VIABILIDAD TÉCNICA Y ECONÓMICA PARA LA IMPLEMENTACIÓN DE UNUTM (UNIFIED THREAT MANAGEMENT) PARA INSTITUCIONES DE

EDUCACIÓN SUPERIOR

LILIAN ROCÍO MARTÍNEZ OLAYA

UNIVERSIDAD SANTO TOMASFACULTAD DE INGENIERÍA DE TELECOMUNICACIONES

BOGOTÁ D. C.2018

VIABILIDAD TÉCNICA Y ECONÓMICA PARA LA IMPLEMENTACIÓN DE UN UTM(UNIFIED THREAT MANAGEMENT) PARA INSTITUCIONES DE EDUCACIÓN

SUPERIOR

LILIAN ROCÍO MARTÍNEZ OLAYA

Monografía para optar al título de Ingeniero de Telecomunicaciones

TutorIngeniero FERNANDO PRIETO BUSTAMANTE

UNIVERSIDAD SANTO TOMASFACULTAD DE INGENIERÍA DE TELECOMUNICACIONES

BOGOTÁ D. C.2018

2

TABLA DE CONTENIDO

1. INTRODUCCIÓN..........................................................................................................91.1 RESUMEN EJECUTIVO...............................................................................................91.2 PLANTEAMIENTO DEL PROBLEMA........................................................................101.3 JUSTIFICACIÓN........................................................................................................111.4 OBJETIVO GENERAL...............................................................................................131.5 OBJETIVOS ESPECÍFICOS......................................................................................131.6 ESTADO DEL ARTE..................................................................................................141.7 MARCO TEÓRICO.....................................................................................................201.7.1 Principios Básicos de Seguridad......................................................................201.7.2 Integridad............................................................................................................201.7.3 Disponibilidad.....................................................................................................211.7.4 Confidencialidad................................................................................................211.7.5 Panorama de las amenazas...............................................................................211.7.6 Evolución de los Adversarios...........................................................................221.7.7 Qué es la dirección de proyectos.....................................................................241.7.8 Ciclo de vida del proyecto.................................................................................251.8 MARCO LEGAL.........................................................................................................261.9 METODOLOGÍA.........................................................................................................272. INICIO DEL PROYECTO............................................................................................282.1 PROJECT CHARTER................................................................................................282.2 STAKEHOLDERS......................................................................................................323. DISEÑO Y ALCANCE DEL PROYECTO....................................................................363.1.PLAN DE INTEGRACIÓN DEL PROYECTO..............................................................363.1.1 Descripción del Producto..................................................................................363.1.2 Descripción diseño de red.................................................................................363.1.3 Servicios mínimos de la solución.....................................................................383.1.4 Características técnicas de los servicios de seguridad requeridos..............383.1.5 Criterios de aceptación del producto...............................................................393.1.6 Organización inicial del proyecto.....................................................................403.1.7 Requisitos de aprobación final del proyecto...................................................413.2. GESTIÓN DE ALCANCE DEL PROYECTO..............................................................423.2.1 Planificación del alcance...................................................................................423.2.2 Proceso de elaboración de la WBS...................................................................423.2.3 Proceso de elaboración del diccionario de la WBS.........................................423.2.4 Proceso para verificación del alcance..............................................................423.2.5 Proceso para el control del alcance.................................................................433.2.6 Límites del Proyecto..........................................................................................433.2.7 Especificaciones del proyecto..........................................................................433.2.8 Productos entregables del proyecto.................................................................443.2.9 Alineamiento del proyecto.................................................................................453.2.10 Control de cambios............................................................................................453.2.11 Actualización del Plan de Gestión del Alcance................................................463.2.12 Estructura de Desglose de Trabajo WBS.........................................................473.2.13 Diccionario de la WBS.......................................................................................524. PARÁMETROS Y PROCEDIMIENTOS......................................................................614.1.PLAN DE GESTIÓN DEL TIEMPO.............................................................................614.1.1. Proceso de definición y secuenciación............................................................61

3

4.1.2. Proceso de estimación de recursos.................................................................614.1.3. Proceso cronograma del proyecto...................................................................614.1.4. Cronograma........................................................................................................624.1.5. Diagrama de Gantt.............................................................................................644.1.6. Proceso de control del cronograma.................................................................654.1.7. Procedimiento para actualizar el plan de gestión del tiempo.........................655. PLAN DE GESTIÓN DE COSTOS.............................................................................665.1.Proceso de gestión de costos..................................................................................665.2.Costos nómina del proyecto....................................................................................665.3.Gastos preoperativos................................................................................................675.4.Costos totales............................................................................................................675.5.Control de costos......................................................................................................685.6.Control de cambios de costos.................................................................................685.7.Procedimiento para actualizar el plan de costos....................................................696. PLAN DE GESTIÓN DE CALIDAD............................................................................706.1 Requisitos de la IES..................................................................................................706.2 Checklist de recibo de adquisiciones.....................................................................706.3 Checklist pruebas iniciales de funcionamiento equipos.......................................716.4 Criterios de selección de personal..........................................................................716.5 Criterios de selección de proveedores...................................................................71Al momento de seleccionar el canal que se encargará de aprovisionar la institución de los equipos de seguridad, licencias, implementación, configuración y puesta en marcha. Deberá cumplir con las siguientes características:.......................................717. PLAN DE GESTIÓN DE RIESGOS............................................................................727.1 Procedimiento para actualizar el plan de gestión de riesgos...............................727.2 Análisis de riesgos...................................................................................................728. PLAN DE GESTIÓN DE COMUNICACIONES...........................................................768.1 Activos de la organización.......................................................................................768.2 Métodos de comunicación.......................................................................................768.3 Informes de gestión..................................................................................................768.4 Guías para eventos de comunicación.....................................................................778.5 Guías para la documentación del proyecto............................................................77La codificación del nombre de los documentos:..........................................................77Para identificar fácilmente el objeto y la versión de los documentos del proyecto, seutilizará la siguiente codificación:.................................................................................778.6 Guía para el control de versiones...........................................................................788.7 Procedimiento para actualizar el plan de gestión de comunicaciones................789. PLAN DE GESTIÓN DE ADQUISICIONES................................................................7910. PLAN DE GESTIÓN DE RECURSOS HUMANOS.....................................................8411. RECOMENDACIONES...............................................................................................9012. CONCLUSIONES.......................................................................................................93BIBLIOGRAFÍA................................................................................................................94WEBGRAFÍA....................................................................................................................95

4

TABLA DE FIGURAS

Figura 1 Metodología del proyecto..........................................................................27Figura 2 Topología de red IES.................................................................................37Figura 3 WBS del proyecto......................................................................................47Figura 4 WBS Fases Gestión del proyecto y Diseño de la Solución......................48Figura 5 WBS Fases Contrataciones, Manuales y Capacitaciones........................49Figura 6 WBS Fases Implementación, Pruebas e Informes...................................50Figura 7 WBS Operación y Cierre...........................................................................51Figura 8 Identificación de riesgos............................................................................73Figura 9 Identificación de riesgos............................................................................73Figura 10 Control de riesgos...................................................................................74Figura 11 Identificación de controles de riesgos.....................................................74Figura 12 Riesgos Vs Controles..............................................................................75Figura 13 Matriz general de riesgos........................................................................75Figura 14 Cuadrante Mágico para UMT (Unified Threat Management).................80Figura 15 Organigrama del proyecto.......................................................................85

5

TABLA DE TABLAS

Tabla 1 Cronograma de hitos principales................................................................31Tabla 2 Resumen del presupuesto..........................................................................31Tabla 3 Identificación de Stakeholders, su influencia y tipo de interés en el proyecto...................................................................................................................32Tabla 4 Clasificación de los Stakeholders. Matriz Influencia Vs Poder...................34Tabla 5 Matriz manejo de aprobaciones..................................................................34Tabla 6 Organizaciones funcionales Vs rol que desempeñan................................35Tabla 7 Organización inicial del proyecto Vs Cantidad de recursos necesarios.....40Tabla 8 Productos entregables del proyecto...........................................................44Tabla 9 Objetivos estratégicos de la organización y propósito del proyecto...........45Tabla 10 Cronograma del proyecto.........................................................................62Tabla 11 Costo de nómina del proyecto..................................................................66Tabla 12 Gastos de puesta en marcha....................................................................67Tabla 13 Gastos en muebles...................................................................................67Tabla 14 Costos totales...........................................................................................68Tabla 15 Control de cambios documentos..............................................................78Tabla 16 Descripción de roles y responsabilidades................................................86

6

TABLA DE ANEXOS

Anexo 1 Diagrama de Gantt.pdfAnexo 2 Detalle cálculo de los salarios.xlsxAnexo 3 Fortinet_Product_Matrix.pdf

7

DEDICATORIA

A Dios. Por darme salud, una familia y personas maravillosas que me apoyan yhacen de mi vida más feliz y las facultades para poder aprovechar la oportunidadde aprender y abrir la mente al conocimiento.

A mi madre María Eugenia por la vida, sus enseñanzas, el amor, la perseveranciay los sacrificios que ha confrontado para ofrecerme ese enorme apoyo paraperseguir mis sueños.

A Oscar Ramírez mi esposo, que siempre ha creído en mí y nunca ha dejado deamarme y apoyarme; incluso en los momentos más difíciles ha estado allí como misoporte y amigo.

A mi hijo Matías Ramírez, la luz de mi vida, que desde este último año ha sido yserá el motor para ser la mejor persona posible.

8

INTRODUCCIÓN

RESUMEN EJECUTIVO

El presente documento ha sido elaborado como proyecto de grado con el fin deoptar por el título de Ingeniera de Telecomunicaciones, aplicando losconocimientos adquiridos a lo largo de la carrera y el primer ciclo de laespecialización de Gerencia de Proyectos en Ingeniería (escogida comomodalidad de grado).

El trabajo está enfocado en el área de seguridad informática a nivel perimetral, enel que se realiza la viabilidad técnica y económica para la Implementación de unsistema gestionado de seguridad a través de un firewall de nueva generación confunciones incorporadas de control unificado de amenazas (UTM Unified ThreatManagement); delimitado a instituciones de educación superior, teniendo encuenta los aspectos técnicos y la viabilidad económica que compara los beneficiosy los costos estimados del proyecto.

La metodología del proyecto se ha elaborado con base en los lineamientossugeridos en la "Guía Metodológica de los Fundamentos para la Dirección deProyectos (PMBok)" vistos en las asignaturas del primer ciclo de laespecialización.

El contenido se ha dividido en tres partes principales. La primera parte consiste enla base teórica que pretende familiarizar al lector con el vocabulario técnico ymetodológico que se utilizará a lo largo del documento; las amenazas que puedenestar presentes en una red, los mecanismos de seguridad que se utilizan a nivelperimetral y las áreas de conocimiento de la dirección de proyectos.

El estado del arte mostrará los antecedentes de algunos proyectos que se hantrabajado sobre la seguridad en el perímetro de instituciones educativas oacadémicas.

Posteriormente, se desarrollará la viabilidad técnica y económica con base en las9 áreas de conocimiento del PMBok para la planeación

9

PLANTEAMIENTO DEL PROBLEMA

El valor de la información ha cobrado mayor importancia, no sólo para entidadesfinancieras, gubernamentales o con infraestructuras críticas, sino que ahora lasinstituciones académicas y privadas se preocupan porque los objetivos de la organizaciónse encuentren orientados en proteger información sensible y confidencial (uno de losactivos más importantes).

Cada vez es más frecuente ver estudiantes o empleados de empresas curiosos por laposibilidad que la Internet les da en cuanto a descubrir la forma de acceder a los sistemasde la institución a la que pertenecen, logrando modificar información personal yconfidencial. Como es el caso de las instituciones de educación superior en las quepodrían cambiar el registro de notas de un estudiante, un promedio académico, o lossemestres que ha cursado la persona (sin realmente haberlos realizado). Es así como lavulnerabilidad de la información ya sea por robo, falsificación, suplantación, fraude,destrucción o modificación, hacen parte de los riesgos a los que se ven sometidas todaslas instituciones.

De acuerdo con lo anterior, las instituciones deben poner más atención e iniciar con laconstrucción y ejecución de proyectos que puedan garantizar un ambiente seguro yconfiable para los usuarios de determinada red, mediante mecanismos y sistemas para laprotección de datos ya que es muy común encontrar hoy en día, una gran cantidad deinstituciones educativas que dan por hecho que la seguridad de su red se encuentracubierta; cuando en realidad problemas como la congestión de la red debido a la falta deuna correcta administración de ancho de banda, usuarios y la optimización de recursos dered perjudica la disponibilidad y fiabilidad del servicio.

Teniendo en cuenta que la tarea de velar por la seguridad de la información de unaentidad es un tema complejo y que requiere de la dedicación de un área completa.Estándares y mejores prácticas internacionales sugieren dividir en distintos enfoques estalabor, con el fin de cubrir con la granularidad de las posibles vulnerabilidades, abarcandodesde la seguridad en el perímetro, monitoreo de la red 7x24, políticas de seguridad,hasta la Implementación de un sistema de gestión de la seguridad de la información(SGSI).

A su vez, el desarrollo de cada proyecto dentro de una organización implica un proceso deplaneación de gastos económicos, recursos y tiempo. Cualquier actividad que se deseeemprender es un proyecto por desarrollar, el cual puede ejecutarse en distintas fasesabordando inicialmente los enfoques elementales de la seguridad de la información.

Considerando que la problemática expuesta se orienta puntualmente a las instituciones deeducación superior, surge la siguiente pregunta: ¿Cuáles son los aspectos técnicos yeconómicos que se deben tener en cuenta para la Implementación de un sistema deseguridad perimetral gestionado para una institución de educación superior?

10

JUSTIFICACIÓN

Con el desarrollo de nuevas tecnologías y servicios en Internet, al mismo ritmocrece el número de personas inquietas, que se dedican a encontrar la forma devulnerarlos con el fin de obtener información valiosa que les permita cometerdelitos informáticos como: la estafa, la suplantación, la modificación deinformación o la denegación de un servicio.

Hace algunos años la mayoría de instituciones académicas no invertían mayoresrecursos en la protección de sus redes, tenían implantados en sus arquitecturasde red sistemas básicos de seguridad perimetral que tan solo cumplían con elpropósito de permitir o denegar determinada dirección IP o puerto. Hoy en día laprotección de datos se ha convertido en un tema fundamental al considerar cadavez más los eventos de seguridad en redes, que se presentan de forma externa olocal; como puede suceder en el caso de los usuarios incautos de una redinstitucional, que al momento de acceder a un contenido de Internet y realizar unadescarga "normal" de forma inocente pueden descargar junto con la informaciónque necesitan un malware que posteriormente infectará a su equipo y permitiráeventualmente no sólo acceder a su máquina sino que podrá navegar con mayorfacilidad en la red local e infectar otros equipos de su red.

Dada la situación anterior como ejemplo, un sistema de seguridad completo nosólo debe contemplar los permisos de acceso o denegación a una red, sino quedebe considerar la protección de los usuarios a todo nivel; desde los sitios quevisitan y descargan, la clase de contenido que consultan, el acceso que se lesproporciona a los recursos de red, la protección de la información de los sistemas,servidores de servicios y usuarios de la institución.

Las instituciones de educación superior obtienen grandes beneficios con laplanificación e Implementación de un buen sistema de seguridad perimetralgestionado como los que se enuncian a continuación:

Administración óptima de los recursos de red de la institución, como el anchode banda asignado a determinados segmentos.

Privilegios y políticas de navegación de acuerdo con el rol de la persona dela institución (administrativo, docente, investigador o estudiante) que lepermitan acceder a los recursos de la red necesarios para el cumplimientode sus actividades, protegiéndolo a su vez de ser víctimas de los riesgosinformáticos mencionados anteriormente.

Permite al administrador de la red tener una mayor visibilidad del tráfico quecircula por la misma (7x24) incluyendo las características específicas tales

11

como la fuente y el destino de los paquetes que se comparten, el tamaño, laduración de la comunicación, la hora y fecha, entre otras.

La planificación e inclusión del proyecto de Implementación dentro de losprogramas de gestión de TI de cualquier institución, facilita elaprovisionamiento de recursos para el óptimo desarrollo del mismo.

Se debe recordar que un proyecto de seguridad debe considerar también losespecialistas que operen y monitoreen constantemente estos dispositivos con elfin de afinarlos constantemente de acuerdo con el escenario en el que estánoperando, además de tomar acciones de alerta o mitigación ante las amenazasque se identifiquen.

Todo ese despliegue técnico y de recurso humano para la Implementación de unsistema gestionado de seguridad perimetral implica unos costos que si bien sonconsiderables son fundamentales para el cumplimiento de los objetivos quepromueven la seguridad informática para cualquier institución educativa.

Por las razones expuestas, este documento servirá como base para iniciar con unproyecto de Implementación de un sistema gestionado de seguridad perimetralpara cualquier institución de educación superior, contemplando no sólo el aspectotécnico, sino los gastos económicos que deben estar presentes para sudespliegue.

12

OBJETIVO GENERAL

Elaborar la viabilidad técnica y económica para la Implementación de un UTM(Unified Threat Management), para la red de instituciones de educación superior.

OBJETIVOS ESPECÍFICOS

Diseñar una infraestructura de red centralizada para los servicios básicos yconvencionales de una Institución de Educación Superior con el fin tener unescenario que permita simular, delimitar y mostrar de forma más clara elalcance del proyecto.

Definir los parámetros y procedimientos técnicos que se deben en tener encuenta a la hora de dimensionar el sistema de seguridad para la redconvencional de cualquier institución de educación superior con administracióncentralizada.

Investigar el mejor proveedor de soluciones UTM para la Implementación delsistema de seguridad, teniendo en cuenta el análisis de mercado elaborado porGartner.

Definir los costos necesarios que la institución debería asumir para laimplementación del sistema.

Desarrollar los conocimientos y prácticas de las 9 áreas de la guíametodológica del PMBook aplicadas al proyecto.

13

ESTADO DEL ARTE

En el presente capítulo se describirán de forma breve algunos estudios, trabajosde grado, licitaciones y recomendaciones que proponen soluciones similares a lasde este proyecto, haciendo hincapié en los objetivos principales y las similitudescon el mismo.

1.6.1 Análisis e Implementación de un Esquema de Seguridad de Redespara la Universidad de Colima.

Es un estudio realizado para la universidad de Colima en México por el ingenieroAaron Lacayo, con el fin de obtener el grado de Maestro en ciencias en el área deTelemática.

Para el año 2004 la universidad ya contaba con una inversión en equipos yaplicaciones que ayudan a disminuir las vulnerabilidades de seguridad en laintranet de la institución, pero la dirección general de servicios telemáticosconsideraba que debía mejorarla y robustecerla aún más, optimizando el uso delos equipos, definiendo políticas y procedimientos oficiales, además del monitoreoconstante de los mismos.

Es así como el trabajo inicia con el análisis de la arquitectura actual de la red através de herramientas de monitoreo de tráfico y la ejecución de pruebas deintrusión para detectar las brechas de seguridad presentes en la red. Una vezobtuvo los resultados, el autor de la tesis realiza un análisis de los resultados y losriesgos que estos representan a la institución. Con base en lo anterior propone unplan táctico, en donde define una mejor operación, optimiza las políticas deseguridad, establece lineamientos para el personal de seguridadconcientizándolos de la actualización de las nuevas amenazas con el fin de actuarde forma apropiada para mitigarla. 1

Si bien tiene en cuenta el análisis real de la red a la que propone actualizar elsistema de seguridad perimetral y que técnicamente sustenta muy bien losbeneficios y la viabilidad técnica del proyecto, no utiliza un estándar o metodologíaespecífica para organizar o estructurar el estudio. Se limita al diseño de unsistema de seguridad perimetral para una institución en particular basándose en eltráfico de red del mismo. No contempla aspectos económicos.

1.6.2 Implementación de un Sistema de Seguridad Perimetral

El estudio es realizado por Carlos Manuel Fabuel estudiante de la UniversidadPolitécnica de Madrid como proyecto de fin de carrera de la Escuela Universitariade Ingeniería Técnica de Telecomunicación en el año 2013.

1 Tesis. Análisis e Implementación de un Esquema de Seguridad de Redes para la Universidad de Colima., 2004 Universidad de Colima, Facultad de Telemática

14

El trabajo inicia con un amplio contexto teórico acerca de la seguridad en elperímetro y los componentes presentes en un sistema convencional como loscortafuegos, IDS/IPS, Antivirus, proxies, control de contenido, entre otros.Posteriormente el autor resalta la importancia de la seguridad de la información ysimula la Implementación de un sistema de seguridad perimetral para una redcorporativa ficticia, en donde realiza el comparativo a nivel técnico del hardware dedistintos fabricantes de seguridad con firewall, eligiendo el mejor de acuerdo a sucriterio en cuanto a las características técnicas de los equipos. Establece nivelesde protección para determinadas zonas en la red de la corporación y suconfiguración. 2

El señor Fabuel sustenta su proyecto concentrándose en las característicasfuncionales de los equipos de seguridad de algunos fabricantes y explica por quésu implementación favorece las necesidades de seguridad y administración de unared de datos para una empresa ficticia con una infraestructura convencional.

De este estudio es interesante ver como realiza amplio y minucioso marcoconceptual que responde a la justificación del por qué es importante considerar laimplementación de un sistema perimetral

No utiliza algún estándar o metodología específica para organizar o estructurar elestudio, ni contempla temas económicos en su propuesta.

1.6.3 Licitación Pública para la Contratación de la Seguridad Telemáticapara la Rama Judicial

En esta licitación se detallan los servicios de seguridad telemática para la red de larama judicial de Colombia a nivel nacional, por un periodo de doce meses a partirdel 2015. Este documento es útil para conocer los requerimientos técnicos ycontractuales del sistema de seguridad telemática de una red de grandesproporciones con equipos de última generación y de gran robustez, para protegeruna entidad pública cuya información es tan sensible y vulnerable.

En el mismo, es posible ver el alcance de un proyecto que involucra la gerencia deproyectos dedicada a la supervisión y desarrollo de las políticas de gobiernocorporativo y gestión de TI, alineadas a las mejores prácticas de seguridad a nivelmundial.

Este documento está disponible en la página de contratación estatalwww.contratos.gov.co/SECOP (Sistema Electrónico de Contratación Pública) en

2 Trabajo de fin de carrera. Implementación de un Sistema de Seguridad Perimetral, 2013 Universidad Politécnica de Madrid, Escuela Universitaria de Ingeniería Técnica de

Telecomunicaciones

15

donde se publican todas las licitaciones relacionadas con servicios y productosque desean adquirir para entidades del estado.3

1.6.4 Implementación de un UTM (Unified Threat Management) para laSeguridad Informática en la Universidad Pontificia Bolivariana SeccionalMontería

El proyecto desarrollado por el ingeniero Luis Enrique Madera4 con el fin de optarpor el título de especialista en seguridad informática; es un claro ejemplo de lanecesidad que tienen las instituciones de educación superior por salvaguardar lainformación de sus integrantes, y que en muchos casos la solución deriva en tenerque reestructurar la red y la solución de seguridad con el ánimo de cumplir con elobjetivo.

El ingeniero madera expone las vulnerabilidades a las que la red educativa estáexpuesta y plantea el rediseño de la red de datos de la Universidad PontificaBolivariana de Montería, con el objetivo de centralizar y proteger su red de datos através de un firewall UTM de última generación que incluya un soporte técnico deprimer y segundo nivel.

Este autor hace hincapié en la importancia de adoptar el fabricante que se ajuste alas necesidades de seguridad de la institución y su presupuesto económico.

Este estudio justifica apropiadamente la viabilidad técnica para la ejecución de unsistema de seguridad perimetral para una institución de educación superiorespecífica; y a pesar de que considera aspectos económicos no utiliza unametodología específica que desarrolle la propuesta.

1.6.5 Buenas prácticas en gestión de TI y seguridad de la Información

El ingeniero electrónico Victor Fontalvo aspirante a máster en seguridad de lainformación, es uno de los tantos profesionales que afirman que en la actualidadlas organizaciones deben estar en una constante adaptación a las demandas delos usuarios en cuanto a aquellos nuevos productos y servicios disponibles en laInternet, llevándolas a la necesidad de mejorar la eficacia y eficiencia de laprestación de servicios a través de la mejora de sus procesos de negocio.

“El uso de tecnologías de la información y comunicaciones (TIC) supone unosbeneficios evidentes para todos, pero también da lugar a ciertos riesgos quedeben gestionarse prudentemente con medidas de seguridad que sustenten la

3 Consejo Superior de la Judicatura (2015) Licitación Pública. Detalle del Proceso Número LP 07 DE 2015, Recuperado de: https://www.contratos.gov.co/consultas/detalleProceso.do?

numConstancia=15-1-147524

4 Madera, L. M.(2017) Implementación de un UTM (Unified Threat Management) para la seguridad informática en la Universidad Pontificia Bolivariana Seccional Monteria. Recuperado

de: http://stadium.unad.edu.co/preview/UNAD.php?url=/bitstream/10596/13323/1/6882628.pdf

16

confianza de los usuarios de los servicios”.5 Fontalvo argumenta la importancia deacoger las mejores prácticas sugeridas para la protección de las redes de datos,iniciando por la protección de la red en el perímetro, refiriéndose a ella como lafrontera virtual existente entre la intranet de la de la institución y otros miles deredes que circundan por la Internet. Afirma que la mayoría de los incidentes deseguridad son identificados en el perímetro en donde se mueven muchos agentesmaliciosos que tienen como objetivo acceder a la red privada de forma noautorizada. Por lo anterior, asegura que es inminente el uso de distintas solucionespara la protección perimetral como lo son: Firewalls, IDS, IPS, VPN, etc. odispositivos UTM (Unified Threat Management) que utilizan todas las anteriores.

1.6.6 Implementación de un sistema de gestión unificada de amenazas parala empresa de créditos Palacio del Hogar

Palacio del hogar es una empresa Guayaquileña catalogada como pyme dedicadaa la venta de productos para el hogar y tecnología. En los últimos años como esde esperarse, la empresa comienza a crecer y a extender su mercado con 4sucursales adicionales a su casa matriz. Por lo anterior, la empresa debeconsiderar el uso de nuevos canales de comunicación, nueva infraestructura dered, aplicativos y nuevos servicios de protección de datos y cifrado de canalesseguros a través de VPN.

El ingeniero Guido Miguez6 desarrolló este trabajo con el propósito de conseguirsu título de maestría en seguridad informática aplicada. Miguez, propuso laImplementación de un sistema de gestión unificada de amenazas (UTM), pormedio de código abierto “Endian Community” para que la empresa lograraestablecer comunicación segura entre las sucursales, y protección a los nuevosservicios informáticos de la institución. La idea consistió en centralizar toda lagestión de su infraestructura en la sede matriz y desde allí configurar 5 zonas querepresentan la segmentación de la red institucional.

El autor del proyecto inicia con el levantamiento de la información de red de todaslas sucursales, incluyendo los dispositivos, su configuración, enrutamiento,segmentación, servicios y la capacidad de los canales. Una vez a reunido toda lainformación, procede a hacer un rediseño de la topología y segmentación de lared, para luego centralizar la gestión de la misma en la sede principal, y configurarallí el firewall Endian con las políticas de seguridad necesarias para proteger lared, dar acceso remoto a las demás sucursales, garantizar la navegación hacíaInternet y configurar el sistema de alarmas ante los eventos de seguridadgenerados por el sistema.

5 Fontalvo V., Conceptos Básicos en buenas prácticas de TI y seguridad informática. Recuperado de: https://www.academia.edu/11494593/Conceptos_basicos_en_buenas_practicas_de_TI_y_seguridad_informatica

6 Miguez, G.(2017) Implementación de un sistema de gestión unificada de amenazas (UTM) para la empresa de créditos Palacio del Hogar. Tesis de maestría [en línea]. Guayaquil: Escuela

Superior Politécnica del Litoral. Facultad de Ingeniería en Electricidad y Computación. 2017. 230p. [Consultado el 20 de diciembre de 2017]. Disponible en Internet:

http://www.dspace.espol.edu.ec/xmlui/bitstream/handle/123456789/38694/D-106135.pdf?sequence=-1&isAllowed=y

17

Este trabajo especificó los procedimientos necesarios para la implementación delfirewall UTM, además de configurar un sistema de alarmas ante eventos deseguridad; un aspecto fundamental en la gestión de seguridad de una red. Sedestaca también que el autor no utilizó ninguna metodología específica paradesarrollar el trabajo, ni contemplo aspectos económicos dentro del mismo.

1.6.7 Unified Threat Management

El profesor asistente Vinit Agham7 del departamento de ingeniería informática enRC Patel institute of technology en la india, publica en el diario de IRJET (diariodigital de acceso abierto sobre ingeniería y tecnología) un artículo dedicado a latendencia emergente del UTM en el mercado de seguridad de firewall. Aghamresalta los criterios de trabajo del UTM, sus bondades y las características que lohacen resaltar frente al firewall convencional. Lo interesante de este artículo sonlos ítems que el autor entrega para juzgar una tecnología UTM:

Asegurarse de que no haya huecos en la configuración de seguridad. La tecnología del UTM debe incluir todos los elementos de seguridad

importantes, como lo son el firewall, el filtro de antivirus, antispam, filtradoweb e IDS/IPS.

Debe ser infalible en cuanto a la actualización de firmas de proteccióncontra virus. Además de ser fácil de utilizar.

La UTM debe proporcionar una protección continua y trasparente las 24horas del día y los 365 días del año.

Debe ser asequible y completa.

Lo anterior es interesante en cuanto a que este documento representa una fuenteneutral (no se trata de un fabricante de UTM) que expresa los criterios útiles paraevaluar una tecnología de UTM.

1.6.8 Resumen aspectos relevantes del estado del arte

De acuerdo con los estudios citados en el estado del arte, vale la pena resumir losaspectos relevantes:

Es común encontrar el rediseño de toda una topología de red de unainstitución, procurando centralizar todo el tráfico de la institución a través delUTM. Ésto, luego de identificar la importancia de defender su red del tráficoentrante y saliente del perímetro entre la red local e Internet.

7 AGHAM ,Vinit. Unified Threat Management. Artículo e-ISSN: 2395 -0056 [en línea]. Shirpur, Maharashtra. R C Patel Institute of Technology.Computer Engineering department. 2016.

5p. Abril 2016. [Consultado el 15 de diciembre de 2017]. Disponible en Internet: https://www.academia.edu/34700889/Unified_Threat_Management

18

Se destaca la importancia de la implementación no sólo de un firewall sino dela integración de un gestor unificado de amenazas que proteja de formaintegral el perímetro y la red local de las instituciones tanto del tráfico entrantecomo del saliente.

No se observa una metodología de proyectos clara en la consulta de lostrabajos de instituciones de educación superior.

En algunos trabajos se tiene en cuenta el aspecto económico, pero no es unatendencia.

19

MARCO TEÓRICO

Para el presente marco teórico se realizó una investigación acerca de los temasque ayudarán al lector a contextualizarse sobre la importancia de la seguridadinformática en las instituciones, dando una pasada por los principios básicos, lasamenazas a las que se ven enfrentados en este mundo virtual y de forma generalel cómo y el por qué, de los más comunes ataques que día a día toman másfuerza alrededor del mundo.

Teniendo en cuenta que el objetivo del documento también considera los aspectoseconómicos para la Implementación de un sistema de seguridad perimetral, seintroducen algunos términos utilizados en el desarrollo de este proyecto.

Principios Básicos de Seguridad

El término "Seguridad" hoy en día es utilizado en casi todos los aspectos de lavida cotidiana, es sinónimo de dar tranquilidad, confianza y poco riesgo frente asituaciones u objetos específicos, como lo es la protección de las casas, la salud,los pagos, uso de controles para prevenir desastres o la adquisición de segurosque garanticen recuperar el valor de los bienes.

En seguridad informática la seguridad es conocida como los mecanismos yprocesos utilizados para evitar pérdidas o fugas, y contempla tres aspectosfundamentales: La confidencialidad, la integridad y la disponibilidad (gráfica).

Los tres aspectos intentan asegurar los principales activos de una organización elsoftware, hardware y la información; incluyendo las comunicaciones entre éstos ylas debilidades humanas que interactuan con estos sistemas.

Los profesionales que se encargan de la seguridad deben guardar un balanceentre las restricciones que configuran en sus plataformas (con el fin de protegerlos activos de la empresa) con permitir que los sistemas continuen siendofuncionales a los usuarios a pesar de disminuir la facilidad de usos de los mismos.

Integridad

Cuando se habla de integridad de la información se hace referencia a la cualidadde la misma de ser correcta; es decir, que no ha sido modificada o que parte deella no ha sido borrada una vez el emisor la ha trasmitido.

Entre los mecanismos que se tienen para garantizar esta cualidad se encuentranlos algoritmos hash y la firma digital, métodos de autenticación de usuarios quepermiten validar su identidad.

20

Disponibilidad

La disponibilidad se refiere a la capacidad de mantener la información o serviciosde una entidad accesibles para los usuarios autorizados, de forma que elcontenido de éstos sea útil, facilitando la concurrencia de conexiones dentro detiempos apropiados.

Confidencialidad

La confidencialidad consiste en la cualidad de no permitir que personas noautorizadas puedan acceder a cierta información. Es ese caso, se puede decir quela confidencialidad se puede perder cuando se cometen errores como: dejarcontraseñas guardadas en los navegadores de un computador que es compartido,se olvida cerrar los usuarios de las cuentas, cuando en la transferencia deinformación no se toman medidas adecuadas de cifrado en la comunicación quese establece, o cuando los sistemas informáticos son vulnerados con malware quepermite a terceros tomar control de sus equipos.

Panorama de las amenazas

Las amenazas que se presentan en el área informática se pueden comparar conlas amenazas que la ley enfrenta en la vida cotidiana. Una amenaza generalmentepresenta tres características principales: Motivo, medio y la oportunidad. Cuandoun ladron intenta cometer un ilicito evalua el beneficio que obtendrá con lo queurte en determinado lugar (motivo), las herramientas que utilizará para hacerlo(medio) y el momento adecuado en que el perjudicado se descuide o llame poco laatención, será la oportunidad .Fortinet (2017).

Así mismo sucede en informática, los motivos pueden variar desde la motivaciónde una persona por acceder a la información personal y confidencial de su pareja,el cambio de notas de un estudiante en el sistema, hasta la desviación de fondosen una entidad financiera. Hoy en día obtener información, libros, guías otutoriales acerca de redes y la forma de hackear sistemas, no es para nadacomplicado; existen cada vez más estudiantes o personas curiosas que buscanentender y manipular este mundo virtual, es precisamente en este punto cuando laseguridad de la red de una institución deberá no escatimar en gastos para poderidentificar y analizar las vulnerabilidades y amenazas potenciales a las que se veexpuesta y de esta manera mitigar los riesgos.

El desafio entonces para un administrador de la seguridad de la información esestar a la vanguardia de las nuevas amenazas que están surgiendo diariamentede forma paralela a como lo hacen las actualizaciones o los nuevos servicios,aplicaciones y dispositvos. Luchando además por mantener la disponibilidad y lanavegación óptima de los usuarios de la red.

21

Evolución de los Adversarios

Hace más o menos 50 años en el Instituto de Tecnología de Massachusetts surgióel concepto de hacking, estudiantes de allí acuñaron el término de un grupo deentusiastas de modelos de tren, destacados por la operación automatizada detrenes a escala. En 1969 con el fin de mejorar el rendimiento de los trenes, estegrupo se interesó por descubrir como modificar el software y el hardware de losmismos. A su vez, los cientificos de AT&T Bell desarrollaban uno de los primerossistemas operativos más importantes del mundo UNIX.

La decada de los 80s fue la epoca dorada del hacking, cuando las personasempezaron a adquirir sus computadoras personales para el hogar y losconectaban a través de la red telefónica; en ese entonces, no existía contenidoweb, pero las computadoras podían comunicarse entre sí y permitir la interaccióndel usuario por medio de chats y servicios de transferencia de archivos FTP (FileTransfer Protocolo). Los 80s fue la edad del MS-DOS y la interfaz de línea decomandos (CLI), lo que permitió que los curiosos pudiesen explorar los sistemasexistentes, llegando al punto de incluso invadir las redes de computadoras dealgunas empresas. Es así como en los años noventa el proposito de la pirateríainformática se extendía con una serie de motivos como: hackear información pordinero, por venganza o por diversión, pero sin llegar aun a provocar dañosimportantes. Fortinet (2017).

A medida que avanzaba el siglo XXI los hackers aficionados eran remplazadospor profesionales entrenados y bien pagos, situación derivada del crecimienro delmercado bursátil, los hospitales, las transacciones bancarias electronicas, elalmacenamiento de información corportativa o personal, entre otras. A mediadosde los años 2000, la piratería informática se había convertido en una tacticageneralizada del crimen organizado, los gobiernos y los hacktivistas.

Crimen. Los hackers de todo el mundo escribian software malicioso (malware)para secuestrar miles de ordenadores, utilizando el poder de su procesamiento pargenerar spam. Escribieron troyanos para robar credenciales de acceso a sitiosweb.

Gobierno. En el sector Gobierno, cuando los Estados Unidos querían sabotear elprograma Iraní en 2009, hackearon una instalación de desarrollo y desataron elvirus informático más peligroso hasta la fecha. Stuxnet causó que lascomputadoras de laboratorio Iranies hicieran girar centrifugas fuera de control. .Rusia usó ciberataques para cerrar medios durante la guerra de 2008 en Georgia.Y ahora, se sospecha que tanto China como Rusia han hackeado los sistemas delgobierno de Estados Unidos, robando información personalmente identificable(PII-Personally Identifiable Information) sobre millones de empleados del gobiernoy sus familias.

22

Hacktivistas. El famoso grupo de hackers conocido como Anonymous, ataca a losdepartamentos de policía para denunciar la brutalidad de los oficiales, inunda a losbancos con tráfico basura de Internet y un grupo que se llama a sí mismo"Vigilante" derriba sitios web jihadistas islámicos.

Debido a las herramientas y recursos informáticos que están disponibles y elcontinuo desarrollo de amenazas, la atribución del ataque es cada vez más dificil.

Desde un punto de partida de ataques pequeños y directos a las computadoras,los hackers han evolucionado junto con los ordenadores, las redes y la seguridad.Los hackers modernos son ciberdelincuentes capacitados, motivados porcuestiones como ganancias financieras, patrocinio de organizaciones criminales,grupos políticos radicales o incluso estados soberanos. Los hackers modernos yfuturos tienen mucho más recursos que sus homólogos de hace un cuarto desiglo, mayor conocimiento técnico y concentración, y mayor financiamiento yorganización. Una serie de diferentes tipos de hackers que se han desarrolladodesde la década de 1980. Los adversarios intentan acceder a muchos tiposdiferentes de datos por muchas razones diferentes. Estas razones van desdeinformación personal hasta acceso encubierto a máquinas o redes, a ataques quecosechan o impiden la recepción de información. Fortinet (2017).

En algunos casos, el motivo es simple: la extorsión. Entre las razones parahackear en los sistemas son:

IP. Obtención de la dirección IP de un destino para que el tráfico dentro y fuerade la dirección pueda ser supervisado, detenido o afectado de otro modo.

Información Financiera. La información de los bancos es de la más apetecida,desde la obtención de información relacionada con cuentas de dineroinstitucionales, la ejecución de un Ransomware que hace que la victima debapagar un dinero para que le sea entregado el "antidoto" del malware que haafectado su sistema, hasta la realización de pequeñas compras con informaciónde tarjetas de crédito robadas a los consumidores.

PII - Robo de Identidad. Esto incluye todo, desde la información de crédito hastala documentación de identificación, como los números de Seguro Social, lasfechas de nacimiento y otros datos que pueden usarse para crear una identidadsin que el objetivo sea consciente hasta que sea demasiado tarde y el daño hayasido hecho.

Apagando la competencia. Se han utilizado tácticas como los ataques DDoS(Distributed Denial of Service) para bloquear a los competidores comerciales de lainformación de productos y servicios de radiodifusión . . Otros ataques puedeninfectar los sistemas de fabricación, las nóminas de pago y otras funciones queresultan en que una empresa tenga que cerrar las operaciones hasta que se

23

resuelva el problema. Estos ataques también pueden incluir el sabotaje industrial,donde se obtienen datos que dan a una empresa una ventaja sobre loscompetidores, o altera el producto de un competidor para que no seacomercializable.

Wikileaks La cobertura mediática de Julian Assange y la organización Wikileaksha estimulado a los activistas a seguir sus pasos. Estos activistas trabajan paraexponer cosas con las que no están de acuerdo; Ya sea públicamenteavergonzando a la empresa en el cambio de procedimientos o productos, outilizando la información como garantía de un rescate.

Lucro. Este es el primer motivador detrás de las empresas criminales, y no esdiferente cuando se aplica a los ataques de red.

Sabotaje. En una gran empresa, organización o nivel de gobierno, el sabotaje esel medio para un fin -normalmente el cierre de un programa (como con el uso deStuxnet en 2009 para cerrar el programa nuclear de Irán por un tiempo), la pérdidacatastrófica de sistemas y / O datos, o el robo de información industrial. Fortinet(2017).

A medida que el hacking pasó de individuos a entidades grandes, bienorganizadas y con recursos adecuados, los hackers obtuvieron beneficiosadicionales que proporcionaron capacidades mejoradas sobre los esfuerzosindividuales. Debido a que la piratería organizativa proporciona el beneficio de lacolaboración y el aumento de los fondos, proporciona un caldo de cultivo para loshackers y el desarrollo de nuevas amenazas cibernéticas. Algunos de losbeneficios de la piratería organizacional incluyen:

Educación, capacitación y soporte técnico Tienda frente a herramientas de hacking y explotaciones de día cero /información sobre vulnerabilidades Organización sofisticada Apoyo gubernamental Apoyo por monedas virtuales como el bitcoin Obscuridad adquirida a través de redes anónimas como TOR

Qué es la dirección de proyectos8

La dirección de proyectos consiste en la aplicación de los conocimientos,habilidades, herramientas y técnicas utilizadas para cumplir con los requisitos delproyecto. De acuerdo a la metodología del PMI, lo anterior se logra a través de la

8 Dirección de Proyectos. Guía de la Dirección de Proyectos (Guía de PMBook) Cuarta Edición, 2008 Project Management Institute 14 campus Boulevard, Newtown Square, Pennsylvania

19073-3299 EE.UU., Capítulo 1. Página 12

24

aplicación de 42 proceso de la dirección de proyectos, agrupados de forma lógicaen 5 grupos:

Iniciación Planificación Ejecución Seguimiento y control Cierre

Generalmente dentro de la dirección de proyectos se llevan a cabo procesoscomo la identificación de requisitos, la evaluación de las necesidades yexpectativas de las personas involucradas en el desarrollo del proyecto.

En la dirección de proyectos es importante equilibrar las reestriccionescontrapuestas como el alcance, la calidad, el cronograma, el presupuesto, losrecursos y el riesgo.

Ciclo de vida del proyecto

El ciclo de vida del proyecto consiste en el conjunto de fases presentes en elmismo, que pueden presentarse de forma superpuesta o secuencial y que sedeterminan por la necesidad de gestión y control de la organización uorganizaciones involucradas en el proyecto. El ciclo de vida se puede determinarpor los aspectos únicos de la organizacion, de la industria o la tecnologíaempleada. El ciclo de vida del proyecto proporciona un marco de referencia paradirigir el proyecto independiente del trabajo especifico.

25

MARCO LEGAL

El manejo de la información y especificamente el tratamiento de los datosconfidenciales de las personas, es un tema que en los últimos años se ha venidoafinando y alineando en el uso de tecnologías de la información, con el fin desalvaguardar su intimidad. El respeto por manejar y custodiar de forma adecuadala información personal de los indviduos es un aspecto importante a nivel mundialy en Colombia no es la excepción.

Aunque la ley 1581 de 2012 tiene como objeto "..desarrollar el derechoconstitucional que tienen todas las personas a conocer, actualizar y rectificar lasinformaciones que se hayan recogido sobre ellas en bases de datos o archivos, ylos demás derechos, libertades y garantías constitucionales a que se refiere elartículo 15 de la Constitución Política; así como el derecho a la informaciónconsagrado en el artículo 20 de la misma."9 Este documento se centra en losaspectos que afectan la intimidad del individuo, derivado del manejo informáticoque se le dé a la información personal del mismo.

Generalmente las instituciones educativas manejan en su base de datos,información personal sensible tal como el origen racial del individuo, su orientaciónpolítica o religiosa, datos relacionados con su salud, su sexualidad o informaciónbiométrica que en manos no adecuadas pueden convertirse en motivo dedescriminación contra la persona o hechos fraudulentos.

Por lo anterior es importante resaltar la responsabilidad que la ley coloca en todaslas entidades que manejen información personal sensible y que prescribe a quecumplan con una serie de precauciones y avisos con el fin de salvaguardar laintegridad de la persona.

La ley estatutaria de Colombia en el articulo 4 del Titulo II. Principios rectores,Principios para el Tratamiento de datos personales. claramente define el principioque atañe a la labor de la seguridad de la información dentro de una entidad, lacual especifica lo siguiente en el paragrafo g:

"Principio de seguridad: La información sujeta a Tratamiento por el Responsabledel Tratamiento o Encargado del Tratamiento a que se refiere la presente ley, sedeberá manejar con las medidas técnicas, humanas y administrativas que seannecesarias para otorgar seguridad a los registros evitando su adulteración,pérdida, consulta, uso o acceso no autorizado o fraudulento".

9 Objeto.Ley Estatutaria 1581 del 2012. "Por la cual se dictan disposiciones generales para la protección de datos personales". Octubre 17. Congreso de Colombia

http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=49981

26

METODOLOGÍA

El documento se construye como parte del proyecto de opción de grado. Sedesarrollará siguiendo el procedimiento de una investigación de tipo cualitativo conun enfoque descriptivo y de corte transversal (Sampieri, 2010), con el cual sepretende contextualizar al lector del documento sobre la importancia de laseguridad de la información al interior de las instituciones de educación superior yla viabilidad técnica y económica para la Implementación de un sistema deseguridad perimetral con UTM (Unified Threat Management) incorporado, conbase en las mejores prácticas de la metodología de dirección de proyectos PMI,desarrollando las 9 areas de conocimiento del propuestas en el PMBok.

Entonces el proyecto se desarrollará de la siguiente forma:

Figura 1 Metodología del proyecto

Fuente: Propia

27

INICIO DEL PROYECTO

PROJECT CHARTER

2.1.1. Propósito y Justificación del Proyecto

La era de la globalización trae consigo un sin número de posibilidades, servicios yproductos, para comunicarse e intercambiar información; situación que conllevanecesariamente a considerar la responsabilidad que tiene el área de informáticade cualquier institución de defender su red y activos de información de cualquiervulnerabilidad o manejo negligente de los usuarios de la misma.

En un entorno académico como los de educación superior, se hace fundamentalpropender por la protección, confidencialidad y confiabilidad de la información quetransita por las redes de la misma, razón por la que se desarrolla este proyecto, elcual pretende realizar la viabilidad técnica y económica para la Implementación deun esquema de seguridad perimetral gestionado para cualquier IES (InstituciónEducación Superior), de tal forma que se pueda limitar a los usuarios (estudiantes,invitados, personal administrativo y docente) para que no accedan a contenido noautorizado, no acorde con los objetivos académicos de la institución o que puedanpresentar eventualmente una amenaza para los activos de la institución.

2.1.2. Objetivos

General

Elaborar la viabilidad técnica y económica para la Implementación de un UTM(Unified Threat Management), para la red de cualquier institución de educaciónsuperior.

Específicos

Diseñar una infraestructura de red centralizada para los servicios básicos yconvencionales de una Institución de Educación Superior con el fin tener unescenario que permita simular, delimitar y mostrar de forma más clara elalcance del proyecto.

Definir los parámetros y procedimientos técnicos que se deben en tener encuenta a la hora de dimensionar el sistema de seguridad para la redconvencional de cualquier institución de educación superior con administracióncentralizada.

28

Investigar el mejor proveedor de soluciones UTM para la Implementación delsistema de seguridad, teniendo en cuenta el análisis de mercado elaborado porGartner.

Definir los costos necesarios que la institución debería asumir para laimplementación del sistema.

2.1.3. Descripción del Proyecto

El proyecto "Viabilidad Técnica y Económica para la Implementación de un UTM(Unified Threat Management) para Instituciones de Educación Superior" consisteen un documento que servirá como apoyo para la planificación técnica yeconómica de un sistema de seguridad perimetral para cualquier IES que deseeproteger su red de los riesgos informáticos a los que está expuesta, considerandoun firewall de última generación con administración unificada de amenazas (UTM-Unified Threat Management) y un centro de operaciones de seguridad (SOC-Security Operation Center) que se encargue de supervisar, evaluar y defender lainfraestructura de red 7x24.

En el estudio técnico del documento se trabajará sobre una red convencional demenos de 3000 usuarios, con una zona desmilitarizada (DMZ) en donde se aislarátoda la granja de servidores que prestan servicios a Internet.

Con base en lo anterior, se describirán las fases que debe considerar cualquierinstitución para la ejecución del proyecto:

Situación actual de la infraestructura Análisis de vulnerabilidades Análisis de riesgos Análisis de brechas de seguridad Identificación de mejoras Determinación de recursos Determinación de costos

2.1.4. Requerimientos de Alto Nivel

Requerimientos del Servicio

Autorización para recolectar información de la infraestructura de red de lainstitución.

Definición de los segmentos de red y máquinas que se incluirán dentro dela solución.

Autorización para realización de estudios de campo (Site Survey).

29

Ubicación física de los puestos de trabajo de los operadores en sitio. Disposición de espacio adecuado en Datacenter para la ubicación de los

appliance. Disposición de los recursos de red necesarios para la prestación del

servicio.Requerimientos del Proyecto

Contar con presupuesto aprobado para la ejecución del proyecto Designar un gerente de proyectos a cargo del seguimiento y ejecución. Entrega de políticas y lineamientos de seguridad establecidas por la

Institución de educación superior.

2.1.5. Premisas y Restricciones

Realizar el seguimiento a la ejecución de los acuerdos y compromisospactados en la propuesta.

Ejecutar el proyecto dentro del margen de las políticas de seguridad de lainstitución.

La institución deberá proporcionar la información y el acceso necesario a lared tanto para la elaboración del diseño del sistema como para suimplementación.

La administración de la solución se limitará a la implementación,configuración y gestión de los equipos de seguridad, así como la aperturade casos de seguimiento relacionados.

Garantizar el cumplimiento de los acuerdos de niveles de serviciopropuestos.

2.1.6. Riesgos Iniciales

Falla técnica del equipo Incumplimiento proveedor del equipo Pérdida o robo de equipos Personal técnico no certificado Riesgo humano por accidentes laborales Daño infraestructura física de la universidad Falta de requerimientos para la instalación Desastres naturales (terremoto) Atentado terrorista en instalaciones del cliente

30

2.1.7. Cronograma de Hitos Principales

Tabla 1 Cronograma de hitos principalesHito Fecha

inicio Fecha final

Iniciación 02/10/17 17/10/17Elaboración Project Charter 11/10/17 16/10/17Definición preliminar alcance del proyecto 16/10/17 17/10/17Plan de proyecto 17/10/17 20/11/17Diseño de la solución 31/10/17 08/11/17Contratación con proveedores 25/10/17 30/11/17Manuales y capacitaciones 07/12/17 16/01/18Implementación 30/11/17 05/12/17Pruebas de sistema 05/12/17 12/12/17Inicio operación y estabilización de servicios 17/01/18 01/03/18Cierre 02/03/18 08/03/18

Fuente: Propia

Figura 1 Diagrama de Gantt hitos principales

Fuente: Propia

2.1.8. Resumen del presupuesto

Tabla 2 Resumen del presupuesto

Concepto Costos Costos de nomina $ 445.813.021,83

Gastos de puesta en marcha $ 191.339.350,00Gastos en muebles $ 81.755.046,00

Costos de producción: Operación grupo SOC7X24 $ 280.497.874,63Total $ 999.405.292,46

Contingencia del 5% $49.970.264,62Total + contingencia $1.049.375.557,08

Fuente: Propia

31

2.1.9. Gerente del Proyecto Asignado

El gerente de proyecto asignado tiene la responsabilidad de exigir el cumplimientode cada uno de los entregables del proyecto, la supervisión del equipo de trabajo yde los reportes requeridos para la posterior entrega al sponsor de la institución.

2.1.10. Asunciones de la organización

Los proveedores cumplirán las fechas de entrega establecidas. Se cumplirán las normas de cableado estructurado y certificación de data

center que la institución tenga definidos dentro de sus políticas en el área deTI.

2.1.11. Restricciones de la organización

El costo del proyecto no debe exceder lo presupuestado para completar elmismo incluyendo el margen del 5%.

Obtener las ventanas de mantenimiento con afectación de la red en el centrode datos de la institución, dentro del tiempo estipulado en el cronograma.

Se presentará un informe mensual sobre los avances del proyecto, el cual estásujeto a revisión y aprobación del sponsor del proyecto.

STAKEHOLDERS

2.2.1. Lista de Stakeholders

Tabla 3 Identificación de Stakeholders, su influencia y tipo de interés en el proyecto

Cargo GeneralTipo de

StakeholderInfluencia

SobreTipo de Interés

Sponsor IESUsuario

patrocinadorTodos losprocesos

La ejecución de las fases delproyecto con los recursos y los

tiempos asignados. Cumplimiento de la institución con

la protección mínima de su red.

Gerente unidadfinanciera IES

UsuarioPatrocinador

Procesosfinancieros

Aprobación y asignación derecursos económicos para la

ejecución del proyecto.Realización económica

Coordinadorárea de

informática IES

UsuarioLíder

Procesos decarácter técnico

No haya afectación del normalfuncionamiento de los servicios de

la red. El sistema cumpla con los

requerimientos de protecciónestablecidos.

32

Gerente deproyecto PMO

IES

Usuariodirección deproyectos

Seguimientoprocesos y

comunicacionesdel proyecto

Control de procesos y ejecucióndentro del alcance establecido.Comunicación con los demás

stakeholders. Satisfacción del sponsor.

Asesor legalIES

Usuariopatrocinado

Procesos decarácter legal

Control y supervisión de procesoslegales y de contratación con

terceros

Equipo deoperaciones

IES

Equipo delproyecto

Operación ensitio durante los

tres años

Cumplimiento de los procesos deseguimiento, alarma, atención y

corrección de incidentes. Reciban la formación completa delsistema y procesos que seguirán

para la operación.

Usuarios finalesUsuario

clave

Uso de losservicios de la

institución

Navegación rápida y que permitael uso de las herramientas de rednecesarias para el cumplimiento

de su labor con la institución.Protección frente a

vulnerabilidades que pueda traerla red.

Seguridad y confiabilidad.

Proveedor desistema UTM

ProveedoresProveedores de

hardware ysoftware

Comercio justoGarantías de compras

Compromiso a largo plazoSatisfacción del cliente en cuanto

al diseño, implementación,transferencia de conocimiento ygarantía del sistema en general.Información concreta y completa

del objetivo del sistema.

Fabricantesistema UTM

ProveedoresProveedores de

hardware ysoftware

Garantías de compras. Acompañamiento, soporte y

satisfacción del cliente.Correcto funcionamiento del

sistema acorde con lascaracterísticas ofrecidas al cliente.

Fuente: Propia

33

2.2.2. Influencia de Stakeholders

Tabla 4 Clasificación de los Stakeholders. Matriz Influencia Vs Poder

MATRIZ INFLUENCIA Vs PODER

Poder sobre el proyecto

BAJA ALTAIn

flu

enci

a so

bre

el

pro

yect

o

ALT

A Coordinador área de informáticaAsesor legal

Coordinador de operaciones

Sponsorpresidente de junta directivaGerente del proyecto

BA

JA Usuarios finales Gerente unidad financiera

Proveedores

Fuente: Propia

2.2.3. Definiciones Acerca del Manejo de Aprobaciones

Tabla 5 Matriz manejo de aprobacionesActividades Evaluador

Proceso de adquisición de hardware y software dentro de los plazos establecidos y las características requeridas.

Coordinador de compras

Gestión de presupuesto y de sus variaciones. Gerente unidad financiera.

Decisiones técnicas Coordinador operación técnica

Ruta de escalamiento y seguimiento de actividades

Gerente de Proyectos

Fuente: Propia

34

2.2.4. Organizaciones funcionales y su participación

Tabla 6 Organizaciones funcionales Vs rol que desempeñan

Organizaciones queintervienen en el proyecto

Rol que desempeña

Institución de educaciónsuperior

Organización que demanda un servicio de seguridad perimetral con control de gestionadode amenazas para proteger y brindar seguridad a la red de la institución.

Proveedor de Hardware ysoftware UTM

Fabricante o proveedor que entrega, instala yconfigura los equipos de seguridad con susrespectivas licencias para el correctofuncionamiento. Además, ofrece soporte ygarantías sobre los mismos.

Contratista grupo SOC

Encargado de la operación, monitoreo,seguimiento, control y atención eventos eincidentes de la plataforma de seguridad y eltráfico de la red 7x24

Clientes Usuario finalFuente: Propia

35

DISEÑO Y ALCANCE DEL PROYECTO

PLAN DE INTEGRACIÓN DEL PROYECTO

Descripción del Producto

El producto final del proyecto consiste en un documento que muestra la viabilidadtécnica y económica para la Implementación de un sistema UTM que seencargarán de dar protección a los servidores de la red interna (Intranet) de lainstitución educativa, como para la navegación de los usuarios de la red hacíaInternet y de los usuarios de Internet hacía la red interna. Una zonadesmilitarizada (DMZ) en donde se ubiquen todos los servidores que prestenservicios hacía Internet, de tal forma que a esta red se puedan recibir conexionestanto internas como externas, pero desde la DMZ hacía la red interna no.

El proyecto contempla el servicio de seguridad gestionada para el cual se definiránlas condiciones técnicas para cumplir con la disponibilidad, confidencialidad,confiabilidad y acceso a la red institucional de los usuarios de la red de la IES porun periodo de 3 años.

Dentro de las mejores prácticas la solución cumplirá con las necesidades básicasde un sistema de seguridad informático, garantizando a su vez el crecimiento de lared (nuevos usuarios y servicios), la atenuación de los riesgos y vulnerabilidades alos que pueda estar expuesta la red y que comprometan la integridad de lainformación de la IES.

La solución debe considerar los siguientes aspectos:

Implementación de dispositivo firewall UTM en la topología de la institución. Servicios de administración, gestión y operación de la plataforma de

seguridad. Capacitación de personal en sitio para la gestión y operación de la

plataforma. Administración centralizada de los perfiles y configuraciones de las

soluciones que compongan el sistema de seguridad. Configuración acceso externo a las aplicaciones de la institución de forma

segura

Descripción diseño de red

Con base en los trabajos estudiados y relacionados en el estado del arte delpresente documento, se realiza un estimado de conexiones y usuarios de una redinstitucional de educación superior promedio, con el fin de tener un escenario de lainfraestructura de red de una IES convencional y de esta forma poder buscar que

36

el sistema cumpla con las características técnicas de dicho escenario; además defacilitar el cálculo de recursos y costos requeridos.

Figura 2 Topología de red IES

Fuente: propia

Usualmente la infraestructura de red de una institución de educación superior,segmenta su tráfico en VLANs (administrativa, académica, red inalámbrica). Esimportante considerar que la administración de las mismas idealmente seacentralizada, con el fin de facilitar tanto la gestión del tráfico como la de amenazas,además de lograr un eficiente monitoreo de la red.

Como se observa en la figura 8 se plantea una topología de red en donde sedefine una zona desmilitarizada (por sus siglas en inglés Demilitarized Zone –DMZ) en donde se ubicará la granja de servidores que realizan publicaciones delos servicios de Internet de la institución, y una zona militarizada MZ, donde seencontrarán los servidores de uso privado de la institución, como los de serviciosde DNS, DHCP, bases de datos o aplicativos.

37

Existe un switch core capa 3 encargado de direccionar las redes de las VLAN dela institución entre la red local y la salida a Internet a través del firewall perimetral.Este firewall UTM protegerá la comunicación entrante y saliente de Internet, asícomo la comunicación entre los segmentos de red privados de la institución.

Servicios mínimos de la solución

Análisis del tráfico circulante de la red actual de la institución. Instalación, configuración y afinamiento de plataforma de seguridad a

implementar de acuerdo con las recomendaciones del fabricante. Diseño y configuración de las políticas y perfiles de seguridad para la

navegación de los usuarios de la red con base en las mejores prácticas delmercado.

Análisis continuo de la plataforma y su configuración, con el fin de que lasolución este actualizada frente a los cambios tecnológicos que se puedanpresentar.

Operación dedicada en sitio a través de profesional técnico especializadoen horario de oficina 5x8.

Operación remota a través de un equipo SOC (Security Operation Center) 7x 24.

Generación de informes técnicos: elaboración mensual y bajo demanda queincluyan el análisis de tráfico evidenciado sobre la red que incluyan unaserie de recomendaciones y acciones de mejora.

Características técnicas de los servicios de seguridad requeridos

La solución deberá tener las siguientes características de rendimiento de acuerdoal estimado de conexiones concurrentes delimitado para este proyecto:

Mínimo 1000 conexiones concurrentes Funcionalidad de UTM incluido (Filtrado web, control de aplicaciones,

antivirus, antispam, acceso externo por VPN, enrutamiento avanzado). Mínimo 2 puertos 10/100/1000 Ethernet y 2 puertos GigE SFP Debe contar con fuente redundante de potencia.

Por lo tanto, deberá tener las siguientes funcionalidades:

Firewall basado en tecnologías que permitan brindar una solución de“Complete Content Protection”. Por seguridad, no se aceptan equipos depropósito genérico (PCs o servers) sobre los cuales pueda instalarse y/oejecutar un sistema operativo regular como Microsoft Windows, FreeBSD,SUN solaris, Apple OS-X o GNU/Linux.

38

Sistema operativo específico para seguridad que sea compatible con elappliance.

Soporte a tags de VLAN (802.1q) y creación de zonas de seguridad conbase a VLANs

Capacidad de integrarse con Servidores de Autenticación RADIUS. Capacidad nativa de integrarse con directorios LDAP sin licenciamiento

adicional. Capacidad incluida, al integrarse con Microsoft Windows Active Directory,

de autenticar transparentemente usuarios sin preguntarles username opassword, para aprovechar las credenciales del dominio de Windows.

Capacidad de reensamblado de paquetes en contenido para buscarataques o contenido prohibido, basado en hardware (mediante el uso de unmódulo ASIC o equivalente).

Soporte a aplicaciones multimedia como: H.323, SIP, Real Time StreamingProtocol (RTSP).

Soporte de SNMP versión 2. Soporte de Syslog para poder enviar bitácoras a servidores de SYSLOG

remotos Soporte de Control de Acceso basado en roles, con capacidad de crear al

menos 6 perfiles para administración y monitoreo del Firewall. Capacidad de hacer traducción de direcciones estático, uno a uno, NAT. Capacidad de hacer traducción de direcciones dinámico, muchos a uno,

PAT. Soporte a ruteo dinámico RIP V1, V2, OSPF y BGP

Criterios de aceptación del producto

3.1.5.1 Técnicos

Verificar que la configuración de la red de la institución cuente con elenrutamiento predefinido para la misma, los tags de las VLAN y las zonasacordadas.

Se debe recibir y verificar la creación de los usuarios VPN SSL para elpersonal remoto que pretenda ingresar a la red interna de la institución, deacuerdo a los requerimientos específicos de las mismas.

Se debe recibir y verificar conectividad de las VPN IPSec creadas con lasredes privadas de otras entidades.

Comprobar la navegación de los usuarios de la red de acuerdo a laspolíticas preestablecidas para cada uno de los roles acordados.

39

Verificar conectividad hacía Internet dentro los parámetros definidosrespetando el jitter máximo permitido y el ancho de banda asignado paracada canal.

Disposición de los recursos humanos e informáticos para los servicios deadministración, gestión y operación de la plataforma de seguridad.

Disposición de los recursos humanos e informáticos para el servicio demonitoreo desde el Security Operation Center-SOC con personal en sitio.

Generación y control de indicadores de gestión de la solución a nivelconsultivo y técnico.

3.1.5.2 Calidad

Cumplir al sponsor con los tiempos de entrega establecidos y el desempeño delsistema implantado dentro de los parámetros normales.

3.1.5.3 Administrativos

La aprobación de los entregables del proyecto está a cargo del sponsor, losgerentes de las áreas funcionales, y el gerente del proyecto de acuerdo con loestablecido.

3.1.5.4 Comerciales

Cumplir con los acuerdos comerciales y contratos con terceros.

Organización inicial del proyecto

A continuación, se muestran el personal necesario para la ejecución del proyecto:

Tabla 7 Organización inicial del proyecto Vs Cantidad de recursos necesariosTipo de Recursos Cantidad

Sponsor 1Gerente unidad financiera 1Gerente de proyecto IES 1Ingeniero de diseño (proveedor) 1Ingeniero de implementación (proveedor)

1

Ingenieros de operaciones en sitio 1Coordinador área de informática IES 1Ingenieros SOC 3Coordinador de operaciones IES 1Coordinador de compras IES 1Gerente de RR HH IES 1Asesor legal IES 1

40

Asistente proyecto IES 1Analista de RRH IES 1Contratistas o proveedores 1

Fuente: Propia

Requisitos de aprobación final del proyecto

Recibo a satisfacción del sistema por parte del coordinador de operacionesuna vez cumplidos todos los criterios técnicos de aceptación durante un mesde operación con continuidad de 24x7.

Aprobación por parte del gerente coordinador del área de informática de lainstalación de los equipos y el cableado interno en la data center de lainstitución.

41

GESTIÓN DE ALCANCE DEL PROYECTO

Planificación del alcance

La definición del alcance del proyecto se construirá en una reunión previa con elsponsor, el gerente del proyecto y el coordinador del área de informática por partede la IES. En ésta se definirán los objetivos principales, el alcance y el acta deconstitución del proyecto

Proceso de elaboración de la WBS

Una vez definido el alcance del proyecto, se procede a utilizar la estructura dedesglose del trabajo WBS (por sus siglas en inglés Work Breakdown Structure)que permite organizar de una mejor forma el proyecto, dividiéndolo en términos deentregables y una mayor descomposición de los mismos; de manera que cadanivel descendente representa una definición más al detalle del plan del proyecto.

Se propone utilizar la herramienta WBS Schedule Pro considerando que permiteun uso amigable, intuitivo y de fácil diagramación de los entregables del proyecto.

En una reunión con el equipo del proyecto se debe definir lo siguiente:

El producto resultante del proyecto o las fases del mismo. Los entregables o paquetes de trabajo necesarios para cumplir con el

proyecto. Las tareas, actividades o trabajo que son parte de la descomposición de los

entregables.

Proceso de elaboración del diccionario de la WBS

El diccionario definirá al detalle cada uno de los paquetes de trabajo aprobadospreviamente en el WBS, en donde se especificarán detalles de cada uno de ellosayudando posteriormente en los procesos de planificación. Los aspectos son:

Definición del paquete de trabajo Áreas involucradas Horas de dedicación Criterios de aceptación Personas y recursos invertidos

42

Proceso para verificación del alcance

Para formalizar las aceptaciones de los entregables, al finalizar cada uno de ellos,el sponsor realizará la revisión de los mismos verificando que se cumplan asatisfacción. Éste aprobará o realizará las observaciones pertinentes sobre elentregable.

Proceso para el control del alcance

El gerente del proyecto se encargará de revisar cada entregable de acuerdo con lodefinido en el alcance del mismo, en caso de considerar falte alguna actividad porcumplir, lo hará saber al responsable, devolviendo el trabajo, anexando por escritolas razones por las que se considera incompleto y señalando las acciones demejora.

Límites del Proyecto

El sistema de seguridad a implementar contempla la cobertura de red de lasinstalaciones de una sola sede física de la institución en particular, cuya topologíay administración se realice de forma centralizada. En caso de requerir extensiónde cobertura hacía otras sedes, debe contemplarse en un proyecto nuevo lafactibilidad y el nuevo diseño de la solución.

No se incluirá el costo ni la instalación de plataformas de seguridadespecializadas, diferente al firewall de última generación con funcionalidades deUTM.

Especificaciones del proyecto

El proyecto tiene como base la instalación de un firewall de nueva generación que incluya funcionalidades básicas de gestión unificada de amenazadas tales como:

Sistema de detección de intrusos (IDS Intrusion Detection System) Protección de antivirus y antimalware Antispam Filtrado de contenido Creación de redes virtuales privadas (VPN Virtual Private Network)

Se describirán los lineamientos y procedimientos a seguir para la planeación,dimensionamiento, diseño, implementación y operación de los serviciosanteriormente mencionados, teniendo en cuenta la necesidad de una gestión yadministración centralizada de profesionales que velen por el afinamiento, correctofuncionamiento y las acciones necesarias para conservar o mitigar las amenazas alas que se pueda ver expuesta la red de la institución.

43

Productos entregables del proyecto

Tabla 8 Productos entregables del proyecto

Entregable Descripción

Gestión del proyecto Todos aquellos documentos producto de cada uno de losejes contemplados en la labor de la gestión y el plan delproyecto que permiten puntualizar, registrar y organizarlo,como: Project Charter, gestión de alcance, gestión deIntegración, gestión del tiempo, gestión de costos, gestiónde calidad, gestión de recursos humanos, gestión deriesgos, gestión de requerimientos.

Diseño de la Solución

Documento que contiene en detalle la nueva arquitecturade red a implementar en la infraestructura de lainstitución. Contiene planos, inventarios, análisis de lainformación recolectada, ubicación física y configuraciónde equipos.

Contrataciones Documentación que especifica todo el proceso decompras del proyecto, incluyendo las cotizaciones,facturación, pagos y contratos con proveedores.

Manuales y capacitaciones

Manuales de los equipos adquiridos con facturación ygarantía.

Implementación Informe semanal de avances en la implementación.Informe de equipos configurados. Manuales deconfiguración.

Pruebas e informes Informe de pruebas realizadas en la red de la institucióncon los equipos ya instalados y configurados. Se deberárealizar pruebas de hacking para detectar posibles fallasen el sistema. De igual manera se deberá realizar lasrespectivas correcciones y respectivos informes demejora del sistema.

Operación Documento explícito de los perfiles y las políticas denavegación implementadas en la nueva red.

Cierre Informe final de entrega, donde se tendrá en cuentapruebas de operación, checklist de verificación deentregables. Lecciones aprendidas y sugerencias.

Fuente: Propia

44

Alineamiento del proyecto

Tabla 9 Objetivos estratégicos de la organización y propósito del proyecto1. Objetivos Estratégicos de la

se alinea el proyecto)2. Propósito del Proyecto(Beneficios que tendrá la organizaciónuna vez que el producto del proyecto

este operativo o sea entregado)

1.1. Trabajar en pro de laconfidencialidad de la redgarantizando que la informaciónalmacenada en el sistema otransmitida por la red de la instituciónsolo esté disponible para personalautorizado.

2.1. Operación de la línea de datos de lainstitución con equipos de altatecnología. Se implementará Firewall deúltima tecnología con funcionalidadesavanzadas de protección para satisfacerlas necesidades de la comunidadacadémica.

1.2. Garantizar la disponibilidad de lared de datos y la información de lainstitución

2.2. Operación continúa. Al tenerequipos de seguridad perimetral, comoel Firewall UTM propuesto se propendepor la seguridad, protección ydisponibilidad de la red de la institución

2.3. Mayor control de seguridad. Equipoapto para manejar la base de datos ytratamiento de datos que viajan por lared de la institución.

2.4 Establecer un esquema de deteccióny atención de casos alarmados por elfirewall UTM en una operación 24x7.

Fuente: Propia

Control de cambios

En caso de ocurrir cambios en el alcance por errores u omisiones en el alcancedel producto o del proyecto, se debe estudiar el caso no solo para este plan dealcance sino también en los planes de tiempo, costos y todos los planes que sevean afectados con el control de cambios, ya que cuando surgen másactividades de las planeadas se tendrá que incurrir en más costos y muyseguramente en más tiempo del planeado.

45

En caso de desarrollarse nuevas tecnologías durante la ejecución del proyectoque sean más apropiadas para la implementación, se hará una negociacióncon el sponsor, para validar la posibilidad de asignar más capital al proyecto, oextender el tiempo para la terminación del proyecto. La implementación de unanueva tecnología puede ser más dispendiosa, lo cual afectará los costos o lostiempos de ejecución, dependiendo de la decisión del sponsor se implementarála nueva tecnología en el proyecto, o de lo contrario se cumplirá con loestablecido inicialmente

Actualización del Plan de Gestión del Alcance

La actualización del Plan de Gestión de Alcance deberá seguir los siguientespasos:

Identificación y registro de los nuevos entregables. Determinación de requerimientos de información. Actualización de la WBS Actualización del diccionario WBS Actualización del Plan de Gestión de Alcance. Aprobación del Plan de Gestión de Alcance Actualización y difusión de todos los planes que resulten afectados.

46

Estructura de Desglose de Trabajo WBS

Figura 3 WBS del proyecto

Fuente: Propia

Figura 4 WBS Fases Gestión del proyecto y Diseño de la Solución

Fuente: Propia

48

Figura 5 WBS Fases Contrataciones, Manuales y Capacitaciones

Fuente: Propia

49

Figura 6 WBS Fases Implementación, Pruebas e Informes

Fuente: Propia

50

Figura 7 WBS Operación y Cierre

Fuente: Propia

51

Diccionario de la WBS

Tabla 8. Diccionario de la WBS

Diccionario de la WBSNombre del paquete: Project Charter

Objetivo:Definir la información preliminar paraempezar a ejecutar el proyecto

Descripción:

Documento en el que se consigna ladescripción general del proyecto, los roles,responsabilidades, objetivos, los interesadosen el proyecto y requerimientos del mismo.

Asignación de responsabilidades:

Responsable: Gerente del proyectoParticipa: Sponsor, gerente del proyecto,coordinador informática y asistente deproyecto.Revisa y aprueba: Sponsor

Duración: 3,25 días

Criterios de aceptación:El sponsor revisará el documento y siconsidera que el contenido es adecuado lofirmará.

Supuestos:Sponsor dará la información necesaria parasu elaboración.

Nombre del paquete: Definición preliminar del alcance

Objetivo:Definir de forma más detallada el trabajo quese debe realizar organizándolo enentregables

Descripción:Documenta de forma más precisa que elProject Charter los productos a entregar delproyecto y sus límites.

Asignación de responsabilidades:

Responsable: Gerente del proyectoParticipa: Sponsor, gerente del proyecto,coordinador informática y asistente delproyecto. Revisa yaprueba: Coordinador área informática ySponsor

Duración: 1,25 días

Criterios de aceptación:Cumple con describir de forma específica lostrabajos y productos necesarios para cubrircon los objetivos del área de informática.

Supuestos:El gerente del proyecto ya tiene claro losobjetivos del proyecto una vez firmado elProject charter.

Nombre del paquete: Plan de ProyectoObjetivo: Efectuar la planificación integral del proyecto.

Descripción:

Documento que especifica de qué forma sedesarrollará el proyecto, cómo se supervisaráy controlará. Además, detalla los recursos,costos y tiempo necesario para ejecutarlo. Elplan de proyecto contiene planessubyacentes dedicados a: gestión deintegración, gestión del tiempo, gestión derecursos humanos, costos, la WBS,comunicaciones, adquisiciones y gestión deriesgos.

Asignación de responsabilidades:

Responsable: Gerente del proyectoParticipa: Gerente de área financiera,Coordinador de área informática, Gerente derecursos humanos y sponsor.Revisa y aprueba: Sponsor

Duración: 24 días

Criterios de aceptación:

En una reunión con el equipo de trabajo seevaluará el plan, una vez los involucradosconsideren que el documento es correcto deacuerdo al área de conocimiento de cadauno, el sponsor con base en lo anteriorfinalmente decidirá si se aprueba.

Supuestos:El Project Charter y el alcance preliminar delproyecto ya deben estar aprobados.

Nombre del paquete: Reunión de coordinación semanal

Objetivo:Coordinar y realizar el seguimiento a lasactividades y productos determinados paracada semana.

Descripción:

El equipo del proyecto se reúne el lunes decada semana en la IES, para realizarseguimiento a las actividades determinadaspara la semana anterior y coordinar con losinvolucrados las actividades de la nuevasemana. En constancia se deja un acta detrabajo.

53

Asignación de responsabilidades:

Responsable: Gerente del proyectoParticipa: Asistente del proyecto, coordinadorárea informática, gerente área financiera,gerente de operaciones, gerente de proyecto,ingeniero de diseño (proveedor)Seguimiento: Gerente del proyecto

Duración: Cada reunión 1 hora

Criterios de aceptación:Por cada reunión existirá un acta que deberáser firmada por los participantes de la misma.

Supuestos: Se desarrollará de forma semanal

Nombre del paquete: Informe de estado del proyectoObjetivo: Consignar el estado y avances del proyecto

Descripción:

Cada mes se reunirá el equipo de trabajo enlas instalaciones de la IES con el fin deexponer el estado y avances de losentregables.

Asignación de responsabilidades:

Responsable: Gerente del proyecto

Duración: 5 horas mensuales

Criterios de aceptación:

Una vez expuesto el informe al equipo detrabajo en la reunión semanalcorrespondiente, se generará un acta derecibido del informe y que será firmado portodos los asistentes.

Supuestos:Seguimiento a todas las actividades yproductos entregables del proyecto para elmes en particular.

Nombre del paquete: Levantamiento de la información de red

Objetivo:Recolectar la información relacionada con lainfraestructura de red actual de la IES

Descripción:

Se deberá especificar cada uno de losdispositivos, tecnologías y topologías quecomponen la red actual de la institución. Conapoyo del ISP de la institución se monitorearáel tráfico circulante de la red por un periodode 24 horas con el fin de validar que tipo deprotocolos, sesiones y qué tipo denavegación se encuentra en la red.

54

Asignación de responsabilidades:

Responsable: Coordinador del áreainformáticaParticipa: Asistente del proyecto, ProveedorISPAprueba: Coordinador área de informática

Duración: 1 día

Criterios de aceptación:

El coordinador del área de informática validaque la información consignada en eldocumento "Levantamiento de informaciónde red" contiene información fidedigna

Supuestos:Información será confirmada por elcoordinador del área de informática.

Nombre del paquete: Análisis de información de la red

Objetivo:Realizar el análisis de la informaciónrecolectada en el levantamiento de lainformación.

Descripción:

Después de recoger la documentaciónacerca de la infraestructura de red de lainstitución (debe incluir topologías,dispositivos, tecnologías y configuraciones) yla información arrojada por el monitoreo de lared que dejará conocer el tipo de tráfico,protocolos y servicios comúnmente usados;se plantearán los requerimientos útiles paracubrir con las necesidades de la institución.

Asignación de responsabilidades:

Responsable: Coordinador de operacionesParticipa: Coordinador del área deinformática y asistente de proyecto.

Duración: 4,63

Criterios de aceptación:Acta de requerimientos técnicos de lasolución y aprobación.

Supuestos:Los requerimientos serán aceptados por elcoordinador del área de informática

Nombre del paquete: DiseñoObjetivo: Documentar diseño de la solución

55

Descripción:

Con base en los requerimientos técnicosespecificados en el paquete anterior, elingeniero de diseño (proveedor contratado)elabora la solución que cumpla con lasnecesidades de la institución, incluyendo laubicación de los equipos tanto lógica comofísicamente, las configuraciones de losequipos, perfiles de navegación y seguridad,zonas DMZ, etcétera.

Asignación de responsabilidades:

Responsable: Coordinador de operacionesParticipa: Coordinador de operaciones.Aprueba: Sponsor, Coordinador del área deinformática.

Duración: 6 días

Criterios de aceptación:Acta de recibo del diseño revisada yaprobada

Supuestos:El diseño será aprobado por el sponsor y elcoordinador del área de informática

Nombre del paquete: Contratación y adquisición de equipos

Objetivo:Realizar los procesos y documentaciónnecesarios para la vinculación deproveedores

Descripción:

Este paquete consiste en realizar todos losprocedimientos y documentos necesariospara encontrar, contratar, hacer seguimientode cumplimiento y pago de los proveedoresnecesarios para adquirir los servicios deadquisición de equipos, implementación,asesoría, capacitación y cableado.

Asignación de responsabilidades:

Responsable: Gerente área financieraParticipa: Analista de compras, coordinadorárea informática, asesor legal.Aprueba: Gerente área financiera

Duración: 26.25 días

Criterios de aceptación:

Se verifica que los equipos y serviciosentregados por los proveedores cumplan conlos requerimientos previamente establecidosy los tiempos asociados

56

Supuestos:Se contratarán proveedores idóneos para laslabores encomendadas.

Nombre del paquete: Manuales

Objetivo:Recibir y validar los manuales entregados porel proveedor

Descripción:Recibir y validar los manuales deconfiguración e instalación de los equiposadquiridos por el proveedor.

Asignación de responsabilidades:

Participa: ingeniero de operaciones,ingeniero implementación (proveedor)Responsable: Ingeniero de operacionesAprueba: Coordinador de operaciones

Duración: 8.38 días

Criterios de aceptación:Se validará que la implementación de losequipos y su configuración se encuentredetalladamente descrita en los manuales

Supuestos:Los manuales deben contener toda lainformación que sirva de soporte en elproyecto de la solución implantada.

Nombre del paquete: CapacitaciónObjetivo: Capacitar al personal de operaciones

Descripción:

Capacitar a los ingenieros de la operaciónacerca de la administración, configuración,resolución de incidentes de la soluciónadquirida.

Asignación de responsabilidades:

Participa: ingeniero de operaciones,ingeniero implementación (proveedor),coordinador de operacionesResponsable: Ingeniero de operacionesAprueba: Coordinador de operaciones

Duración: 5 días

Criterios de aceptación:

Se firmará un acta de asistencia en dondeconste que se recibe a satisfacción losconocimientos descritos en el presentepaquete.

57

Supuestos:

El proveedor se encargará del contenido ylos recursos necesarios para brindar lacapacitación. La implementación y laspruebas del sistema ya debieron estarejecutadas y recibidas a satisfacción a travésde un acta.

Nombre del paquete: Pruebas

Objetivo:Ejecutar y validar las pruebas defuncionamiento del sistema

Descripción:

Ejecutar y validar las pruebas realizadas alos servicios y a la navegación de la red quese ve involucrada dentro de la solución deseguridad.

Asignación de responsabilidades:

Participa: ingeniero de operaciones,ingeniero implementación (proveedor)Responsable: Ingeniero de operacionesAprueba: Coordinador de operaciones

Duración: 2 días

Criterios de aceptación:Acta que haga constar los procedimientosseguidos para la ejecución de las pruebas ylos resultados de las mismas.

Supuestos:La configuración de los equipos ya se debióhaber desarrollado para cada una de lastareas propuestas.

Nombre del paquete: Informes

Objetivo:Recibir y validar la documentación de laspruebas desarrolladas

Descripción:

Recibir el documento que debe especificarlos procedimiento y resultados obtenidos dela ejecución de las pruebas defuncionamiento del sistema.

Asignación de responsabilidades:

Participa: ingeniero de operaciones,ingeniero implementación (proveedor)Responsable: Ingeniero de operacionesAprueba: Coordinador de operaciones

Duración: 2,5 días

58

Criterios de aceptación:

Una vez se esté de acuerdo con el correctofuncionamiento del sistema de acuerdo a losrequerimientos especificados, se procede agenerar un acta de recibido

Supuestos:Las pruebas de funcionamiento ya debenhaber finalizado

Nombre del paquete: Operación

Objetivo:Realizar la operación del sistema deseguridad

Descripción:

Durante un mes realizar la operación delsistema de seguridad gestionado, incluyendolos servicios de SOC e ingenieros en sitio. Eneste periodo se realizará la categorización delos eventos y alarmas del sistema, así comoel afinamiento de la configuración del firewall.

Asignación de responsabilidades:

Responsable: Coordinador de operacionesParticipan: Ingenieros de operaciones, grupoSOC contratado, coordinador deoperaciones. Aprueba: Coordinadorde operaciones

Duración: 32 días

Criterios de aceptación:

Se reciben y validan: documento decaracterización y categorización de eventos,documento de control de cambios que indicael estado actual del sistema y las mejorasrealizadas.

Supuestos:

La configuración, pruebas e informes depruebas se deben haber recibido asatisfacción para iniciar con el mes deoperación de estabilización.

Nombre del paquete: CierreObjetivo: Cierre del proyecto

Descripción:

Se realizará una reunión de cierre en el queel gerente del proyecto, relacionará lossiguientes documentos para que seanaprobados: lecciones aprendidas, informe derendimiento del proyecto, acta y checklist deaceptación del cierre del proyecto.

Asignación de responsabilidades:

Responsable: Gerente de proyectosParticipan: Equipo de trabajoAprueba: Sponsor

59

Duración: 4,5 días

Criterios de aceptación:

Los documentos deben cumplir a satisfaccióncon los requerimientos expresados por elSponsor y definidos en el alcance delproyecto. Se deben entregar de formaordena, clara y concisa.

Supuestos:Se deben cumplir con todos los entregablesdel proyecto a satisfacción.

Fuente: Propia

60

PARÁMETROS Y PROCEDIMIENTOS

PLAN DE GESTIÓN DEL TIEMPO

Proceso de definición y secuenciación

Una vez definidos los entregables en la WBS y las actividades que se debendesarrollar en cada uno de ellos para cumplir con su objetivo; se procede a dar unorden de ejecución a cada una de las actividades, se asigna el rol y lasresponsabilidades de las personas del equipo, teniendo en cuenta el tiempo y losrecursos necesarios para el proyecto.

Proceso de estimación de recursos

Cuando se tiene clara la secuencia de las actividades, el paso a seguir es asignarlos recursos necesarios para cada una de ellas, identificando en primer lugar si elrecurso es de tipo materiales ó consumibles, maquinarias ó no consumibles ópersonal.

Para el recurso personal, se define un nombre, la duración, el trabajo, ladedicación de éste en la actividad (medido de forma porcentual), el tiempo de sutrabajo (hora, días ó meses) y el pago por su actividad.

Para los tipos: materiales o consumibles, maquinarias o no consumibles; seespecificará el nombre del recurso, la cantidad y el costo.

Proceso cronograma del proyecto

Microsoft Project es la herramienta que se utiliza para la elaboración delcronograma. Ésta permite la planeación y el control del proyecto, utilizandodiferentes vistas del mismo como diagramas, histogramas de recursos,presupuestos, etcétera.

A partir de la WBS, la definición, secuenciación, y estimación de recursos seobtiene el cronograma. Específicamente se siguen los siguientes pasos:

Se exporta el WBS a un nuevo proyecto de la herramienta, es así como deforma automática se obtienen los paquetes y las actividades.

Se ingresan las actividades repetitivas y los hitos. Se establece el calendario del proyecto, teniendo en cuenta los días

laborales, no laborales, festivos, turnos de oficina para el proyecto y elhorario de trabajo, entre otros.

Se da propiedades a los recursos Se asignan los recursos a las actividades.

61

CronogramaTabla 10 Cronograma del proyecto

63

Fuente: Propia

Diagrama de Gantt

Ver Anexo 1 Diagrama de Gantt

64

Proceso de control del cronograma

De forma semanal se llevarán a cabo reuniones de seguimiento en las que seevaluará el desarrollo del proyecto, incluyendo el tiempo destinado para lasactividades previstas para ese periodo; de manera que, en caso de incurrir endemoras dentro del cronograma, se puedan establecer acciones que ayuden amitigar o eliminar los contratiempos.

Para proceder con la estrategia de optimizar el tiempo del cronograma seránecesario utilizar métodos como el crashing, modificando los recursos asignadospara acelerar el trabajo, colocando recursos adicionales o mejorando los que yaexisten. También se puede acotar posposiciones, dividir tareas, poner tareas enparalelo o reducir el alcance de algunas de ellas o la estimación de su duración.

Procedimiento para actualizar el plan de gestión del tiempo

El Plan de Gestión de tiempo deberá ser revisado y/o actualizado cada vez que:

1. Hay una solicitud de cambio aprobada que impacte el Plan de Proyecto. 2. Hay una solicitud de cambio en el cronograma del proyecto.

La actualización del Plan de Gestión de tiempo deberá seguir los siguientes pasos:

Identificación, secuenciación y estimación de actividades. Determinación de requerimientos de información. Actualización del Plan de Gestión de Tiempo. Aprobación del Plan de Gestión de Tiempo. Difusión del nuevo Plan de Gestión de Tiempo.

PLAN DE GESTIÓN DE COSTOS

Proceso de gestión de costos

Estimación de costos: la realiza el gerente de proyecto con base en la duracióntotal prevista en el cronograma, los recursos necesarios y los precios de referenciadel mercado para el 2018. Debe ser aprobado por el sponsor.

Determinar el presupuesto: el gerente de proyecto elabora el presupuestosumando los costos estimados de las actividades previstas con el fin de definir unalínea base de costos que puede irse modificando conforme avanza el ciclo de vidadel proyecto. El Sponsor debe aprobar el presupuesto.

Control de los costos: Se tendrá bajo observación la situación del proyecto, deforma que, si es necesaria la realización de cambios sobre la línea base de loscostos, ésta sea justificada con anticipación e informada al sponsor para que ésteautorice el cambio, teniendo en cuenta no sobrepasar el financiamiento autorizadopara el proyecto.

Costos nómina del proyecto

Por parte de la IES se estima el trabajo a tiempo completo de dos profesionalespor los tres años que dura el proyecto.

Se calculan los costos para estos dos salarios teniendo en cuenta el pago exigidopor ley asumido por el empleador, correspondiente a los parafiscales, seguridadsocial, prestaciones sociales; sobre el salario básico que para el primer año queserá de 5.000.000 para el Gerente de proyecto y 2.500.000 para el Ingeniero deseguridad.

Para el cálculo del salario del segundo y tercer año se tiene en cuenta el promediodel aumento anual del salario básico y el valor promedio del IPC de los añosanteriores.

Tabla 11 Costo de nómina del proyecto

Gerente deproyecto

(Administrativo)

Ingeniero deseguridad

(Operativo)Total, nomina

Salariostotales

mensualadministrativo

Salariostotales

mensualoperativo

Año 1 $ 90.559.180,00 $ 45.129.590,00 $ 135.688.770,00 $ 7.546.598,33 $ 3.760.799,17

Año 2 $ 98.921.673,42 $ 49.296.985,28 $ 148.218.658,70 $ 8.243.472,79 $ 4.108.082,11

Año 3 $ 108.056.383,38 $ 53.849.209,75 $ 161.905.593,13 $ 9.004.698,61 $ 4.487.434,15

TOTAL $ 297.537.236,80 $ 148.275.785,03 $ 445.813.021,83 Fuente: Propia

Para ver el detalle del cálculo de los salarios por año ver Anexo 2.

66

Gastos preoperativos

En el presente se calculan todos los valores que deben invertirse para poner enproducción el sistema, contemplando desde los muebles y herramientasnecesarias para el trabajo de los recursos que trabajaran en el proyecto en sitio,hasta las licencias y el hardware que se operará.

Tabla 12 Gastos de puesta en marcha

Gastos de puesta en marchaConcepto Observaciones Valor

3 Year 24x7 FortiCare and FortiGuard UTM Protection

Soporte 24x7 y licencias UTM por 3 años con fabricante Fortinet.

$ 103.838.350,00

Implementación, capacitacióny puesta en marcha de la solución

Capacitación para el ingeniero de seguridad y demás ingenieros de operaciones del área de informática de la IES

$ 87.501.000,00

Total $ 191.339.350,00Fuente: Propia

Tabla 13 Gastos en muebles

MueblesConcepto Cantidad Valor Unitario Valor total

Computadores 2 $ 2.300.000,00 $ 4.600.000Escritorios 2 $ 800.000,00 $ 1.600.000Sillas 2 $ 100.000,00 $ 200.000Sofá 1 $ 1.200.000,00 $ 1.200.000accesorios varios oficina 1 $ 1.000.000,00 $ 1.000.000Teléfonos 2 $ 95.000,00 $ 190.000Planta + UPS 1 $ 5.100.000,00 $ 5.100.000FG-1200D FortiGate-1200D: 4 x 10GE SFP+ slots, 16 x GE SFP slots, 18 x GE RJ45 ports (including 16 ports, 2 x management/HA ports),SPU NP6 and CP8 hardware accelerated, 240GB SSD onboard storage, dual AC power supplies

1 $ 67.865.046,00 $ 67.865.046

Total $ 81.755.046,00Fuente: Propia

Costos totales

En los costos totales se contempla todos los valores presentes en el proyecto porlos 3 años que tiene de duración, incluyendo el cálculo de la nómina necesariapara el proyecto por parte de la IES, los gastos preoperativos, los costos a asumirpor concepto de un grupo especializado de operación en seguridad y un 5% de

67

contingencia ante cualquier imprevisto que se presente en el transcurso de laejecución del proyecto.

Tabla 14 Costos totales

Concepto Costos Costos de nomina $ 445.813.021,83Gastos de puesta en marcha $ 191.339.350,00Gastos en muebles $ 81.755.046,00Costos de producción: Operación grupo SOC 7X24 $ 280.497.874,63Total $ 999.405.292,46Contingencia del 5% $49.970.264,62Total + contingencia $1.049.375.557,08

Fuente: Propia

Control de costos

De forma semanal cada uno de los responsables de la etapa en la que seencuentre el proyecto debe emitir un informe que debe incluir las actividadesdesarrolladas en la semana, el tiempo ocupado, el porcentaje de desarrollo, losrecursos utilizados y las novedades presentadas. El gerente del proyecto seencargará de recopilar esta información, hacer el respectivo análisis en busca deque la etapa se esté desarrollando en los tiempos y con los recursos previstos. Encaso de que exista un desfase en cualquiera de los anteriores, el gerente debeencargarse de recalcular el tiempo de tal forma de que, si es necesario dedicarmás tiempo o asignar más recursos a la tarea específica por terminar, esto serealice con el fin de cumplir con los compromisos planteados.

El proyecto puede presentar una variación del coste total con un margen de más omenos el 5%. En caso de que el valor de la contingencia se supere, se debe emitiral sponsor una solicitud de cambio, la cual debe ser analizada y si es precisoaprobada por él y el gerente del proyecto.

Control de cambios de costos

Los cambios que sean necesarios realizar los podrá autorizar el gerente delproyecto o el sponsor, dependiendo del contexto en que se presenten.

Los cambios que impiden la ejecución del proyecto serán autorizadosinmediatamente por el gerente del proyecto siempre y cuando el cambio no supereel 5% (valor de contingencia). Si se sale del margen el sponsor será el único quepodrá autorizar el cambio.

Los documentos que se modificarán o que se elaborarán para el proceso decontrol de cambios son los siguientes:

68

Formato solicitud de cambios Acta de reunión semanal de coordinación del proyecto: se especifica la

solicitud realizada para control de cambios. Plan de proyecto: se volverá a realizar la planeación de todos los planes

que se vean afectados por los cambios.

Procedimiento para actualizar el plan de costos

A continuación, se relacionan los pasos que se deben seguir para actualizar elplan de costos:

Para nuevas actividades, se debe desarrollar la definición y el respectivocálculo de costos de la misma.

En caso de salida o entrada de nuevo personal se debe actualizar lanómina.

En caso de que se necesite más o menos material inmobiliario se debenactualizar a su vez los costos.

Se debe recalcular el presupuesto total del proyecto Se actualiza el plan de costos en general. El sponsor aprobará el plan de costos y se difundirá posteriormente a los

miembros del equipo.

69

PLAN DE GESTIÓN DE CALIDAD

Con el fin de lograr que el sistema de seguridad UTM que se implemente en la IEScumpla con los requisitos expuestos en este documento de viabilidad, se describe a continuación los aspectos a tener en cuenta para lograr el objetivo.

Requisitos de la IES

En este apartado se deben tener en cuenta los procesos de trabajo, las políticasinternas, las metodologías adoptadas para gestionar los proyectos de la Instituciónde educación superior en particular. El gerente de proyecto debe apoyarse en ladocumentación existente de la institución para proyectos similares, con el fin deseguir los lineamientos establecidos por la misma.

Adicionalmente y con base en lo anterior, la IES debe plantear una política internaque acoja las recomendaciones técnicas y administrativas relacionadas con laimplementación de un sistema perimetral, que considere aplican a lainfraestructura y organización de su institución.

A continuación, se citan algunas que pueden ser de utilidad:

Norma de gestión de la seguridad de la información ISO 27001 Norma de gestión de calidad ISO 9001 Norma del sistema de gestión ambiental ISO 14001 Sugerencias del Ministerio de Tecnologías de la Información y las

Comunicaciones en su plan de Gobierno en Línea en su cuarto componente“Seguridad y Privacidad de la Información”.

Checklist de recibo de adquisiciones

Cuando se reciba el firewall con las licencias de funcionamiento, se debe tener encuenta lo siguiente:

Área de la institución que recibe el equipo. Hora y fecha de la recepción. Nombre del responsable que recibe Número serial, número de parte y descripción del equipo, que corresponda

con la orden de compra enviada por correo electrónico. Cantidad de equipos Registro de partes recibidas (cables, fuentes de poder, bandejas de rack,

tornillos, entre otros) Cantidad de licencias, referencia y fecha funcionamiento Número de orden de compra

70

Checklist pruebas iniciales de funcionamiento equipos

Una vez se han recibido los equipos, se procede a comprobar su funcionamiento:

Desmagnetizar antes de manipular los equipos Colocarlos en un lugar estable, firme y seguro Repasar el manual de instrucciones Energizarlos Realizar la configuración básica de red Instalar licencias y comprobar periodo de funcionamiento

Criterios de selección de personal

El personal que operará los equipos en sitio y en el grupo de operaciones deseguridad SOC, deberá cumplir con el siguiente perfil

Ingeniero electrónico, de sistemas o telecomunicaciones con conocimiento enredes de datos, enrutamiento avanzado, protocolos de comunicación TCP/IP,manejo en herramientas de monitoreo y gestión de eventos. Certificación comoadministrador profesional (Fortinet Network Security Expert) NSE4, NSE5 deFortinet, ITIL e ISO 27001.

El gerente de proyecto cumplirá con el siguiente perfil:

Ingeniero electrónico, de sistemas, telecomunicaciones o afines conespecialización en gerencia o gestión de proyectos, certificado PMP e ITIL.Manejo de mínimo 1 año de Microsoft Project. Experiencia en gestión de proyectosde más de 2 años.

Criterios de selección de proveedores

Al momento de seleccionar el canal que se encargará de aprovisionar la instituciónde los equipos de seguridad, licencias, implementación, configuración y puesta enmarcha. Deberá cumplir con las siguientes características:

Experiencia en el mercado de más de 5 años Experiencia con clientes en el sector privado y gobierno Profesionales que trabajen en el canal con certificaciones profesionales con el

fabricante Garantía de la adquisición Costo Cumplimiento Tiempos de entrega

71

PLAN DE GESTIÓN DE RIESGOS

Procedimiento para actualizar el plan de gestión de riesgos

El procedimiento para la actualización del plan de gestión de riesgos se define acontinuación:

Se identifica el nuevo riesgo que se puede presentar en el proyecto Se registra la información relacionada con el posible escenario que puede

desencadenar en el riesgo. Se actualiza la matriz de identificación de riesgos Actualización del plan de gestión de riesgos Aprobación del plan de gestión de riesgos Difusión del plan de gestión de riesgos actualizado

A continuación, se definen las condiciones bajo las que debe ser actualizado elplan de riesgos:

Se identifican nuevos factores de riesgos dentro del proyecto Se tiene una solicitud de cambio aprobada Nuevos esquemas de desarrollo del proyecto que afecten la duración del

mismo. Nuevas personas que salen o se incorporan al proyecto generando retrasos

en el cronograma. Existen cambios o modificaciones en las actividades del personal que

pueden afectar el rendimiento del proyecto.

Análisis de riesgos

Para el análisis de riesgos se tuvo en cuenta la opinión de tres expertos en laevaluación según el método DELPHI. Los riesgos identificados y evaluados porellos en las actividades que involucra el proyecto son:

1. Falla técnicas del equipo2. Incumplimiento proveedor del equipo3. Pérdida o robo de equipos4. Personal técnico no certificado5. Riesgo humano por accidentes laborales6. Daño infraestructura física de la universidad7. Falta de requerimientos para la instalación8. Desastres naturales (terremoto)9. Atentado terrorista en instalaciones del cliente

La calificación asignada por cada uno se lista a continuación:

72

Figura 8 Identificación de riesgos

Fuente: propia

En la gráfica siguiente se comparan los promedios para identificar los riesgos más influyentes en la labor:

Figura 9 Identificación de riesgos

Fuente: propia

Como muestra la gráfica los riesgos más representativos son las fallas técnicas endispositivos, el incumplimiento por parte del proveedor de equipos y los accidenteslaborales. En contraste los riesgos con menor probabilidad de ocurrencia son el

73

personal no certificado y atentados terroristas. Para identificar los posibles riesgosde la actividad del proyecto, los expertos plantean una serie de controles listados acontinuación:

Figura 10 Control de riesgos

Fuente: propia

Figura 11 Identificación de controles de riesgos

Fuente: propia

De acuerdo con la calificación de los expertos, los controles listados tienen altogrado de afectación sobre los riesgos que contempla el proyecto. El listado deinventario se encuentra en una posición inferior sin embargo su valor no essustancialmente menor frente a los demás controles. A continuación, se puede verla comparación de riesgos frente a controles y la correspondiente matriz deriesgos.

74

Figura 12 Riesgos Vs Controles

Fuente: propia

En la matriz de riesgos se identifica el riesgo y aquella fuente que lo generaasignando un grado de impacto alto, medio o bajo. Seguidamente se establece laconsecuencia del riesgo, su frecuencia dentro de las actividades y el cargoresponsable sobre el cual reposa la acción de tratar el riesgo para prevenir que elimpacto sea menor y su grado de afectación sea reducido.

Figura 13 Matriz general de riesgos

Fuente: propia

75

PLAN DE GESTIÓN DE COMUNICACIONES

Activos de la organización

La PMO de la institución podrá suministrar los activos de la organizaciónrelacionados con otros proyectos similares al que se va a ejecutar. Activos talescomo: informes de gestión, actas de reuniones, informes de ejecución y en generallas lecciones aprendidas, sirven como base para adaptarlas como políticasinternas de la institución.

Métodos de comunicación

Se creará una carpeta compartida en uno de los servidores de la institución conacceso a cada uno de los integrantes del equipo del proyecto; allí, se almacenarántodos los documentos de seguimiento. Es responsabilidad de cada uno de losmiembros del equipo mantener actualizada la información que le atañe. En casode requerir información adicional a la consignada allí, se debe realizar la solicitud através del correo institucional y posteriormente la persona debe actualizar eldocumento según lo solicitado, de forma que se conserven las versionesactualizadas de la información.

Todas las reuniones de seguimiento deberán ser convocadas a través de correoelectrónico en el cual se especificará la agenda a tratar, se adjuntará el acta dereunión anterior, más los informes solicitados previamente. El asistente delproyecto será el encargado de la elaboración de las actas de reunión.

Informes de gestión

De forma semanal se llevará a cabo la reunión de seguimiento en la cual severificará la ejecución de los objetivos propuestos para esa semana, de acuerdocon lo planificado en el cronograma general. Cada uno de los integrantes delequipo del proyecto debe especificar las actividades ejecutadas para ese periodo,su porcentaje de desarrollo, la descripción de novedades presentadas que puedaafectar en la duración del cronograma y los compromisos adquiridos para lasiguiente semana. Toda la información anterior irá consignada en el informe degestión.

Adicionalmente el gerente del proyecto debe realizar el seguimiento alpresupuesto ejecutado, verificar las desviaciones del proyecto y definir estrategiaspara ajustar el tiempo a lo previsto.

76

Guías para eventos de comunicación

A continuación, se especifican los lineamientos a tener en cuenta para lasreuniones y el envío de correo electrónico:

Guía para reuniones:

Se debe convocar a las reuniones con mínimo 3 días hábiles. Se debe coordinar con los participantes la fecha, la hora, el lugar y la

agenda a tratar. Se debe considerar como aspecto fundamental la puntualidad. El gerente de proyecto se encargará de coordinar las estrategias de

resolución de controversias con el fin de aprovechar el tiempo dispuesto deforma objetiva.

Las reuniones no deberán extenderse más del tiempo presupuestado. La asistente del proyecto se encargará de la construcción del acta de cada

reunión, la cual será compartida con los participantes para su aprobación omodificación.

Guía para correo electrónico:

Con el fin de establecer una vía formal de comunicación entre la IES y losproveedores o personal externo del proyecto. Se canalizará lacomunicación a través del gerente del proyecto con copia al sponsor.

De tratarse de temas comerciales el correo deberá ir copiado el gerente delárea financiera y al gerente de compras de la IES. En caso de que elexterno sea el que envía el correo, la persona que lo reciba deberáreenviarlo con copia al sponsor, al gerente del proyecto, al gerentefinanciero y al de compras.

Los correos internos deberán ir siempre con copia al gerente de proyectos.

Guías para la documentación del proyecto

La codificación del nombre de los documentos:

Para identificar fácilmente el objeto y la versión de los documentos del proyecto,se utilizará la siguiente codificación:

CCC_AAAA_VV.xxx

CCC: Código del proyectoEjemplo: UTM

AAAA: Tipo de documento

77

Ejemplo: WBS, INFGES, RES

VV: Versión del documento Ejemplo: V1, V2, V6, etc.

XXX: Extensión del documento Ejemplo: pdf, doc, mpp, etc.

Guía para el control de versiones

Para llevar registro del control de cambios, en el inicio de cada uno de losdocumentos del proyecto, se diligenciará el siguiente cuadro:

Tabla 15 Control de cambios documentosNombre y versión Elaborado por Revisado por Aprobado por Fecha

Fuente: propia

Cuando se han realizado cambios en el documento, estos deben ser registradosen el formato que estará presente en las primeras hojas del mismo. Allí seconsigna el nombre del documento con su versión, la persona que lo elaboró, laque lo revisó y finalmente quién lo aprobó en cada una de las filas, tantas vecescomo haya sido modificado.

Procedimiento para actualizar el plan de gestión de comunicaciones

Las razones por las cuales el plan de gestión de comunicaciones se modificará,son las siguientes:

Alguno de los miembros del equipo solicite una modificación y ésta hayasido aprobada.

Se tengan novedades dentro del proyecto como: personas que entran osalen del mismo, cambios dentro del alcance del proyecto o eventualidadesque modifiquen los tiempos del cronograma de actividades.

Existan acciones que cambie los requerimientos o los roles de losstakeholders.

Existan problemas de comunicación entre las personas del proyecto tantointernas como externas.

Para modificar el plan de comunicaciones se debe en primera instancia identificary clasificar a los stakeholders; atender las causas por las que debe ser actualizadoel plan, hacer la matriz de comunicaciones y cuando finalmente este actualizado elplan, éste será revisado para su aprobación y posterior difusión con las personasdel equipo.

78

PLAN DE GESTIÓN DE ADQUISICIONES

En el plan de gestión de adquisiciones se definirán los procedimientos a seguirpara la adquisición del equipo que cumple con las especificaciones técnicas(definidas en el plan de integración) y económicas del proyecto. Se describetambién la gestión de control de cambios para la elaboración de las órdenes decompra o contratos con los terceros.

9.1. Fabricante UTM elegido

Considerando los múltiples fabricantes que sobresalen en el mercado detecnologías UTM en los últimos dos años. Se ha concentrado la investigación deeste proyecto en el análisis realizado en el cuadrante mágico de Gartner paraUTM, publicado el pasado 20 de junio de 2017, para delimitar el proyecto a un solofabricante líder con el cual se realizará la viabilidad técnica y económica, objetivode este proyecto.

Gartner, argumenta que el estudio ha sido enfocado a empresas medianas,teniendo en cuenta que las pequeñas empresas no tienen aún una conciencia deriesgo bien desarrollada en comparación con empresas más grandes, ni lacapacidad económica suficiente para invertir en tecnologías más robustas.

Teniendo en cuenta lo anterior, el cuadrante mágico de Gartner para el 2017posiciona al fabricante Fortinet como líder de este campo, argumentando suexcelente relación de precio, características y rendimiento; convirtiéndose en elproveedor preseleccionado de UTM preferido tanto para medianas empresas connecesidades simples de gestión.

Una de las características que hace fuerte a Fortinet es la presencia de canales entodas las regiones del mundo y de centros de soporte de proveedores disponiblesen 10 países. En cuanto a la comercialización y venta, Fortinet es el claro líder delmercado, evidenciado en el gran crecimiento del 2016 en donde duplicó susingresos más rápidamente que el promedio del mercado, además de sobrepasarpor mucho a sus competidores más cercanos como SonicWall, Check PointSoftware Technologies y Sophos.

Otras cualidades de Fortinet enunciadas en el estudio:

Cuenta con un grupo sólido de investigación de amenazas. Perfiles de aplicación dedicados a la visibilidad y control de SaaS (Software

as a Service). Integración de muchos productos de su cartera incluidos firewalls, endpoint,

wireless access point y switches; dentro del concepto denominado FortinetSecurity Fabric, que anima a los clientes dispuestos en invertir en múltiples

79

soluciones, a escoger su visión unificada de infraestructura y administraciónde los componentes de forma directa desde el Fortigate.

Figura 14 Cuadrante Mágico para UMT (Unified Threat Management)

Fuente: Cuadrante mágico de Gartner para UTM 2017

9.2. Elección de equipos a utilizar

De acuerdo con los antecedentes investigados de instituciones de educaciónsuperior e instituciones consideradas de tamaño mediano en el rango empresarial,se tienen características en común como:

Ancho de banda entre 10 y 50 GbpsRango de usuarios entre 100.000 y 10000000Usuarios concurrentes: más de 2.000.000Conexiones VPN IPSec: 10 a 30

80

Teniendo en cuenta lo anterior, se utiliza la matriz de productos que Fortinetpermanece actualizando de forma anual, y con base en los requisitos de la red enparticular se puede buscar el equipo que cumpla con las características deperformance y demanda de la red.

En este caso específico se encuentra que el equipo que cumple con losrequerimientos técnicos necesarios para soportar las características enunciadasanteriormente es el Fortigate 1200D con licenciamiento UTM completo (FortiCareand FortiGuard UTM Protection) y soporte 7x24 por los tres años con los que seproyectó este documento. Ver Anexo No. 3 Product Matrix Fortinet 2017

9.3. Estudio de mercado

Una vez se han establecido las especificaciones técnicas requeridas para cumplircon el objetivo del proyecto, se procede a realizar un estudio de mercado queayude a determinar los canales (proveedores) que facilitan la compra del hardwarey software con el fabricante elegido. Lo anterior, teniendo en cuenta su experienciaen el mercado, precios, descuentos, garantías y su reputación en cuanto alcumplimiento, apoyo y soporte ofrecidos. De acuerdo con lo anterior, se sugiere organizar la información requerida de lasiguiente forma:

Efectuar una investigación que describa cada uno de los canales que ofrecenla solución requerida, indagando acerca de los costos, los tiempos de entrega,la reputación del proveedor, entre otros.

Crear un formato estándar de solicitud de cotización tratando de consignar lainformación más relevante relacionada con la solución requerida.

Investigar acerca de otras experiencias de otros clientes con el proveedorevaluado.

Comparar las ofertas recibidas con el equipo del proyecto.

9.4. Órdenes de compra

Para realizar la orden de compra del hardware y software necesarios para eldesarrollo del proyecto, se deben realizar los siguientes procedimientos:

Solicitud de cotización. Revisión de las cotizaciones por parte del coordinador de compras. Elección del mejor proponente. Creación de orden de compra. Firma de la orden de compra por parte del coordinador de compras de la IES. Envío de orden de compra al proveedor a través de correo electrónico

institucional.

81

9.5. Solicitud de compra

Una vez se recibe la orden de compra aceptada y firmada por el proveedorelegido, se envía un correo electrónico formalizando la intensión de compra, de talforma que el proveedor pueda dar inicio a su procedimiento interno para pedir eldespacho de los equipos adquiridos por la IES una vez se haya radicado facturapor parte de la misma.

9.6. Contratos

En el contrato se debe incluir la siguiente información:

Descripción del servicio y los productos contratados Alcance del servicio Duración. Responsabilidades del proveedor. Responsabilidades del cliente. Costos de los productos y servicios Cobertura contra todo riesgo de los equipos. Garantías y sus condiciones. Condiciones de facturación. Validez de la oferta. Pagos. Criterios de finalización del contrato. Criterios de finalización anticipada del contrato. Aceptación del contrato.

Aclaraciones:

En caso de existir otros servicios o productos adicionales a los necesitadospara el presente proyecto o para otra solución, deberán ser evaluados deforma independiente.

El impuesto de timbre no está incluido, y todos los demás impuestos que generen esta operación se calculan de acuerdo con la reglamentación vigente y estarán a cargo del locatario.

9.7. Gestión de cambios del contrato

Con el objetivo de establecer control en el proceso de gestión de cambios delproyecto a lo largo del ciclo de vida del mismo. Se mantendrá comunicaciónconstante entre las partes y en caso de existir modificaciones en el contrato, se

82

realizará la comunicación entre los interesados, se convocará a reunión y seevaluará las razones de cambio.

Una vez reunidos se deberá puntualizar lo siguiente:

Identificar los cambios propuestos Evaluar la viabilidad del cambio dentro del alcance definido para el proyecto Concertación de los cambios. Aprobación de los cambios propuestos. Comunicación de los cambios propuestos Implementación del cambio.

9.8. Finalización del contrato

Una vez se han completado las fases del proyecto y que en reunión con las partesse ha establecido la finalización a satisfacción de cada uno de los ítems descritosen el contrato, se procede a realizar los actos administrativos y la elaboración,revisión y aceptación de los documentos de cierre establecidos.

Cierre administrativo Verificación del cumplimiento del alcance Gestión de documentación final

9.9. Facturación Las facturas deben contener la siguiente información:

Validez de la oferta La moneda en la que será pagada la factura. En caso de tratarse de pago

en dólares americanos, ésta se pagará a la TRM de día de la cancelaciónde la factura.

Forma de pago Lugar de entrega Tarifas por cancelación anticipada.

83

PLAN DE GESTIÓN DE RECURSOS HUMANOS

En el presente apartado se identificarán y definirán los roles y responsabilidadesde las personas del equipo por parte de la IES incluidas dentro del proyecto.

10.1. Organigrama del proyecto

En el diagrama mostrado, se observan los niveles de jerarquías por los cuales serige el proyecto.

84

Figura 15 Organigrama del proyecto

Fuente: Propia

10.2. Descripción de roles y responsabilidades

Tabla 16 Descripción de roles y responsabilidades

SPONSOR

Objetivos del rolEs la persona de la IES que avala y establece los objetivos del proyecto. Su principal interés es la ejecuciónexitosa del mismo.

Responsabilidades

Revisión y aprobación del Project Charter Revisión y aprobación del plan de proyecto Aprobación de entregables para el cierre del proyecto Revisión de informes semanales de gestión Aceptación entregables proveedores

Supervisa a Gerente de proyectosConocimientos Gerencia de proyectos, administración financieraHabilidades Liderazgo, comunicación y negociaciónExperiencia 10 años en gestión y ejecución de proyectos.

GERENTE DE PROYECTOS

Objetivos del rolPersona encargada de liderar y gestionar los recursos delproyecto con el fin de cumplir los objetivos definidos por el sponsor.

Responsabilidades

Elaboración del Project Charter Elaboración preliminar del alcance Elaboración plan de proyecto Selección de los recursos de proyecto Aprobación del diseño de la red Elaboración de informes de estado del proyecto Coordinación reuniones semanales de gestión Elaboración informe de cierre

Reporta a SponsorSupervisa a Equipo del proyecto y proveedores

Conocimientos Metodología de gestión del proyecto de acuerdo al PMI ISO 27001 Redes y seguridad en redes

HabilidadesLiderazgo, comunicación, negociación, motivación y trabajo en equipo.

Experiencia

Especialista en gestión de proyectos Certificado PMP Manejo de mínimo 1 año de Microsoft Project Certificación ITIL

COORDINADOR ÁREA DE INFORMÁTICA

Objetivos del rolPersona encargada de liderar el área de informática de laIES. Se encarga de emitir concepto y supervisar la viabilidad y ejecución técnica del proyecto.

Responsabilidades

Revisión y aprobación del alcance Elaboración del plan de integración Revisión y aprobación plan de gestión de alcance Aprobación del diseño del sistema Elección proveedor

Reporta a Sponsor y gerente de proyectoSupervisa a Coordinador de operaciones

Conocimientos

Profesional en ingeniería de telecomunicaciones, electrónica o afines ISO 27001 Networking

Habilidades Liderazgo y comunicación

ExperienciaCertificado en ISO 27001 Gestión de proyectos en ingeniería Certificación fabricante equipos de redes de datosCOORDINADOR OPERACIONES

Objetivos del rolProfesional encargado de supervisar todas las actividades y recurso humano relacionadas con mantenerla operación de las soluciones informáticas de la IES.

Responsabilidades

Análisis y listado de requerimientos técnicos de la solución. Aprobación del diseño del sistema UTM Entregar información de la red necesaria para la ejecución del proyecto Procedimiento de pruebas con el sistema puesto en marcha Informe de resultados de pruebas con el sistema

Reporta a Coordinador área de informática y gerente de proyecto

Supervisa a Ingenieros analistas de seguridad en sitio

Conocimientos

Profesional en ingeniería de telecomunicaciones, electrónica o afines ISO 27001 Networking

HabilidadesLiderazgo, trabajo en equipo, manejo de personal y motivación.

87

ExperienciaCertificado en ISO 27001 Certificación fabricante equipos de redes de datos Certificación en ITIL

INGENIEROS ANALISTAS DE SEGURIDAD EN SITIO

Objetivos del rolEncargados de ejecutar actividades operativas dentro delproyecto.

Responsabilidades

Operación y estabilización de servicios de red Caracterización y categorización de eventos Pruebas de funcionamiento del sistema Recibir capacitación de entrega de la operación del sistema. Pruebas de navegación. Afinamiento sistema UTM Pruebas de enrutamiento y alta disponibilidad Pruebas de políticas y perfiles de seguridad Manual de instalación de equipos.

Reporta a Coordinador de operaciones

Conocimientos

Profesional en ingeniería de telecomunicaciones, electrónica o afines ISO 27001 Networking

Habilidades Trabajo en equipo, motivación y comunicación

Experiencia

Certificado en ISO 27001 Certificación fabricante equipos de redes de datos Certificado fabricante hardware seguridad perimetral y UTM Certificación en ITIL

Fuente: Propia

10.3. Seguimiento al recurso humano

Con el fin de garantizar un seguimiento y acompañamiento a las actividadesdesignadas a cada uno de los profesionales del proyecto, se realizarán lassiguientes acciones:

En Cada una de las reuniones semanales se verificará el avance del recurso conrelación a las labores encomendadas y con las que se ha comprometido enreuniones anteriores. En caso de qué el recurso haya tenido un avance inferior al70% de la actividad encomendada, el gerente del proyecto se reunirá con él ypedirá las razones del porqué no fue posible el cumplimiento al 90% o 100% de latarea; con el fin de proponer estrategias (apoyo o aumento de tiempo para la

88

actividad) que permitan continuar con la ejecución del proyecto dentro de lostiempos establecidos en el cronograma.

Si durante las reuniones mensuales se establece que el rendimiento de alguno delos recursos ha sido superior, cumpliendo a cabalidad las tareas designadas yofreciendo además un valor agregado, se recompensará con un bono económicopara el final del mes siguiente al que esté cursando.

10.4. Procedimiento actualización del plan de recursos humanos

Las razones por las cuales el plan de recursos humanos se debe modificar, sonlas siguientes:

Se tengan novedades dentro del proyecto como: personas que entran osalen del mismo, cambios dentro del alcance del proyecto.

Cambio en las asignaciones de roles.

Para actualizar el plan de recursos humanos, se tendrá en cuenta lo siguiente:

En caso de necesitar más recurso humano para la ejecución de actividades,se deberá registrar el nuevo profesional en el plan.

Si se evidencia que una actividad está tomando más tiempo y esfuerzo que el previsto, se realizara la redistribución de recursos o actividades dentro del plan.

Una vez se ha actualizado el plan, éste pasará a ser revisado, aprobado y difundido con todos los miembros del equipo.

89

RECOMENDACIONES

En el contexto de la administración de la seguridad se debe tener en cuenta elanálisis y configuración que los operadores de los sistemas UTM deben realizar delas herramientas que tienen bajo su control. Factores como la correcta realizaciónde políticas de seguridad preventivas que puedan detectar a tiempo intentos deintrusión, ataques hacía la red corporativa o vulnerabilidades que puedan serdetectadas dentro del tráfico descargado por los usuarios de la red interna sonalgunas de las funcionalidades del UTM.

Las recomendaciones que a continuación se exponen son una recopilación debuenas prácticas sugeridas en textos de seguridad y la propia experiencia de laautora de la monografía.

11.1. Consideraciones iniciales

Documentación

Como primera medida debe hacerse un análisis de la situación actual de lainfraestructura de red de la institución, sus políticas, requisitos de seguridad y lasconfiguraciones establecidas para protegerla. Lo anterior, apoyándose endocumentación existente en el área de TI.

Una vez se tiene el contexto, se debe nuevamente elaborar un inventarioactualizado de los recursos de red de la institución, incluyendo hardware, software,versiones, servicios y tráfico convencional. En esta etapa se sugiere realizar unacaptura y análisis de tráfico de por lo menos 1 mes del comportamiento de la red.

Teniendo en cuenta que el Fortigate será la puerta de salida de todo el tráfico quese direccione hacía Internet, se debe documentar el direccionamiento,segmentación y enrutamiento de toda la red de la institución.

Instalación Para la instalación del Fortigate se debe disponer de un sitio seguro, con accesorestringido a personal diferente a los administradores de la red de la institución,con la temperatura (aire acondicionado) y regulación eléctrica adecuadas paraproveer al equipo.

Configuración

En caso de publicar el firewall hacía Internet para su acceso, se debe hacerúnicamente por HTTPS y se debe cambiar el puerto por defecto.

90

Se debe cambiar la contraseña de administrador por defecto y colocar una nuevacontraseña muy robusta, de por los menos 16 caracteres, preferiblemente contexto alfanumérico, el uso de mayúsculas y minúsculas.

Todos los usuarios que se creen, deben estar personalizados con el nombre delusuario que los va a utilizar, y en la descripción del mismo se debe detallar lainformación de ubicación y el rol que desempeña.

Actualizar el firmware del Fortigate a la última versión recomendada, cargar laslicencias adquiridas y dejarlas operativas.

Habilitar el monitoreo SNMP (Simple Network Management Protocol) del Fortigateen la herramienta de monitoreo que utilice el SOC.

Configuración y pruebas de enrutamiento de acuerdo a lo planificado conanterioridad.

11.2. Políticas y perfiles de navegación

Después de realizar el monitoreo y documentación del tráfico que circula por la redde la institución, incluyendo todos los servicios que usualmente utilizan losusuarios; se debe proceder a hacer lo siguiente:

Configurar las zonas e interfaces físicas y lógicas por donde va a circular eltráfico de la institución.

Crear todos los objetos que se tengan previamente identificados en ladocumentación inicial (direcciones IP de servicios y usuarios, puertos,horarios de ejecución de tareas)

Hacer la documentación de cada uno de los servicios o destinos que debanconsultar los usuarios, para cada uno se los servicios determinados y en loshorarios establecidos para hacerlo.

Una vez se tiene especificado el punto anterior, se debe proceder aconfigurar la política de acuerdo a las restricciones fijadas.

Se recomienda inicialmente utilizar los perfiles de seguridad UTM pordefecto (web filtering, IPS/IDS, application control, antivirus, etc.); luegorealizar pruebas de esta configuración e ir afinando los perfiles de acuerdoa los requerimientos de los usuarios.

Realizar un hardening de puertos y políticas por lo menos cada 3 meses(dependiendo el tamaño de la red) en donde evalúe que los puertos que se

91

tienen abiertos y los perfiles configurados estén protegiendo de formaadecuada la red.

Elaborar y diligenciar una plantilla de control de cambios cada vez que serealice una configuración en el sistema UTM.

Hacer la descripción de cada uno de los objetos, políticas y perfiles que secreen en el sistema UTM.

11.3. Registro de tráfico

Ejecución de reportes que permitan verificar que clase de tráfico estámanejando la institución, que comportamiento tienen los usuarios con lasreglas creadas, para de ser necesario afinar la política teniendo en cuentala brecha de seguridad encontrada en los reportes.

Algunas instituciones o los proveedores que se encargan de la operaciónde un sistema de seguridad, cuentan con un sistema de correlación deeventos que puede recopilar una gran cantidad de registros de tráfico demúltiples fuentes y correlacionar dicha información en tiempo real, con el finde identificar eventos y así poder categorizarlos, priorizarlos y tener unamejor visibilidad de la infraestructura de la institución; de tal forma que ladetección y atención de amenazas se puede realizar de manera másefectiva. El firewall UTM de Fortinet tiene la posibilidad de integrar suregistro de logs a correlacionadores de eventos.

El monitoreo 24 horas del día, los 7 días de la semana y los 365 días delaño es fundamental. La visibilidad que los operadores del sistema debentener para saber qué tipo de tráfico está transitando la red incluyendo losregistros detectados por el control de aplicaciones, el filtro web, el correoelectrónico, etc. Permitirá al administrador, afinar políticas para laoptimización del ancho de banda, resolución de problemas másrápidamente, perfilado de políticas y objetos de seguridad (webfiltering,aplication control, IDS), planificación de capacidad, tendencias de la red ydetección de tráfico no autorizado.

92

CONCLUSIONES

Con base en la investigación realizada en el estado del arte, es posible vercomo la planeación y el dimensionamiento de un sistema UTM gestionadopara una institución de educación superior, está cobrando tanta importancia enel sector; pues, con ello se consigue poder tener unos niveles altos dedisponibilidad, confiabilidad e integridad de la información, además deoptimizar los recursos de la red de la institución.

Es posible ver en las otras investigaciones estudiadas para el estado del arte,como la mayoría de proyectos relacionados se concentran sólo en plantear unmarco teórico extenso y unas pocas recomendaciones o procedimientostécnicos para ejecutar el proyecto. A diferencia de ellos, este proyecto entregaa la academia un documento apoyado en las 9 áreas descritas en el PmBook,en donde se muestra la planeación del proyecto con un enfoque económico yadministrativo detallado.

Con base en el análisis de mercado elaborado por Gartner para el 2017 paralos fabricantes de soluciones UTM. Se confirma que Fortinet en la actualidades el líder predominante de este tipo de mercado, razón por la que el estudiose concentra en éste, pensando en los múltiples proyectos para los cualespuede servir de apoyo.

La discriminación de las actividades en el WBS permite dar claridad de lasactividades y tareas críticas a desarrollar durante el proyecto. Tal visibilidad,permite lograr una mejor planeación, distribución de recursos, mejorcomunicación y seguimiento del proyecto.

El realizar una buena planeación permite desde un inicio identificar las tareascríticas que pueden llevar a que el proyecto se retrase o hayan costosinesperados en el mismo. Al evaluar los posibles riesgos que se puedenpresentar, es posible anticiparse y manejar tiempos y presupuesto decontingencia.

93

BIBLIOGRAFÍA

CASTELLANOS, Tache y GÓMEZ, Lucero. Seguridad en redes telemáticas. McGraw- Hill, Madrid: 2006. 549 p.

TANENBAUM, Andrew S. Redes de computadoras. Cuarta edición. PearsonPrentice Hall, México 2003. ISBN 970-26-0162-2.

ACOSTA, Edna, BLANCO, Andrea, MONTOYA, Gabriela y TORRES, Ricardo.Ampliación de Cobertura de la red de Fibra de Global Networks. UniversidadSanto Tomás, Colombia 2013. 169p.

CORLETTI, Alejandro. Seguridad en redes. Learning consulting. Madrid 2016.ISBN 978-84-617-5291-1

FORTINET. NSE 1:The threat Landscape. Study guide. Estados Unidos 2016 30p.

FORTINET. NSE 1: Unified Threat Management (UTM). Estados Unidos 2016 30p.

94

WEBGRAFÍA

UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO. Gestión de seguridad de lainformación basado en el MAAGTICSI para programas académicos enInstituciones de Educación Superior [en línea]. [Consultado 18 de marzo de 2017].Disponible en Internet: http://revista.seguridad.unam.mx/numero24/gesti-n-de-seguridad-de-la-informaci-n-basado-en-el-maagticsi-para-programas-acad-micos-en-

ESET. ¿Por qué es necesario el firewall en entornos corporativos? [en línea].2014.[ Consultado 15 de agosto de 2017]. Disponible en Internet:http://www.welivesecurity.com/la-es/2014/07/29/por-que-necesario-firewall-entornos-corporativos/

GOMÁ, Oriol. Diseño e implantación de un sistema de seguridad perimetral en unaempresa de automoción [en línea]. Tesis de grado. Universitat Politécnica deCatalunya. Ingeniería Técnica de telecomunicaciones, 2010. 56p. [Consultado 3de agosto de 2017]. Disponible en Internet: https://upcommons.upc.edu/bitstream/handle/2099.1/10804/memoria.pdf.

FABUEL, Carlos Manuel. Implantación de un Sistema de Seguridad Perimetral [enlínea]. Proyecto Fin de Carrera. Universidad Politécnica de Madrid. Escuelauniversitaria de ingeniería técnica de telecomunicaciones, 2013. 228p.[Consultado 3 de agosto de 2017]. Disponible en Internet:http://oa.upm.es/22228/1/PFC_CARLOS_MANUEL_FABUEL_DIAZ.pdf

CLEMENTE, Aaron. Análisis e Implementación de un Esquema de Seguridad enredes para la Universidad de Colima [en línea]. Tesis de grado maestría. Facultaden telemática, 2004. 224p. [Consultado 10 de agosto de 2017]. Disponible enInternet:http://digeset.ucol.mx/tesis_posgrado/Pdf/Aaron_Clemente_Lacayo_A.pdf.

BALTAZAR, Jose. CAMPUZANO Juan. Diseño e Implementación de un Esquemade Seguridad Perimetral para Redes de Datos [en línea]. Tesis de pregrado.Facultad de ingeniería. 2011. 268p. [Consultado 10 septiembre de 2017]Disponible en Internet: http://www.ptolomeo.unam.mx:8080/xmlui/bitstream/handle/132.248.52.100/174/Version%20Final.pdf?sequence=17

ISO 27000.ES:2013. El portal de ISO 27001 en español. 2013. [Consultado18 de marzo de 2017]. Disponible en Internet:http://www.iso27000.es/sgsi.html.

ALCALDÍA DE BOGOTÁ. Ley 1581 de 2012 Nivel Nacional. Diario Oficial48587 de octubre 18 de 2012

95

[en línea]. 2017. [Consultado noviembre 22 de 2017]. Disponible en Internet:http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=4276. 15 p.

HERNANDEZ, Enrique. Seguridad y privacidad en los sistemas informáticos[en línea]. Universidad Politécnica de Valencia [Consultado noviembre 25 de2017]. Disponible en Internethttp://www.disca.upv.es/enheror/pdf/ACTASeguridad.PDF.

BUY FORTINET. Fortigate 1200d Firewalls [en línea]. Página comercial2017. [Consultado diciembre 19 de 2017] Disponible en Internet:http://www.buyfortinet.net/Fortinet-FG-1200D-p/fg-1200d.htm

GARTNER. Cuadrante Mágico para Firewalls de Red Empresarial [en línea].2017.[Consultado 10 de enero de 2018]. Disponible en Internet:https://www.gartner.com/doc/reprints?id=1-43QT4Y6&ct=170621&st=sb&elqTrackId=B8287C7A7D6E48779F37B091CCC4F36C&elq=ec86eff41d6f4d3288753e6acd9f7078&elqaid=3226&elqat=1&elqCampaignId=

MINTIC. Elaboración de la política general de seguridad y privacidad de lainformación [en línea].Versión inicial 1.1.0 2016.[Consultado diciembre 19 de2017] Disponible en Internet:http://www.mintic.gov.co/gestionti/615/articles-5482_G2_Politica_General.pdf

GUERRA, Cristian. Implementación de una red segura para los laboratoriosdel DEEE utilizando un dispositivo UTM [en línea]. Tesis de pregrado.Sangolquí: Escuela Politécnica del ejército. Departamento de Eléctrica yElectrónica, 2011.149p. 2011. [Consultado 20 de agosto de 2017].Disponible en Internet: http://repositorio.espe.edu.ec/handle/21000/4741

96