Diapositiva 1

TEMA1: GESTION DE PROYECTOS GESTION DE RIESGOS / RESERVAS DE CONTINGENCIA Y DE GESTION

Figura 1: Fases del proyectoFuente: Guia del PMBOK 4ta EdicinCONTENIDOTEMA 1 : Modulo: Direccin de Proyectos de TI Gestin de riesgos Reserva de Contingencia y de Gestin TEMA 2 : Modulo: Gestin de Riesgos de TI Gestin de Riesgos de TI desde la perspectiva de la Seguridad de InformacinTEMA 3 : Modulo: Redes inalmbricas Cmo afecta las estructuras de los ambientes y como se realiza un mapa de cobertura para redes indoor?TEMA 4 : Modulo: Seguridad de la informacin ISO 27003TEMA 5 : Modulo: Seguridad de la informacin Proxys en seguridad de la informacin

TEMA3: REDES INALMBRICAS COMO AFECTA LAS ESTRUCTURAS DE LOS AMBIENTES Y COMO SE REALIZA UN MAPA DE COBERTURA PARA REDES INDOOREs indispensable entender fsicamente cmo las ondas electromagnticas se propagan e interactan con el medio ambiente. Las ondas electromagnticas

Figura 1: La relacin entre frecuencia, longitud de onda y amplitud y periodoVelocidad (v) = Frecuencia (f) * Longitud de Onda () TEMA 4: SEGURIDAD DE LA INFORMACION - ISO 27003 TCNICAS DE SEGURIDAD. DIRECTRICES PARA LA IMPLEMENTACIN DE UN SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACINEl Sistema de Gestin de Seguridad de la Informacin ISMS es la parte del sistema integral de gestin, basado en un enfoque del riesgo de la informacin para establecer , implementar , operar, monitorear, revisar, mantener y mejorar la seguridad de la informacin. [NTP-ISO/IEC 27001]

Figura 1 Modelo PDCA aplicado al proceso ISMSTEMA 5: SEGURIDAD DE LA INFORMACION PROXYS EN LA SEGURIDAD DE LA INFORMACINNTP-ISO/IEC 17799:2007 - Tecnologa de la informacin - Cdigo de buenas prcticas para la gestin de la seguridad de la informacin equivalente al ISO/IEC 17799:2005 - Information technology - Code of practice for information security management (denominada tambin como ISO 27002)

Anlisis de Reserva en la Estimacin de CostosLas estimaciones de costos pueden incluir reservas para contingencias (llamadas a veces asignaciones para contingencias) para tener en cuenta la incertidumbre del costo. La reserva para contingencias puede ser un porcentaje del costo estimado, una cantidad fija, o puede calcularse utilizando mtodos de anlisis cuantitativos.Anlisis de Reserva en el Determinacin del PresupuestoEl anlisis de reserva del presupuesto puede establecer tanto las reservas para contingencias como las reservas de gestin del proyecto

Las reservas para contingencias son asignaciones para cambios no planificados, pero potencialmente necesarios, que pueden resultar de riesgos identificados en el registro de riesgos. Las reservas de gestin son presupuestos reservados para cambios no planificados al alcance y al costo del proyecto.La Gestin de los Riesgos del ProyectoDescribe los procesos involucrados en la identificacin, anlisis y control de los riesgos para el proyecto.Monitorear y Controlar los Riesgos: Es el proceso por el cual se implementan planes de respuesta a los riesgos, se rastrean los riesgos identificados, se monitorean los riesgos residuales, se identifican nuevos riesgos y se evala la efectividad del proceso contra los riesgos a travs del proyectos

Figura 3: Gestin de CostosFuente: Guia del PMBOK 4ta Edicin

Anlisis de Reserva en el Monitoreo y Control de RiesgosA lo largo de la ejecucin del proyecto, pueden presentarse algunos riesgos, con impactos positivos o negativos sobre las reservas para contingencias del presupuesto o del cronograma. El anlisis de reserva compara la cantidad de reservas para contingencias restantes con la cantidad de riesgo restante en un momento dado del proyecto, con objeto de determinar si la reserva restante es suficiente Costo del PresupuestoLa Reserva de Contingencia es para las incgnitas conocidas (known unknowns), los elementos que se identifican en la gestin de riesgos. Estas reservas cubren riesgos residuales del proyecto. La reserva de contingencia se calcula y es una parte del coste de referencia. La Reserva de Gerenciamiento o Gestin es para las incgnitas desconocidas (unknown unknowns), los elementos que no se puede identificar en la en la gestin de riesgos. Las reservas de gestin se estima (por ejemplo, el 5% del costo del proyecto) y forma parte del presupuesto del proyecto, no de la lnea base.

Figura 4: Costo del PresupuestoCASO PRACTICO- PRESUPUESTO DE PROYECTO -En el siguiente ejemplo se realizara el presupuesto de un proyecto de TI de la empresa Wanka Soft para el proceso de Compras en la cual se abordara la estimacin de la Reserva de Contingencia y Reserva de Gestin desde el punto de vista de un Anlisis de Riesgo, las tareas a realizar son:Identificacin de RiesgosValor Inicial esperado del riesgoCostos de Contencin / Prevencin de RiesgosValor Final esperado del RiesgoReserva de Contingencia del RiesgoReserva de Gestin

Identificacin de RiesgosEn primer lugar se identifican los riesgos positivos y negativos del proyecto. En el desarrollo del del proyecto se identificaron dos riesgos (uno para una amenaza y otro para una oportunidad del proceso de compras), conforme se muestra en la Tabla 1.

ID RiesgoCausa RazEfecto1Amenaza: El Analista no tiene el dominio necesario de la herramienta para el desarrollo del los diagramas de UMLAumento de las horas de desarrollo y atraso del proyecto2Oportunidad: Mejorar el proceso de compras de la empresaAdquisicin de equipos y productos a precios ms bajosTabla 1: Registro de RiesgosValor Inicial Esperado de RiesgoCuando se realiza la estimacin de la probabilidad y el impacto de cada riesgo, se genera lo que es la medida de la exposicin al riesgo, llamado el valor esperado o valor monetario esperado. (EMV - El valor monetario esperado). Valor Esperado de Riesgo = Probabilidad x Impacto El siguiente es el anlisis de la probabilidad e impacto inicial de riesgo (Tabla 2).

Medida de Exposicin al RiesgoID RiesgoCausa RaizEfectoProbabilidad Impacto S/.Valor Esperado S/.1Amenaza: El Analista no tiene el dominio necesario de la herramienta para el desarrollo del los diagramas de UMLAumento de las horas de desarrollo y atraso del proyecto50%30,000.0015,000.002Oportunidad: Mejorar el proceso de compras de la empresaAdquisicin de equipos y productos a precios ms bajos1%-20,000.00-200.00Valor Esperado Inicial de Riesgo14,800.00Tabla 2: Valor esperado Inicial de RiesgoCostos de Contencin / Prevencin de RiesgosLas amenazas o riesgos que pueden causar un impacto negativo en el proyecto deben ser evitados o reducidos a travs de acciones de contencin o prevencin de riesgos. Los riesgos positivos u oportunidades necesitan que su probabilidad e impacto sean mayores. A continuacin se analiza la contencin / prevencin de riesgo (Tabla 3).

Tabla 3: Costo de Contencin/PrevencinContencin / PrevencinID RiesgoReaccinEstrategiaCosto S/.1Pagar un curso avanzado de la herramienta para el analistaMitigar: reducir la probabilidad que el riesgo ocurraS/. 3,200.002Contratar 80 horas de un especialista de comprasMejorar: Aumentar la probabilidad que ocurra el eventoS/. 4,800.00Costo Total de la Contencin/PrevencinS/. 8,000.00Suma de Paquetes de TrabajoS/. 100,000.00Contencin /Prevencin de RiesgosS/. 8,000.00Costo del ProyectoS/. 108,000.00Tabla 4: Costo de ProyectoValor Final Esperado del RiesgoLa formacin que se ofrece al analista no elimina el riesgo 1, pero reduce su probabilidad de 50% a 20%, pero el impacto se mantiene sin cambios. Al multiplicar la probabilidad por el impacto se obtiene el valor esperado de S/. 6,000.00 (ver Tabla 5)En el segundo riesgo, la contratacin de un especialista aument la probabilidad de exposicin positiva se produce de 1% a 10%, tambin sin alterar su impacto. As se obtiene un valor esperado de (S/. 2,000.00)El valor esperado de los Riesgos del Proyecto se reduce a S/. 4,000.00

Tabla 5: Valor Esperado Final de RiesgoRiesgo despus de la Contencion /PrevencionID RiesgoProbabilidad Impacto S/.Valor Esperado S/.120%30,000.006,000.00210%-20,000.00-2,000.00Valor Esperado Final de Riesgo4,000.00Reserva de Contingencia del RiesgoSegn la Gua del PMBOK "Las reservas para contingencias son asignaciones para cambios no planificados, pero potencialmente necesarios, que pueden resultar de riesgos identificados en el registro de riesgos.As, para cada riesgo identificado, definimos la reaccin a ser tomada si el riesgo se produce y estimar su costo. Si el riesgo se cierra sin ocurrir, su reserva de contingencia se libera

Tabla 6: Reserva de ContingenciaID RiesgoContingencia en caso de ocurrir un riesgoReaccinCosto1Contratacin de 100 horas de un especialista en la herramientaS/. 12,000.002No se aplica-Total de Reserva de ContingenciaS/. 12,000.00La reserva de contingencia se debe agregar al costo del proyecto para generar el valor base del proyecto (ver Tabla 7).

Tabla 7: Valor Base del ProyectoCosto del ProyectoS/. 108,000.00Reserva de ContingenciaS/. 12,000.00Valor Base o Lnea Base de Costos del ProyectoS/. 120,000.00Reserva de GestinLas Reservas de Gestin no son parte de la lnea de base del costo, pero puede ser incluido en el presupuesto total del proyecto. En este ejemplo se utilizar una reserva del 5% del costo del proyecto.La Reserva de Gestin debe ser sumada a la lnea base de costos del proyecto para que junto al valor esperado de riesgos den lugar al presupuesto total del proyecto.

Tabla 8: Presupuesto TotalValor Base o Lnea Base de Costos del ProyectoS/. 120,000.00Valor esperado final de riesgosS/. 4,000.00Reserva de Gestin (5% del Costo del Proyecto de S/. 108,000.00)S/. 5,400.00Presupuesto TotalS/. 129,400.00MUCHAS GRACIASCONTENIDOTEMA 1 : Modulo: Direccin de Proyectos de TI Gestin de riesgos Reserva de Contingencia y de Gestin TEMA 2 : Modulo: Gestin de Riesgos de TI Gestin de Riesgos de TI desde la perspectiva de la Seguridad de InformacinTEMA 3 : Modulo: Redes inalmbricas Cmo afecta las estructuras de los ambientes y como se realiza un mapa de cobertura para redes indoor?TEMA 4 : Modulo: Seguridad de la informacin ISO 27003TEMA 5 : Modulo: Seguridad de la informacin Proxys en seguridad de la informacin

La informacin es un activo que, como otros activos importantes del negocio, tiene valor para la organizacin y requiere en consecuencia una proteccin adecuada.

CONFIDENCIALIDADGarantizar que la informacin sea accesible nicamente para quienes tengan acceso autorizado [NTP-ISO/IEC 27001:2008]Se refiere al hecho de que solo tienen acceso a la informacin de la red o que circulan por ella las personas autorizadas.

ASPECTOS A EVALUAR A NIVEL DE INFORMACIN ELECTRNICA

INTEGRIDADSalvaguardar la exactitud e integridad de la informacin y activos asociados [NTP-ISO/IEC 27001:2008]La informacin no debe cambiar mientras se esta transmitiendo o almacenando. Nadie puede modificar el contenido de la informacin a los archivos y aun menos eliminarlos

DISPONIBILIDADGarantizar que los usuarios autorizados tengan acceso a la informacin y activos asociados cuando sea necesario [NTP-ISO/IEC 27001:2008]Se refiere al hecho de que los usuarios que necesitan la informacin siempre tienen acceso a ella.

AUTENTICACIONEl acto de verificar la identidad de un usuario y su elegibilidad para acceder a la informacin computarizada. La autenticacin est diseada para proteger contra conexiones de acceso fraudulentas. [COBIT Control Objectives for Information and Related Technology - 4.1]Se utiliza para asegurar de que las partes involucradas son quienes dicen ser.

CONTROL DE ACCESSOEl proceso que limita y controla el acceso a los recursos de un sistema computacional; un control lgico o fsico diseado para brindar proteccin contra la entrada o el uso no autorizados. [COBIT Control Objectives for Information and Related Technology - 4.1] El control del acceso verifica si el usuario tiene derecho a acceder al servicio y la informacin, lo que significa que solo las personas autenticadas pueden obtener acceso

IRREFUTABILIDAD (NO REPUDIO)Requiere que ni el emisor ni el receptor del mensaje puedan negar la transmisin y que forma parte de algn tipo de accin.ANLISIS DE RIESGOS DESDE LA PERSPECTIVA DE LA SEGURIDAD DE LA INFORMACIONDefinir el alcance y lmites de la SGSIDefinir una poltica de la SGSIDefinir un enfoque sistemtico para la evaluacin del riesgo en la organizacinIdentificar RiesgosIdentificar los activos dentro del alcance de la SGSI y los propietarios de estos activos.Identificar amenazas a esos activosIdentificar las vulnerabilidades que podran explotarse mediante estas amenazas.Identificar los impactos de prdidas de confidencialidad, integridad y disponibilidad sobre los activosAnalizar y Evaluar los riesgosEvaluar los daos comerciales que podran resultar de una falla de seguridad, considerando las consecuencias potenciales de una perdida de confidencialidad, integridad o disponibilidad de los activos.Evaluar las posibilidades de falla de seguridad, teniendo en cuenta las amenazas, vulnerabilidades e impactos asociados con estos activos y los controles implementados actualmente Estimar los niveles de los riesgos.Determinar si el riesgo es aceptable o requiere tratamiento usando el criterio establecido.Identificar y evaluar opciones para el tratamiento de riesgo.

CASO PRACTICO- TRANSFERENCIA DE FONDOS -CASO: La Superintendencia Nacional de Aduanas y Administracin Tributaria (SUNAT) desea realizar el envi del proceso de transferencia de fondos de lo recaudado todos los das hbiles a las cuentas que los entes beneficiarios tienen en el Banco de la Nacin a travs de un archivo plano, cuando el proceso se realice el Banco de la Nacin enviara una respuesta de xito a travs de otro archivo plano conteniendo el resultado de la Transferencia. Se desea analizar los aspectos de la seguridad de la informacin para el presente caso.

Diagrama de ContextoEstructura del ArchivoEl Operador de SUNAT enviara el archivo que contendr informacin del movimiento a realizarse en una de las cuentas de los entes beneficiarios todos los das hbiles. Cada campo tendr una longitud fija, los campos sern:CampoLongitudNro de Operacin 8 caracteresFecha8 caracteres, formato AAAAMMDDCdigo de ente 3 caracteresNro. de cuenta10 caracteresMonto13 enteros y 2 decimales, sin punto decimal, completado con ceros en la parte inicialChecksum10 dgitosEjemplo:800000012012100626400002152950000000369882030018845355Donde:Nmero de Operacin: 80000001Fecha: 06/10/2012Ente: 264 Nmero de cuenta: 0000215325Monto: 369,882.03Checksum: 0018845355Lgica de checksum Function CampoControlIntegridad(piImporte As Double, psNroOper As String, psCuenta As String) As StringDim iDivEntera As CurrencyDim iControl As CurrencyDim sCadControl As String * 10Dim sChecksum As String * 10CampoControlIntegridad = "0000000000"iDivEntera = piImporte / 100iControl = iDivEntera + psNroOper + psCuentasChecksum = iControl USING ##########CampoControlIntegridad = sChecksumEnd FunctionEnvo de los archivosLos archivos planos sern enviados al Banco de la Nacin mediante protocolo FTP al Servidor 255.50.3.24 entre las 05:00 PM y 05:59 PM.

Recepcin de respuesta del Banco de la NacionPor cada archivo remitida por SUNAT, el Banco de la Nacion deber generar un archivo de respuesta, el cual deber copiar el operador de SUNAT desde el servidor del Banco de la Nacin. Este archivo plano permitir validar la recepcin de los archivos enviados y la ejecucin de la transferencia. El archivo de respuesta tendr la siguiente nomenclatura:CampoTipoLong.ObservacinTipo de Registro Texto01H = Cabecera Fecha Numrico08 Formato AAAAMMDDCantidad de RegistrosNumrico06Cantidad de registros remitidos por SUNAT.Registros con error de integridadNumrico06Cantidad de registros con error de integridadRegistros con error de validacinNumrico06Cantidad de registros con error de validacinCampoTipoLong.ObservacinTipo de Registro Texto01D = DetalleNmero de Cuenta Numrico10Nmero cuenta de enteImporte Numrico15Cdigo de resultadoTexto03Descripcin del resultadoTexto30Cabecera: AAAAMMDD_CAB.out

Detalle: AAAAMMDD_DET.outContenido del archivo de respuesta Errores de IntegridadI01 FECHA NO CORRESPONDEI02 CUENTA ERRADAI03 IMPORTE NO NUMERICOI04 CHECKSUM ERRADOI05 NO COINCIDE EL TOTAL DE CARGOS Y ABONOSErrores de validacinV01 CUENTA SIN SALDO SUFICIENTECdigo de resultado exitoso:R00 PROCESO OK

Procesamiento de la respuesta Si el nmero de registros de error de integracin y de error de validacin es igual a cero, significa que la transferencia se realiz con xito por lo cual se realizar lo siguiente:Se guardar como fecha de envo la fecha en que fueron enviados los archivos al Banco de la Nacin. Se actualizar el estado de la Nro de Operacin.Si el nmero de registros de error de integracin o validacin es mayor a cero:Se enviar un correo a los responsables del Negocio informando el error. A este correo se le adjuntar el archivo enviado por el Banco de la Nacin

Analisis de RiesgosFACTORRIESGOFACTOR RIESGOCONSE-CUENCIACONTROLESPROBAB.IMPACTONIVEL DE EXPOSICIONESTRATEGIACONFIDEN-CIALIDADEl Operador dio la cuenta y password del Servidor 255.50.3.24 a otro ColaboradorPersonalSe pueden ingresar archivos fraudulentosEstablecer poltica de seguridad a fin que solo los Operadores de SUNAT y BN deben tener acceso al Servidor 255.50.3.24 para enviar y recepcionar los archivos va FTP. Asimismo en caso se cambie de personal se deber usar una contrasea nueva.3 - Posible4 - Mayor12Evitar el riesgoINTEGRIDADAlgn agente modifico los datos del archivo plano.PersonalLas cuentas y los montos pueden ser equivocadosPerdida de imagen institucionalUsar el cdigo CampoControlIntegridad() para encriptar la informacin a travs de un Cdigo de CHECKSUMReportar a travs de los errores de Integridad descritos2 - improbable5 - Catastro-fico10Evitar el riesgoDISPONIBI-LIDADEl Operador no tiene el archivo de Transferencia de Fondos en la horas establecidasTecnologaInterrupcin del Proceso de transferencia.Perdida de imagen institucionalVerificar que el proceso que prepara los archivos a enviar este conforme una hora antes de la hora establecida2 - improbable4 - Mayor8Reducir el riesgoFACTORRIESGOFACTOR RIESGOCONSE-CUENCIACONTROLESPROBAB.IMPACTONIVEL DE EXPOSICIONESTRATEGIAAUTENTICA-CIONEl Operador no envi el correo al Operador del BN para informar que se esta enviando el archivoPersonalRetraso en el Proceso de Transferencia de FondosEl proceso de envo del archivo debe ser automatizado (La ejecucin del envo del archivo a travs de un proceso automatizado que se encargara de enviarlo va FTP y asimismo deber enviar un correo al Operador del BN ) 3 - Posible4 - Mayor12Reducir el riesgoCONTROL DE ACCESSOEl Operador dio la cuenta y password a otro ColaboradorPersonalSe pueden ingresar archivos fraudulentosEstablecer poltica de seguridad a fin que solo los Operadores de SUNAT y BN deben tener acceso al Servidor 255.50.3.24 para enviar y recepcionar los archivos va FTP. Asimismo en caso se cambie de personal se deber usar una contrasea nueva3 - Posible4 - Mayor12Evitar el riesgoIRREFUTA-BILIDADEl Operador de SUNAT no envi el correo informando el envo de archivoPersonalRetraso en el Proceso de Transferencia de FondosEl proceso de envo del archivo debe ser automatizado (La ejecucin del envo del archivo a travs de un proceso automatizado que se encargara que se encargara de enviarlo va FTP y asimismo deber enviar un correo al Operador del BN ) 2 - Posible4 - Mayor8Reducir el riesgoAnalisis de RiesgosMUCHAS GRACIASCONTENIDOTEMA 1 : Modulo: Direccin de Proyectos de TI Gestin de riesgos Reserva de Contingencia y de Gestin TEMA 2 : Modulo: Gestin de Riesgos de TI Gestin de Riesgos de TI desde la perspectiva de la Seguridad de InformacinTEMA 3 : Modulo: Redes inalmbricas Cmo afecta las estructuras de los ambientes y como se realiza un mapa de cobertura para redes indoor?TEMA 4 : Modulo: Seguridad de la informacin ISO 27003TEMA 5 : Modulo: Seguridad de la informacin Proxys en seguridad de la informacin

PROPAGACIN DE LAS ONDAS ELECTROMAGNTICAS EN IEEE802.11BUna onda electromagntica se propaga en lnea recta solamente en el vaco, en cualquier otro medio puede cambiar su trayectoria debido a la presencia de obstculos o de diferencias en la composicin del medio que atraviesa.

a. Perdida en el Espacio Libre:Cuando una onda se propaga en el espacio, se esparce sobre una superficie cada vez mayor a medida que se aleja del transmisor. FSL (dB) = 20log10 (d) + 20log10 (f) + 32,40 Donde: d= distancia en Km y f= frecuencia en MHz.

b. Mecanismos de Propagacinb.1. AbsorcinCuando las ondas electromagnticas atraviesan algn material, generalmente se debilitan o atenan. La cantidad de potencia perdida va a depender de su frecuencia y por supuesto, del material. La potencia decrece de manera exponencial y la energa absorbida generalmente se transforma en calor

Cuadro 1: Absorcin de materialesb.2. Reflexin:La reflexin de las ondas electromagnticas ocurre cuando una onda incidente choca con una barrera existente (un objeto) y parte de la potencia incidente no penetra el mismo. Las ondas que no penetran el objeto se reflejan

Figura 2: Reflexin de ondas de radio.

El ngulo de incidencia es siempre igual al ngulo de reflexin.Una antena parablica utiliza este efecto para concentrar las ondas de radio que caen sobre su superficie en una direccin comn.b.3. Difraccin:La difraccin ocurre cuando la trayectoria de radio entre el transmisor y el receptor est obstruida por una superficie que tiene irregularidades agudas (bordes). En la difraccin se genera una prdida de potencia de transmisin, donde la potencia de la onda difractada es significativamente menor que el frente de onda que la provoca.Figura 3: Un frente de onda difractado se forma cuando la seal transmitida incidente es obstruida por ngulos cortantes en la trayectoria

b.4. Dispersin:La dispersin ocurre cuando en el camino la seal se encuentra con objetos cuyas dimensiones son pequeas en relacin a la longitud de onda. El resultado es que el frente de onda se rompe o dispersa en mltiples direcciones.Figura 4: Dispersin de una seal transmitida.

b.5. Refraccin:La refraccin es el cambio de direccin de una onda electromagntica conforme pasa oblicuamente de un medio a otro, con diferentes velocidades de propagacin. Por lo tanto, la refraccin ocurre siempre que una onda electromagntica pasa de un medio a otro de diferente densidad.Figura 5: La refraccin de las ondas electromagnticas.

b.6. Multitrayectoria (multipath) Las seales lleguen al receptor a travs de diferentes caminos, y por consiguiente en tiempos diferentes, este fenmeno juega un papel muy importante en las redes inalmbricas por los retardos e interferencia que provocan en las comunicaciones inalmbricas. Figura 6: El fenmeno de la interferencia multitrayectoria

MAPA DE COBERTURAPara realizar el diseo es necesario disponer de un MAPA o croquis, en lo posible a escala, o sino a mano alzada, donde se indiquen dimensiones tales como:Largo y Ancho de la Oficina o Piso del Edificio. Las oficinas dentro del Piso. Material y dimensiones aproximadas, de la paredes de la oficina o piso del edificio, tales como: Concreto Solido, Muro Seco (Drywall), Separaciones de Vidrio, Ladrillo, Metal, Madera,etc.Es necesario contrastar lo terico con lo real y verificar donde se debe optimizar el diseo.Realizar la simulacin a travs de un SoftwareFigura 8: Ingreso a la Plataforma de Simulacin

Podemos observar el resultado en la Figuras 9 de la simulacin con los datos entregados, donde se muestra la cobertura terica obtenida y ser contrastado con el Mapa de Cobertura Real.Para esta operacin, es necesario ir tomando puntos de muestras, dentro de la oficina, piso del edificio o edificio, los que tendrn valores de: potencia, throughput, ping, http, y que sern ingresados en forma automtica, dada la referencia de dimensiones y ubicacin en el MAPA.

Figura 9: Resultado de Plataforma de Simulacin.CASO PRCTICOSe desea conocer el mapa de cobertura inalmbrica de una oficina de una sola planta de la empresa SHALOMARIN que consta de 3 oficinas privadas, una sala de espera, un rea de secretaria y un SS.HH. Las dimensiones aproximadas de la oficina es de 15m. de largo por 14m. de ancho. Las paredes externas de la oficina son de block hueco de cemento rematados con un traba perimetral de concreto armando con varilla de de dimetro, este material tiene un grado de atenuacin muy fuerte, por lo que la seal de AP no logra atravesar dichas paredes. En lo que respecta a las paredes internas, estn construidas de bloque de ceniza, material que presenta una baja oposicin a la seal de radio y permite que el AP cubra toda la oficina.

Figura 11: Plano arquitectnico de la oficina en 3DFigura 12: Plano arquitectnico de la oficina em 2D

Diseo de Mapa de CoberturaSe realiza la medicin del rango de la seal con un cdigo de colores para diferenciar las diferentes magnitudes (verde: ms alto, rojo: ms bajo) y atenuaciones de la seal del AP, evaluando su campo de cobertura con un medidor de intensidad de campo en cada uno de los ambientes (se usa una Laptop con el programa Ekahau HetMapper).

Figura 13: Conexin establecida entra la laptop y el AP shalomarin

Figura 15: Mapa de Cobertura en la Oficina de la empresa SHALOMARINMUCHAS GRACIASCONTENIDOTEMA 1 : Modulo: Direccin de Proyectos de TI Gestin de riesgos Reserva de Contingencia y de Gestin TEMA 2 : Modulo: Gestin de Riesgos de TI Gestin de Riesgos de TI desde la perspectiva de la Seguridad de InformacinTEMA 3 : Modulo: Redes inalmbricas Cmo afecta las estructuras de los ambientes y como se realiza un mapa de cobertura para redes indoor?TEMA 4 : Modulo: Seguridad de la informacin ISO 27003TEMA 5 : Modulo: Seguridad de la informacin Proxys en seguridad de la informacin

El Objetivo del ISO 27003 es proporcionar orientacin prctica en el desarrollo del plan de implementacin para un Sistema de Gestin de Seguridad de Informacin.

PNTP-ISO/IEC 27003:2012 TECNOLOGA DE LA INFORMACIN. Tcnicas de seguridad Directrices para la implementacin de un sistema de gestin de la seguridad de la informacin, que es un equivalente de la ISO/IEC 27003:2010 Information technology -- Security techniques -- Information security management system implementation guidance, esto debido a la falta de documentacin oficial en espaol del presente ISO.

ESTRUCTURA GENERAL DE CAPTULOS:La PNTP-ISO/IEC 27003 explica la implementacin de un SGSI enfocando en la iniciacin, planificacin y definicin del proyecto.

Figura 2 Fases del proyecto SGSIDESCRIPCION DE LA LISTA DE VERIFICACIONFASE DE IMPLEMENTACIN ISO/IEC 27003NRO. DE PASOACTIVIDAD, REFERENCIA ISO/IEC 27003PASO PRE-REQUISITODOCUMENTO DE SALIDA5.Obtener la aprobacin de la direccin para la implementacin de un SGSI 1Obtener objetivos del negocio de la organizacinNinguno Lista de objetivos de negocio de la organizacin2Lograr la comprensin de los sistemas de gestin existentesNinguno Descripcin de sistemas de gestin existentes 35.2 Definir objetivos, necesidades de seguridad de informacin, requerimientos del negocio para un SGSI 1,2 Resumen de los objetivos, necesidades de seguridad de informacin y requerimientos de negocio para el SGSI4 Obtener las normas reglamentarias, de cumplimiento y de la industria aplicables a la empresaNinguno Resumen de las normas reglamentarias, de cumplimiento y de la industria aplicables a la empresa55.3 Definir alcance preliminar del SGSI3,4 Descripcin de alcance preliminar del SGSI(5.3.1)Definicin de roles y responsabilidades del SGSI (5.3.2) 6 5.4 Crear el caso de negocio y el plan de proyecto para aprobacin de la direccin5Caso de negocio y plan de proyecto propuesto 7 5.5 Obtener aprobacin de la direccin y compromiso para iniciar un proyecto para implementar un SGSI6 Aprobacin de la direccin para iniciar un proyecto para implementar un SGSIFASE DE IMPLEMENTACIN ISO/IEC 27003NRO. DE PASOACTIVIDAD, REFERENCIA ISO/IEC 27003PASO PRE-REQUISITODOCUMENTO DE SALIDA6. Definir alcance y poltica de un SGSI Definir lmites organizacionales 7 Descripcin de lmites organizacionales Funciones y estructura de la organizacin Intercambio de informacin a travs de lmites Procesos de negocio y responsabilidad sobre los activos de informacin dentro y fuera del alcance 96.3 Definir lmites de las tecnologas de la informacin y las comunicaciones7 Descripcin de los lmites de las TIC Descripcin de sistemas de informacin y redes de telecomunicacin describiendo lo comprendido y lo fuera del alcance 106.4 Definir lmites fsicos 7 Descripcin de lmites fsicos para el SGSI Descripcin de la organizacin y sus caractersticas geogrficas describiendo alcance interno y externo116.5 Finalizar lmites para el alcance del SGSI8,9,10 Un documento describiendo el alcance y los lmites del SGSI 126.6 Desarrollar la poltica del SGSI 11Poltica del SGSI aprobada por la direccinFASE DE IMPLEMENTACIN ISO/IEC 27003NRO. DE PASOACTIVIDAD, REFERENCIA ISO/IEC 27003PASO PRE-REQUISITODOCUMENTO DE SALIDA7 Realizar un anlisis de la organizacin13 7.2 Definir los requerimientos de seguridad de la informacin que den soporte al SGSI 12Lista de las principales funciones, ubicaciones, sistemas de informacin, redes de comunicacinRequerimientos de la organizacin referentes a confidencialidad, disponibilidad e integridad Requerimientos de la organizacin relacionados a requisitos legales y reglamentarios, contractuales y de seguridad de informacin del negocio Lista de vulnerabilidades conocidas de la organizacin 147.3 Identificar activos dentro del alcance del SGSI 13Descripcin de los principales proceso de la organizacinIdentificacin de activos de informacin de los principales procesos de la organizacin Clasificacin de proceso/activos crticos 15 7.4 Generar una evaluacin de seguridad de la informacin 14 Documento del estado actual de seguridad de la informacin de la organizacin y su evaluacin incluyendo controles de seguridad existentes. Documento de las deficiencias de la organizacin evaluadas y valoradasFASE DE IMPLEMENTACIN ISO/IEC 27003NRO. DE PASOACTIVIDAD, REFERENCIA ISO/IEC 27003PASO PRE-REQUISITODOCUMENTO DE SALIDA8. Realizar una evaluacin del riesgo y Seleccionar Opciones de Tratamiento del Riesgo168.2 Realizar una evaluacin del riesgo15 Alcance para la evaluacin del riesgo Metodologa de evaluacin del riesgo aprobada, alineada con el contexto de gestin de riesgos de la organizacin. Criterio de aceptacin del riesgo. 178.3 Seleccionar objetivos de control y controles 16Evaluacin del riesgo de alto nivel documentadaIdentificar la necesidad de una evaluacin del riesgo ms detallada Evaluacin de riesgos detallada Resultados totales de la evaluacin de riesgos 18 8.4 Obtener aprobacin de la direccin para implementar un SGSI 17 Riesgos y las opciones identificadas para el tratamiento del mismo Objetivos de control y controles para la reduccin de riesgos seleccionados. 19Aprobacin de la direccin del riesgo residual 18 Aprobacin de la direccin documentada del riesgo residual propuesto (debera ser la salida de 8.4)20 Autorizacin de la direccin para implementar y operar el SGSI 19 Autorizacin de la direccin documentada para implementar y operar SGSI (debera ser la salida de 8.4)21Preparar declaracin de aplicabilidad 18Declaracin de aplicabilidadFASE DE IMPLEMENTACIN ISO/IEC 27003NRO. DE PASOACTIVIDAD, REFERENCIA ISO/IEC 27003PASO PRE-REQUISITODOCUMENTO DE SALIDA9 Disear el SGSI229.2 Disear la seguridad de la organizacin 20 Estructura de la organizacin y sus roles y responsabilidades relacionados con la seguridad de la informacin Identificacin de documentacin relacionada al SGSI Plantillas para los registros del SGSI e instrucciones para su uso y almacenamiento Documento de poltica de seguridad de informacin Lnea base de polticas de seguridad de la informacin y procedimientos (y si es aplicable planes para desarrollar polticas, procedimientos, etc. especficos) 239.3 Disear la seguridad de la informacin fsica y de las TIC20, 21 Implementacin del plan de proyecto para el proceso de implementacin para los controles de seguridad fsicos y de las TIC seleccionados24 9.4 Disear la seguridad de la informacin especfica del SGSI 22,23 Procedimientos describiendo el reporte y los procesos de revisin por la direccin.25Descripciones para auditoras, seguimientos y mediciones26Programa de entrenamiento y concientizacin279.5 Producir el plan final del proyecto SGSI25Plan de proyecto de implementacin aprobado por la direccin para los procesos de implementacin 28El plan final del proyecto SGSI 28 Plan de proyecto de implementacin del SGSI especifico de la organizacin cubriendo el plan de ejecucin de las actividades para seguridad de la informacin organizacional, fsica y de las TIC, as como tambin los Requerimientos especficos para implementar un SGSI de acuerdo al resultado de las actividades incluidas en ISO/IEC 27003 CASO PRCTICO CASO FICTICIO: Aplicacin de la NTP/ISO 27003 en la Fbrica de Software WANCA-SOFTPermiti que la alta gerencia de la empresa entendiera la importancia del proyecto y la necesidad del apoyo del recurso humano. Esta fase fue exitosa gracias a que se mostraron puntos tales como: cumplimiento y rendimiento de la inversin de una forma eficaz, hacindoles entender que si una organizacin cumple con la normatividad sobre proteccin de datos sensibles, privacidad y control de TI, los resultados a futuro mejoraran de forma sustancial el impacto estratgico de la compaa, y aunque represente un gasto considerable, genera as mismo a futuro un Retorno de la Inversin (ROI Return Over Investment).

I. OBTENCIN DE LA APROBACIN DE LA DIRECCIN PARA LA IMPLEMENTACIN DE UN SGSIPor la complejidad de la implementacin de la norma, se recomend definir de manera sistemtica el alcance del proyecto, en las reas de DESARROLLO DE SOFTWARE y SEGURIDAD DE RECURSOS HUMANOS.

II. DEFINIR ALCANCE Y POLTICA DE UN SGSIIdentificacin de activos dentro del alcance del SGSI

III. REALIZAR UN ANLISIS DE LA ORGANIZACIN

III. REALIZAR UN ANLISIS DE LA ORGANIZACINEvaluacin de seguridad de la informacin en relacin a los recursos humanos: Tuvo como objetivo evaluar si los empleados, contratistas y usuarios de terceras partes, entienden sus responsabilidades y son aptos para ejercer las funciones para las cuales fueron considerados, con el fin reducir el riesgo de hurto, fraude o uso inadecuado de las instalaciones.

IV. EVALUACIN DEL RIESGO Y SELECCIN DE OPCIONES DE TRATAMIENTO DEL RIESGOSe realizo una evaluacin del riesgo. La evaluacin de riesgo se dio sobre el proceso de Desarrollo de Software y los Recursos HumanosCOD. EVENTO RIESGOEVENTO RIESGOFACTOR RIESGOFALLACONSECUEN-CIACONTROLESPROBABILI-DADIMPACTONIVEL DE EXPOSI-CIONESTRATE-GIA DE ADMINIS-TRACION DE RIESGOSER01El antivirus instalado no detecto virus o un cdigo maliciosoTecnologaVirus desactualizadoPerdida de informacinActualizaciones automticas2 - Improbable4 - Mayor8Evitar el riesgoER02El operador de monitoreo no identifico el espionaje por parte de un hacker a nuestro sistema y BBDDPersonalFalta de capacitacinRobo de informacinSabotaje a nuestro SistemaNinguno2 - Improbable5 - Catastrfico10Evitar el riesgoER03Las transacciones realizadas a travs de nuestra pgina web no se terminan de completarTecnologaFallas en el servidor de aplicacionesPerdida de nuestra buena imagen institucionalNinguno4 Probable4 - Mayor12Reducir el RiesgoCOD. EVENTO RIESGOEVENTO RIESGOFACTOR RIESGOFALLACONSECUEN-CIACONTROLESPROBABILI-DADIMPACTONIVEL DE EXPOSICIONESTRATE-GIA DE ADMINIS-TRACION DE RIESGOSER04Los clculos con nmeros de punto flotante son incorrectosTecnologaEl software de desarrollo trabaja a 8 decimales de punto flotanteClculos incorrectosAlteracin de resultadosNinguno3 Posible4 - Mayor12Asumir el riesgoER05El personal de seguridad no detecto el ingreso de persona extraa a la empresaPersonalEl personal de seguridad no conoce a las personas que laboranSuplantacin de identidadHurto de informacin por personal externoRevisin de fotocheck2 - Improbable5 - Catastrfico10Evitar el riesgoER06El programador comparte metodologa de desarrollo con personal externoPersonalDesconocimiento de polticas de personalFalta de compromisoPlagio de la metodologa de desarrolloDivulgacin de informacinNinguno3 Posible5 - Catastrfico15Reducir el riesgoER07El programador se lleva el cdigo y la informacin de BBDD a su casaPersonalDesconocimiento de polticas de personalRobo de informacin Ninguno4 Probable5 - Catastrfico20Reducir el riesgo

V. DISEAR EL SGSI

MUCHAS GRACIASCONTENIDOTEMA 1 : Modulo: Direccin de Proyectos de TI Gestin de riesgos Reserva de Contingencia y de Gestin TEMA 2 : Modulo: Gestin de Riesgos de TI Gestin de Riesgos de TI desde la perspectiva de la Seguridad de InformacinTEMA 3 : Modulo: Redes inalmbricas Cmo afecta las estructuras de los ambientes y como se realiza un mapa de cobertura para redes indoor?TEMA 4 : Modulo: Seguridad de la informacin ISO 27003TEMA 5 : Modulo: Seguridad de la informacin Proxys en seguridad de la informacin

La informacin es un activo que, como otros activos importantes del negocio, tiene valor para la organizacin y requiere en consecuencia una proteccin adecuada.

Clausulas :Cada clusula contiene un nmero de categoras principales de seguridad. Las 11 clusulas (acompaadas por el nmero de categoras principales de seguridad incluidas en cada clusula) son:Poltica de seguridadOrganizando la seguridad de informacinGestin de activosSeguridad en recursos humanosSeguridad fsica y ambientalGestin de comunicaciones y operacionesControl de accesoAdquisicin, desarrollo y mantenimiento de sistemas de informacinGestin de incidentes de los sistemas de informacinGestin de la continuidad del negocioCumplimiento

7ma clausula Control de Acceso1 Requisitos de negocio para el control de acceso.1.1 Poltica de control de acceso.2 Gestin de acceso de usuario.2.1 Registro de usuario.2.2 Gestin de privilegios.2.3 Gestin de contraseas de usuario.2.4 Revisin de los derechos de acceso de usuario.3 Responsabilidades de usuario.3.1 Uso de contraseas.3.2 Equipo de usuario desatendido.3.3 Poltica de puesto de trabajo despejado y pantalla limpia.4 Control de acceso a la red.4.1 Poltica de uso de los servicios en red.4.2 Autenticacin de usuario para conexiones externas.4.3 Identificacin de los equipos en las redes.

4.4 Proteccin de los puertos de diagnstico y configuracin remotos.4.5 Segregacin de las redes.4.6 Control de la conexin a la red.4.7 Control de encaminamiento (routing) de red.5 Control de acceso al sistema operativo.5.1 Procedimientos seguros de inicio de sesin.5.2 Identificacin y autenticacin de usuario.5.3 Sistema de gestin de contraseas.5.4 Uso de los recursos del sistema.5.5 Desconexin automtica de sesin.5.6 Limitacin del tiempo de conexin.6 Control de acceso a las aplicaciones y a la informacin.6.1 Restriccin del acceso a la informacin.7 Ordenadores porttiles y teletrabajo.7.1 Ordenadores porttiles y comunicaciones mviles.7.2 Teletrabajo.1. Requisitos de negocio para el control de accesosOBJETIVO: Controlar los accesos a la informacin. 1.1 Poltica de control de accesosControlUna poltica de control de acceso debe ser establecida, documentada y revisada y debe estar basada en los requerimientos de seguridad y del negocio.

Gua de implementacinEstablecer en una poltica de accesos las reglas y los derechos de cada usuario o grupo de usuarios(lgico y fsico).Esta poltica debera contemplar lo siguiente:Requisitos de seguridad de cada aplicacin de negocio individualmente.Polticas para la distribucin de la informacin y las autorizaciones.Perfiles de acceso de usuarios estandarizados segn las categoras comunes de trabajos;Segregacin de los roles de control de accesoRequerimientos para la autorizacin formal de los pedidos de acceso Retiro de los derechos de acceso

2. Gestin de acceso de usuariosOBJETIVO: Asegurar el acceso autorizado de usuario y prevenir accesos no autorizados a los sistemas de informacin. Se debera establecer procedimientos formales para controlar la asignacin de los derechos de acceso a los sistemas y servicios.2.1 Registro de usuariosControlSe debera formalizar un procedimiento de registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de informacin multiusuario.Gua de implementacinSe debera controlar el acceso a los servicios de informacin multiusuario mediante un proceso formal de registro que debera incluir :La comprobacin de la autorizacin del usuario por el propietario del servicio para utilizar el sistema o el servicio de informacin.Verificacin de la adecuacin del nivel de acceso asignado al propsito del negocio y su consistencia con la poltica de seguridad.La eliminacin inmediata de las autorizaciones de acceso a los usuarios que dejan la organizacin o cambien de trabajo en ella. 2.2 Gestin de privilegiosControlDebera restringirse y controlarse el uso y asignacin de privilegios. Gua de implementacinSe debera controlar la asignacin de privilegios por un proceso formal de autorizacin en los sistemas multiusuario. Se deberan considerar los pasos siguientes:Identificar los privilegios asociados a cada elemento del sistema(S.O.,SGBD; as como las categoras de empleados que necesitan de ellos)Asignar privilegios a los individuos segn los principios de necesidad de su uso y caso por caso.A partir de lo descrito se puede establecer polticas de Acceso a Internet a los usuarios, esta poltica es enmarcado de la siguiente manera:Poltica de Acceso a InternetEl Responsable de Seguridad de la Informacin debe definir procedimientos para solicitar y aprobar accesos a Internet. Se debe definir las pautas de utilizacin de Internet para todos los usuarios.Evaluar la conveniencia de generar un registro de los accesos de los usuarios a Internet, con el objeto de realizar revisiones de los accesos efectuados. Para ello, el Responsable de Seguridad de la Informacin junto con el Responsable del rea de Informtica debe analizar las medidas a ser implementadas para efectivizar dicho control, como ser la instalacin de firewalls, proxies, entre otros.PROXYSegn el manual del servidor httpd del CERN(The CERN httpd), tambin conocido como W3C httpd es un servidor de hipertexto caracterizado que puede usarse como un servidor regular HTTP, es de dominio pblico genrico.Un (servidor) proxy es un servidor HTTP que se ejecuta normalmente en una mquina firewall, permitiendo el acceso al mundo exterior (Internet) a los usuarios, dentro del firewall (red local o Internet)". [Fuente: Biblioteca Digital de la INEI - http://www.inei.gob.pe/Biblioinei4.asp ]

RequisitosPuede ser cualquier computadora mientras cumpla con los requisitos de hardware, lo importante aqu es el software eso es lo que hace un servidor

Arquitectura del Servidor ProxyCASO PRACTICOSe realizara e siguiente caso ficticio de la empresa Wanka Soft para establecer:Polticas y normas de Servicio a internetFormato para solicitud de correccin de poltica de seguridad, pagina web o servicio de red.Configuracin del Servidor Proxy con SQUID para cumplir las Polticas y normas de Servicio a internet para los Trabajadores de Wanka Soft

Configuracin del ProxyRevisin de Configuracin del Firewall

[root@wankasoft ~]# cat /root/firewalliptables -P INPUT DROPiptables -P OUTPUT DROPiptables -P FORDWARD DROPecho 1 > /proc/sys/net/ipv4/ip_forward#Se hace NAT para que la red 50.0 que sera la red source(origen) salga #por la eth0 de manera enmascaradaiptables -t nat -A POSTROUNTING -s 192.168.50.0/24 -o eth0 -j MASQUERADE#La maquina tiene que abrir puertos como servidor#(por conectarse usando un SSH remoto)#Abriendo SSH como servidor iptables -A INPUT -p tcp --dport 22 -j ACCEPTiptables -A OUTPUT -p tcp --sport 22 -j ACCEPT#Abriendo 3128 Proxy como servidoriptables -A INPUT -p tcp --dport 3128 -j ACCEPTiptables -A OUTPUT -p tdp --sport 3128 -j ACCEPT#Abriendo puerto para la navegacion del servidor proxyiptables -A INPUT -p tcp --sport 80 -j ACCEPTiptables -A OUTPUT -p tdp --dport 80 -j ACCEPTiptables -A INTPUT -p udp --sport 53 -j ACCEPT#Regla de redireccin - Todo lo venga del puerto 80 se ira #al puerto 3128/al puerto del PROXYiptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128Instalacin de squidRevisin de Configuracin del Firewall

[root@wankasoft ~]# yum install squid#Puerto de proxy 3128 de manera transparente http_port 3128 transparentcache_mem 100MBcache_dir ufs /var/spool/squid 150 16 256acl red_local src 192.168.50.0/24acl localhost src 127.0.0.1/32#bloqueo con archivo externoacl bloqueo url_regex -i "/etc/squid/listas/bloqueadas"#bloqueo puntualacl bloqueo url_regex -i www.cisco.comacl all src allhttp_access allow localhost|http_access deny bloqueohttp_access deny bloqueo1http_access allow red_localhttp_access deny allvisible_hostname WankaSoftArchivos de configuracin del squid

Revisin de archivo a usar para bloqueo de paginas web

facebook.comhotmail.comperu.com

MUCHAS GRACIASCONTENIDOTEMA 1 : Modulo: Direccin de Proyectos de TI Gestin de riesgos Reserva de Contingencia y de Gestin TEMA 2 : Modulo: Gestin de Riesgos de TI Gestin de Riesgos de TI desde la perspectiva de la Seguridad de InformacinTEMA 3 : Modulo: Redes inalmbricas Cmo afecta las estructuras de los ambientes y como se realiza un mapa de cobertura para redes indoor?TEMA 4 : Modulo: Seguridad de la informacin ISO 27003TEMA 5 : Modulo: Seguridad de la informacin Proxys en seguridad de la informacin