Huerfanos 835, Santiago

CODEBASE SPA
Prueba 01 SSC5501
codebase spa

Integrantes:

Ivan Alvarez

Camilo Millar

Codebase Confidencial

Santiago. Martes 24 de Mayo. 2016.

Informe Seguridad de Sistemas DOCUMENTO CONFIDENCIAL

2
1. Informacion General

Codebase SPA , rut 76.543.472-3 razon social servicios informticos

codebase spa, es una empresa pequea que consta de 12 trabajadores, en
la cual se construyen software a la medida en distintos ambientes de
trabajo y utilizando las ltimas tecnologas para as crear soluciones de
calidad.

Las principales soluciones que entrega Codebase son:

Aplicaciones Web : desarrollo de sitios web e implementacin de gestores

de contenido con tecnologas Liferay Portal y Sitefinity CMS.

Soluciones Empresariales : desarrollo de aplicaciones empresariales

principalmente utilizando tecnologas como JAVA(J2EE) Y .NET(C#) de
Microsoft.

Desarrollo Mobile : creacin de aplicaciones mviles nativas para IOS ,

Android y Windows Phone.

Esta es la estructura de la empresa :

Informe Seguridad de Sistemas DOCUMENTO CONFIDENCIAL

3
2. Factores de riesgos y plan de Contingencia

De acuerdo a la informacin entregada anteriormente , y respecto al negocio

de esta empresa , podemos identificar los siguientes factores de riesgo con
respecto a la informacin:

Acceso de informacin confidencial de todos los trabajadores.

Destruccin de servidores y materiales de trabajo por catstrofe

Robo de equipos de trabajo

Un plan de contingencia frente a una catstrofe como puede ser un terremoto

ya que chile es uno de los pases mas ssmicos del mundo , es que toda la
informacin de nuestras aplicaciones y nuestras bases de datos se encuentran
y se tiene otro servidor en otra parte del pas la cual tiene una copia de la
informacin del servidor principal , adems , contamos con generadores de
energa , los cuales se pueden utilizar en un eventual corte de luz y poder
mantener funcionando el servidor , aunque este generador es de corta
duracin , el tiempo es el necesario para guardar las ltimas transacciones
generadas antes de la catstrofe y no perder informacin.

Informe Seguridad de Sistemas DOCUMENTO CONFIDENCIAL

4
3. Triada de Seguridad

La triada de seguridad es la preservacin de la confidencialidad (solo a

personas y procesos autorizados) , integridad (libre de modificaciones no
autorizadas) y la disponibilidad (a disposicin de quienes deben acceder a ella
cuando se requiera) de la informacin correcta para la persona correcta en el
momento correcto.

La Triada de seguridad debe ser puesta en marcha de la siguiente manera:

Autenticacin de los trabajadores para obtener acceso a la

informacin y desarrollos de la empresa , mediante clasificaciones
de roles y permisos.

Cada vez que se realiza una modificacin en el ambiente

productivo, estn deben ser informadas y planificadas con al
menos un dia de anticipacion a los encargados, y estos derivar la
informacin a sus equipos de trabajo , para que estn al tanto.

Disponibilizar la informacin y aplicaciones a los jefes de cada

equipo , para que estos puedan obtenerla en el momento que sea
necesario , para esto utilizar las herramientas indicadas y que
solo estos tengan acceso a ellas.

Informe Seguridad de Sistemas DOCUMENTO CONFIDENCIAL

5
4. Mecanismos de control

En una institucin dedicada al desarrollo de aplicaciones para sus clientes se

deben implementar ciertos mecanismos de control , para un mejor funcionamiento
de esta.

Cuentas de Usuario: esto es para evitar que cualquier persona

pueda efectuar modificaciones en lugares donde no los debe
realizar , por lo tanto se deben utilizar ciertos permisos para entrar
a distintas partes , adems de tener un sistema de control de
cambios , para tener evidencia de quien realiza las
modificaciones.

Acceso Huella: No solamente debemos cuidar nuestra informacin

digital , sino tambin debemos proteger nuestro espacio de
trabajo y por sobre todas las cosas los servidores que nos
permiten tener funcionando las aplicaciones.

Informe Seguridad de Sistemas DOCUMENTO CONFIDENCIAL

6
5. Inventario de la informacin

Las informaciones mas relevantes para la empresa son los accesos al servidor,
porque al mantener todos los proyectos en la nube como tambin la cartera de
clientes, si no se mantiene un acceso constante (teniendo en cuenta, la ruptura
del cable acceso a internet por ejemplo) no se podra ingresar a los datos del
programa para poder seguir los proyectos o consultar por datos de clientes por
ejemplo, los datos que se almacenan en la empresa dentro de cada computador
son importantes pero no relevantes para la misma ya que se puede recuperar en
algn momento y de una u otra forma (acceso por internet mvil por ejemplo).

6. Normativas de segurdad

Las normativas de seguridad son normas generadas para ciertos tipos de

entidades, que pueden adaptar y asi obtener el mejor resguardo de seguridad
modelado para el negocio, como lo son la COBIT y la normativa SOX (ley
sarbanes oxley ), esta ultima creada para las entidades financieras,, que esta
modelada para sistemas financieros pero que no tengan que ver con la bolsa de
comercio.

A partir del crecimiento desbordado de varias empresas en el comercio de

valores, la corrupcin y fraude detectados y la mala prctica de algunos
profesionales y ejecutivos, quienes engaaron a socios, empleados y grupos de
inters; el gobierno norteamericano se ve obligado a establecer la Ley Sarbanes
Oxley de 2002 (Ley SOX) y a fortalecer la SEC, Security and Exchange
Commission, para la regulacin financiera y la actividad contable pblica. Dicha
Ley tambin es conocida como el Acta de Reforma de la Contabilidad Pblica de
Empresas y de proteccin al inversionista.

Informe Seguridad de Sistemas DOCUMENTO CONFIDENCIAL

7
7. Norma ISO

Las normas ISO (International Organization for Standardization) son documentos que
especifican los requerimientos que pueden ser utilizados en distintas empresas para
garantizar que los productos y/o servicios que ofrecen cumplan con su objetivo.Hasta
el momento existen alrededor de 19.500 normas ISO internacionales que las puedes
visitar en la pagina oficial www.iso.org .

La normativa ISO 27001 (2013) corresponde a la implementacin de sistemas de

gestin de seguridad de la informacin , esta norma nos permite asegurar la
confidencialidad y la integridad de nuestros datos , este estndar nos permite evaluar
el riesgo que corren nuestra data y as aplicar los controles necesarios para
eliminarlos , esta normativa se complementa con la normativa ISO 27002 que
establece las buenas prcticas para la gestin.

Informe Seguridad de Sistemas DOCUMENTO CONFIDENCIAL

8
8. Ejemplos norma ISO

En la empresa implementaramos las siguientes normas iso:

Control de acceso: se mantiene hoy en dia esta parte de la iso

27001:2013, con un control mediante usuario y contrasea para
acceder a las diferentes informaciones

Cifrado: para mantener la confidencialidad de la informacin al

esta transitar por internet desde los servidores cloud a los
terminales que la solicitan.

Seguridad fsica: se mantiene el control de acceso con guardias

de seguridad en el edificio como tambin cmaras de seguridad
en las dependencias de las oficinas en la empresa.

Seguridad en la red: se mantiene una seguridad con firewall para

evitar el acceso no permitido a personas externas a la red como
tambin el antivirus, evitando con este la propagacin o acceso a
la red de un virus que pudiese afectar al tiempo de trabajo en los
proyectos.

Gestin de incidentes: esto soluciona con normas en caso que

ocurra algn improvisto, determinando su gravedad y como
solucionar lo antes posible para continuar con normalidad el
trabajo.

Informe Seguridad de Sistemas DOCUMENTO CONFIDENCIAL

9
9. Frases propuestas por a ISO

Norma que especifica los requisitos para establecer, implantar, poner

en funcionamiento, controlar, revisar, mantener y mejorar un SGSI
documentado

Planear (plan): esto es a planear de base todo lo que se realizara

y como se realizara, con polticas, objetivos y alcanses.
Al igual se realizan informes con inventario de activos como
tambin un informe de anlisis de todo.
Como tambin se realizan planes de tratamiento de riesgos para
asi saber como reaccionar ante un improvisto.

Hacer (do): aqu se ve ya el implementar lo que se reviso y

planifico en el anterior paso, adaptando polticas , procedimientos
y instrucciones.

Revisar (check): en este punto se monitorea y se revisa todo el

SGSI, dando paso a planes de mejoras en caso que quede algo a
debe.

Actuar (act): en este ultimo punto se realiza los pasos de

mantenimiento y mejoras del SGSI, actuando a realizar los
cambios necesarios a medida que avanza el tiempo.

Informe Seguridad de Sistemas DOCUMENTO CONFIDENCIAL

10
10. Ejemplos riesgo cuantitativo y cualitativo

Posible riesgo cuantitativo: Deterioro , robo y/o falla de equipos de trabajo como
notebooks , servidores , switch , piezas de estos mencionados anteriormente entre
otras cosas y incluso del espacio de trabajo como rotura de escritorios , sillas , etc.

Posible riesgo cualitativo: Al tener riesgos como el robo , fallas o destruccin de

equipos de trabajo , aparte de tener un riesgo cuantitativo , tienen un riesgo cualitativo
ya que al fallar estos implementos tan importantes se pueden tener riesgos muy altos
como la cada de servidores entre otras cosas , incluso la prdida de informacin
valiosa.

11. Gobierno de seguridad

La seguridad es algo que para la empresa es muy valiosa, sta est tan resguardada
que solo algunas personas de la organizacin mantienen las claves de acceso a los
servidores que estn en la nube, por ende, se mantiene un nivel de seguridad alto,
dejando que empresas de renombre mundial manejen el rea de seguridad,
manteniendo los ms altos estndares de seguridad en la informacin.

Informe Seguridad de Sistemas DOCUMENTO CONFIDENCIAL

11
12. GSI

En este caso la seguridad va en manos del jefe de proyectos, esta persona vela por
que las normas de seguridad en cada uno de los proyectos vayan con los ms altos
estndares de seguridad, como tambin de la empresa.

quienes las emplean serian el jefe de desarrollo, que su funcin es que desde que se
crea un nuevo proyecto vaya con el mejor resguardo de seguridad posible, como
tambin el jefe de mantencin que vela que cada problema de seguridad se corrija lo
antes posible.

Lo mejor que podra realizar la empresa sera crear una nueva rea, que solo se
dedique a velar por la seguridad, para que tanto la empresa no se vea afectada en
algn momento por un ciber-ataque de cualquier clase, como tambin velar por la
informacin no se filtre con mucha facilidad, ya que, pese a que existen jefes de rea
velando por la seguridad tanto de la empresa como de los proyectos, deben
preocuparse de otros asuntos dentro de la misma entidad.

13. Tipos de controles

los controles que se manejan son casi todos administrativos y uno tcnico, ya que al
ser pequea la empresa se dictan normas como el que las claves de acceso de cada
una de las personas son nicas y no compartidas, tambin se mantienen ciertas
polticas del uso de la informacin de la empresa, y la tcnica es el uso de
autentificacin al acceso de los datos de la empresa, tanto a los notebooks de los
empleados como el mismo acceso al servicio de la nube que mantienen.

14. Medidas tcnicas

la primera es el firewall que mantiene la empresa para cerrar los accesos no

autorizados a la empresa, protegiendo de posibles ataques, la segunda es un
antivirus, capaz de buscar en cada computador de la empresa una posible amenaza,
tambin se mantiene un filtrado de paquetes, para as permitir conexiones seguras
para la empresa, y bloqueando las que no son necesarias para la misma.

Informe Seguridad de Sistemas DOCUMENTO CONFIDENCIAL

12
15. Diagrama bsico de red

En la empresa codebase no se estim necesario tener DMZ ya que todos sus datos
estan alojado en la nube, por ende, toda la informacin se encuentran respaldados en
el servidor, la red LAN es como en cualquier hogar solo que mantiene un cortafuegos
para aminorar riesgos que toda empresa mantiene, ya que en ella no se almacena
informacin delicada o relevancia.

Informe Seguridad de Sistemas DOCUMENTO CONFIDENCIAL

13