Академический Документы
Профессиональный Документы
Культура Документы
de cloud computing, un concepto nuevo dentro de
Resumen— El presente proyecto describe el proceso de las tecnologías de la información y que permite
elaboración de un modelo de gestión de seguridad de la utilizar la virtualización de servidores para
información basado en la norma ISO/IEC 27001 para el Data-
Center de la facultad de ingeniería y ciencias aplicadas, de esta
optimizar los recursos de la red de datos.
manera estructurar políticas y controles basados en los Se debe tener en cuenta que la topología de red en
lineamientos y objetivos de control presentados y orientados a su diseño actual no contempla ningún tipo de
la parte lógica de la arquitectura de red. seguridad además del firewall básico integrado en
Se utilizo una caracterización de los equipos mediante la cada servidor, para los accesos LAN, WAN e
utilización de la metodología MAGERIT, la cual indica de
forma cada fase de la recolección de información centrando su
internet hacia los servidores del Data-Center,
atención a la identificación de las características de los permitiendo que se presenten los siguientes
activos, la estructura organizacional, las amenazas y las escenarios por acción de agentes internos o
salvaguardas que se encuentran implementadas en el centro de externos: ataques de denegación de servicio que
datos. Una vez realizado el proceso de caracterizar el incide en la disponibilidad de la información;
escenario inicial se realiza un cálculo del riesgo potencial que
indica si es necesario tomar acciones.
ataques de suplantación de identidad afectando la
En la parte de diseño se procede a seleccionar las políticas y confidencialidad de la información; infecciones de
objetivos de control previstos en la norma ISO/IEC 27001 que malware que incide en la integridad de la
mejor se adapten a la infraestructura, para responder de información.
manera específica a cada objetivo se elaboraron manuales, Alojados dentro del Data-Center se encuentran
procesos y se seleccionó Endian Firewall como el software a
servidores independientes y virtualizados que
implementar.
Se puede constatar por medio de la aplicación de la ofrecen aplicativos para interactuar con los usuarios
metodología MAGERIT que los parámetros iniciales de riesgo finales de la red de datos, pero no se han realizado
para amenazas humanas accidentales y deliberadas se pruebas de monitorización que determinen la
encontraban entre 8,6 y 9,3 respectivamente. Al implementar capacidad de flujo de datos soportado, ni de los
las políticas seleccionadas este riesgo se puede obtener que el
puertos utilizados por cada uno de los servidores.
riesgo disminuyera a rangos de 4,6 y 41 tanto en origen
humano accidental y deliberado, lo que implica una mejora, Las políticas de seguridad en el Data-Center no
pero no descarta que se elabore una planificación constante están establecidas, lo cual genera que los cambios
para mantener los niveles de riesgo bajos. realizados en la topología de la red para agregar,
eliminar y modificar no cumplan con un
procedimiento estandarizado en base a normativas
I. INTRODUCCIÓN internacionales de seguridad, las que establecen
La Facultad de Ingeniería en Ciencias Aplicadas además plan de acción en caso de existir
acaba de implementar dentro de su infraestructura vulnerabilidades en la seguridad lógica.
un Data-Center para alojar servidores y una red de
servicios basados en el servidor de cloud computing
privado. II. MARCO TEÓRICO
El proyecto centrará su atención en lo que se refiere
a la seguridad lógica de los servidores del Data- III. ISO 27001
Center, entre los cuales se encuentran los servidores Antecedentes
2
tratarse de una organización publica para el Allsopp, W. (2009). Unauthorised Access: Physical
Penetration Testing For IT Security Teams.
análisis de riesgos inicial se utilizó
Chichester: WILEY.
MAGERIT que es un método desarrollado Amutio Gomez, M. A. (2012). MAGERIT-version
por el gobierno español que permite de una 3.0 Metodología de analisis y gestión de riesgos de
manera estructurada identificar las los sistemas de información Libro I-Metodo. En M.
condiciones del Data-Center. A. Amutio Gomez, MAGERIT-version 3.0
Seleccionar MAGERIT como el método Metodología de analisis y gestión de riesgos de los
sistemas de información Libro I-Metodo (pág. 175).
para analizar los riesgos permitió simplificar Madrid: Ministerio de Hacienda y Administraciones
el proceso de identificar los activos que Públicas.
posee el Data-Center, su clasificación, la AVAST. (2015). avast.com. Obtenido de
importancia para la organización, las https://www.avast.com/es-es/c-spyware
amenazas a las que se expone y también si CERTuy. (23 de Abril de 2013). cert.uy. Obtenido de
https://www.cert.uy/inicio/sobre_seguridad/glosario/
existen salvaguardas que protejan cada
Escudero, J. (10 de 12 de 2017). Emprendedores.
elemento y proceso; a su vez permite Obtenido de Emprendedores:
elaborar mediante un método de cálculo de http://www.emprendedores.es/gestion/como-calcular-
tablas las condiciones iniciales de la tu-precio-hora
infraestructura. IBM. (2017). bm.com. Obtenido de
Debido a las condiciones de la organización https://www.ibm.com/support/knowledgecenter/es/ss
w_i5_54/rzair/rzairemcommnd.htm
tanto en materia de infraestructura lógica Informáticos, D. (2015). delitosinformaticos.info.
como en estructura organizacional los Obtenido de
objetivos de control seleccionados permiten http://www.delitosinformaticos.info/delitos_informati
mejorar las características iniciales del Data- cos/glosario.html
Center, además de permitir una constante KASPERSKY. (2017). kaspersky. Obtenido de
https://support.kaspersky.com/sp/viruses/general/614
evolución y mejora continua de las
Marion AGÉ, F. E. (2015). Seguridad Informatica:
herramientas y procesos seleccionados. Ethical Hacking. Barcelona: Ediciones ENI.
5
IX. BIOGRAFÍA