[Nombre del Proyecto]

HACKING2015-I

UPCTaller de proyectos 1 COMMENTS \* MERGEFORMAT diseo e implementacin de un esquema de seguridad de redes en base a conceptos de ethical hacking para la empresa virtual it expert

Project CharterVersin 5.1Preparado por:

Jefe de Proyecto:Oscar Guillinta

Jos Luis Merino

Especialidad:Ingeniera de Sistemas de Informacin

Empresa:IT Expert

Historial de Revisiones

VersinFechaAutorDescripcin

1.023/11/2014 Oscar Guillinta

Jos Luis

Merino Elaboracin del Project Charter

Rev. 2.025/11/2014 Ing. Marcela Escobar Observacin de forma y fondo de los objetivos y problemtica.

2.128/11/2014 Oscar Guillinta

Jos Luis

Merino Correccin de las observaciones realizadas en la primera versin del Project Charter.

Rev. 3.024/03/2015 Ing. Marcela Escobar Observacin de forma y fondo de los objetivos y problemtica.

3.125/03/2015 Oscar Guillinta

Jos Luis Merino Correccin de las observaciones realizadas en la segunda versin del Project Charter.

Rev. 4.028/03/2015 Ing. Jessica Echenique Observacin de forma y fondo del Project Charter

4.129/03/2015 Oscar Guillinta

Jos Luis Merino Correccin de las observaciones realizadas en la tercera versin del Project Charter

Rev 5.031/03/2015 Ing. Jessica Echenique Observacin de forma y fondo del Project Charter

Rev 5.101/04/2015 Oscar Guillinta

Jos Luis Merino Correccin de las observaciones realizadas en la cuarta versin del Project Charter

Rev 6.020/04/2015 Ing. Jessica Echenique Observaciones sobre objetivos especficos e indicadores de xito

Rev 6.120/04/2015 Oscar Guillinta

Jos Luis Merino Correccin de las observaciones realizadas en la quinta versin del Project Charter

ndice de Contenidos

4Resumen ejecutivo

5Marco Terico

6Posicionamiento

6Planteamiento del problema

6Objetivos

6Objetivo General

6Objetivos Especficos

7Indicadores de xito

7Alcance del proyecto

7Restricciones

7Impacto en la organizacin (opcional)

8Organizacin del Proyecto

8Equipo del Proyecto

8Stakeholders

8Recursos requeridos

9Fases e hitos del proyecto

9Enfoques del trabajo

9Riesgos y Mitigacin

10Glosario

10Siglario

10Bibliografa

10Aprobacin

11Anexos

Resumen ejecutivo

PwC, en la Encuesta global de Seguridad de la Informacin 2014, muestra que los incidentes de seguridad detectados se han incrementado en un 25% respecto al ao anterior y los costos financieros de los incidentes han aumentado un 18%. Adems, revela que, durante los ltimos aos, las organizaciones han realizado una importante inversin de capital en la implementacin de tecnologas que les permitan identificar vulnerabilidades y amenazas a las que se encuentran expuestas. A partir de esta informacin, se puede inferir que para las organizaciones ms importantes a nivel mundial, la seguridad de la informacin ya es un tema que demanda una especial atencin dentro de las gestiones que se realizan a nivel empresarial. En ese sentido, el presente proyecto tiene como propsito realizar el aseguramiento de la infraestructura de TI de la empresa virtual IT Expert, a partir de la identificacin de vulnerabilidades y amenazas existentes. Por tal motivo, se elaboran los siguiente entregables: Reporte de vulnerabilidades, Polticas y Procedimientos, Mapeo de riesgos alineados a vulnerabilidades y Matriz de controles.IT Expert, empresa virtual que forma parte de la Escuela de Ingeniera de Computacin y Sistemas, realiza el anlisis, diseo e implementacin de soluciones y servicios innovadores en tecnologas de informacin para las dems empresas virtuales de la escuela. Para ello, realiza el despliegue de proyectos y/o aplicativos en los servidores que son parte de la universidad y gestiona equipos en los centros de cmputo. En este sentido, las vulnerabilidades que existen en la empresa IT Expert la exponen a amenazas que pueden generar un impacto considerable en la imagen que proyecta a sus clientes y en la calidad de los servicios que brinda. Esta situacin se origina debido a que la empresa no cuenta con controles, polticas y procedimientos orientados a proteger la informacin que almacena y la disponibilidad de los servicios que brinda. Por ltimo, como parte final de los entregables a desarrollar, se realiza la propuesta de un esquema de seguridad de redes para asegurar la informacin de la empresa virtual IT Expert. La aplicacin de tcnicas de Ethical Hacking resulta importante, en la medida que se utilizan las herramientas y tcnicas de un atacante informtico para identificar amenazas y vulnerabilidades presentes en la infraestructura de TI. De esta forma, esta perspectiva diferente genera un valor agregado al momento de realizar los entregables planificados para el presente proyecto.

En sntesis, la consolidacin de todos los entregables del presente proyecto, se traduce en la reduccin de tiempo, costos y recursos en las actividades que se realizan como parte de las funciones de IT Expert.Marco Terico

En la actualidad, el gran avance realizado en el mbito tecnolgico junto con el crecimiento exponencial de internet ha proporcionado una gran cantidad de posibilidades y beneficios para las empresas que han decidido aplicar los conceptos, previamente mencionados, como soporte para sus principales operaciones. Es decir, lasempresas han cambiado la forma en la que brindan sus servicios y almacenan la informacin referente a sus transacciones e incluso de sus propios clientes. Sin embargo, las computadoras son susceptibles a ser atacadas por crackers o hackers que cuentan con los conocimientos y la capacidad suficiente para ingresar a los sistemas informticos y robar informacin valiosa de una empresa o incluso eliminarla total o parcialmente. Debido a esta situacin, se hace indispensable poder conocer si los sistemas y redes de datos pertenecientes a una empresa se encuentran protegidos de cualquier tipo de intrusin que pueda intentar realizarse sin el concentimiento o la aprobacion necesaria. Por ello, en los ltimos aos, los conceptos relacionados a seguridad de la informacin han empezado a ser aplicados en diversas organizaciones a nivel mundial, en especial el concepto de Ethical Hacking o Hacker tico como herramienta indispensable para poder identificar las posibles vulnerabilidades existentes en los sistemas de informacin.

Ethical Hacking es un proceso que consiste en poder llevar a cabo una simulacin de las acciones que son realizadas por atacantes (hackers o crackers), con el fin de poder detectar los puntos donde debe aplicarse mejoras en beneficio de la seguridad informtica que forma parte de la empresa. Este proceso se realiza mediante las denominadas pruebas de intrusin, las cuales permiten realizar una verificacin y evaluacin de la seguridad fisica y lgica no solo de los sistemas, sino tambin de las redes, aplicaciones web, bases de datos, servidores y otros recursos tecnolgicos pertenecientes a la empresa.

Las etapas definidas para poder llevar a cabo las pruebas de intrusin estn basadas en las mismas que realizan los hackers maliciosos dentro de una empresa, los cuales son mencionadas a continuacin.

En la etapa de reconocimiento se levanta la informacin de la empresa que ser vctima del hackeo tico, incluyendo los sistemas que utiliza para realizar sus principales operaciones. Para lograr el objetivo de la intrusin en estos sistemas, se puede utilizar Google Hacking, Ingenieria social y la monitorizacin de redes. Posteriormente, se realiza el escaneo o tambin denominada: fase de pre-ataque. En esta etapa, se realizar el escaneo de la red, verificando las posibles deficiencias, debilidades y puntos de entrada que puedan encontrarse en la misma. El objetivo principal de esta etapa es encontrar host accesibles, puertos abiertos, e informacin de los sistemas operativos y servicios presentes en la empresa. Una vez que se finaliza la etapa de escaneo, inicia la obtencin del acceso, la cual ser realizada con la ayuda de bugs, exploits, entre otros. Los objetivos principales de esta etapa son: obtener contraseas de usuarios, realizar ataques DoS (Denegacin de servicios) y con exploits. La siguiente etapa se enfoca en mantener el acceso; vale decir, en conservar los privilegios ya obtenidos en los sistemas de la empresa. Adems, asegura las rutas de acceso por las que un hacker ha podido ingresar a los sistemas; de manera que sean restringidas para futuros intentos de ataques. Por ltimo, se finaliza con la eliminacin de huellas, con el propsito de evitar el rastreo o deteccin que pueda ser realizado por la empresa.

En sntesis, los resultados obtenidos, a travs de estas pruebas, son de vital importancia para las organizaciones, puesto que permiten tomar acciones preventivas ante posibles ataques que pueden suscitarse.

Caso de xito

Para evidenciar los beneficios que genera la aplicacin de tcnicas de Ethical Hacking en el marco de la seguridad de la informacin, se desarrollar el caso del Diario La Tercera, reconocido diario de Chile que realiz la contratacin del servicio de Ethical Hacking de la empresa Provectis, con el propsito de evaluar los niveles de seguridad de las aplicaciones que soportan las operaciones de la versin electrnica del diario chileno. En ese sentido, se inici el levantamiento de la informacin referente a los procesos y servicios brindados por el Diario La Tercera y; a partir de ello, se identificaron los riesgos y vulnerabilidades que la dejaban expuesta a un sinnmero de amenazas. A partir del anlisis realizado, el equipo de Provectis realiz la propuesta y posterior implementacin de los controles y procedimientos necesarios para proteger la infraestructura de TI del diario chileno. De esta forma, se aseguraba la informacin crtica almacenada en los servidores, a partir de eliminacin de malas prcticas que incrementaban la posibilidad de prdida de la continuidad de negocio.

De acuerdo a las declaraciones realizadas por personal jerrquico del Diario La Tercera, la aplicacin de Ethical Hacking en la infraestructura de TI represent la reduccin de costos relacionados a la solucin de incidentes concurrentes, los cuales demandaban realizar actividades orientadas a identificar el error y solucionarlo en el menor tiempo posible. Adems, se mejor la calidad del servicio brindado los clientes, en la medida que, a partir de procesos de gestin proactiva y una base de datos de incidentes, se logr prevenir la aparicin de futuros problemas que degraden la calidad del servicio brindado y reducir el tiempo en el que se solucionan los problemas de los clientes.

Posicionamiento

Planteamiento del problema

ProblemaCausas

La infraestructura tecnolgica de la empresa virtual Expert se encuentra expuesta a amenazas que comprometen los servicios que brinda para la Escuela de Ingeniera de Computacin y Sistemas No se cuenta con un Sistema de Deteccin de Intrusos (IDS)

No se realiza mantenimiento continuo de los servidores y ordenadores

No se realiza encriptacin de discos duros de acuerdo a niveles de criticidad de la informacin

No existen soluciones especializadas de autenticacin

No se cuenta un Sistema de Gestin de Actualizacin

No se cuenta con un Sistema de correlacin y gestin de eventos

ObjetivosObjetivo General

OG: Proteger la informacin de la empresa IT-Expert en base a la aplicacin de la metodologa OSSTMM

Objetivos Especficos

OE1: Realizar el diagnstico de la situacin actual de riesgos y vulnerabilidades en la empresa IT-Expert

OE2: Identificar, integrar y monitorear la implementacin de controles, polticas y procedimientos para la empresa IT-Expert

OE3: Disear y monitorear la implementacin de un esquema de seguridad de redes para la empresa IT-Expert

Indicadores de xito

IE1: Diagnstico de la situacin actual de riesgos y vulnerabilidades de la empresa aprobado por el cliente y gerente profesor de IT-Expert

IE2: Controles, polticas y procedimientos aprobados por el cliente y gerente profesor de IT-Expert

IE3: Informe final de resultados post-implementacin de la solucin propuesta aprobado por el cliente y gerente profesor de IT-Expert

IE4: Certificado de calidad emitido por la empresa Quality Services en relacin a los entregables del proyecto

Alcance del proyecto

De acuerdo a las reuniones realizadas con el cliente del proyecto y el gerente general de IT Expert, el presente proyecto incluye los siguientes entregables: Realizar un Reporte de vulnerabilidades

Realizar un Mapeo de riesgos alineados a las vulnerabilidades

Realizar una Matriz de controles que permita identificar riesgos y amenazas en la red.

Realizar el monitoreo de la implementacin de Polticas y procedimientos propuestos para cubrir vulnerabilidades identificadas

Realizar el monitoreo de la implementacin del esquema de seguridad de redes propuesto

Realizar la Memoria del proyecto

Realizar Paper de investigacin

El proyecto presenta las presentes exclusiones:

El proyecto no incluye la adquisicin de equipos de hardware

El proyecto no incluye la adquisicin de licencias de software

El proyecto no comprende la implementacin de un esquema de seguridad de red

El proyecto no comprende la implementacin de controles para identificar riesgos y amenazas en la red

El proyecto no comprende la implementacin de polticas y procedimientos para cubrir vulnerabilidades

Restricciones

RestriccionesDescripcin

El proyecto debe finalizar en un plazo no mayor a un ao acadmicoEl proyecto debe llevarse a cabo en un periodo no mayor a un ao acadmico. Por ello, al culminar el ciclo acadmico 2015-02 , se debe presentar ante el comit la Memoria Final, Paper y entregables del presente proyecto

El tiempo mximo para la entrega de artefactos a la empresa virtual Quality Services es hasta la semana 13.La verificacin y validacin de los artefactos realizados en el presente proyecto son recepcionados por la empresa Quality Services, solo hasta la semana 13 de los ciclos 2015-01 y 2015-02 respectivamente. De manera que, en las semanas posteriores, se puedan expedir las certificaciones respectivas.

Cualquier modificacin a realizarse en el cronograma del proyecto debe ser coordinada previamente con el gerente de la empresa IT Expert.En caso se decida realizar alguna modificacin en el cronograma del presente proyecto, sta debe ser aprobada previamente por el gerente de la empresa IT Expert, con el fin de poder llevar a cabo las coordinaciones necesarias.

Los servidores pertenecientes a la empresa IT Expert no son habilitados para realizar las respectivas pruebas de vulnerabilidad.Para llevar a cabo las pruebas de vulnerabilidad o intrusin, la empresa IT Expert no habilita los servidores con los que trabaja actualmente, por lo que es necesario solicitar la habilitacin de un servidor de pruebas que contenga la misma data e infraestructura de los servidores originales.

Las herramientas que son utilizadas para llevar a cabo las pruebas de vulnerabilidad del proyecto son nicamente Open Source.Las herramientas que utilizadas para realizar las pruebas de intrusin en la empresa virtual IT Expert son solo Open Source, con el propsito de reducir costos al realizar la adiquisin de licencias de software.

Impacto en la organizacin (opcional)

El presente proyecto tiene como propsito asegurar la informacin de la empresa virtual IT Expert. En ese sentido, a travs de la aplicacin de tcnicas de Ethical Hacking, se realiza la identificacin de riesgos y vulnerabilidades existentes en la infraestructura de TI que forma parte del alcance del proyecto. En relacin a las aplicaciones, se analiza las configuracin actual de las mismas, con el propsito de evidenciar elementos que podran generar problemas a nivel de seguridad informtica. De esta forma, se mitiga el riesgo de prdida de informacin de la empresa y sus clientes. Adems, se realiza el monitoreo de la implementacin de las polticas y procedimientos orientadas a cubrir las vulnerabilidades que sean identificadas. Por ltimo, todo lo anteriormente expuesto, se traduce en la reduccin de tiempos y esfuerzos orientados a solucionar incidentes que se presenten en las principales operaciones que realiza IT Expert y en la consolidacin de su imagen a nivel de empresas virtuales en la Escuela de Ingeniera de Computacin y Sistemas.

Para medir el impacto generado en la empresa virtual IT Expert, es necesario evaluar los indicadores de xito definidos en el presente documento. En ese sentido, la calidad de los entregables realizados para el presente proyecto asegura; en gran medida, el logro del objetivo principal del proyecto: proteger la infraestructura de TI de la empresa virtual IT Expert. Ante ello, el Certificado de verificacin, emitido por la empresa virtual Quality Services, permite asegurar la calidad de los entregables generados en todas las fases del proyecto. De manera que, se puede evaluar en trminos cualitativos el impacto que generan los entregables que atraviesan por un proceso de control de calidad, en beneficio de la empresa virtual IT Expert.

En segunda instancia, resulta importante realizar la comparacin del esquema de red actual con la propuesta a realizar en el presente proyecto. De esta forma, al simular el trfico de la red con una herramienta especializada, se visualiza el efecto positivo a generar en las operaciones que realiza la IT Expert en beneficio de sus clientes.Organizacin del ProyectoEquipo del ProyectoRolMiembroResponsabilidades

Gerente General de la Empresa Virtual IT ExpertMarcela Escobar Realizar el monitoreo y evaluacin de los avances realizados por los Jefes de Proyecto.

Realizar la atencin de consultas que se presenten en relacin a los proyectos de la empresa

Gestionar las evaluaciones de los proyectos con el Comit.

Gerente de Proyectos, Recursos y ServiciosKaren Panduro Realizar la supervisin de los proyectos y servicios que brinda la empresa

ClienteJessica Echenique Realizar la aprobacin de los entregables del proyecto

Realizar el monitoreo de los avances del proyecto

Especificar los requerimientos del proyecto

Jefe de ProyectoOscar Guillinta

Jos Luis Merino Colaborar con el cliente en la definicin y cumplimiento de los objetivos del proyecto

Elaborar y mantener actualizado el cronograma de actividades de acuerdo a lo especificado por la Gerenta de la Empresa Virtual

Gestionar los recursos que son asignados al proyecto

Realizar la identificacin y monitoreo de los riesgos que impacten en la probabilidad de xito del proyecto.

Adoptar las medidas correctivas necesarias para solucionar problemas identificados durante el desarrollo del proyecto.

Recursos de TDP Realizar las actividades que sean asignadas por los Jefes de Proyecto

Mantener informado a los Jefes de Proyecto con respecto al avance de las tareas asignadas

Stakeholders

StakeholdersNecesidades Entregables

Gerente General IT ExpertObtener una solucin que asegure la infraestructura de TI y aplicacciones de la empresa virtual IT Expert

Project Charter

Cronograma de Actividades

Memoria del Proyecto

Gerente de Recursos y ProyectosObtener informacin con respecto al avance del proyecto para su posterior evaluacin Project Charter

Cronograma de Actividades

Cliente de proyectoValidar el cumplimiento de los objetivos y entregables del proyecto. Reporte de vulnerabilidades.

Mapeo de riesgos alineados a las vulnerabilidades.

Matriz de controles implementados que permitan identificar riesgos y amenazas en la red. Polticas y procedimientos para cubrir las vulnerabilidades identificadas.

Propuesta de un esquema de seguridad de redes

Memoria final del proyecto.

Paper de Investigacin

Project Charter

Comit de proyectosLograr que la empresa virtual IT Expert brinde productos y servicios de calidad Memoria final del proyecto.

Paper de Investigacin

Recursos requeridos

RecursosDescripcin

Servidor de PruebasSe requiere un Servidor de Pruebas, con el propsito de realizar las pruebas de intrusin sin afectar las operaciones de la empresas virtual IT-Expert.

Sistema Operativo Kali LinuxSe requiere la instalacin del sistema operativo Kali Linux como mquina virtual, puesto que contiene una suite de herramientas orientadas a realizar pruebas de intrusin. Kali Linux contiene las herramientas mencionadas en la presente lista de recursos, a excepcin de Nessus y Nexpose.

MaltegoSe requiere la instalacin de esta herramienta, pues permite obtener informacin sensible (telfonos, direcciones de correo electrnico, perfiles en redes sociales, etc) de un objetivo especfico.

NessusSe requiere la instalacin de Nessus, en su versin Free, pues ser utilizado para realizar el anlisis de puertos y aplicaciones.

NexposeSe requiere la instalacin de Nexpose Appliance, en su versin Community, puesto que es utilizado para realizar el anlisis de aplicaciones y sistema operativo.

Metasploit/ArmitageSe requiere la instalacin de estas herramientas, pues permiten realizar la explotacin de las vulnerabilidades encontradas. Adems, se destaca su completa integracin con Nessus y Nexpose.

Nmap/ZenmapSe requiere la instalacin de estas herramientas, ya que son necesarias para para realizar el anlisis de puertos.

SQLMapSe requiere la instalacin de SQLMap, pues ser utilizado para realizar el anlis de aplicaciones a travs de SQL Injection.

VMware PlayerSe requiere esta herramienta para ejecutar la mquina virtual del Sistema Operativo Kali Linux.

Suite de ofimtica de Microsoft OfficeSe requiere el siguiente paquete de programas: Microsoft Word, Microsoft Excel, Microsoft Power Point y Microsoft Project.

Adobe Reader X o superiorSe requiere el programa para poder leer informacin del proyecto que tenga una extensin .pdf.

Fases e hitos del proyecto

Fase del ProyectoHito del proyectoFecha EstimadaEntregables incluidosPrioridad

InicioProject CharterSemana 1 (2015-1)Project Charter

Alta

PlanificacinEntregables de gestinSemana 2 (2015-1)Plan de Gestin de Alcance

Diccionario EDT

Matriz de Trazabilidad de Requerimientos

Plan de Gestin de RRHH

Descripcin de Roles y Responsabilidades

Matriz RAM

Plan de Gestin de Comunicaciones

Registro de interesados

Plan de Gestin de Riesgos

Matriz de riesgosAlta

Semana 3 (2015-1)Plan de Gestin del Cronograma

Cronograma del ProyectoAlta

Ejecucin del Proyecto 2015-1Avance de la MemoriaSemana 3 (2015-1)Captulo 1 la Memoria del Proyecto

Alta

Semana 9 (2015-1)Captulo 2 de la Memoria del Proyecto

Elaboracin de Reporte de vulnerabilidadesSemana 9 (2015-1)Reporte de vulnerabilidadesAlta

Elaboracin de Matriz de Riesgos alineados a las vulnerabilidadesSemana 11 (2015-1)Matriz de Riesgos alineados a las vulnerabilidadesAlta

Avance de la MemoriaSemana 12 (2015-1)Captulo 3 de la Memoria del ProyectoAlta

Elaboracin de Matriz de controles para identificar riesgos y amenazas en la redSemana 13 (2015-1)Matriz de controles para identificar riesgos y amenazas en la redAlta

Cierre del Proyecto 2015-1Cierre del proyectoSemana 15 (2015-1)Memoria final

Alta

Ejecucin del Proyecto 2015-2Elaboracin de Polticas y procedimientos para cubrir vulnerabilidadesSemana 2 (2015-2)Polticas y procedimientos para cubrir vulnerabilidadesAlta

Elaboracin de Esquema de seguridad de redesSemana 4 (2015-2)Esquema de seguridad de redesAlta

Cierre del Proyecto 2015-2Cierre del proyectoSemana 15 (2015-2)Memoria final

Lecciones aprendidasAlta

Enfoques del trabajo

Para el presente proyecto, se toman en cuenta cuenta la metodologas propuestas por PMI para la gestin de proyectos. De esta forma, el proyecto se divide en las siguientes fases:

Inicio

En esta fase inicial, se realiza la elaboracin del Poject Charter. Para tal efecto se realizan reuniones semanales con el cliente de proyecto, con el propsito de definir el alcance, objetivos y entregables a realizar durante el desarrollo del proyecto. Por otra parte, tambin se realiza la validacin respectiva con el gerente general de IT Expert, pues el proyecto est orientado a proteger la informacin de la empresa a su cargo.Planificacin

En esta segunda fase se elaboran los Entregables de Gestin de Proyecto, los cuales son necesarios planificar el desarrollo del proyecto y lograr cumplir con lo objetivos y entregables definidos. Para tal efecto, se procede a realizar la elaboracin de los mismos de acuerdo a la metodologa definida por PMBOOK. Los Entregables de Gestin de Proyectos realizados se mencionan a continuacin: Plan de Gestin de Alcance

Diccionario EDT

Matriz de Trazabilidad de Requerimientos

Plan de Gestin de RRHH

Descripcin de Roles y Responsabilidades

Matriz RAM

Plan de Gestin de Comunicaciones

Registro de interesados

Plan de Gestin de Riesgos

Matriz de Riesgos

Plan de Gestin del Cronograma

Cronograma del Proyecto

Plan de Control de CalidadLos entregables realizados sern enviados a la empresa virtual Quality Services, con el propsito de que se asignen analistas que realicen la verificacin de que los entregables cumplen con estndares de calidad.EjecucinLa fase de ejecucin inicia con la investigacin de las herramientas necesarias para realizar la identificacin de vulnerabilidades, las cuales son seleccionados de acuerdo al alcance del proyecto y prespupuesto del mismo. A partir de conocimientos slidos sobre el uso de herramientas obtenidos en la investigacin, se procede a realizar la identificacin de vulnerabilidades, a travs de la ejecucin de herramientas como: Nessus, Nmap, Nexpose y OpenVas. Es preciso destacar que se realiza la explotacin de vulnerabilidades con el propsito de agregar valor al primer entregable, pues se muestra evidencia sobre el impacto que podra generar un ataque real a la infraestructura tecnolgica de la empresa.

En relacin a la Matriz de riesgos, se debe mencionar que es realizada en base a las mejores prcticas definidas por el Framework Cobit 5. El anlisis de riesgos ser realizado en base a la identificacin de riesgos inherentes y residuales, controles implementaciones y aineamiento a las vulnerabilidades identificadas.

En relacin a la Matriz de controles, es preciso mencionar que es realizada tomando como referencia la ISO 27001 Y 27033, las cuales hacen referencia a seguridad de la informacin y seguridad de redes informticas respectivamente. De esta forma, se asegura el desarrollo de una Matriz de controles que est alineada a estndares de calidad y que permiten identificar riesgos y amenazas presentes en la red. Por otra parte las Polticas y procedimientos son realizadas en base a las mejores prcticas, lo cual garantiza que permitan cubrir las vulnerabilidades identificadas previamente. De esta forma, se van consolidando los pilares que sern soporte de la solucin final propuesta en el proyecto.

Por timo, se realiza el diseo de un esquema de seguridad de redes, en base a todas las fases realizadas dentro de la metodologa ISAAF, las cuales aseguran que la solucin del proyecto salvaguarde la informacin de una organizacin que la implemente.

Se debe acotar que durante la fase de ejecucin, se realizan avances de la Memoria del proyecto, la cual ser presentada hasta el captulo 3 en el ciclo 2015-1 y la Memoria final en el ciclo 2015-2.Control

En esta fase se verifica que los entregables realizados hasta el momento estn alineados a los requerimientos y expectativas del cliente del proyecto. De no ser as, se toman las acciones correctivas del caso, con el propsito de cumplir con los objetivos y negociaciones planteadas al inicio del proyecto. Adems, se realiza el envo de entregables a la empresa Quality Services, con el propsito de que atraviesen un proceso de control de calidad.Cierre

En esta fase final del proyecto, se realiza la entrega del Paper, Lecciones Aprendidas, Acta de Cierre de Proyecto y la Memoria Final.Riesgos y Mitigacin

#RiesgoProbabilidadImpactoEstrategia de mitigacin

1

Cambios en el alcance del proyectoAltaAlto Se realiza la evaluacin del impacto que genera el cambio en el cronograma del proyecto. A partir de ello, se toman las acciones necesarias para alinear las variables afectadas (tiempo y costo) al cambio especificado.

Se solicita la asignacin de recursos de TDP para el proyecto

2Prdida de informacin relacionada al proyectoMedia

Medio Para el presente proyecto, toda la informacin es almacenada en las siguientes plataformas: Google Drive, Dropbox y One Drive. Las dos primeras son nuestro repositorio principal y, cada fin de mes, toda la informacin es almacenada en One Drive, como parte de nuestro plan de contingencia.

Se realiza una gestin eficiente de contraseas, con el objetivo de no presentar inconvenientes al momento de acceder a la informacin que forma parte de los repositorios.

3Recursos asignados con conocimiento insuficiente sobre Ethical HackingMedia

Medio Se proporciona a los recursos asignados ebooks u otro tipo de material sobre Ethical Hacking, con el objetivo de mejorar su productividad en relacin a las tareas asignadas.

Se realiza una breve capacitacin a los recursos asignados en relacin a Ethical Hacking e informacin relevante acerca del proyecto.

Realizar, en coordinacin con el Gerente Alumno de Quality Services, la evaluacin del perfil de los recursos a ser asignados al proyecto.

4Falta de fuentes de informacin con respecto a Ethical HackingMediaAlto Se realiza la consulta a docentes de la carrera especializados en Seguridad de la Informacin y Redes con respecto a material acadmico sobre Ethical Hacking.

Realizar la bsqueda de informacin en Bibliotecas de otras universidades de la ciudad de Lima.

5Falta de disponibilidad del clienteMediaAlto Se definen las fechas de las reuniones con el cliente de acuerdo a su disponibilidad y se gestionan cambios de ltimo de minuto en caso de presentarse algn tipo de inconveniente.

6Cambio de cliente en el proyectoMediaMedio Se realiza el registro de toda la documentacin que forma parte del proyecto, con el objetivo de proporcionar informacin detallada a la persona que asuma el nuevo cargo en la empresa.

7Avances tecnolgcos sobre Seguridad de la Informacin.AltaMedio Se realiza la investigacin de nuevas herramientas basadas en conceptos de Ethical Hacking y se toma la decisin de aplicarlas en caso brinden mayores beneficios de las herramientas definidas para el presente proyecto.

8Retraso en la revisin de entregables a cargo de los analistas de Quality Services (QS)MediaAlto Monitorear el avance de los entregables a cargo de los analistas asignados por el Lder de Lnea de Quality Services.

Comunicar al Gerente Alumno de Quality Services sobre el desempeo de los analistas asignados.

Realizar los entregables del proyecto dentro de los plazos establecidos.

9Cambios en la Gerencia actual de IT ExpertMedia

Medio Se realiza el registro de toda la documentacin que forma parte del proyecto, con el objetivo de proporcionar informacin detallada a la persona que asuma el nuevo cargo en la empresa.

10Cambios en el cronograma definido por el Comit de ProyectosMediaMedio Se realiza la evaluacin del impacto que genera el cambio en el cronograma del proyecto. A partir de ello, se toman las acciones necesarias para alinear las variables afectadas (tiempo y costo) al cambio especificado.

Glosario

E

Ethical Hacking: Ethical Hacking es el proceso por el cual, se utilizan las mismas tcnicas y herramientas de un Hacker malicioso para atacar a una organizacin de una manera controlada; esta filosofa resulta de la prctica probada: "para atrapar a un ladrn debes pensar como un ladrn.

S

Stakeholders: Son todas aquellas personas u organizaciones que afectan o son afectadas por el proyecto, ya sea de forma positiva o negativaSeguridad de la Informacin: La seguridad de la informacin es el conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemas tecnolgicos que permiten resguardar y proteger la informacin buscando mantener la confidencialidad, la disponibilidad e integridad de la misma.Siglario

PwC (PricewaterhouseCoopers)Bibliografa

Astudillo, Karina (2013) Hacking 101: ReviewsCibertec (2014) (http://www.cibertec.edu.pe/) Sitio web oficial de Ciberte; contiene informacin importante en relacin a Ethical Hacking (Consulta: 28 de Noviembre del 2014)

Deloitte (2014) (http://www.deloitte.com/) Sitio web oficial de Deloitte; contiene informacin importante en relacin a Ethical Hacking (Consulta: 24 de Noviembre del 2014).

Engebretson, Patrick (2011) The Basics of Hacking and Penetration Testing : Elsevier

Ethical Hacking (2014) (http://www.seguridad.unam.mx/ ) Sitio web de la Universidad Autnoma de Mxico; contiene informacin importante sobre conceptos relacionados a Ethical Hacking.PricewaterhouseCoopers (PwC) (2014) Resultados de la Encuesta Global de la Seguridad de la Informacin (http://www.pwc.com.ar/es_AR/ar/publicaciones-por-industria/assets/resultados-de-la-encuesta-global-de-seguridad-de-la-informacion-2014-final.pdf )(Consulta: 24 de Noviembre del 2014)Provectis (2014) (http://www.provectis.cl/) Sitio web oficial de Provectis; contiene informacin sobre casos de xito basados en la aplicacin de Ethical Hacking (Consulta: 29 de Noviembre del 2014)

Aprobacin

NombreCargoFirmaFecha

Anexos

Ninguno

PwC es una de las firmas de auditora y consultora ms importantes a nivel mundial, que brinda servicios orientados al asesoramiento legal y fiscal, auditora y consultora a sus clientes.

PwC 2014: 2

Cfr. Karina Astudillo 2013: 8

Cfr. Karina Astudillo 2013: 10

8