada del riesgo
residual propuesto (debería ser la salida de 8.4)
20
Autorización de la dirección
para implementar y operar
el SGSI
19
Autorización de la dirección documentada para
implementar y operar SGSI (debería ser la salida de 8.4)
21
Preparar declaración de
aplicabilidad
18
18
Objetivos de control y controles para la reducción de
riesgos seleccionados.
Declaración de aplicabilidad
 9 Diseñar el
SGSI
DESCRIPCION DE LA LISTA DE VERIFICACION
FASE DE IMPLEMENTACIÓN
ACTIVIDAD, REFERENCIA ISO/IEC
ISO/IEC 27003
NRO. DE PASO
27003
PASO PREREQUISITO
DOCUMENTO DE SALIDA
Estructura de la organización y sus roles y responsabilidades
relacionados con la seguridad de la información
22
9.2 Diseñar la seguridad de la
organización
20
• Identificación de documentación relacionada al SGSI
• Plantillas para los registros del SGSI e instrucciones para su
uso y almacenamiento
Documento de política de seguridad de información
Línea base de políticas de seguridad de la información y
procedimientos (y si es aplicable planes para desarrollar
políticas, procedimientos, etc. específicos)
23
9.3 Diseñar la seguridad de la
información física y de las TIC
20, 21
24
9.4 Diseñar la seguridad de la
información específica del SGSI
22,23
9 Diseñar el SGSI
Implementación del plan de proyecto para el proceso de
implementación para los controles de seguridad físicos y de
las TIC seleccionados
Procedimientos describiendo el reporte y los procesos de
revisión por la dirección.
25
Descripciones para auditorías, seguimientos y mediciones
26
Programa de entrenamiento y concientización
27
28
9.5 Producir el plan final del
proyecto SGSI
El plan final del proyecto SGSI
25
28
Plan de proyecto de implementación aprobado por la
dirección para los procesos de implementación
Plan de proyecto de implementación del SGSI especifico de la
organización cubriendo el plan de ejecución de las actividades
para seguridad de la información organizacional, física y de las
TIC, así como también los Requerimientos específicos para
implementar un SGSI de acuerdo al resultado de las
actividades incluidas en ISO/IEC 27003
CASO PRÁCTICO
CASO FICTICIO: Aplicación de la NTP/ISO 27003 en la Fábrica de
Software WANCA-SOFT
I. OBTENCIÓN DE LA APROBACIÓN DE LA DIRECCIÓN PARA LA
IMPLEMENTACIÓN DE UN SGSI
 Permitió que la alta gerencia de la empresa entendiera la
importancia del proyecto y la necesidad del apoyo del
recurso humano.
 Esta fase fue exitosa gracias a que se mostraron puntos tales
como: cumplimiento y rendimiento de la inversión de una
forma eficaz, haciéndoles entender que si una organización
cumple con la normatividad sobre protección de datos
sensibles, privacidad y control de TI, los resultados a futuro
mejorarían de forma sustancial el impacto estratégico de la
compañía, y aunque represente un gasto considerable,
genera así mismo a futuro un Retorno de la Inversión (ROI
– Return Over Investment).
II. DEFINIR ALCANCE Y POLÍTICA DE UN SGSI
 Por la complejidad de la implementación de la norma,
se recomendó definir de manera sistemática el alcance
del proyecto, en las áreas de DESARROLLO DE
SOFTWARE y SEGURIDAD DE RECURSOS
HUMANOS.
III. REALIZAR UN ANÁLISIS DE LA ORGANIZACIÓN
- Identificación de activos dentro del alcance del SGSI
III. REALIZAR UN ANÁLISIS DE LA ORGANIZACIÓN
-
Evaluación de seguridad de la información en relación a los
recursos humanos:
Tuvo como objetivo evaluar si los empleados, contratistas y usuarios
de terceras partes, entienden sus responsabilidades y son aptos para
ejercer las funciones para las cuales fueron considerados, con el fin
reducir el riesgo de hurto, fraude o uso inadecuado de las
instalaciones.
IV. EVALUACIÓN DEL RIESGO Y SELECCIÓN DE OPCIONES DE
TRATAMIENTO DEL RIESGO
 Se realizo una evaluación del riesgo. La evaluación de riesgo se dio
sobre el proceso de Desarrollo de Software y los Recursos Humanos
COD.
EVENTO
RIESGO
EVENTO RIESGO
FACTOR
RIESGO
FALLA
ER01
El antivirus instalado no
Virus
detecto virus o un
desactualiza
código malicioso
Tecnología do
ER02
El operador de
monitoreo no identifico
el espionaje por parte
de un hacker a nuestro
sistema y BBDD
Personal
ER03
Las transacciones
realizadas a través de
nuestra página web no
se terminan de
completar
CONSECUENCIA
Perdida de
información
Robo de
información
Sabotaje a
Falta de
nuestro
capacitación Sistema
Fallas en el
servidor de
Tecnología aplicaciones
Perdida de
nuestra buena
imagen
institucional
CONTROLES
PROBABILIDAD
IMPACTO
Actualizacion
es
automáticas 2 - Improbable 4 - Mayor
Ninguno
5Catastrófic
2 - Improbable o
NIVEL DE
EXPOSICION
8
ESTRATEGIA DE
ADMINISTRACION
DE
RIESGOS
Evitar el
riesgo
10
Evitar el
riesgo
12
Ninguno
4 – Probable
4 - Mayor
Reducir el
Riesgo
COD.
EVENTO
RIESGO
ER04
EVENTO RIESGO
Los cálculos con
números de punto
flotante son
incorrectos
ER05
El personal de
seguridad no
detecto el ingreso
de persona extraña
a la empresa
ER06
El programador
comparte
metodología de
desarrollo con
personal externo
ER07
El programador se
lleva el código y la
información de
BBDD a su casa
FACTOR
RIESGO
FALLA
CONSECUENCIA
Tecnología
El software de
desarrollo
trabaja a 8
decimales de
punto flotante
Cálculos
incorrectos
Alteración de
resultados
Personal
El personal de
seguridad no
conoce a las
personas que
laboran
Suplantación de
identidad
Hurto de
información
por personal
externo
Personal
Desconocimient
o de políticas de
personal
Falta de
compromiso
Plagio de la
metodología
de desarrollo
Divulgación de
información
Personal
Desconocimient
o de políticas de Robo de
personal
información
CONTROLES
PROBABILIDAD
ESTRATEGIA DE
NIVEL DE
ADMINISIMPACTO
EXPOSICION TRACION
DE
RIESGOS
12
Ninguno
3 – Posible
Asumir el
riesgo
4 - Mayor
10
Revisión de
fotocheck
5Catastrófic
2 - Improbable o
Evitar el
riesgo
15
Ninguno
Ninguno
3 – Posible
5Catastrófic
o
4 – Probable
5Catastrófic
o
Reducir el
riesgo
20
Reducir el
riesgo
V. DISEÑAR EL SGSI
MUCHAS GRACIAS
CONTENIDO
 TEMA 1 : Modulo: Dirección de Proyectos de TI




Gestión de riesgos – Reserva de Contingencia y de Gestión
TEMA 2 : Modulo: Gestión de Riesgos de TI
Gestión de Riesgos de TI – desde la perspectiva de la
Seguridad de Información
TEMA 3 : Modulo: Redes inalámbricas
¿Cómo afecta las estructuras de los ambientes y como se
realiza un mapa de cobertura para redes indoor?
TEMA 4 : Modulo: Seguridad de la información
ISO 27003
TEMA 5 : Modulo: Seguridad de la información
Proxys en seguridad de la información
TEMA 5: SEGURIDAD DE LA INFORMACION
PROXYS EN LA SEGURIDAD DE LA INFORMACIÓN
 NTP-ISO/IEC 17799:2007 - Tecnología de la información Código de buenas prácticas para la gestión de la seguridad
de la información equivalente al ISO/IEC 17799:2005 Information technology - Code of practice for information
security management
(denominada también como ISO 27002)
 La información es un activo que, como otros activos
importantes del negocio, tiene valor para la
organización y requiere en consecuencia una
protección adecuada.
Clausulas :
 Cada cláusula contiene un número de categorías principales de seguridad.
Las 11 cláusulas (acompañadas por el número de categorías principales de
seguridad incluidas en cada cláusula) son:
1.
Política de seguridad
2. Organizando la seguridad de información
3.
Gestión de activos
4. Seguridad en recursos humanos
5. Seguridad física y ambiental
6. Gestión de comunicaciones y operaciones
7. Control de acceso
8. Adquisición, desarrollo y mantenimiento de sistemas de información
9. Gestión de incidentes de los sistemas de información
10. Gestión de la continuidad del negocio
11. Cumplimiento
7ma clausula Control de Acceso
1 Requisitos de negocio para el control de acceso.
1.1 Política de control de acceso.
2 Gestión de acceso de usuario.
2.1 Registro de usuario.
2.2 Gestión de privilegios.
2.3 Gestión de contraseñas de usuario.
2.4 Revisión de los derechos de acceso de usuario.
3 Responsabilidades de usuario.
3.1 Uso de contraseñas.
3.2 Equipo de usuario desatendido.
3.3 Política de puesto de trabajo despejado y
pantalla limpia.
4 Control de acceso a la red.
4.1 Política de uso de los servicios en red.
4.2 Autenticación de usuario para conexiones
externas.
4.3 Identificación de los equipos en las redes.
4.4 Protección de los puertos de diagnóstico y
configuración remotos.
4.5 Segregación de las redes.
4.6 Control de la conexión a la red.
4.7 Control de encaminamiento (routing) de red.
5 Control de acceso al sistema operativo.
5.1 Procedimientos seguros de inicio de sesión.
5.2 Identificación y autenticación de usuario.
5.3 Sistema de gestión de contraseñas.
5.4 Uso de los recursos del sistema.
5.5 Desconexión automática de sesión.
5.6 Limitación del tiempo de conexión.
6 Control de acceso a las aplicaciones y a la información.
6.1 Restricción del acceso a la información.
7 Ordenadores portátiles y teletrabajo.
7.1 Ordenadores portátiles y comunicaciones móviles.
7.2 Teletrabajo.
1. Requisitos de negocio para el control de accesos
 OBJETIVO: Controlar los accesos a la información.
1.1 Política de control de accesos
 Control
 Una política de control de acceso debe ser establecida,
documentada y revisada y debe estar basada en los
requerimientos de seguridad y del negocio.
 Guía de implementación
 Establecer en una política de accesos las reglas y los derechos de cada
usuario o grupo de usuarios(lógico y físico).
 Esta política debería contemplar lo siguiente:
 Requisitos de seguridad de cada aplicación de negocio individualmente.
 Políticas para la distribución de la información y las autorizaciones.
 Perfiles de acceso de usuarios estandarizados según las categorías
comunes de trabajos;
 Segregación de los roles de control de acceso
 Requerimientos para la autorización formal de los pedidos de acceso
 Retiro de los derechos de acceso
2. Gestión de acceso de usuarios
 OBJETIVO: Asegurar el acceso autorizado de usuario y
prevenir accesos no autorizados a los sistemas de
información.
 Se debería establecer procedimientos formales para
controlar la asignación de los derechos de acceso a los
sistemas y servicios.
2.1 Registro de usuarios
 Control
 Se debería formalizar un procedimiento de registro de
altas y bajas de usuarios para garantizar el acceso a los
sistemas y servicios de información multiusuario.
 Guía de implementación
 Se debería controlar el acceso a los servicios de información
multiusuario mediante un proceso formal de registro que
debería incluir :
 La comprobación de la autorización del usuario por el
propietario del servicio para utilizar el sistema o el servicio de
información.
 Verificación de la adecuación del nivel de acceso asignado al
propósito del negocio y su consistencia con la política de
seguridad.
 La eliminación inmediata de las autorizaciones de acceso a los
usuarios que dejan la organización o cambien de trabajo en
ella.
2.2 Gestión de privilegios
 Control
 Debería restringirse y controlarse el uso y asignación de
privilegios.
 Guía de implementación
 Se debería controlar la asignación de privilegios por un
proceso formal de autorización en los sistemas
multiusuario. Se deberían considerar los pasos siguientes:
 Identificar los privilegios asociados a cada elemento del
sistema(S.O.,SGBD; así como las categorías de empleados que
necesitan de ellos)
 Asignar privilegios a los individuos según los principios de
“necesidad de su uso” y “caso por caso”.
 A partir de lo descrito se puede establecer políticas de Acceso a
Internet a los usuarios, esta política es enmarcado de la siguiente
manera:
 Política de Acceso a Internet
 El Responsable de Seguridad de la Información debe definir
procedimientos para solicitar y aprobar accesos a Internet. Se debe
definir las pautas de utilización de Internet para todos los usuarios.
 Evaluar la conveniencia de generar un registro de los accesos de los
usuarios a Internet, con el objeto de realizar revisiones de los
accesos efectuados. Para ello, el Responsable de Seguridad de la
Información junto con el Responsable del Área de Informática debe
analizar las medidas a ser implementadas para efectivizar dicho
control, como ser la instalación de “firewalls”, “proxies”, entre otros.
PROXY
 Según el manual del servidor httpd del CERN(The
CERN httpd), también conocido como W3C httpd es
un servidor de hipertexto caracterizado que puede
usarse como un servidor regular HTTP, es de dominio
público genérico.
 “Un (servidor) proxy es un servidor HTTP que se
ejecuta normalmente en una máquina firewall,
permitiendo el acceso al mundo exterior (Internet) a
los usuarios, dentro del firewall (red local o Internet)".
[Fuente: Biblioteca Digital de la INEI http://www.inei.gob.pe/Biblioinei4.asp ]
Requisitos
 Puede ser cualquier computadora mientras cumpla
con los requisitos de hardware, lo importante aquí es
el software eso es lo que hace un servidor
Arquitectura del Servidor Proxy
CASO PRACTICO
 Se realizara e siguiente caso ficticio de la empresa
Wanka Soft para establecer:
 Políticas y normas de Servicio a internet
 Formato para solicitud de corrección de política de
seguridad, pagina web o servicio de red.
 Configuración del Servidor Proxy con SQUID para
cumplir las Políticas y normas de Servicio a internet para
los Trabajadores de Wanka Soft
Configuración del Proxy
 Revisión de Configuración del Firewall
[[email protected] ~]# cat /root/firewall
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORDWARD DROP
echo 1 > /proc/sys/net/ipv4/ip_forward
#Se hace NAT para que la red 50.0 que sera la red source(origen) salga
#por la eth0 de manera enmascarada
iptables -t nat -A POSTROUNTING -s 192.168.50.0/24 -o eth0 -j MASQUERADE
#La maquina tiene que abrir puertos como servidor
#(por conectarse usando un SSH remoto)
#Abriendo SSH como servidor
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
#Abriendo 3128 Proxy como servidor
iptables -A INPUT -p tcp --dport 3128 -j ACCEPT
iptables -A OUTPUT -p tdp --sport 3128 -j ACCEPT
#Abriendo puerto para la navegacion del servidor proxy
iptables -A INPUT -p tcp --sport 80 -j ACCEPT
iptables -A OUTPUT -p tdp --dport 80 -j ACCEPT
iptables -A INTPUT -p udp --sport 53 -j ACCEPT
#Regla de redirección - Todo lo venga del puerto 80 se ira
#al puerto 3128/al puerto del PROXY
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
Instalación de squid
 Revisión de Configuración del Firewall
[[email protected] ~]# yum install squid
 Archivos de configuración del squid
#Puerto de proxy 3128 de manera transparente
http_port 3128 transparent
cache_mem 100MB
cache_dir ufs /var/spool/squid 150 16 256
acl red_local src 192.168.50.0/24
acl localhost src 127.0.0.1/32
#bloqueo con archivo externo
acl bloqueo url_regex -i "/etc/squid/listas/bloqueadas"
#bloqueo puntual
acl bloqueo url_regex -i www.cisco.com
acl all src all
http_access allow localhost
|http_access deny bloqueo
http_access deny bloqueo1
http_access allow red_local
http_access deny all
visible_hostname WankaSoft
 Revisión de archivo a usar para bloqueo de paginas web
facebook.com
hotmail.com
peru.com
MUCHAS GRACIAS
CONTENIDO
 TEMA 1 : Modulo: Dirección de Proyectos de TI




Gestión de riesgos – Reserva de Contingencia y de Gestión
TEMA 2 : Modulo: Gestión de Riesgos de TI
Gestión de Riesgos de TI – desde la perspectiva de la
Seguridad de Información
TEMA 3 : Modulo: Redes inalámbricas
¿Cómo afecta las estructuras de los ambientes y como se
realiza un mapa de cobertura para redes indoor?
TEMA 4 : Modulo: Seguridad de la información
ISO 27003
TEMA 5 : Modulo: Seguridad de la información
Proxys en seguridad de la información
Descargar

TEMA 4 : Modulo