Mostrar el registro sencillo del ítem
Análisis de vulnerabilidades de los sistemas de seguridad informática de la empresa Kappa10 LTDA.
| dc.contributor.advisor | Ramírez Villegas, Gabriel Mauricio | |
| dc.coverage.spatial | cead_-_josé_acevedo_y_gómez | spa |
| dc.creator | Briceño Osorio, Juan Carlos | |
| dc.date.accessioned | 2019-09-26T01:21:59Z | |
| dc.date.available | 2019-09-26T01:21:59Z | |
| dc.date.created | 2019-06-18 | |
| dc.identifier.uri | https://repository.unad.edu.co/handle/10596/27822 | |
| dc.description.abstract | El documento se centra en los riesgos de la infraestructura tecnológica de la empresa Kappa10 Ltda. que está ubicada en la ciudad de Bogotá, en la localidad de Chapinero. Desde el mes de enero del año 2018, la empresa se encuentra en busca de conseguir la certificación ISO 27001, en cuya norma se solicita la documentación de procesos macro, servicios, infraestructura tecnológica, salvaguardas aplicadas, y en general, un sistema de información confiable que permita tener una trazabilidad de los activos informáticos. La norma ISO 27001:2013 pide explícitamente que la empresa que se desea certificar debe tener controles de acceso a los equipos de infraestructura tecnológica, como el acceso basado en identidad, los registros de seguimiento de inicio y fin de sesión, y los registros de cambios, con lo cual se lleva un seguimiento adecuado de cada activo. La empresa realizó un análisis de riesgos a principios del 2018, pero no se tomaron en cuenta varios de los activos de infraestructura tecnológica, sino que se hizo de manera más global y enfocado a riesgos en los procesos, por lo que se vio la necesidad de realizar un nuevo análisis incluyendo este tipo de variables. Una de las necesidades que se detectaron en el primer análisis, incluía al área operativa de la empresa, ya que uno de los riesgos más críticos de esta, es que los ingenieros de Kappa10 utilizaran el mismo usuario genérico para ingresar a todos los equipos de seguridad informática que se administran, lo que no cumple con el requisito solicitado para obtener la certificación ISO 27001. Este análisis previo, detecto bastantes falencias en el proceso de autenticación de usuarios y seguimiento de control de cambios, por lo que sería uno de los principales puntos que atacaría el nuevo análisis de riesgos enfocado a los activos de infraestructura tecnológica. El nuevo análisis de riesgos buscó detectar las amenazas actuales de la empresa Kappa10 Ltda. así como sus diferentes causas y consecuencias sobre la infraestructura tecnológica actual. Este análisis se realizó de forma general sobre los procesos y organización basándose principalmente en las normas ISO 27001, ISO 27002, y algunas partes de las normas ISO 31000. El análisis se encaminó a investigar y documentar cada uno de los riesgos de los activos importantes de la empresa, y a proponer un plan de tratamiento de riesgos para cada uno de estos después de hacer la respectiva calificación entre riesgos moderados, aceptables e inaceptables. En el plan de tratamiento de riesgos se proponen diferentes controles o salvaguardas a la empresa Kappa 10 Ltda. con el fin de mitigar los riesgos de calificación inaceptable hallados en el proceso de análisis. De acuerdo con este plan desarrollado durante el análisis de riesgos, se propuso una solución a cada uno de los problemas que surgen por la falta de controles de acceso y de autenticación de los ingenieros del área de operaciones. El análisis sigue una metodología de investigación aplicada como mapa de ruta para lograr los dos principales objetivos del proyecto, entender los riesgos que aquejan a los activos de infraestructura tecnológica de Kappa10 Ltda. y proponer una solución acertada a cada uno de estos mediante el plan de tratamiento. Adicionalmente, el proyecto buscó mostrar a las directivas una alternativa de solución a los riesgos causados por la falta de controles de acceso basados en identidad. La metodología de investigación aplicada usada durante el proyecto busca seguir una secuencia lógica, comenzando por la recolección de datos (Por ejemplo, el número de activos informáticos de cada oficina de la empresa), el procesamiento y análisis de estos para organizarlos en información coherente. Después de esto la metodología propone continuar con las fases de análisis de situación actual, estudio de la problemática, propuestas de alternativas de solución, y finalmente la fase de evaluación de los resultados del proyecto. Una vez superadas las tres primeras fases, deben quedar plenamente identificados los riesgos que están atados a cada una de las amenazas que presentan los activos de la empresa, y sobre todo las del problema en discusión sobre la autenticación de usuario, lo que facilita proponer la solución adecuada, para que la empresa realice la mitigación de riesgos que requiere para poder certificarse. Posiblemente y de acuerdo con los resultados obtenidos en uno de los puntos principales de este proyecto, la mitigación del riesgo de la gestión de identidad se lleve a cabo mediante un sistema de autenticación tipo Enterprise del fabricante Fortinet (FortiAuthenticator, de tipo físico o máquina virtual), ya que este equipo tiene la capacidad de interactuar e integrarse con el directorio activo de Windows y con los equipos de seguridad de la marca Fortinet , que son los que posee, administra y soporta la empresa. Inicialmente, se propuso trabajar este proyecto en dos grandes partes, la primera incluiría las primeras cuatro fases mencionadas anteriormente, y la segunda parte contendría las dos fases restantes, y abordaría el tema de proponer la solución a implementar para mitigar al riesgo de gestión de identidad. En el proyecto se tendría como alcance únicamente la prueba piloto a manera de laboratorio controlado. El objetivo principal del proyecto es analizar los riesgos de seguridad informática de los activos de infraestructura tecnológica de la empresa Kappa10, generar las recomendaciones que salgan del proceso, y después de esto enfocarse principalmente en el riesgo causado a raíz de no tener una correcta gestión de identidad. Una vez terminada la documentación al detalle del análisis de riesgos, se realizará la prueba piloto del sistema de acceso y autenticación que permita tener una gestión de identidad, y se dejará constancia de todo en la documentación para que sea fácil reproducir el esquema a gran escala. En conjunto el proyecto se realizó en un plazo de 4 meses. Por último, lo que se busca es ayudar a la empresa Kappa10 a cumplir con los requisitos que le faltan para la obtención de la certificación ISO 27001 dentro del menor plazo de tiempo posible, a más tardar en 2019. | spa |
| dc.format | spa | |
| dc.format.mimetype | application/pdf | spa |
| dc.language.iso | spa | spa |
| dc.publisher | Universidad Nacional Abierta y a Distancia UNAD | spa |
| dc.title | Análisis de vulnerabilidades de los sistemas de seguridad informática de la empresa Kappa10 LTDA. | spa |
| dc.type | Proyecto aplicado | spa |
| dc.subject.keywords | Protección de datos | spa |
| dc.subject.keywords | Tecnología de la información | spa |
| dc.subject.keywords | Activos de información | spa |
| dc.description.abstractenglish | The document focuses on the risks of the technological infrastructure of the company Kappa10 Ltda. Which is located in the city of Bogotá, in the town of Chapinero. Since January 2018, the company is in search of obtaining the ISO 27001 certification, in whose norm the documentation of macro processes, services, technological infrastructure, applied safeguards, and in general, a reliable information system is requested that allows to have a traceability of computer assets. ISO 27001: 2013 explicitly requests that the company to be certified must have access controls to technological infrastructure equipment, such as identity-based access, start and end session tracking records, and change records , which keeps track of each asset. The company carried out a risk analysis at the beginning of 2018, but several of the technological infrastructure assets were not taken into account, but rather it was done in a more global way and focused on risks in the processes, so the need for Perform a new analysis including this type of variables. One of the needs that were detected in the first analysis, included the operational area of the company, since one of the most critical risks of this, is that Kappa10 engineers used the same generic user to enter all security teams computing that are managed, which does not meet the requirement requested to obtain the ISO 27001 certification. This previous analysis, detected many flaws in the process of user authentication and monitoring of change control, so it would be one of the main points which would attack the new risk analysis focused on technological infrastructure assets. The new risk analysis sought to detect the current threats of the company Kappa10 Ltda. As well as its different causes and consequences on the current technological infrastructure. This analysis was carried out in a general way about the processes and organization based mainly on the ISO 27001, ISO 27002, and some parts of the ISO 31000 standards. The analysis was aimed at investigating and documenting each of the risks of the important assets of The company, and propose a risk treatment plan for each of these after making the respective rating between moderate, acceptable and unacceptable risks. In the risk treatment plan different controls or safeguards are proposed to the company Kappa 10 Ltda. In order to mitigate the unacceptable rating risks found in the analysis process. In accordance with this plan developed during the risk analysis, a solution was proposed to each of the problems that arise due to the lack of access controls and authentication of the engineers in the area of operations. The analysis follows a research methodology applied as a road map to achieve the two main objectives of the project, understand the risks that afflict the technology infrastructure assets of Kappa10 Ltda. And propose a successful solution to each of these through the plan of treatment. Additionally, the project sought to show directives an alternative solution to the risks caused by the lack of identity-based access controls. The applied research methodology used during the project seeks to follow a logical sequence, starting with the collection of data (for example, the number of computer assets of each office of the company), the processing and analysis of these to organize them into coherent information. After this, the methodology proposes to continue with the phases of current situation analysis, study of the problem, proposals for alternative solutions, and finally the evaluation phase of the project results. Once the first three phases are over, the risks that are tied to each of the threats presented by the companys assets must be fully identified, and especially those of the problem under discussion about user authentication, which makes it easier to propose the adequate solution, so that the company carries out the mitigation of risks that it requires in order to be certified. Possibly and in accordance with the results obtained in one of the main points of this project, the risk mitigation of identity management is carried out by means of an Enterprise-type authentication system of the manufacturer Fortinet (FortiAuthenticator, of physical type or virtual machine ), since this team has the ability to interact and integrate with the active Windows directory and with the Fortinet brand security equipment, which is what the company owns, manages and supports. Initially, it was proposed to work this project in two large parts, the first would include the first four phases mentioned above. | spa |
| dc.subject.category | Tecnología, seguridad informática. | spa |
| dc.rights.accesRights | info:eu-repo/semantics/openAccess | spa |
| dc.rights.acceso | Abierto (Texto Completo) | spa |
Ficheros en el ítem
Este ítem aparece en la(s) siguiente(s) colección(ones)
-
Seguridad informática [631]
