Embed Size (px)
Citation preview
DISEÑO DE UN SISTEMA DE SEGURIDAD PERIMETRAL E INTERNA PARA LA EMPRESA AMERICAS BUSINESS PROCESS SERVICES, EN BOGOTÁ D.C.
ANDRES FERNANDO CAMACHO CONTRERAS
JOHN STEVEN LOPEZ RODRIGUEZ
UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS
FACULTAD DE INGENIERÍA
ESPECIALIZACIÓN EN GESTIÓN DE PROYECTOS DE INGENIERÍA
BOGOTÁ, D.C.
2017
Tabla de contenido 1. INTRODUCCION .......................................................................................................................................................... 4
2. JUSTIFICACION. ........................................................................................................................................................... 4
3. OBJETIVOS .................................................................................................................................................................. 5
3.1 GENERAL ................................................................................................................................................................... 5
3.2 ESPECÍFICOS .............................................................................................................................................................. 5
4. ESTADO DEL ARTE ....................................................................................................................................................... 5
5. MARCO HISTORICO ..................................................................................................................................................... 7
6. METODOLOGÍA DE MARCO LÓGICO ........................................................................................................................... 7
6.1. Identificación del problema ..................................................................................................................................... 7
6.2 Análisis de involucrados. .......................................................................................................................................... 8
6.3 Árbol de problemas .................................................................................................................................................. 9
6.4 Árbol de objetivos ................................................................................................................................................... 13
6.5 Alternativas de solución: ....................................................................................................................................... 13
6.5.1 NGFW UTM: ......................................................................................................................................................... 13
6.5.2 FIREWALL VIRTUAL: ............................................................................................................................................. 14
6.5.3 FIREWALL: ............................................................................................................................................................ 15
6.6 Estructura Analítica del Proyecto (EAP) .................................................................................................................. 16
6.7 Requisitos del cliente para la creación de Objetivos del proyecto:........................................................................ 17
6.8 Matriz de marco Lógico .......................................................................................................................................... 19
7. ESTUDIO DE MERCADO............................................................................................................................................. 21
7.1 OBJETIVOS ESTUDIO DE MERCADO ........................................................................................................................ 21
7.1.1 Objetivo General estudio de mercado ................................................................................................................ 21
7.1.2 OBJETIVOS ESPECIFICOS ESTUDIO DE MERCADO: ............................................................................................... 21
7.2 Comportamiento del mercado meta ..................................................................................................................... 21
7.3Mercado Objetivo. ................................................................................................................................................... 22
7.4 Análisis del sector. .................................................................................................................................................. 22
7.5 Análisis de la competencia ..................................................................................................................................... 23
7.6 Análisis y estudio de mercado. ............................................................................................................................... 24
7.7 Estudio de precios .................................................................................................................................................. 27
7.8 Clientes potenciales ................................................................................................................................................ 29
7.9 Plan de mercadeo ................................................................................................................................................... 29
7.9.1 Pronostico del Mercado ...................................................................................................................................... 30
7.9.1 ESTUDIO ESTADISTICO Y PROBABILISTICO: ......................................................................................................... 31
8. ESTUDIO TECNICO – OPERATIVO. ............................................................................................................................. 32
8.1 FIREWALL VIRTUAL: ................................................................................................................................................ 32
8.2 FIREWALL CAPA 3 Y APPLIANCE DE SEGURIDAD ESPECÍFICOS. .............................................................................. 34
8.3 NGFW – UTM. ......................................................................................................................................................... 36
8.4 PLATAFORMA DE LOGS Y REPORTES ...................................................................................................................... 47
8.5 PLATAFORMA ADMINISTRACION CENTRALIZADA .................................................................................................. 49
8.6 PLATAFORMA DE AUTENTICACION CENTRALIZADA ............................................................................................... 51
8.7 PUNTOS DE ACCESO (SEDE DORADO, CARVAJAL Y CALI) ....................................................................................... 54
8.8 LOCALIZACION DE LAS INSTALACIONES.................................................................................................................. 57
8.9 DISTRIBUCION EN PLANTA. .................................................................................................................................... 59
9. Proceso de Producción ............................................................................................................................................. 65
10. Alternativas técnicas del mercado. ...................................................................................................................... 67
11. ESTUDIO FINANCIERO ........................................................................................................................................... 70
11.1 Inversión Inicial: .................................................................................................................................................... 70
11.2 Flujo de caja del proyecto. .................................................................................................................................... 74
12. Estudio Legal y Ambiental .................................................................................................................................... 85
13. Bibliografía ............................................................................................................................................................ 88
1. INTRODUCCION
Actualmente, la forma de comunicarnos se basa en las facilidades que la tecnología nos ofrece. Se
entiende como tecnología de las comunicaciones a los medios por los que el ser humano controla
o modifica con el fin de hacer más fácil el intercambio de información.
Hoy, que la comunicación se comporta como la gran herramienta del siglo XXI, hay que manejarla
con gran precaución ya que se puede utilizar con objetivos que pueden dañar a un individuo,
sociedad o incluso al mundo entero. La evolución tecnológica lleva de la mano la evolución de los
riesgos tecnológicos, por lo cual es necesario generar proyectos que mitiguen en gran medida estos
riesgos, blindando a las organizaciones de ataques externos que pongan en peligro su información
y la de sus clientes.
Como resultado de esta problemática se plantea el diseño de un sistema de seguridad perimetral e
interna para la empresa Américas Business Process Services, en Bogotá.
2. JUSTIFICACION.
La actividad de Contact Center empezó a principios de los 90 en Colombia, desde esta fecha ha
surgido una serie avances tecnológicos y de mercado, los cuales llevaron a la evolución del BPO
“business process outsourcing”, esta subcontratación de procesos de negocios permiten que las
empresas se enfoquen en su nicho de negocio y subcontraten las funciones del proceso de negocio
en proveedores de servicio los cuales resultan menos costosos y más eficientes, que si se generaran
estos procesos internamente en cada compañía, los call-center se han convertido a nivel mundial,
en una de las herramientas más importantes para las áreas de mercadeo y servicio al cliente, de las
principales empresas del mundo; Sin embargo esta permeabilidad de tercerización en todos los
sectores requiere de un sistema de seguridad informática que permita brindar confianza a la data
que se comparte entre un cliente y su proveedor, cuando se habla de seguridad perimetral, nos
referimos a la forma de implementar una barrera o muro en nuestra red interna y externa, en el
diseño planteado para la empresa Americas BPS es indispensable controlar y monitorear el tráfico
que pasa por la red de la organización, ampliando su cluster de mercado cumpliendo con exigencias
técnicas y normativas de seguridad informática.
3. OBJETIVOS
3.1 GENERAL
Diseñar un sistema de seguridad perimetral e interna que busca mitigar los riesgos asociados a la
infraestructura crítica de la Compañía Americas Business Process Services, se plantea una
plataforma de seguridad robusta, escalable, y de alto rendimiento con los últimos estándares de
seguridad, con el fin de ofrecer un mejor servicio garantizando la capacidad, disponibilidad,
seguridad y continuidad de la operación.
3.2 ESPECÍFICOS
• Realizar un estudio de las diferentes tecnologías del mercado, para la implementación de sistemas de seguridad perimetral.
• Diseñar un esquema de red segura que soporte una mayor tolerancia a fallos, garantizando seguridad e integridad de todos los activos tecnológicos de la compañía, mitigando los riesgos de interconexión a redes externas.
• Diseñar un sistema de monitoreo de tráfico que permita la visibilidad de la red y por medio de la retención de logs la generación de informes personalizados.
• Diseñar una red de conexión inalámbrica de manera segura, que permita el control y monitoreo de los usuarios.
4. ESTADO DEL ARTE
Se realizó la revisión de los siguientes estudios nacionales e internacionales relacionados con la seguridad perimetral, diseños de redes, Firewall. Universidad Politécnica de Madrid
• 2013- Implantación de un sistema de seguridad perimetral Pontificia Universidad Católica del Peru
• 2016 – Diseño de una red Lan inalámbrica para una empresa de Lima
• 2006 - Plan de negocios para la producción y comercialización de caracol terrestre Universidad Distrital Francisco José de caldas
• 2015 Seguridad perimetral Pymes.
Universidad de La Salle:
• 2008 tesis: Estudio de mercado para la exportación de caracol Helix aspersa a España. Facultad de administración de empresas agropecuarias
UNIVERSIDAD PONTIFICIA BOLIVARIANA
• 2010 – Estudio de factibilidad y puesta en marcha de una empresa prestadora de servicios de outsourcing de actividades back-office en organizaciones de Bucaramanga y área metropolitana.
De acuerdo a las anteriores fuentes bibliográficas, se encontraron los siguientes aporte y
limitaciones:
Todos los proyectos orientados a la seguridad de la información corporativa empiezan con el mismo
paso, determinar cuál es la información sensible, descubrir dónde está alojada además del centro
de datos, si está diseminada en computadoras de escritorio, dispositivos móviles y en la nube, y
revisar cómo y quién accede a ella.
Tras identificar la información sensible, se debe determinar cómo se utiliza, quién accede a ella,
quién la utiliza, quién la crea, dónde se envía, y así identificar los procesos del negocio en los cuales
participan estos datos, para poder asegurarlos y plasmarlos en políticas corporativas, e incluir
algunos casos de excepción que sean necesarios como en el caso de los socios de negocios.
La falta de recursos provoca a veces que muchas PYMES cuenten con una seguridad insuficiente
o no sepan exactamente cuáles son las medidas que tienen que adaptar para estar protegidos,
además no invierten en seguridad informática porque no creen que esa inversión les traiga algún
costo beneficio, al contrario, lo ven como algo que va hacer efectivo, pero que no les generará
muchos beneficios. Cuando deciden hacerlo es cuando ven un crecimiento en su compañía, pero
les cuesta más sí nunca han invertido.
Los cambios radicales en el ámbito de las aplicaciones y de las amenazas, el comportamiento de
los usuarios y la infraestructura de la red han ido deteriorando la seguridad tradicional, actualmente
la seguridad de datos empresariales involucra a todos en la empresa desde el dueño y los ejecutivos
más altos, hasta los proveedores y socios. Desde la parte cultural, hasta la parte tecnológica.
En su trabajo diario los usuarios acceden a todo tipo de aplicaciones utilizando una amplia gama de
dispositivos. Mientras tanto la expansión de los centros de datos, la virtualización, la movilidad y las
iniciativas basadas en la nube, están obligando a rediseñar los permisos de acceso de las
aplicaciones sin afectar a la protección de la red.
No todas las pequeñas y medianas empresas tienen la experiencia necesaria para la gestación de
sistema de seguridad informática de nueva generación, es necesario tener guías prácticas
adaptables a cada necesidad que les ayude a tener una línea base para el aseguramiento de sus
herramientas tecnológicas, de forma ágil, reduciendo costos y minimizando los riesgos de sufrir
ataques informáticos.
5. MARCO HISTORICO
La Seguridad Informática ha experimentado un profundo cambio en los últimos años. Inversiones
aisladas llevadas a cabo con el objetivo de fortalecer la seguridad en puntos muy concretos han
dado paso a inversiones para asegurar el bien más valioso de la empresa, la información, enfocando
la seguridad hacia los procesos de negocio de la empresa.
Durante los años 80 y principios de los 90 cuando la Seguridad Informática iniciaba y esta se
centraban en proteger los equipos de los usuarios, es decir, proporcionar seguridad a los
ordenadores y su sistema operativo. Esta seguridad lógica, entendida como la seguridad de los
equipos informáticos para evitar que dejasen de funcionar correctamente, se centraba en la
protección contra virus informáticos.
Con la aparición de Internet y su uso globalizado a nivel empresarial la Seguridad Informática
comenzó a enfocarse hacia la conectividad de redes o networking, protegiendo los equipos
servidores de aplicaciones informáticas, y los equipos servidores accesibles públicamente a través
de Internet, y controlando la seguridad a nivel periférico a través de dispositivos como Firewalls. Es
decir, la posibilidad tecnológica de “estar conectados” llevaba implícita la aparición de nuevas
vulnerabilidades que podían ser explotadas, la exposición de información crucial para el negocio
que podía ser accesible precisamente gracias a esa conectividad.
El perfil de atacante de un sistema informático ha cambiado radicalmente. Si bien antes los objetivos
de un atacante o hacker podían ser más simples (acceder a un sitio donde nadie antes había
conseguido llegar, o infectar un sistema mediante algún tipo de virus, pero sin ningún tipo de ánimo
de lucro), en la actualidad los atacantes se han percatado de lo importante que es la información y
sobre todo de lo valiosa que puede ser. Se trata de grupos organizados que aprovechan las
vulnerabilidades de los sistemas informáticos y las redes de telecomunicaciones para acceder a la
información crítica y sensible de la empresa, bien a través de personal especializado en este tipo
de ataques, o bien comprando en el mercado negro kits de explotación de vulnerabilidades para
obtener información muy específica. (1) https://www.grupocontrol.com/evolucion-de-la-seguridad-
informatica
6. METODOLOGÍA DE MARCO LÓGICO
6.1. Identificación del problema
La evolución del mercado de contact center y BPO coloca a los proveedores de servicios en riesgo
de obsolescencia tecnológica, en el caso de Americas BPS se plantea un sistema de seguridad
perimetral de última tecnología que permita cumplir con las exigencias y requerimiento de
normatividad como ISO 27001 o PCI DSS, permitiendo abarcar nichos de mercado con información
sensible “Gobierno, Bancario, salud etc…”. La problemática en crecimiento de ataques o incidentes
de seguridad en redes, coloca en riesgo la confiabilidad y seguridad de la información, convirtiendo
a la compañía Americas BPS susceptible de diferentes tipos de ataque, ya sea la fuga de
información, la denegación de servicio, o cualquier tipo de afectación a la capacidad, seguridad,
disponibilidad o continuidad de la operación de la compañía. Por esta razón los sistemas de
seguridad perimetral encargados de proteger y mitigar dichos ataques cada vez toman más
importancia en el diseño de las organizaciones.
Con un sistema como el que se plantea en este diseño, se pretende una correcta gestión de los
elementos tecnológicos e incidencias en conjunto con una política de seguridad informática, la
empresa Americas BPS estará en condiciones de lograr una conectividad con sus clientes de
manera segura, con capacidad de controlar las amenazas del exterior, administrar los recursos
tecnológicos y monitorear el tráfico de red.
En las organizaciones se tiene el concepto de que los sistemas de seguridad informática son
demasiado costosos, o que los ataques informáticos no representan un riesgo para la compañía,
por lo cual invertir en un sistema de seguridad perimetral es una terea ardua, para esto se plantea
un retorno sobre la inversión en seguridad “ROSI = Mitigación del riesgo monetario – costo de
control”, por lo tanto se determina que una inversión en seguridad es rentable si el efecto de
mitigación es mayor a los costos estimados (2) Christian Locher, Methodologies for evaluating information
security investments, 2005.
6.2 Análisis de involucrados.
Tal como se observa en el mapa correspondiente, los involucrados pertenecientes al presente
proyecto provienen del sector donde será implementado el diseño de la red perimetral
Esquema 1 (Análisis de involucrados)
A continuación se muestra el análisis de involucrados y su relación con el proyecto:
INVOLUCRADOS
Beneficiarios directos Beneficiarios indirectos Neutrales Perjudicados
Empresa Américas BPS Clientes de la empresa(EPS, BANCOS) Operador de Red Hackers
Ingenieros Sedes Américas BPS Gobierno Empresas competencia
Desarrolladores
Técnicos
Empleados en general
Tabla 1 (Análisis de involucrados)
6.3 Árbol de problemas
PROYECTO
Empresa Amercias
BPSIngenieros
Desarrolladores
Tecnicos
Operador de red
Gobierno
Hackers
Empresas competencia
Clientes de la empresa(EPS, BANCOS,ETC)
Sedes Américas
BPS
Esquema 2(Árbol de problemas)
Descripción:
La falta de financiación son los principales obstáculos para escoger proyectos que permitan tener
una infraestructura acorde a los avances informáticos, además que la mayoría de empresas no
cuentan con procedimientos y estructuras que les permita contar con un diseño de seguridad
adecuado.
La gran cantidad de recursos tecnológicos que ayudan al fortalecimiento empresarial también ponen
en riesgo los procesos de las empresas y estos se convierten en un problema si no se toman las
medidas preventivas adecuadas.
Los equipos de seguridad en TI (Tecnologías de la información) de algunas organizaciones y en
algunos casos la falta de compromiso y conocimiento frente a las nuevas amenazas en la redes
internas y externas e internet, hace que el camino para que se puedan generar ataques informáticos
que pone en riesgo la infraestructura y la información misional de las empresas y clientes que se
manejan.
Están son algunas de las causas que dan lugar al desarrollo de un sistema de seguridad perimetral
e interna con equipos de seguridad de nueva generación.
Otra de las razones para realizar este proyecto resulta de la problemática cada vez mayor de
ataques y problemas de seguridad en redes, a nivel local e internacional, u otros tipos de escenarios.
Problemática en Colombia:
Los riesgos y amenazas a la seguridad informática de las empresas son evidentes. Solo en
Colombia, el año pasado se recibieron 7.118 denuncias por parte de víctimas de delitos informáticos,
evidenciando un aumento del 40 % con respecto al 2015. Las pérdidas económicas derivadas por
estos actos representan al país alrededor del 0,14 % del PIB Nacional. El 43 % de las empresas en
el país no poseen planes de respuesta frente a este tipo de incidentes. (Portafolio,
2016).cintel.org.co
(TABLA 2) Cifras de Digiware sobre los ataques informáticos (http://www.dinero.com/pais/articulo/informe-
certicamara-sobre-seguridad-informatica-colombia-para-2016/217635)
Una encuesta publicada el 31 de agosto del 2016 por PWC y el Centro de Investigación y Desarrollo en Tecnologías de la Información y las Comunicaciones (CINTEL), revela que solo el 7% de las pymes en Colombia ha solicitado un crédito para invertir en tecnología. (Andicom, 2016)
El 46% de esa porción destinó entre $1 y $10 millones, el 12% entre $11 y $20 millones, mientras
que el 6% invirtió más de $100 millones. Los recursos de estas empresas se invierten principalmente
en equipos de oficina (34%), páginas web (22%), aplicaciones (18%), servidores (14%), entre otros.
Con respecto a las barreras que limitan la adopción de la seguridad de la información en las pymes,
el 43% expresó que el mayor obstáculo es la falta de recursos, el 19% no contaba con el personal
capacitado, el 18% tiene un bajo conocimiento en ese campo, el 9% no confía en los proveedores,
el 6% tuvo malas experiencias con proyectos anteriores, entre otras razones (5%).(3)
(http://www.dinero.com/ Dinero, 2016)
6.4 Árbol de objetivos
Esquemas 3 (Árbol de Objetivos)
Una solución a esta problemática es la de contar con un sistema de seguridad perimetral escalable
y en alta disponibilidad con equipos firewall de nueva generación, teniendo esto se da a Américas
BPS la posibilidad de tener un mejor enfoque en la implementación de soluciones de seguridad
informática escalables y reducidas en costos.
6.5 Alternativas de solución:
Se plantean tres opciones de solución para el diseño de una red de seguridad perimetral e interna
de la empresa Americas BPS las cuales se detallan a continuación:
6.5.1 NGFW UTM:
Un Firewall NextGen o de siguiente generación es un sistema de seguridad para redes dentro de
un dispositivo de Hardware o en una versión basada en software que es capaz de detectar y prevenir
ataques sofisticados a través de forzar políticas de seguridad a nivel de aplicación, así como a nivel
de puertos o protocolos de comunicación.
Los Firewalls NextGen integran tres activos UTM principales:
Capacidades empresariales.
Un sistema de prevención de intrusión (IPS)
Control de aplicaciones.
Los Firewalls NextGen combinan las capacidades de los firewalls tradicionales, incluyendo, filtrado
de paquetes, traducción de direcciones de red (NAT) Bloqueo de URL y redes privadas virtuales
(VPN) con funcionalidades de calidad de servicio (QoS) y otras capacidades no encontradas en
Firewalls de primera generación, entre estas se incluyen:
Prevención de Intrusión
• Inspección SSL y SSH
• Inspección profunda de paquetes de comunicación
• Detección y prevención de malware basada en reputación
• Reconocimiento de apps
Los Firewalls NextGen buscan reducir de manera importante el creciente número de ataques que
se llevan a cabo en las capas 4-7 del modelo OSI para redes. (Capa de Transporte, Capa de Sesión,
Capa de Presentación y Capa de Aplicación).
Esta opción permite desde un appliance unificado generar la gestión de todos los servicios de
seguridad y enrutamientos, presenta
Ventajas:
La escalabilidad e integración con equipo dedicados de otros propósitos como lo son analizador de
reportes, equipos de autenticación externa, o equipos de administración de los appliance, adicional
permite la configuración de una red inalámbrica segura.
Desventajas:
En … esta opción se encuentran los recursos limitados en servicios de seguridad como lo son
antivirus, antispam, WAF, balanceador, ya que al ser un equipo UTM integra estas configuraciones
de una manera básica.
6.5.2 FIREWALL VIRTUAL:
El avance de la tecnología lleva a los sistemas de información a la nube, de tal manera la seguridad
informática también se encuentra adaptada a la virtualización, el diseño de un sistema de seguridad
virtual o Firewall Virtual, ofrece un alto grado de capacidad, continuidad y disponibilidad, ya que al
encontrarse en un datacenter dedicado se cuenta con todos los respaldos de infraestructura que
una empresa pequeña no cuenta, adicional la escalabilidad de un Firewall Virtual permite el
crecimiento de recursos de hardware y no se encuentra limitado como en un appliance físico,
adicional presenta la ventaja de una administración unificada, la desventaja de una solución
virtualizada en la nube corresponde a los costos adicionales de alquiler de la solución y conectividad
desde las sedes de la compañía hasta el datacenter en el cual se encuentre el sistema de
virtualización, esta conectividad se debe generar por canales dedicados redundantes los cuales
generan un costo adicional al proyecto, se deben evaluar los indicadores de la compañía para
determinar la necesidad de estos sobrecostos frente a los demás modelos de diseño.
Ventajas:
• Alto grado de capacidad, continuidad y disponibilidad.
• La escabilidad de un firewall virtual permite el crecimiento de recursos de hardware.
• No se encuentra limitado como en un appliance físico.
• Administración unificada.
Desventajas:
• Costos adicionales de alquiler de la solución
• Canales dedicados redundantes que generan otro costo adicional al proyecto
6.5.3 FIREWALL:
El concepto más básico en el diseño de una red segura es por medio de un Firewall, es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas.
Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios.
Sin embargo con el avance de la tecnología un Firewall no es suficiente para proteger una red, ya que se presentan diversos tipos de ataques en las capas 4- 7 del modelo OSI, y teniendo en cuenta que un firewall de red trabaja en la capa 3 del modelo OSI significa que no es suficiente para una red segura, los firewall permiten integrarse con diferentes appliance externos que complementan la seguridad en las capas 4-7, ejemplo appliances dedicados que cumplen funciones de antispam, antivirus, WAF, y balanceadores, estos equipos por ser dedicados presentan un desempeño optimo con características avanzadas, sin embargo la adquision de un diseño de seguridad con appliance dedicados por función genera un incremento en los costos del proyecto, incluyendo los appliance y la capacitación para el uso de cada uno de los equipos.
Ventajas:
• Se integran con diferentes appliances.
• Personalización avanzada de la solución dependiendo de la necesidad del cliente
• Configuración avanzada por seguridad con appliances dedicados.
Desventajas:
• Incremento en los costos del proyecto
• Mayor uso de espacio físico en data-center
• Mayor consumo eléctrico
• Mayor nivel de conocimiento técnico para la implementación, integración, y administración
6.6 Estructura Analítica del Proyecto (EAP)
Esquemas 4 (Estructura Analítica del proyecto)
6.7 Requisitos del cliente para la creación de Objetivos del proyecto:
En este apartado se repasan los requisitos expresados por la empresa para la implantación de un entorno de seguridad perimetral, en los que se basará para proponer una buena solución y todos sus objetivos.
1. Arquitectura de seguridad perimetral con dos niveles de cortafuegos, de fabricantes y tecnologías distintos. Cada nivel se configurará en un cluster de cortafuegos redundante en modo activo – activo, con balanceo de carga.
2. Detrás del primer nivel de cortafuegos se implementarán subredes apantalladas para configurar una o varias DMZ donde se ubicarán los servidores de acceso público de SEGURAMA.
3. La arquitectura propuesta deberá contemplar y justificar la ubicación lógica de las siguientes zonas de seguridad, además de detallar el modelo de filtrado y mecanismos de seguridad previstos en las mismas: • Zona de servidores públicos: incluye servidores Web, servidores de DNS y frontales de correo (se admite una segmentación mayor). • Zona de servidores Proxy • Zona de LAN de usuarios de Servicios Centrales • Zona de gestión de la plataforma de seguridad.
4. El diseño ofertado perseguirá en todo momento cumplir con una filosofía de seguridad basada en el concepto de defensa en profundidad, lo que implicará un bastionado de cada elemento de seguridad.
5. Se deberá incluir en la oferta un número suficiente de cortafuegos para cumplir con las exigencias de la arquitectura demandada en el punto anterior. Además cada nivel deberá ofrecer las siguientes prestaciones mínimas: • Throughput de 1 Gb/s para el primer nivel y 800 Mb/s para el segundo. • Un mínimo de 8 interfaces de red en cada cortafuegos, donde 4 de ellos deberán estar configurados a 1 Gb/s. Detrás del primer cortafuegos se implementará una subred apantallada para configurar una DMZ.
6. La solución deberá aportar obligatoriamente las sondas de detección de intrusión de red que se consideren necesarias, especificando en todo caso en qué segmentos y subredes se sitúan y por qué motivo, además de los procedimientos y mecanismos de calibración de las mismas.
7. Se requerirá el suministro de al menos 4 sondas de detección de intrusión de host o soluciones de cortafuegos personales para sistemas operativos Windows, Linux o HP-UX, que irán destinadas a la monitorización de los equipos más críticos de la red.
8. Se deberá suministrar algún elemento de seguridad que posibilite el control de acceso y contenidos en la navegación web de los usuarios de Americas BPS.
9.Se requiere la provisión de un gestor de ancho de banda con el objetivo de permitir la gestión del tráfico y comunicaciones entre Americas BPS e Internet (en ambos sentidos) y que permita controlar y priorizar dicho tráfico en función de parámetros como tipo de protocolo, servidor origen o destino, dirección IP, etc. Además actuará como un elemento de seguridad adicional al configurarse adecuadamente para evitar ataques de denegación de servicio.
10.En el proyecto se deberá incluir además, todos los elementos físicos adicionales necesarios para construir la infraestructura de seguridad perimetral como por ejemplo racks, cableado de conexión de red y alimentación eléctrica, armarios, etc..
6.8 Matriz de marco Lógico
RESUMEN NARRATIVO DE OBJETIVOS INDICADORES MEDIOS DE VERIFICACIÓN SUPUESTOS
FIN: Diseñar un sistema de seguridad
perimetral e interna que busca mitigar los
riesgos asociados a la infraestructura crítica de
la Compañía Americas Business Process
Services
*Cantidad de trafico manejado y resguardado en la plataforma *Logs cada 24 horas
*Estadísticas *Pruebas de trafico
Se crea una cultura de innovación y aplicación de tecnologías para la seguridad informática en las compañías, ampliando su clúster de mercado cumpliendo con exigencias técnicas y normativas de seguridad informática.
PROPOSITO: un sistema de seguridad informática que permita brindar confianza a la data que se comparte entre un cliente y su proveedor
*Porcentaje de ejecución presupuestal. *Porcentaje de gastos de administración. *Porcentaje de costos de materias primas. *Facturación mensual
*Registros contables *Estadística
1- Se dejó de desperdiciar parte de la producción del mango tipo hilacha ya que se cultiva con altos estándares de calidad y se transforma en la planta de pulverización. 2- Se aumentaron los ingresos económicos de los campesinos productores pagando un precio justo por la fruta y aportando al desarrollo rural del municipio.
COMPONENTES: * Diseñar de una plataforma segura que sirva de enlace entre la empresa y el cliente * Cubrir la totalidad de la empresa *Se capacito a usuarios de la red
*- Cantidad de trafico pasado utilizado por red ¨*- Unidades conformes sobre las totales. *- Participación en el mercado. *- Satisfacción del cliente. *- Porcentaje de personas capacitadas respecto de las programadas. .
*- Estadística *- Estadística *- Estadística *- Encuestas *- Evaluaciones
1- La plataforma está realizada con los más altos estándares de calidad . 2- Se da a conocer el producto a los consumidores, sus beneficios y forma de trabajo. 3- La empresa se apropia del proyecto, y ve los beneficios que esta puede generar. 4. Se obtienen más clientes al Mostrar una cara más confiable y segura.
ACTIVIDADES:• Realizar un estudio de las diferentes tecnologías del mercado, para la implementación de sistemas de seguridad perimetral. • Diseñar un esquema de red segura que soporte una mayor tolerancia a fallos, garantizando seguridad e integridad de todos los activos tecnológicos de la compañía, mitigando los riesgos de interconexión a redes externas. • Diseñar un sistema de monitoreo de tráfico que permita la visibilidad de la red y por medio de la retención de logs la generación de informes personalizados. • Cumplir con los estándares de seguridad informática establecidas por las normas, por medio de capas de seguridad (Firewall, VPN, IPS, Filtrado Web) • Diseñar una red de conexión inalámbrica de manera segura, que permita el control y monitoreo de los usuarios.
1.1- Costos de inversión en Tecnología. 1.2- Costos de implementación de la plataforma. 2.1- Costos para ejecución de estudios de mercado. 3.1- Costo de alianzas con entidades de enseñanza.
1.1- Registros contables 1.2- Registros contables 2.1- Registros contables 3.1- Registros contables
*Aparición de nuevas tecnologías que generen mayor inquietud en el mercado objetivo *Diseños que demuestran toda la red segura y sin filtraciones *Sistemas de monitoreo confiables *Trabajar con altos estándares de calidad *Realizar un estudio confiable de todos los aspectos de la empresa, satisfaciendo las necesidades del cliente.
Tabla 3 (Matriz de marco Lógico)
2)Metodología del marco lógico para la planificación, el seguimiento y la evaluación de proyectos y programas.
MANUALESCEPAL,www.cepal.org/cgi-bin/getProd.asp?xml=/agrupadores_xml/ages24.xml.
7. ESTUDIO DE MERCADO
7.1 OBJETIVOS ESTUDIO DE MERCADO
7.1.1 Objetivo General estudio de mercado
Realizar un estudio de mercado para la implementación de un sistema de seguridad
perimetral e interna para la empresa Américas BPS.
7.1.2 OBJETIVOS ESPECIFICOS ESTUDIO DE MERCADO:
• Mejorar la competitividad de sectores empresariales e impulsar a la implementación de estrategias se seguridad de la información.
• Apoyar el proceso de certificación a organizaciones que quieran mejorar su competencia en el mercado, por medio de soluciones tecnológicas diseñadas a la medida de las necesidades de la organización.
• Optimizar la capacidad de respuesta ante problemas recurrentes en organizaciones que tengan un bajo nivel de gestión de Incidentes.
• Incentivar el uso óptimo de herramientas tecnológicas
7.2 Comportamiento del mercado meta
Con el propósito de conocer la situación actual en la que se encuentra el mercado de los sistemas de seguridad perimetral a nivel nacional. En Colombia los ataques informáticos a diferentes empresas y organizaciones no han pasado desapercibido es así como un informe elaborado por la organización de seguridad informática estadounidense FireEye, identifica que el 98% de las empresas nacionales son objeto de ataques informáticos permanentemente. El informe recoge datos de 1.500 clientes en más de 40 países y concluye que los sectores más atacados son gobierno, servicios y consultoría, alta tecnología y finanzas cuyos datos tanto internos como los relacionados con clientes son puestos en riesgo a través de dos vectores principales: ataques vía web o e-mail.
Colombia es considerada una de las naciones más atractivas para los delincuentes informáticos en América Latina, muestra de ello es que el 25% de los ciberataques registrados en el 2015 se originaron en esta parte del mundo. Así lo explica un reciente informe de Certicámara sobre los principales retos que tendrá que asumir el país en materia de seguridad informática este año, ya que “solo el 10% de los
ciudadanos tiene plena confianza en usar los medios electrónicos para sus transacciones diarias”. (Certicamara 2015). Cisco por su parte reveló que las empresas colombianas han mejorado en el último año en sus estrategias de seguridad informática, gracias a la implementación de buenas prácticas para controlar y gestionar el antes, durante y la fase posterior de ataques realizados por cibercriminales, especialmente en sectores donde hay procesos avanzados como retail, banca, defensa y finanzas. Sin embargo la compañía de soluciones tecnológicas, que recientemente presentó su estudio de Seguridad 2016, agrega que todavía quedan muchos retos para este año, como actualizar las políticas al interior de las organizaciones y renovar infraestructuras obsoletas que se convierten en puntos débiles que cada vez más están aprovechando los delincuentes. (Cisco 2015). Ante el inminente incremento de ataques, robo de información y fraudes informáticos, que impacta a cualquier negocio u organización y que deja costos superiores a los 1.300 millones de dólares por año en el mundo (en Colombia llega al billón de pesos), los directivos han empezado a hacer parte activa de los problemas y soluciones de seguridad al interior de las organizaciones, señala Luis Garzón, Security Account Manager de Cisco. Según este experto, el compromiso y apoyo de los C-levels para hacer parte de las estrategias se ha dado en gran parte a la ‘evangelización’ y educación que han liderado las empresas del sector de las 15 Tecnologías de la Información (TI) para que la seguridad sea prioridad y un verdadero motor de crecimiento para las organizaciones del país. Una investigación llamada adopción y uso de las Tecnologías de la Información y la comunicaciones TIC en las Pymes colombianas realizado por cisco en alianza con la Asociación Nacional de Micro, Pequeñas y Medianas Empresas (Acopi) revelo que el desconocimiento en tecnología y la falta de financiación son los principales obstáculos a la hora de ejecutar proyectos que permitan tener una infraestructura acorde a los avances informáticos. (4) ( http://www.acopi.org.co/)
7.3Mercado Objetivo.
El mercado objetivo de la empresa va enfocado a las pymes de la ciudad de Bogotá de, call
centers, ventas por paginas Web, etc., en general a todas las empresas que por sus actividades
deben manejar la información y que en últimas implica conocer información confidencial de
los clientes.
7.4 Análisis del sector.
El tema de la seguridad informática desde hace pocos años, ha venido tomando fuerza en Colombia, al realizar una investigación del sector, se encuentran menos de 100 empresas que prestan el servicio, a continuación, presentamos una lista de algunas empresas dedicadas a la seguridad informática:
Empresas Servicios que ofrecen
360 Security Group S.A MONITOREO DE FIREWALL, MONITOREO WEB
Addintech DESAROLLOS Y DISEÑO DE SOLUCIONES
Adistec Colombia SOLUCIONES DE TI
Aerolen SERVICIOS PROFESIONALES COMO MANTENIMIENTO REPARACIONES E INSTALACION DE SOLUCIONES.
Binary TI CAPACITACIONES EN SOLUCIONES TI Y CRIPTOGRAFIA
CISCO (Security consulting) VENTA DE HARDWARE Y ADMINISTRACION DE REDES.
Ernest & Young (Riesgos en Tecnología y Seguridad) ASESORIA EN TODO TIPO DE SOLUCIONES TECNOLOGICAS
IBM DESARROLLO Y ASESORIAS EN TI
INGENIERIA TELEMATICA LTDA REDES DE COMUNICACIONES
Intergrupo S.A CREACIÓN DE SOLUCIONES CON TECNOLOGIA DE PUNTA.
Newnet S.A. CONSULTORIA, GERENCIA DE PROYECTOS.
SecTorch S.A.S. AUDITORIAS EN SEGURIDAD INFORMATICA.
Unisys SEGURIDAD FISICA, BIOMETRIA, IDENTIFICACIÓN DE PERSONAS, Asesorías en fraudes
Tabla 4(Empresas Competencia)
Son bastantes las empresas que en sus productos varios conceptos de seguridad informática, desde hardware, hasta el derrollo de software, para la necesidad de cada cliente.
7.5 Análisis de la competencia
La competencia directa actual está representada en menos de 100 empresas que ofrecen el servicio de Seguridad Informática, en el análisis del sector se relacionaron
algunas de estas, sin embargo por tratarse de un tema nuevo e innovador, debemos conocer lo que es el sector y las características de las empresas vinculadas a la cadena de Software, tecnología, finanzas en Bogotá dado que algunas de estas empresas muy seguramente, van a entrar a ofrecer el servicio de seguridad, como parte de su portafolio.
7.6 Análisis y estudio de mercado.
El mercado está direccionado a Asesorar y desarrollar servicios y soluciones en software y hardware, que garanticen un adecuado sistema de seguridad informática, a la medida de las necesidades y planes estratégicos del cliente.
Para determinar si el servicio ofrecido tiene acogida dentro del mercado objetivo, se tuvo en cuenta los frecuentes fraudes y robos de información que día a día van creciendo en un país como COLOMBIA, en el cual el sector de la seguridad informática las PYMES no lo ven como una prioridad y un valor agregado a sus servicios.
Esquema 5 (Resultados de encuestas seguridad empresarial) http://www.eset-
la.com/co
De acuerdo con los resultados de la encuesta de Eset, las empresas en Latinoamérica destinan recursos para la implementación de soluciones de software antivirus en primer lugar con el 77%, seguido de firewalls con 71% y respaldos de información con 63%. También se realiza un estudio cumple con varios propósitos. En primer lugar, muestra el panorama de las organizaciones colombianas frente a la seguridad de la
información y/o ciberseguridad, y su respuesta a las demandas del entorno actual. En segunda instancia, es un instrumento referente para Colombia y Latinoamérica, en la medida en que llama la atención de todos los sectores interesados en los temas relacionados con la seguridad. Sectores interesados en implementar sistemas de seguridad en Colombia, datos para los años 2014-2016
Esquema 6 (Sectores interesados) Se puede observar que en el año 2016 la participación del sector financiero fue la más nutrida y frente a años anteriores inclusive creció. Dos sectores que disminuyeron su participación fueron el sector del gobierno, que sólo obtuvo un 13% este año, y disminuyó en forma considerable, en un 7%, frente al año inmediatamente anterior, así como el sector de hidrocarburos, el cual disminuyó su participación en un 5%, frente a años anteriores.
Esquema 7 (Tamaños de las empresas)
Para este año, la distribución de las empresas es diversa. La mayor participación la tienen las empresas de 1001 a 5000 empleados (33%); le siguen las empresas de 201 a 500 empleados (16%); luego las compañías mayores a 5000 empleados (15%). También se realiza investigación acerca de las personas que manejan los sistemas de seguridad de las empresas.
Esquema 8 (Responsable de la seguridad en las empresas)
En esta gráfica, se muestra de quién depende la responsabilidad de la seguridad en las empresas. Se observa que cada vez más la seguridad de la información, deja de depender de las áreas de tecnología y pasa a otras áreas de la organización; así mismo, mientras decrece la dependencia de la seguridad de un director de seguridad de la información (6%), crece en 1% para las otras áreas, como director de seguridad informática, gerente de riesgos, gerente de planeación, gerente de cumplimiento. Indica también una tendencia a tercer izar la seguridad, como una alternativa en las organizaciones. (5)(http://acis.org.co/revista139/content/tendencias-2016-encuesta-nacional-de-seguridad-inform%C3%A1tica)
7.7 Estudio de precios
Las empresas que ofrecen servicios de seguridad informática, que se pueden catalogar como servicios afines, tienen un esquema de precios que va desde el valor de inversión- equipos, implementación y soporte, en todo caso la fijación de las tarifas a cotizar depende de la cantidad de servicios que se soliciten y la tecnología que se quiere implementar, En el estudio de mercado realizado se identificaron 5 empresas que presentaron un proyecto de IMPLEMENTACIÓN DE UN MODELO DE SEGURIDAD INFORMATICA en la empresa Américas BPS con soporte para 1 año y 3 años:
Tabla 5(Estudio de precios)
SOPORTE 1 AÑO
ITEM DESCRIPCIÓN CANTIDAD
CARVAJAL SINAPSYS OPENLINK IOGESTIÓN ETB
VALOR UNITARI
O
VALOR TOTAL
VALOR UNITARIO
VALOR TOTAL
VALOR UNITARI
O
VALOR TOTAL
VALOR UNITARI
O
VALOR TOTAL
VALOR UNITARIO
VALOR TOTAL
1. INVERSIÓN- EQUIPOS
CAJAS EQUIPOS FIREWALL
1 $ 792,657,180
$ 792,657,180
$ 803,083,421
$ 803,083,42
1.49
$ 827,793,
681
$ 827,793,6
81
$ 764,330,
000
$ 764,330,
000
$ 611,776,600.00
$ 611,776,
600
2. IMPLEMENTACIÓN
SERVICIOS* 1 $ 82,706,250
$ 82,706,250
$ 143,283,582
$ 143,283,582.09
$ 147,692,
308
$ 147,692,3
08
$ 137,000,
000
$ 137,000,
000
$ 166,872,000.00
$ 166,872,
000
3. SOPORTE PARA EL PRIMER AÑO
SERVICIOS* 1 $ 3,437,500
$ 41,250,000
$ 59,701,493
$ 59,701,492.54
$ 61,538,4
62
$ 61,538,46
2
$ 57,000,0
00
$ 57,000,0
00 Incluido Incluido
TOTAL $
916,613,430 TOTAL
$ 1,006,068,4
96 TOTAL
$ 1,037,024
,450 TOTAL
$ 958,330,
000 TOTAL
$ 778,648,
600
SOPORTE 3 AÑOS
ITEM DESCRIPCIÓN CANTIDAD
CARVAJAL SINAPSYS OPENLINK IOGESTIÓN ETB
VALOR UNITARIO
VALOR TOTAL
VALOR UNITARI
O
VALOR TOTAL
VALOR UNITARI
O
VALOR TOTAL
VALOR UNITARI
O
VALOR TOTAL
VALOR UNITARI
O
VALOR TOTAL
1. INVERSIÓN- EQUIPOS
CAJAS EQUIPOS FIREWALL
1 $
1,108,492,805
$ 1,108,492,8
05
$ 1,197,22
5,366
$ 1,197,22
5,366
$ 827,793,
681
$ 827,793,
681
$ 1,140,547
,000
$ 1,140,54
7,000
$ 957,893,
600
$ 957,893,
600
2. IMPLEMENTACIÓN
SERVICIOS* 1 $ 82,706,250
$ 82,706,250
$ 143,283,
582
$ 143,283,
582
$ 147,692,
308
$ 147,692,
308
$ 137,000,0
00
$ 137,000,
000
$ 166,872,
000
$ 166,872,
000
3. SOPORTE PARA TRES AÑOS
SERVICIOS* 1 $ 3,593,750
$ 129,375,000
$ 181,492,
537
$ 181,492,
537
$ 193,230,
769
$ 193,230,
769
$ 173,400,0
00
$ 173,400,
000
$ 268,948,
800
$ 268,948,
800
TOTAL $
1,320,574,055
TOTAL $
1,522,001,485
TOTAL $
1,168,716,758
TOTAL $
1,450,947,000
TOTAL $
1,393,714,400
TRM 07/09/2016
$ 2,887.
64
7.8 Clientes potenciales
La siguiente lista de empresas del sector TIC, correspondientes a Bogotá, representan los posibles clientes a los que se puede ofertar el efectivo desarrollo del proyecto a implementar en Américas BPS:
• Everis: Presente en Bogotá desde 2006, provee servicios de aplicaciones empresariales para el gobierno y los sectores de telecomunicaciones y financiero.
• Banco de Bogotá: Primer banco creado en el país, cubre la totalidad del territorio nacional, dispone de un portafolio de productos y servicios electrónicos y un portal web, con los cuales ofrece sus servicios 24 horas del día.
• Bancolombia: Es una entidad fundada en Medellín, con un consolidad de más de 7.000.000 de clientes, representando el 20% del mercado bancario colombiano, siendo uno de los bancos más grandes de Colombia.
• Softtek (México☺ Presente en Bogotá desde 2002, tiene más de 180 ingenieros que implementan SAP en Colombia y en el exterior.
• Banco av villas: Entidad colombiana fundada en 1972, se encuentra en un periodo de consolidación, y apunta al objetivo estratégico de lograr su crecimiento.
• Unisys (EE.UU.): Presente en Bogotá por más de 20 años. Tiene más de 250 empleados operando uno de los 8 centros globales de servicios de manejo remoto de infraestructura; adicionalmente emplea a más de 50 personas en el área de desarrollo de software a la medida.
• Coomeva: EPS Entidad colombiana iniciada en 1995, inicialmente con funcionamiento en Cali y más adelante al servicio de todos los colombianos.
• Colsanitas: Entidad colombiana, con 5 clínicas propias, 41 Clinisanitas, y más de 1200 entidades adscritas, 57 ciudades. Incorporando tecnología de punta a las instituciones clínicas y hospitalarias.
7.9 Plan de mercadeo
El plan de mercado a desarrollar en Bogotá y en la empresa Américas BPS, va dirigido a empresas pymes, inicialmente del sector de tecnología, pero también para todos los demás sectores que necesitan seguridad en sus redes (Financiero, salud, construcción), se realizaran varias propuestas con todos los precios existentes en el mercado, y con las diferentes tecnologías posibles a usar y ya conociendo los valores presentados por empresas que pertenecen al mismo sector saber los precios más competitivos .
7.9.1 Pronostico del Mercado
• Diversos estudios apuntan que los usuarios tienen entre tres y cinco
dispositivos móviles por lo que, ante el gran aumento de usuarios de dispositivos y aplicaciones móviles, los ciberdelincuentes han puesto sus miras en este target para dirigir sus ataques. No cabe duda de que la movilidad seguirá aportando cada vez más ventajas a los usuarios, pero también implicará nuevos retos de seguridad a los que habrá que hacer frente, no solo teniendo en cuenta aspectos técnicos, sino también del comportamiento de usuario. Además, el incremento de los dispositivos conectados a las redes y la proliferación de los sistemas de pago a través del móvil (contactless) hacen más compleja la gestión de su seguridad, otro reto al que habrá que hacer frente.
• Incremento de las vulnerabilidades de código abierto. La apuesta por el software de código abierto sigue gozando de una notable aceptación en numerosas corporaciones de todo el mundo por las ventajas que les aporta, especialmente, en lo que a la no dependencia de un proveedor se refiere. Esta continua adopción del código abierto, unido al refuerzo de la seguridad que los proveedores comerciales hacen de sus soluciones, ha llevado a los ciberdelincuentes a lanzarse en busca de vulnerabilidades en las soluciones open source. Asimismo, debido a la propia naturaleza de los sistemas de código abierto, en los que muchas personas identifican errores públicamente, conlleva que, aquellos usuarios maliciosos que están al acecho de cualquier vulnerabilidad, puedan explotarlas antes de dar tiempo a que se parcheen. Ante este panorama, las organizaciones deberán reforzar sus políticas de uso, implementación y actualización del software de código abierto del que dispongan para evitar ataques.
• Más legislación para salvaguardar la privacidad. Aunque los gobiernos se han puesto manos a la obra para mejorar la ciberseguridad y gestionar la privacidad de los datos, lo cierto es que aún queda un largo camino por recorrer. Las necesidades de sectores verticales específicos como el energético y el sanitario, llevarán a implementar nuevas medidas. No obstante, las evoluciones tecnológicas, como el creciente uso de tecnologías de procesamiento y almacenamiento en la nube, también requerirán una evolución en las medidas de privacidad y que se imponga una mayor claridad de los límites jurisdiccionales, tanto para reguladores, como proveedores como para el usuario final.
Estas tendencias dibujan un mapa de las amenazas de seguridad de cara a los próximos años. Se trata de retos que necesitan afrontarse con firmeza y que requieren de importantes esfuerzos para el desarrollo de tecnologías que permitan detener los peligros que acechan la seguridad TIC, así como de una concienciación,
a todos los niveles, de las amenazas que vienen y para las que hay que estar preparados, de esta forma la seguridad informática tendrá un auge y con una necesidad para los años venideros. ( https://businessvalueexchange.com/es/2015/05/29/como-sera-la-seguridad-en-el-futuro-cinco-tendencias-clave/)
7.9.1 ESTUDIO ESTADISTICO Y PROBABILISTICO:
Con la información obtenida en el Análisis y estudio de mercado Se ha planteado realizar 2 tipos de encuesta, Estas entrevistas van dirigidas a los responsables de la seguridad informática, como también para los trabajadores que la utilizan, de esta manera saber el comportamiento de su red y en la necesidad que se tiene en la organización.
Investigación de mercados
Cuestionarios y entrevistas
Verificar para el detalle de los cuestionarios y entrevistas ANEXO 1 ENCUESTAS Y ENTREVISTAS
DETERMINACIÓN DEL NUMERO DE ENCUESTAS
1. Personas a encuestar: La fórmula para calcular el tamaño de muestra cuando desconoce el tamaño de
la población es la siguiente
Donde, N= Tamaño de la población (según el estudio de demanda de dueños de mascota) Z= nivel de confianza
P= probabilidad de éxito, o proporción esperada (como no se sabe dicha proporción se utiliza valor de 0,5 que maximiza el tamaño muestral) Q= probabilidad de fracaso
D= precisión (error máximo admisible en términos de proporción)
Por lo tanto: N= 500.000 Z 95% = 1,96 P= 0,5 Q = 0,5 D = 0,03
1.00.0 x 1.962𝑥0,5𝑥0,5
0,32𝑥(500.000−1)+1,962𝑥0.5𝑥0.5= 1066
Por lo tanto la cantidad de encuestas que tenemos que realizar a los empleados de la compañía debe ser de 1066.
8. ESTUDIO TECNICO – OPERATIVO.
Teniendo en cuenta el comportamiento de mercado del sector tecnológico se genera
un estudio técnico en el cual se evalúa la viabilidad técnica del proyecto, se genera
la selección de la solución tecnología recomendada para el diseño del proyecto, y
se plantean los requerimientos técnicos mínimos del diseño de un sistema de
seguridad perimetral e interna para la empresa Americas BPS.
Se plantean tres opciones de solución del proyecto.
8.1 FIREWALL VIRTUAL:
El avance de la tecnología lleva a los sistemas de información a la nube, de
tal manera la seguridad informática también se encuentra adaptada a la
virtualización, el diseño de un sistema de seguridad virtual o Firewall Virtual,
ofrece un alto grado de capacidad, continuidad y disponibilidad, ya que al
encontrarse en un datacenter dedicado se cuenta con todos los respaldos de
infraestructura que una empresa pequeña no cuenta, adicional la
escalabilidad de un Firewall Virtual permite el crecimiento de recursos de
hardware y no se encuentra limitado como en un appliance físico, adicional
presenta la ventaja de una administración unificada, la desventaja de una
solución virtualizada en la nube corresponde a los costos adicionales de
alquiler de la solución y conectividad desde las sedes de la compañía hasta
el datacenter en el cual se encuentre el sistema de virtualización, esta
conectividad se debe generar por canales dedicados redundantes los cuales
generan un costo adicional al proyecto, se deben evaluar los indicadores de
la compañía para determinar la necesidad de estos sobrecostos frente a los
demás modelos de diseño.
Rendimiento Equipos Sedes Principales (Dorado y Carvajal):
Cada Equipo deberá cumplir con las siguientes características MINIMAS de desempeño: • Rendimiento de Firewall: 72 Gbps • Rendimiento de IPS (HTTP/Enterprise Mix): 11/6.8 Gbps • Rendimiento VPN IPSec: 40 Gbps • Rendimiento VPN SSL: 3.6 Gbps • Rendimiento NGFW: 2.4 Gbps • Rendimiento inspección SSL: 6 Gbps • Soporte de 1.000.000 sesiones concurrentes • Soporte de 10.000 políticas de Firewall • Soporte a 1.000 usuarios VPN SSL • Soporte a 2.000 VPNs Sitio a Sitio • Soporte a 5.000 VPNs Cliente – Sitio
Rendimiento Equipos Sedes Secundarias (Fontibón y Cali):
Cada Equipo deberá cumplir con las siguientes características MINIMAS de desempeño: • Rendimiento de Firewall: 36 Gbps • Rendimiento de IPS (HTTP/Enterprise Mix): 7/4 Gbps • Rendimiento VPN IPSec: 20 Gbps • Rendimiento VPN SSL: 2.2 Gbps • Rendimiento NGFW: 2.4 Gbps • Rendimiento inspección SSL: 3.5 Gbps • Soporte de 500.000 sesiones concurrentes • Soporte de 1.000 políticas de Firewall • Soporte a 500 usuarios VPN SSL • Soporte a 200 VPNs Sitio a Sitio • Soporte a 1.000 VPNs Cliente a Sitio
Tabla 6. Firewall Virtual
Los equipos deben estar en configuración de alta disponibilidad, podrán ser físicos
o virtuales; Dentro de los requerimientos técnicos de conectividad se deben incluir
los canales dedicados, los cuales permitirán la conexión desde las sedes de
Americas BPS hasta el Datacenter en la Nube, para este diseño se tiene en cuenta
el ancho de Banda necesario para cubrir las necesidades de la compañía, teniendo
en cuenta que todo el tráfico de la compañía debe cursar por la solución de
seguridad, la suma de todos los enlaces de conectividad de la compañía es de 2.000
mb por lo cual se genera cotización con los diferentes ISP del mercado Colombiano,
obteniendo la siguiente información.
ETB UNE Columbus Claro
2.000 mb Principal
$ 23.000.000 Mensuales
$ 28.000.000 Mensuales
$ 25.000.000 Mensuales
$ 25.000.000 Mensuales
2.000 mb Backup - Pasivo
$ 7.000.000 Mensuales
$ 10.000.000 Mensuales
$ 8.000.000 Mensuales
$ 10.000.000 Mensuales
Total Mensual $ 30.000.000 $ 38.000.000 $ 33.000.000 $ 35.000.000
Tabla 7. Cuadro de costos Canal dedicado.
Con la implementación de conectividad de una canal de datos dedicado con su
Backup de un ancho de banda de 2.000mb, tenemos un valor mensual de $
30.000.000, con una disponibilidad del 99.7%.
Esto genera un incremento a los costos del proyecto, y aunque técnicamente resulta
viable esta solución, se debe asumir el valor de $ 360.000.000 anuales al proyecto
por concepto de conectividad.
8.2 FIREWALL CAPA 3 Y APPLIANCE DE SEGURIDAD ESPECÍFICOS.
El concepto más básico en el diseño de una red segura es por medio de un Firewall, es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas.
Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios.
Sin embargo con el avance de la tecnología un Firewall no es suficiente para proteger una red, ya que se presentan diversos tipos de ataques en las capas 4- 7 del modelo OSI, y teniendo en cuenta que un firewall de red trabaja en la capa 3 del modelo OSI significa que no es suficiente para una red segura, los firewall permiten integrarse con diferentes appliance externos que complementan la seguridad en las capas 4-7, ejemplo appliances dedicados que cumplen funciones de antispam, antivirus, WAF, y balanceadores, estos equipos por ser dedicados presentan un desempeño optimo con características avanzadas, sin embargo la adquision de un diseño de seguridad con appliance dedicados por función genera un incremento en los costos del proyecto, incluyendo los appliance y la capacitación para el uso de cada uno de los equipos.
Se generan los siguientes requerimiento para la diseño de la solución por medio de
Appliance dedicados por servicio.
Conectividad y
enrutamiento para todos los equipos
• Funcionalidad de DHCP: como Cliente DHCP, Servidor DHCP y reenvío (Relay) de solicitudes DHCP.
• Soporte a etiquetas de VLAN (802.1q) y creación de zonas de seguridad en base a VLANs.
• Soporte a ruteo estático, incluyendo pesos y/o distancias y/o prioridades de rutas estáticas.
• Soporte a políticas de ruteo (policy routing) • Soporte a ruteo dinámico RIP V1, V2, OSPF y BGP
• Soporte a ruteo dinámico RIPng, OSPFv3 • Soporte de ECMP (Equal Cost Multi-Path)
• Soporte a ruteo de multicast PIM SM y PIM DM. • La solución permitirá la integración con analizadores de tráfico mediante el
protocolo sFlow o Netflow.
Appliance Antimalwa
re
• Debe ser capaz de analizar, establecer control de acceso y detener ataques y hacer antivirus en tiempo real en al menos los siguientes protocolos aplicativos:
HTTP, SMTP, IMAP, POP3, FTP. • El Antivirus deberá poder configurarse de forma que los archivos que pasan sean totalmente capturados y analizados, permitiendo hacer análisis sobre archivos que
tengan varios niveles de compresión. • Antivirus en tiempo real, independiente a la plataforma de seguridad “appliance”. • El Antivirus integrado debe soportar la capacidad de inspeccionar y detectar virus
en tráfico IPv6. • La configuración de Antivirus en tiempo real sobre los protocolos HTTP, SMTP, IMAP, POP3 y FTP deberá estar completamente integrada a la administración del dispositivo appliance, que permita la aplicación de esta protección por política de
control de acceso. • El antivirus deberá poder hacer inspección y cuarentena de archivos transferidos
por mensajería instantánea (Instant Messaging). • La solución debe soportar la integración con soluciones de Sandbox de stándar
especifico. • La solución debe incluir mecanismos para detectar y detener conexiones a redes
Botnet y servidores C&C.
Appliance Aplication Control.
• La solución debe soportar la capacidad de identificar la aplicación que origina cierto tráfico a partir de la inspección del mismo.
• La identificación de la aplicación debe ser independiente del puerto y protocolo hacia el cual esté direccionado dicho tráfico.
• La solución debe tener un listado de al menos 3000 aplicaciones ya definidas por el fabricante.
• El listado de aplicaciones debe actualizarse periódicamente. • Para aplicaciones identificadas deben poder definirse al menos las siguientes opciones: permitir, bloquear, registrar en log, resetear conexión y hacer traffic
shapping. • Para aplicaciones no identificadas (desconocidas) deben poder definirse al menos
las siguientes opciones: permitir, bloquear, registrar en log. • Para aplicaciones de tipo P2P debe poder definirse adicionalmente políticas de
traffic shaping. • Debe ser posible inspeccionar aplicaciones tipo Cloud como dropbox, icloud entre otras entregando información como login de usuarios y transferencia de archivos.
Appliance IPS
• El Detector y preventor de intrusos deben poder implementarse tanto en línea como fuera de línea. En línea, el tráfico a ser inspeccionado pasará a través del
equipo. Fuera de línea, el equipo recibirá el tráfico a inspeccionar desde un switch con un puerto configurado en span o mirror.
• Deberá ser posible definir políticas de detección y prevención de intrusiones para tráfico Ipv6. A través de sensores.
• Capacidad de detección de más de 4000 ataques. • Capacidad de actualización automática de firmas IPS mediante tecnología de tipo
“Push” (permitir recibir las actualizaciones cuando los centros de actualización envíen notificaciones sin programación previa), adicional a tecnologías tipo “pull”
(Consultar los centros de actualización por versiones nuevas)
Tabla 8. FW Capa 3 y appliances dedicados
El diseño de la solución por appliance dedicados por servicios, permite una
configuración avanzada de seguridad, sin embargo esta solución requiere más
espacio físico en datacenter y por consiguiente genera mayor consumo eléctrico,
esto teniendo en cuenta que se requiere un equipo activo y un Backup por cada
servicio, adicional la configuración e integración de estos equipos requiere un nivel
de conocimiento técnico más avanzado, otro factor a tener en cuenta corresponde
a que todos los fabricantes no cuentan con los appliances dedicados, por lo cual la
solución sería multimarca, al generarse este tipo de diseño es necesario incluir
factores como desarrollos o equipos para la integración de los mismos.
8.3 NGFW – UTM.
Un Firewall NextGen o de siguiente generación es un sistema de seguridad para redes dentro de un dispositivo de Hardware o en una versión basada en software que es capaz de detectar y prevenir ataques sofisticados a través de forzar políticas de seguridad a nivel de aplicación, así como a nivel de puertos o protocolos de comunicación.
Los Firewalls NextGen integran tres activos UTM principales:
Capacidades empresariales.
Un sistema de prevención de intrusión (IPS)
Control de aplicaciones.
Los Firewalls NextGen combinan las capacidades de los firewalls tradicionales, incluyendo, filtrado de paquetes, traducción de direcciones de red (NAT) Bloqueo
de URL y redes privadas virtuales (VPN) con funcionalidades de calidad de servicio (QoS) y otras capacidades no encontradas en Firewalls de primera generación, entre estas se incluyen:
Prevención de Intrusión
· Inspección SSL y SSH
· Inspección profunda de paquetes de comunicación
· Detección y prevención de malware basada en reputación
· Reconocimiento de apps
Los Firewalls NextGen buscan reducir de manera importante el creciente número de ataques que se llevan a cabo en las capas 4-7 del modelo OSI para redes. (Capa de Transporte, Capa de Sesión, Capa de Presentación y Capa de Aplicación).
Esta opción permite desde un appliance unificado generar la gestión de todos los servicios de seguridad y enrutamientos, presenta ventajas como la escalabilidad e integración con equipo dedicado de otros propósitos como lo son analizador de reportes, equipos de autenticación externa, o equipos de administración de los appliance, adicional permite la configuración de una red inhalambrica segura.
Como desventaja de esta opción se encuentra los recursos limitados en servicios de seguridad como lo son antivirus, antispam, WAF, balanceador, ya que al ser un equipo UTM integra estas configuraciones de una manera básica.
Se genera los siguientes requerimientos mínimos para el proyecto:
Solución en alta disponibilidad, con dos equipos de la misma referencia funcionando
en modo cluster con los rendimientos definidos en el presente documento.
• Los dispositivos deben ser un equipo de propósito específico.
• Basados en tecnología ASIC y que sea capaz de brindar una solución de 37estándar37a completa de contenido. Por seguridad y facilidad de administración, no se aceptan equipos de propósito genérico (PCs o servers) sobre los cuales pueda instalarse y/o ejecutar un sistema operativo regular como Microsoft Windows, FreeBSD, SUN 37stánda, Apple OS-X o GNU/Linux.
• Los equipos deberán poder ser configurados en modo 37stánda o en modo transparente en la red.
• Es de vital importancia que los equipos cuenten con las características de Firewall de Nueva Generación incluyendo Firewall, VPN, IPS, Control de Aplicaciones y Antimalware, también debe incluir funcionalidades de Web Content Filter.
• La solución debe ser con un solo tipo de marca, no será permitida la interacción o combinación de varios fabricantes como parte de una solución integral.
Característica Requerimiento
Cantidad de equipos
• Sede Principal (Dorado): Dos (2) equipos configurados en Alta Disponibilidad. • Sede Principal (Carvajal): Dos (2) equipos configurados en Alta Disponibilidad. • Sede Secundaria (Fontibón): Dos (2) equipos configurados en Alta Disponibilidad. • Sede Secundaria (Cali): Dos (2) equipos configurados en Alta Disponibilidad.
Rendimiento Equipos Sedes
Principales (Dorado y Carvajal):
Cada Equipo deberá cumplir con las siguientes características MINIMAS de desempeño: • Rendimiento de Firewall: 72 Gbps • Rendimiento de IPS (HTTP/Enterprise Mix): 11/6.8 Gbps • Rendimiento VPN IPSec: 40 Gbps • Rendimiento VPN SSL: 3.6 Gbps • Rendimiento NGFW: 2.4 Gbps • Rendimiento inspección SSL: 6 Gbps • Soporte de 1.000.000 sesiones concurrentes • Soporte de 10.000 políticas de Firewall • Soporte a 1.000 usuarios VPN SSL • Soporte a 2.000 VPNs Sitio a Sitio • Soporte a 5.000 VPNs Cliente – Sitio
Rendimiento Equipos Sedes
Secundarias (Fontibón y
Cali):
Cada Equipo deberá cumplir con las siguientes características MINIMAS de desempeño: • Rendimiento de Firewall: 36 Gbps • Rendimiento de IPS (HTTP/Enterprise Mix): 7/4 Gbps • Rendimiento VPN IPSec: 20 Gbps • Rendimiento VPN SSL: 2.2 Gbps • Rendimiento NGFW: 2.4 Gbps • Rendimiento inspección SSL: 3.5 Gbps • Soporte de 5.000.000 sesiones concurrentes • Soporte de 10.000 políticas de Firewall • Soporte a 5.000 usuarios VPN SSL • Soporte a 2.000 VPNs Sitio a Sitio • Soporte a 10.000 VPNs Cliente a Sitio
Conectividad Equipos Sedes
Principales (Dorado y Carvajal):
Cada equipo deberá contar con las siguientes interfaces de conexión: • Posibilidad de soportar hasta cuatro (4) Interfaces 10 GE. • Dieciocho (18) interfaces de 1 GE RJ45. • Posibilidad de soportar hasta diesiseis (16) Interfaces 1GE- SFP.
Conectividad Equipos Sedes
Secundarias (Fontibón y
Cali):
El equipo deberá contar con las siguientes interfaces de conexión: • Dos (2) interfaces 10 GE SFP • Diez (10) interfaces 1 GE RJ45 • Ocho (8) interfaces 1 GE SFP
Address Translation
para todos los equipos
• NAT y PAT • NAT estático • NAT: destino, origen • NAT, NAT64 persistente
Funciones básica de
Firewall para todos los equipos
• Las reglas de firewall deben analizar las conexiones que atraviesen en el equipo, entre interfaces, grupos de interfaces (o Zonas) y VLANs. • La solución soportará políticas basadas en identidad. Esto significa que podrán definirse políticas de seguridad de acuerdo al grupo de pertenencia de los usuarios. • La solución soportará políticas basadas en dispositivo. Esto significa que podrán definirse políticas de seguridad de acuerdo al dispositivo ( stán, laptop) que tenga el usuario. Esta característica no requerirá ningún tipo de licenciamiento adicional. • Debe ser posible hacer políticas basados en usuarios, grupos de usuarios y dispositivos sobre una misma política, de esta forma se es lo más granular posible en la definición de políticas. • Debe soportar la capacidad de definir nuevos servicios TCP y UDP que no estén contemplados en los predefinidos. • Deberá soportar reglas de firewall en Ipv6 configurables tanto por CLI (Command Line Interface, Interface de línea de comando) como por GUI (Graphical User Interface, Interface Gráfica de Usuario). • La solución tendrá la capacidad de hacer captura de paquetes por política de seguridad implementada para luego ser exportado en formato PCAP. • El dispositivo de seguridad será capaz de crear e integrar políticas contra ataques DoS las cuales se deben poder aplicar por interfaces. • El dispositivo será capaz de ejecutar inspección de trafico SSL en todos los puertos y seleccionar bajo que certificado será válido este tráfico • Tendrá la capacidad de hacer escaneo a profundidad de trafico tipo SSH dentro de todos o cierto rango de puertos configurados para este análisis
Conectividad y
enrutamiento para todos los
equipos
• Funcionalidad de DHCP: como Cliente DHCP, Servidor DHCP y reenvío (Relay) de solicitudes DHCP. • Soporte a etiquetas de VLAN (802.1q) y creación de zonas de seguridad en base a VLANs. • Soporte a ruteo estático, incluyendo pesos y/o distancias y/o prioridades de rutas estáticas. • Soporte a políticas de ruteo (policy routing) • Soporte a ruteo dinámico RIP V1, V2, OSPF y BGP • Soporte a ruteo dinámico RIPng, OSPFv3 • Soporte de ECMP (Equal Cost Multi-Path) • Soporte a ruteo de multicast PIM SM y PIM DM. • La solución permitirá la integración con analizadores de tráfico mediante el protocolo sFlow o Netflow. • La solución podrá habilitar políticas de ruteo en Ipv6 • La solución deberá ser capaz de habilitar ruteo estático para cada interfaz en Ipv6.
VPN IPSEC para todos los
equipos
El equipo deberá soportar las siguientes características: • Soporte a certificados PKI X.509 para construcción de VPNs cliente a sitio (client-to-site) • Soporte para IKEv2 y IKE Configuration Method • Se debe soportar al menos los grupos de Diffie-Hellman 1, 2, 5 y 14. • Se debe soportar los siguientes algoritmos de integridad: MD5, SHA-1 y SHA256. • Posibilidad de crear VPN’s entre gateways y clientes con IPSec. Esto es, VPNs IPSeC site-to-site y VPNs IPSec client-to-site. • La VPN IPSec deberá poder ser configurada en modo interface (interface-mode VPN) • En modo interface, la VPN IPSec deberá poder tener asignada una dirección IP, tener rutas asignadas para ser encaminadas por esta interface y deberá ser capaz de estar presente como interface fuente o destino en políticas de firewall.
VPN SSL para todos los equipos
• Capacidad de realizar SSL VPNs sin necesidad de licenciamiento por usuarios. • Soporte a certificados PKI X.509 para construcción de VPNs SSL. • Soporte de autenticación de dos factores. En este modo, el usuario deberá presentar un certificado digital además de una contraseña para lograr acceso al portal de VPN. • Soporte de autenticación de dos factores con token, la solución debe estar en la capacidad de suplir o integrarse con tokens stánda o basados en software. • Soporte nativo para al menos HTTP, FTP, SMB/CIFS, VNC, SSH, RDP y Telnet. • Deberá poder verificar la presencia de antivirus (propio y/o de terceros y de un firewall personal (propio y/o de terceros) en la máquina que establece la comunicación VPN SSL. • Capacidad integrada para eliminar y/o cifrar el contenido descargado al caché de la máquina cliente (caché cleaning) • La VPN SSL integrada deberá soportar a través de stán plug-in ActiveX y/o Java, la capacidad de meter dentro del túnel SSL tráfico que no sea HTTP/HTTPS • Deberá tener soporte al concepto de registros favoritos (bookmarks) para cuando el usuario se registre dentro de la VPN SSL • Deberá soportar la redirección de página http a los usuarios que se registren
en la VPN SSL, una vez que se hayan autenticado exitosamente • Debe ser posible definir distintos portales SSL que servirán como interfaz gráfica a los usuarios de VPN SSL luego de ser autenticados por la herramienta. Dichos portales deben poder asignarse de acuerdo al grupo de pertenencia de dichos usuarios. • La VPN SSL integrada debe soportar la funcionalidad de Escritorio Virtual, entendiéndose como un entorno de trabajo seguro que previene contra ciertos ataques además de evitar la divulgación de información.
Autenticación para todos los
equipos
El dispositivo deberá manejar los siguientes tipos de autenticación: • Capacidad de integrarse con Servidores de Autenticación RADIUS. • Capacidad incluida, al integrarse con Microsoft Windows Active Directory o Novell eDirectory, de autenticar transparentemente usuarios sin preguntarles username o password. Esto es aprovechar las credenciales del dominio de Windows bajo un concepto “Single-Sign-On” • Soporte de doble Factor de autenticación para reglas de firewall o VPN. • Soporte de Token Físicos o mobile sobre estándar a basado en IOS o Android.
Manejo de tráfico y
calidad de servicio para
todos los equipos
• Capacidad de poder asignar parámetros de traffic shapping sobre reglas de firewall • Capacidad de poder asignar parámetros de traffic shaping diferenciadas para el tráfico en distintos sentidos de una misma sesión • Capacidad de definir parámetros de traffic shaping que apliquen para cada dirección IP en forma independiente, en contraste con la aplicación de las mismas para la regla en general. • Capacidad de poder definir ancho de banda garantizado en KiloBytes por segundo • Capacidad de poder definir límite de ancho de banda (ancho de banda máximo) en KiloBytes por segundo
Antimalware para todos los
equipos
• Debe ser capaz de analizar, establecer control de acceso y detener ataques y hacer antivirus en tiempo real en al menos los siguientes protocolos aplicativos: HTTP, SMTP, IMAP, POP3, FTP. • El Antivirus deberá poder configurarse de forma que los archivos que pasan sean totalmente capturados y analizados, permitiendo hacer análisis sobre archivos que tengan varios niveles de compresión. • Antivirus en tiempo real, integrado a la plataforma de seguridad “appliance”. Sin necesidad de instalar un servidor o appliance externo, licenciamiento de un producto externo o software adicional para realizar la categorización del contenido. • El Antivirus integrado debe soportar la capacidad de inspeccionar y detectar virus en tráfico Ipv6. • La configuración de Antivirus en tiempo real sobre los protocolos HTTP, SMTP, IMAP, POP3 y FTP deberá estar completamente integrada a la administración del dispositivo appliance, que permita la aplicación de esta protección por política de control de acceso. • El antivirus deberá poder hacer inspección y cuarentena de archivos transferidos por mensajería instantánea (Instant Messaging). • El antivirus de la plataforma deberá ser del mismo fabricante de la solución. • La solución debe soportar la integración con soluciones de Sandbox de estándar específico. • La solución debe incluir mecanismos para detectar y detener conexiones a redes Botnet y servidores C&C.
Filtrado WEB para todos los
equipos
• Facilidad para incorporar control de sitios a los cuales naveguen los usuarios, mediante categorías. Por flexibilidad, el filtro de URLs debe tener por lo menos 75 categorías y por lo menos 54 millones de sitios web en la base de datos. • Debe poder categorizar contenido Web requerido mediante Ipv6. • La solución debe permitir realizar el filtrado de contenido, tanto realizando reconstrucción de toda la sesión como realizando inspección paquete a paquete sin realizar reconstrucción de la comunicación. • La solución de Filtraje de Contenido debe soportar el forzamiento de “Safe Search” o “Búsqueda Segura” independientemente de la configuración en el browser del usuario. Esta funcionalidad no permitirá que los buscadores retornen resultados considerados como controversiales. Esta funcionalidad se soportará al menos para Google, Yahoo! Y Bing. • Será posible exceptuar la inspección de HTTPS por categoría. • Debe contar con la capacidad de implementar el filtro de Educacion de Youtube por Perfil de Filtro de Contenido para trafico HTTP, garantizando de manera centralizada, que todas las sesiones aceptadas por una política de seguridad con este perfil, van a poder acceder solamente a contenido de tipo Educativo en Youtbube, bloqueando cualquier tipo de contenido no Educativo. • El sistema de filtrado de URLs debe incluir la capacidad de definir cuotas de navegación basadas en volumen de tráfico consumido. • La solución debe poder aplicar distintos perfiles de navegación de acuerdo al usuario que se esté autenticando. Estos perfiles deben poder ser aplicados a usuarios o grupos de usuarios. • La solución debe estar en la capacidad de filtrar el acceso a cuentas de google, permitiendo acceso solo a cuentas corporativas de google.
• El filtrado debe ser sobre tráfico http y https. • La solución debe soportar modo de inspección proxy, de tal forma que la página sea reconstruida completamente para ser analizada a profundidad. • El modo de inspección proxy debe tener la capacidad de reemplazar una página bloqueada con una página web personalizable que informe a los usuarios que la página ha sido bloqueada.
Protección contra
intrusos (IPS) para todos los
equipos
• El Detector y preventor de intrusos deben poder implementarse tanto en línea como fuera de línea. En línea, el tráfico a ser inspeccionado pasará a través del equipo. Fuera de línea, el equipo recibirá el tráfico a inspeccionar desde un switch con un puerto configurado en span o mirror. • Deberá ser posible definir políticas de detección y prevención de intrusiones para tráfico Ipv6. A través de sensores. • Capacidad de detección de más de 4000 ataques. • Capacidad de actualización automática de firmas IPS mediante tecnología de tipo “Push” (permitir recibir las actualizaciones cuando los centros de actualización envíen notificaciones sin programación previa), adicional a tecnologías tipo “pull” (Consultar los centros de actualización por versiones nuevas) • El detector y preventor de intrusos deberá estar integrado a la plataforma de seguridad “appliance”. Sin necesidad de instalar un servidor o appliance externo, La interfaz de administración del detector y preventor de intrusos deberá de estar perfectamente integrada a la interfaz de administración del dispositivo de seguridad appliance, sin necesidad de integrar otro tipo de consola para poder administrar este servicio. Esta deberá permitir la protección de este servicio por política de control de acceso. • El detector y preventor de intrusos deberá soportar captar ataques por variaciones de protocolo y además por firmas de ataques conocidos (signature based / Rate base). • Basado en análisis de firmas en el flujo de datos en la red, y deberá permitir configurar firmas nuevas para cualquier protocolo. • Actualización automática de firmas para el detector de intrusos • El Detector de Intrusos deberá mitigar los efectos de los ataques de negación de servicios. • Métodos de notificación: o Alarmas mostradas en la consola de administración del appliance. o Alertas vía correo electrónico. o Debe tener la capacidad de cuarentena, es decir prohibir el tráfico subsiguiente a la detección de un posible ataque. Esta cuarentena debe poder definirse al menos para el tráfico proveniente del atacante o para el tráfico del atacante al atacado. o La capacidad de cuarentena debe ofrecer la posibilidad de definir el tiempo en que se bloqueará el tráfico. También podrá definirse el bloqueo de forma “indefinida”, hasta que un administrador tome una acción al respecto. o Debe ofrecerse la posibilidad de guardar información sobre el paquete de red que detonó la detección del ataque así como al menos los 5 paquetes sucesivos.
Estos paquetes deben poder ser visualizados por una herramienta que soporte el formato PCAP.
Control de Aplicaciones
para todos los equipos
• La solución debe soportar la capacidad de identificar la aplicación que origina cierto tráfico a partir de la inspección del mismo. • La identificación de la aplicación debe ser independiente del puerto y protocolo hacia el cual esté direccionado dicho tráfico. • La solución debe tener un listado de al menos 3000 aplicaciones ya definidas por el fabricante. • El listado de aplicaciones debe actualizarse periódicamente. • Para aplicaciones identificadas deben poder definirse al menos las siguientes opciones: permitir, bloquear, registrar en log, resetear conexión y hacer traffic shapping. • Para aplicaciones no identificadas (desconocidas) deben poder definirse al menos las siguientes opciones: permitir, bloquear, registrar en log. • Para aplicaciones de tipo P2P debe poder definirse adicionalmente políticas de traffic shaping. • Debe ser posible inspeccionar aplicaciones tipo Cloud como dropbox, icloud entre otras entregando información como login de usuarios y transferencia de archivos.
Inspección de Contenido
SSL/SSH para todos los equipos
• La solución debe soportar inspeccionar tráfico que esté siendo encriptado mediante SSL al menos para los siguientes protocolos: HTTP, IMAP, SMTP, POP3. • Debe ser posible definir perfiles de inspección SSL donde sea posible definir los protocolos a inspeccionar y el certificado usado, estos perfiles deben poder ser escogidos una vez se defina la política de seguridad. • Debe ser posible definir si la inspección se realiza desde múltiples clientes conectando a servidores (es decir usuarios que navegan a servicios externos con SSL) o protegiendo un servidor interno de la compañía. • La inspección deberá realizarse: mediante la técnica conocida como Hombre en el Medio (MITM – Man In The Middle) para una inspección completa o solo inspeccionando el certificado sin necesidad de hacer full inspection. • Para el caso de URL Filtering, debe ser posible configurar excepciones de inspección de HTTPS. Dichas excepciones evitan que el tráfico sea inspeccionado para los sitios configurados. Las excepciones deben poder determinarse al menos por Categoría de Filtrado. • El equipo debe ser capaz de analizar contenido cifrado (SSL o SSH) para las funcionalidades de Filtrado de URLs, Control de Aplicaciones, Prevención de Fuga de Información, Antivirus e IPS • Debe ser posible inspeccionar tráfico SSH funcionalidades como Port-Fortward o X11.
Alta Disponibilidad para todos los
equipos
• Alta disponibilidad en modo activo-pasivo, activo- activo o clúster (máximo 4 equipos) para este último despliegue. • El dispositivo deberá soportar Alta Disponibilidad transparente, es decir, sin pérdida de conexiones en caso de que un nodo falle tanto para IPV4 como para IPV6 • Alta Disponibilidad en modo Activo-Activo de forma automática sin requerir hacer políticas de enrutamiento basado en orígenes y destino para poder hacer la distribución del tráfico.
• Posibilidad de definir al menos dos interfaces para sincronía. • Debe ser posible definir que Firewall Virtual estará activo sobre que miembro del Cluster para hacer una distribución de carga en caso se der necesario.
Visibilidad
La solución debe estar en la capacidad de visualizar el tráfico de usuario, aplicaciones, navegación y niveles de riesgo en tiempo real, esto deberá ser sobre la misma plataforma sin necesidad de software o licenciamiento adicional. • Menú tipo dropdown para navegar por la información. • Visualización de las sesiones top 100 • Mostrar los estándar del tráfico o usuarios que lo generan. • Mostrar las aplicaciones y su categorización según riesgo. • Visibilidad de aplicaciones Cloud usadas por el usuario. • Visibilidad de destinos del tráfico. • Visibilidad de los sitios web más consultados por los usuarios. • Visibilidad de las amenazas o incidentes que han ocurriendo en la red • En la información de sources, aplicaciones, navegación debe ser posible con un doble-click filtrar la información para ser más específica la búsqueda. • Se debe ver aplicaciones, sitios, amenazas por cada usuario. • Se debe ver el tiempo de navegación por cada sitio o categoría de sitios. • De las aplicaciones Cloud que permitan compartir archivos como Dropbox debe ser posible ver que archivos fueron subidos y descargados por los usuarios. • De aplicaciones de contenido como youtube debe ser posible ver que videos fueron vistos por los usuarios.
Características de
Administración de los equipos
• Interfaz gráfica de usuario (GUI), vía Web por HTTP y HTTPS para hacer administración de las políticas de seguridad y que forme parte de la arquitectura nativa de la solución para administrar la solución localmente. Por seguridad la interfase debe soportar SSL sobre HTTP (HTTPS) • Interface basada en línea de comando (CLI) para administración de la solución. • Puerto de consola dedicado para administración. Este puerto debe estar etiquetado e identificado para tal efecto. • Comunicación cifrada y autenticada con usuario y contraseña, tanto como para la interfaz gráfica de usuario como la consola de administración de línea de comandos (SSH) • El administrador del sistema podrá tener las opciones incluidas de autenticarse vía usuario/contraseña y vía certificados digitales. • Los administradores podrán tener asignado un perfil de administración que permita delimitar las funciones del equipo que pueden gerenciar y afectar. • El equipo ofrecerá la flexibilidad para especificar que los administradores puedan estar restringidos a conectarse desde ciertas direcciones IP cuando se utilice SSH, telnet, HTTP o HTTPS. • El equipo deberá poder administrarse en su totalidad (incluyendo funciones de seguridad, ruteo y bitácoras) desde cualquier equipo conectado a Internet que tenga un browser (Internet Explorer, Mozilla, Firefox) instalado sin necesidad de instalación de ningún software adicional. • Soporte de SNMP versión 2 • Soporte de SNMP versión 3 • Soporte de al menos 3 servidores syslog para poder enviar bitácoras a servidores de SYSLOG remotos • Soporte de Control de Acceso basado en roles, con capacidad de crear al menos 6 perfiles para administración y monitoreo del Firewall. • Monitoreo de comportamiento del appliance mediante SNMP, el dispositivo deberá ser capaz de enviar traps de SNMP cuando ocurra un evento relevante para la correcta operación de la red. • Debe ser posible definir la dirección IP que se utilizará como origen para el tráfico iniciado desde el mismo dispositivo. Esto debe poder hacerse al menos para el tráfico de alertas, SNMP, Log y gestión. • Permitir que el administrador de la plataforma pueda definir qué funcionalidades están disponibles o deshabilitadas para ser mostradas en la interfaz gráfica. • Contar con facilidades de administración a través de la interfaz gráfica como ayudantes de configuración (setup wizard). • Contar con la posibilidad de agregar una barra superior (Top Bar) cuando los usuarios estén navegando con información como el ID de usuario, cuota de navegación utilizada, y aplicaciones que vayan en contra de las políticas de la empresa. • Contar con herramientas gráficas para visualizar fácilmente las sesiones en el equipo, que permitan adicionarse por el administrador en la página inicial de la solución (dashboard), incluyendo por lo menos por defecto Top de sesiones por origen, Top de sesiones por destino, y Top de sesiones por aplicación.
Virtualización para todos los
equipos
• El dispositivo deberá poder virtualizar los servicios de seguridad mediante “Virtual Systems”, “Virtual Firewalls” o “Virtual Domains” • La instancia virtual debe soportar por lo menos Firewall, VPN, URL Filtering, IPS. • Se debe incluir la licencia para al menos 10 (diez) instancias virtuales dentro de la solución a proveer. • Cada instancia virtual debe poder tener un administrador independiente • La configuración de cada instancia virtual deberá poder estar aislada de manera lógica del resto de las instancias virtuales. • Cada instancia virtual deberá poder estar en modo stánda o en modo transparente a la red • Debe ser posible la definición y asignación de recursos de forma independiente para cada instancia virtual • Debe ser posible definir distintos servidores de log (syslog) para cada instancia virtual. • Debe ser posible definir y modificar los mensajes mostrados por el dispositivo de forma independiente para cada instancia virtual.
Tabla 9. NGFW UTM (6) http://contratacion.unicauca.edu.co/procesoscontract/2017-03-08-NoRes-206/ADENDA%20No.1%20CONVOCATORIA%2009.pdf Se requieren equipos complementarios los cuales son compatibles con las tres soluciones planteadas,
8.4 PLATAFORMA DE LOGS Y REPORTES
Generalidades Se requiere un equipo tipo appliance que permita registrar cada transacción de la plataforma de seguridad para poder identificar y reaccionar a cualquier informe emitido por un log o registro de los firewalls de perímetro e internos de la red.
Característica Requerimiento
Desempeño
La solución de análisis de logs debe dar soporte a las siguientes características: • Capacidad de recibir hasta 75 Gbytes de logs diarios. • Capacidad de Almacenamiento de hasta 12 Terabytes. • Capacidad de recibir logs hasta de 200 equipos sin necesidad de licenciamiento adicional • Los discos deben soportar arreglos de RAID (0, 1, 5, 10)
Funciones generales del equipo.
Todo el sistema, hardware-software deberá soportar las siguientes funcionalidades: • Administración basada en perfiles • Envío de alarmas a correo electrónico • Manejo de traps SNMP • Soporte de servidor de logs. • Módulos personalizados por usuario/permiso • Consola de Administración personalizada por usuario/permiso • Soporte a formato estándar de logs. • Manejo de estadísticas gráficas. • Backup / Restore
Visibilidad
La solución debe estar en la capacidad de visualizar el tráfico de usuario, aplicaciones, navegación y niveles de riesgo en tiempo real e histórico de la cantidad de logs que se tengan en la plataforma. • Menú tipo dropdown para navegar por la información. • Mostrar los orígenes del tráfico o usuarios que lo generan. • Mostrar las aplicaciones y su categorización según riesgo. • Visibilidad de aplicaciones Cloud usadas por el usuario. • Visibilidad de destinos del tráfico. • Visibilidad de los sitios web mas consultados por los usuarios. • Visibilidad de las amenazas o incidentes que han ocurrido en la red • En la información de fuentes, aplicaciones, navegación debe ser posible con un doble-click filtrar la información para hacer más específica la búsqueda. • Se deben ver aplicaciones, sitios, amenazas por cada usuario. • Se debe ver el tiempo de navegación por cada sitio o categoría de sitios. • De las aplicaciones Cloud que permitan compartir archivos como Dropbox debe ser posible ver que archivos fueron subidos y descargados por los usuarios. • De aplicaciones de contenido como youtube debe ser posible ver que videos fueron vistos por los usuarios.
Funciones de analizador de red • Visor de tráfico en tiempo real. • Visor de tráfico histórico. • Visor personalizado de log de tráfico • Herramienta de búsqueda sobre los logs de tráfico.
Análisis de logs y reportes
• Vista de búsqueda y manejo de logs. • Reportes basados en perfiles. • Inventario de plantillas predefinidas para reportes regulares. • Debe soportar de forma predefinida los reportes: o Eventos del sistema o Análisis de riesgo y aplicaciones o Reporte de Aplicaciones y Ancho de Banda o Reputación de Clientes o Análisis de seguridad o Reporte de Amenazas
Tabla 10, Plataforma de Logs y reportes. (7) https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&cad=rja&uact=8&ved=0ahUKEwjlpZKZxsrUAhVCJCYKHaLUB5oQFggmMAA&url=https%3A%2F%2Fwww.contratos.gov.co%2Fconsultas%2FVerDocumentoPublic%3Fruta%3D%2F2016%2F2016Q3%2F2016%2FDA%2F111001017%2F16-1-160356%2FDA_PROCESO_16-1-160356_111001017_20328877.pdf&usg=AFQjCNHzK6LeyHP8MoZ-Lm2XkVppK64aCQ&sig2=eGK1bIvRgp7lRphvG8aTOA Especificaciones tecnicas, Unidad Administrativa Especial Agenda del Inspectos General de Tributos, Rentas y Contribuciones Parafiscales
8.5 PLATAFORMA ADMINISTRACION CENTRALIZADA
La solución propuesta deberá cumplir con las siguientes funcionalidades:
• Centralización de configuración y monitoreo de todos los dispositivos de seguridad perimetral. Así como todas sus funciones de protección de red
• Por seguridad y eficiencia, debe ser un “appliance” de propósito específico para la 49stándar49ación de la solucion de seguridad.
• Creación, almacenamiento e implementación automatizada de configuraciones en los dispositivos.
• Debe tener un solo repositorio de almacenamiento centralizado y administración de configuraciones, para simplificar las tareas de administración de una gran cantidad de dispositivos de seguridad con protección completa de contenido.
• Las comunicaciones entre la consola de administración y los dispositivos administrados deben ser cifradas (Encriptadas)
• La interface de administración deberá estar basada en Web Seguro (HTTPS)
• Para un eficiente almacenamiento de las configuraciones, debe incluirse una base de datos relacional integrada compatible con la solución.
• La Administración deberá estar basada en roles para permitir a los administradores delegar los derechos a dispositivos específicos con los privilegios adecuados de lectura/escritura.
• Debe permitir configuración basada en scripts para una mejor flexibilidad y control. Esta funcionalidad debera permitir la automatización de tareas operativas, cuya implementación puede ser de forma masiva, con tiempos de aplicación mínimos a los dispositivos administrados
• Deberá permitir la automatización calendarizada de respaldos de la configuración y las bitácoras.
• Deberá permitir las operaciones sobre grupos de dispositivos, y añadir/cambiar/borrar dispositivos de esos grupos.
• Deberá Permitir el hospedaje local de actualizaciones de firmas de AV / IPS y filtrado de contenido web y Antispam, de los dispositivos de seguridad. Esto permite el almacenamiento de forma local de las bases de datos de protección AV e IPS, además de Filtrado de Contenido y Anti-SPAM, con la finalidad de disminuir el tráfico de consultas de actualizaciones a Internet a lo mínimo, evitando el consumo innecesario de ancho de banda, permitiendo la utilización de este para los fines requeridos por los usuarios de red.
• Deberá tener la capacidad de crear, exportar y almacenar versiones de configuración de los dispositivos administrados, antes de aplicar cambios a un dispositivo.
• Deberá incluir un subsistema Monitoreo en Tiempo-Real .
• Deberá tener la posibilidad de administrar el firmware de los dispositivos de seguridad, permitiendo programar y aplicar actualizaciones de sistema operativo de forma desatendida a un equipo o grupo de equipos administrados por la consola, reduciendo tiempos de operación y administración del personal que administra los equipos de seguridad.
• Deberá tener la capacidad de creación y aplicación de configuraciones de VPN entre los dispositivos de seguridad administrados.
• Deberá tener un subsistema de monitoreo especial para los túneles de VPN de tal forma que el área de operación puede monitorear desde una sola pantalla el estado de todos los túneles de VPN establecidos, administrados y operados desde la consola de administración.
8.6 PLATAFORMA DE AUTENTICACION CENTRALIZADA
Se requiere un dispositivo de autenticación centralizada de usuarios para incrementar la seguridad de la dependencia y centralizar la configuración y el almacenamiento de la identidad de los usuarios. La solución propuesta deberá cumplir con las siguientes funcionalidades:
Característica Requerimiento
Funciones generales
• El sistema propuesto deberá contar con métodos de autenticación para RADIUS y LDAP. • Deberá actuar como un servidor de doble factor de autenticación con soporte para contraseñas de una sola vez (OTP.- One time password) que pueden ser utilizados a través de un dispositivo (Token) o algún software instalado dentro de un teléfono inteligente, a través del envío de mensajes SMS, por correo electrónico, este doble factor de autenticación deberá ser compatible con cualquier sistema que utilice RADIUS • El sistema propuesto deberá contar con agente para ofrecer un doble factor de autenticación para el login de las estaciones de trabajo con Windows en donde el agente deberá enviar la información del OTP al equipo central a través de HTTPS, especificando los dominios de Windows que requieran el doble factor de autenticación. • El sistema propuesto deberá soportar 802.1X para su uso en redes tanto inalámbricas como cableadas. • El sistema propuesto deberá soportar la creación y firmado de certificados digitales para su uso en aplicaciones como son las VPNs. • La configuración del sistema propuesto deberá realizarse a través de una interface gráfica via Web, Telnet, SSH y deberá poder soportar SNMP v1, v2c y v3 • El sistema propuesto deberá soportar un esquema de alta disponibilidad para proporcionar una mayor confiabilidad, un equipo deberá estar en forma activa y el otro en forma pasiva por lo menos. • El sistema propuesto deberá ser capaz de mandar notificaciones a través de correo electrónico como son solicitudes de restauración de contraseña, aprobaciones de nuevos usuarios, auto registro de nuevos usuarios y doble factor de autenticación. • Los mensajes SMS del sistema propuesto deberán poder ser configurables para funcionar con diferentes proveedores de servicios • El sistema propuesto deberá contar con la opción de configurar la interface gráfica en diferentes idiomas incluido el español. • Deberá poder calendarizar el respaldo de la configuración a un servidor externo a través de FTP o SFTP y seleccionar un servidor primario y uno secundario. • El sistema propuesto deberá ser en un equipo de propósito específico con un sistema operativo propietario.
Autenticación de usuarios y
servidores
• Los usuarios del sistema propuesto deberán contar con la opción de auto registro para disminuir la carga de trabajo del personal de la dependencia. • El sistema propuesto deberá contener un servidor de RADIUS y un servidor de LDAP, • Soporte para trabajar con servidores LDAP externos lo cual deberá incluir los servidores de directorio activo de Windows. • Para los usuarios que utilicen en doble factor de autenticación (token) deberán proporcionar un número de por lo menos 6 dígitos, el cual tendrá una validez de 60 segundos, • El usuario deberá contar con un dispositivo el cual muestre ese número única y exclusivamente cuando se presione el botón del dispositivo para ahorro de energía del mismo. • Este número también podrá ser proporcionado a través de una aplicación instalada en teléfonos inteligentes como son iPhone o Android. • En caso que el sistema deba de ser usado por usuarios que no cuenten con los métodos antes mencionados este número podrá ser enviado a través de varios métodos como son: o un mensaje de SMS o un correo electrónico. • Solo el administrador del sistema podrá configurar la autenticación basada en tokens. • La base de datos de usuarios deberá contar con el beneficio de asociar información adicional del usuario como puede ser: o si el usuario es un administrador, o si el usuario utiliza autenticación de RADIUS o si utiliza doble factor de autenticación y a que grupos pertenece este usuario. • Los usuarios de un LDAP remoto también podrán importarse y convertirse en administradores del sistema propuesto. • El sistema propuesto deberá contar con un módulo para la recuperación de contraseñas, en donde el sistema envía una liga al usuario vía correo electrónico una pregunta de seguridad previamente definida. • El sistema propuesto podrá importar la información de las cuentas de usuario desde un archivo .csv, • Deberá tener la opción de fijar políticas de contraseñas en donde al usuario se le solicite un mínimo de caracteres y cierta complejidad, así como cambiarlos de forma periódica. • Después de varios intentos fallidos al momento de ingresar la contraseña, el sistema propuesto deberá bloquear la cuenta del usuario. • El sistema propuesto deberá poder dar de baja los tokens que se hayan perdido o robado, así como poder darlos de alta nuevamente cuando se recupere. • Deberá soportar varios métodos de autenticación de IEEE 802.1X EAP como son EAP-MD5, PEAP (MSCHAPv2), EAP-TTLS, EAP-TLS. • Deberá poder autenticarse el mismo a los clientes con un certificado CA. • Los dispositivos que no cumplan con el estándar 802.1x deberán poder ser autenticados vía dirección MAC y monitorear la actividad de autenticación de
usuario a través de la interfaz Web en donde se deberá poder observar el número de autenticaciones exitosas y fallidas.
Single Sign On
• El sistema propuesto deberá contar con la funcionalidad de autenticar usuarios de forma transparente a diferentes dispositivos utilizando diferentes métodos como o Un portal web, a través del uso de un agente instalado en el dispositivo final, obteniendo la información del directorio activo e información de RADIUS Accounting. o Deberá poder restringir la información de logon enviada al firewall desde un rango de direcciones IP.
Administración de Certificados
• El sistema propuesto deberá poder tener varios roles cuando se tengan certificados digitales involucrados como son: o Autoridad Certificadora en donde el administrador del sistema podrá generar certificados que validen a los certificados de usuarios generados por el sistema propuesto. o Importar certificados de otras CA así como la lista de revocación de certificados. o El administrador del sistema propuesto podrá generar, firmar y revocar certificados digitales de usuarios. • Podrá ser un servidor de SCEP en donde deberá poder firmar peticiones de firma de certificados digitales (CSR) de forma automática o de forma manual, • Distribuir la lista de revocación de certificados y distribuir los certificados digitales de la CA. • Deberá soportar el protocolo OCSP. • El sistema deberá soportar el auto servicio para la inscripción de certificados para los siguientes dispositivos: o iPhone/iPad a través de SCEP o Android a través de PKCS #12 Manual o Windows a través de PKCS#10 CSR
Logs
• El sistema propuesto deberá poder guardar los logs a un servidor FTP remoto, o a un servidor de Syslog, • Deberá poder configurarse para que borre los logs más viejos. • El sistema propuesto deberá contar con un sistema de búsquedas de logs. • Deberá poder cambiar el orden en que se despliegan las entradas de los logs por tiempo, orden ascendente y orden descendente.
Tabla 11. Plataforma de autenticación.
8.7 PUNTOS DE ACCESO (SEDE DORADO, CARVAJAL Y CALI)
La solución deberá proveer conectividad inalámbrica en toda la superficie proyectada y proveer el mismo nivel de seguridad que se ofrece en la red cableada, sin necesidad de modificar ésta última. Los puntos de acceso deben ser administrados desde el NGFW de cada una de las sedes. Se deberán incluir los puntos de acceso (Aps), fuentes de alimentación y todos los accesorios necesarios para su instalación en techos o paredes según sea necesario.
Característica Requerimiento
Cantidad de equipos
Sede Dorado: Seis (6) puntos de acceso. Sede Carvajal: Cuatro (4) puntos de acceso. Sede Cali: Un (1) punto de acceso.
Requerimientos mínimos
• Número de Radios: Dos radios: 2.4 GHz / 5 GHz – (802.11 b/g/n y 802.11 a/n/ac) • Ganancia de las antenas: 3.5 dbi a 2,4 Ghz y 6 dbi a 5 Ghz. • Tecnología de Transmisión: 2 x 2 MIMO • Velocidad: Radio 1 mínimo 250 Mbps – Radio 2 mínimo 800 Mbps • Puertos Ethernet: 1 puerto 10/ 100/1000 • Alimentación: Power Over Ethernet PoE, estándar: 802.3af o adaptador. • SSID: Los equipos deberán soportar mínimo 8 SSIDs para el acceso de los clientes. • Calidad de Servicio: Los equipos deberán manejar calidad de servicio avanzada, usando técnicas de limitación de servicio por usuario. • Tipo de Antenas: Se requiere que todos los equipos vengan con mínimo 4 antenas de tipo internas, no dejando expuesto ningún componente de las mismas. • Kit de Instalación: Todos los equipos deberán contar con sus componentes físicos para su fácil instalación. • Soporte de dispositivos móviles: Todos los puntos de acceso inalámbrico deben soportar el uso de dispositivos móviles con sistemas operativos iOS, Android, Windows Mobile y BlackBerry.
Funcionalidades del sistema
• El sistema deberá proveer alta disponibilidad de WLC. • Los Aps deberán poder ser alimentados mediante POE y fuentes de alimentación externa según sea requerido y sin necesidad de cambiar de dispositivo. • Tanto WLC, como el sistema de monitoreo y el sistema de administración deberán ser appliances de hardware. • Se deberá integrar solo una marca para la WLC, Aps, monitoreo y administración. • La administración debe permitir que la WLC implemente políticas de seguridad para brindar conectividad wireless en forma segura desde la capa 2 hasta la capa 7. • La configuración del sistema propuesto deberá realizarse a través de una interface gráfica via Web, Telnet, SSH y deberá poder soportar SNMP v1, v2c y v3. • Los Aps deberán ser administrados en forma independiente a través de una interface gráfica vía Web y SSH. • El sistema propuesto deberá soportar un esquema de alta disponibilidad del WLC para proporcionar una mayor confiabilidad, un equipo deberá estar en forma activa y el otro en forma pasiva por lo menos. • El sistema propuesto deberá soportar un esquema fast roaming, balanceo de cargas de clientes en AP mediante el cambio de AP y de frecuencia. • El sistema propuesto deberá ser capaz de enviar notificaciones a través de correo electrónico, SMS o traps SNMP. • El sistema propuesto deberá ser capaz de generar reportes de uso de la red wireless y mantener monitores en tiempo real de la actividad de los radios.
Tabla 12. Puntos de acceso (8) https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=2&cad=rja&uact=8&ved=0ahUKEwjlpZKZxsrUAhVCJCYKHaLUB5oQFggrMAE&url=https%3A%2F%2Fwww.contratos.gov.co%2Fconsultas%2FVerDocumentoPublic%3Fruta%3D%2F2016%2F2016Q4%2F2016%2FDA%2F211001037%2F16-11-5632206%2FDA_PROCESO_16-11-5632206_211001037_21783194.pdf&usg=AFQjCNHh6LAmRvsGpqspSuDnIPocKlQaSQ&sig2=5HzPRYkymGDwiYtHEUZ1HA FICHA TECNICA PLATAFORMA DE SEGURIDAD INFORMATICA Minvivienda Para el estudio técnico de los puntos de acceso inalámbrico se genera un Site Survey en el cual se tienen diagramas detallados que indican el mapa de calor de la cobertura inalámbrica en las instalaciones, además de un escaneo de canales. Se realizan las recomendaciones y observaciones necesarias que contribuyan a mejorar la calidad de la red inalámbrica del diseño del proyecto. Esta documentación se relaciona en el ANEXO 2, Site Survey.
Teniendo en cuenta los requerimientos de la compañía y el estudio técnico se plantea el siguiente diseño:
Esquema 9. Diseño técnico de proyecto.
Para complementar el diseño técnico se adjunta el “ANEXO 3 Formatos de configuración de FW”, el cual corresponde a las especificaciones de configuración de los servicios de conectividad de la empresa Americas BPS, como enrutamientos, políticas, direccionamiento IP, e información técnica especifica de la empresa para este diseño.
8.8 LOCALIZACION DE LAS INSTALACIONES.
Método de Brown y Gibson Se genera la utilización del método de Brown y Gibson, donde se convinan factores posibles de cuantificar con factores subjetivos a los que se asignan valores ponderados de peso relativo. Se genera el cálculo del valor relativo FO. Se determina como localización A la ubicación de los appliance NGFW, la ubicación B corresponde
Tabla 13. Costos anuales
Y se genera el cálculo de la calificación de cada uno de los sitios.
Como Factores subjetivos se determina la cercanía a la compañía y la disponibilidad de espacio en el datacenter,
Tabla 14. Factores Subjetivos.
Tabla 15. Cuadro de ponderación subjetiva. Se realiza el cálculo de la medida de preferencia de localización MPL,
Tabla 16. FOI vs FSI Si se considera que los Factores Objetivos son tres veces más importantes que los Subjetivos, se tiene que K = 3 (1 - K). O sea, K = 0.75.
Tabla 17. MPL La alternativa elegida es la localización A, ya que recibe el mayor valor de medida de ubicación.
8.9 DISTRIBUCION EN PLANTA.
• Código de Proximidades, Identificando Áreas, espacios y codificando y
numerando cada una de ellas.
Tabla 18. Código de proximidades
Se enumeran las áreas a tener en cuenta en el diseño de planta del
proyecto.
N Área
1 Datacenter
2 Racks
3 Aire
Acondicionado
4 Planta electrica
5 UPS
6 Puestos de
trabajo
7 Switch
8 Firewall
9 Patch Panel
10 Analyzer
Tabla 19. Áreas diseño planta
• Tabla relacional de actividades correspondiente a la distribución de la
planta general, se plante la tabla con la siguiente relación de afinidades
A = Absolutamente necesaria.
E = Especialmente importante.
I = Importante.
O = Importancia Ordinaria.
U = No importante.
X = Indeseable
Esquema 10. Tabla relaciona actividades.
Determinamos según la tabla relacional de actividades que los puestos de trabajo,
son las únicas áreas que no son importantes en el diseño de la planta, esto se
debe a que los puestos no requieren estar cerca de la infraestructura de seguridad
perimetral.
Las áreas 2, 3, 4, 5, 7, 8, 9, 10, son estrictamente necesarias que se encuentren
dentro del área 1 Datacenter, y a su vez las áreas 7, 8, 9, 10 se deben encontrar
dentro de los Racks, ya que estos son los Bastidores destinados a soportar o
alojar los equipos eléctricos.
• Diagrama relacional de recorridos de la división operativa –
Diagramación en técnica de Hilos-. De esta manera evaluamos las
necesidades de proximidad entre las áreas.
Esquema 11. Diagrama relacional de recorridos de la división operativa.
Según nuestro diagrama relacional se evidencia que existe una necesidad
de proximidad muy alta entre la mayoría de áreas del proyecto, esto se
detallara en los Layouts generados.
• Distribución de Planta” por medio de un layout de bloques.
Esquema 12. Distribución de planta, Bloques.
• Identificación de Espacios
Código Área Dimensiones
1 Datacenter 40 mts x 70 mts
2 Racks 40 mts x 2 mts
3 Aire Acondicionado 35 mts x 1 mt
4 Planta Electrica 3 mts x 3 mts
5 UPS 3 mts x 2 mts
6 Puestos de Trabajo 60 mts x 90 mts
7 Swtich 3mts x 2 mts
8 Firewall 3 mts x 2 mts
9 Patch Panel 1 mts x 1mts
10 Analyzer 1 mts x 1mts
Tabla 20. Identificación de espacios.
Las dimensiones relacionadas en la identificación de espacios códigos 1, 2, 3, 4, 5, 6 corresponden a infraestructura existente en la compañía, las dimensiones 7, 8,9 10 son los equipos planteados en el proyecto.
• Diagrama relacional de espacios.
Esquema 13. Diagrama relacional de espacios
La identificación y diagrama relacional de espacios son recursos físicos que ya se encuentran implementados en la compañía, se cuenta con Datacenter acondicionado para recibir los equipos del proyecto.
Las instalaciones de puestos de trabajo y Datacenter ya se encuentran instaladas en la compañía, por lo cual no es posible generar redistribución de lo mismo, la importancia en el diagrama relacional de espacios es que el Datacenter cuente obligatoriamente con las áreas planteadas, el aire acondicionado el cual permite que los equipos se mantengan en la temperatura correcta, la UPS funciona como el sistema de alimentación eléctrica ininterrumpida, es de vital importancia que la UPS alimente los equipos eléctricos como son el Firewall, Analyzer “appliance de logs” y los Switch, esto con el fin de garantizar la continuidad eléctrica, adicional el sistema eléctrico debe ser respaldado por la planta eléctrica para cortes de energía eléctrica de larga duración.
• Diagrama Relacional de Espacios del área Operativa de la Planta.
1 1 1 1 1 6 6 6 6 6 6 6
1 3 3 3 1 9 6 6 6 6 6 6
1 2 10 2 1 9 6 6 6 6 6 6
1 2 8 2 1 9 6 6 6 6 6 6
1 4 7 2 1 6 6 6 6 6 6 6
1 5 7 2 1 6 6 6 6 6 6 6
1 3 3 3 1 6 6 6 6 6 6 6
1 1 1 1 1 6 6 6 6 6 6 6
6 6 6 6 6 6 6 6 6 6 6 6 Esquema 14. Diagrama relacional de espacios.
1 Datacenter
2 Racks
3 Aire Acondicionado
4 Planta electrica
5 UPS
6 Puestos de trabajo
7 Switch
8 Firewall
9 Patch Panel
10 Analyzer
Tabla 20. Tabla áreas.
Como se relacionan los diagramas anteriores es de vital importancia que los Racks, Aire acondicionado, planta eléctrica, UPS, Switch, Firewall, Patch panel y Analyzer se encuentran por dentro del Datacenter y a su vez los Switch, firewall y analyzer se encuentren dentro de los Rack.
9. Proceso de Producción
Levantamiento de
Información
Diseño Técnico del proyecto.
Selección fabricante, y
proveedor.
Diseño adecuaciones
Físicas
Instalación Appliance de
seguridad y administración Instalación Access Point
F
A
S
E
D
E
D
I
S
E
Ñ
O
F
A
S
E
I
M
P
L
Esquema 15. Proceso de producción.
• Levantamiento de información: Corresponde a identificar las necesidades de la compañía Americas Business Process Services, para la planificacion del proyecto se utiliza la metodología de EML, es importante tener en cuenta que en el levantamiento de información se encuentra el alcance del mismo, los objetivos, importancia y relevancia del proyecto para la compañía.
• Diseño técnico del proyecto: es la columna vertebral del proyecto, ya que por ser un proyecto tecnológico requiere de un nivel de ingeniería avanzado, se debe utilizar el levantamiento de información para dimensionar el diseño del mismo, se generan los requerimientos técnicos mínimos para el proyecto, se generan los diagramas de ingeniería en el cual se detallan gráficamente los aspectos de la solución propuesta, y con el detalle de estos requerimientos se procede a generar la búsqueda en el mercado de la solución a diseñar.
• Selección Fabricante y Proveedor: Posterior al levantamiento de información y al diseño técnico del proyecto se procede con la selección del fabricante que cumpla con las necesidades y detalles técnicos propuestos, tener en cuenta que los fabricantes de estas tecnologías no venden sus soluciones directamente a los clientes, sino a canales o proveedores debidamente certificados con cada Vendor, por esta razón es obligatorio incluir estos proveedores en el proyecto, los cuales son los que generan las ofertas comerciales al cliente final, para la elección de este proveedor se deben tener en cuenta dos factores fundamentales, la experiencia con la solución tecnológica propuesta y los costos de la oferta comercial.
• Diseño de adecuaciones físicas: teniendo seleccionada la tecnología y el proveedor que ofrece la solución tecnológica, ya se cuenta con el detalle de los equipos, por lo cual se deben diseñar las adecuaciones físicas correspondiente, para esto se apoya en metodologías de distribución de planta. Con este finaliza la fase de Diseño.
• Instalación de appliance y de administración: posterior a las adecuaciones físicas de debe generar la instalación tanto física como de configuraciones lógicas de los appliance propuestos en la solución.
Migración Servicios ABPS a Diseño
de seguridad propuesto
Pruebas de Funcionamiento y
entrega al cliente.
• Instalación de Access point: posterior a las adecuaciones físicas de debe generar la instalación tanto física como de configuraciones lógicas de los appliance propuestos en la solución.
• Migración Servicios a diseño de seguridad propuesto: teniendo en cuenta la disponibilidad ofrecida por Americas BPS a sus clientes se debe generar una estrategia de migración de los servicios a la solución propuesta, esto con el fin de mitigar en mayores medidas las indisponibilidades que un cambio de esta magnitud genera.
• Prueba de funcionamiento y entrega al cliente: posterior a la migración de servicios se debe generar una prueba de funcionamiento y un monitoreo de los servicios, posterior a superar esta fase se procederá a realizar la entrega a satisfacción al cliente con toda la documentación correspondiente. Tener en cuenta que el objetivo de este proyecto se encuentra hasta la fase de diseño, el cual se encuentra debidamente especificado en el mismo; Sin embargo en el proceso de producción es necesario incluir la fase de implementación la cual se menciona pero no está especificada en el proyecto por no ser parte de los objetivos del mismo.
10. Alternativas técnicas del mercado.
Se plantean las diferentes alternativas de fabricantes ofrecen soluciones de seguridad informática que satisfacen el requerimiento técnico del proyecto
Esquema 16. Cuadrante Gartner NGFW UTM.
(9) http://fortinet.globalgate.com.ar/adm/pagesfiles/descargables/gartner-mq-utm-2016.pdf
La evaluación del Cuadrante mágico de Gartner se basa en dos criterios: la integridad de visión y la capacidad de ejecución de las compañías. Según avanzamos cada vez más en el mundo de las tecnologías de la información, nos surgen preguntas como: ¿qué tendencias tecnológicas están marcando actualmente la diferencia? ¿Qué producto o solución de los diferentes fabricantes se encuentra en el liderazgo? ¿Cuáles son los mejores proveedores para mi negocio? Como respuesta a todas estas preguntas existe el denominado cuadrante mágico de Gartner, una representación gráfica sencilla de la situación del mercado de un producto tecnológico en un momento determinado. ¿Pero en qué consiste exactamente este cuadrante? El grupo Gartner es una empresa de consultoría e investigación del mercado de las nuevas tecnologías dedicada exclusivamente a investigar y analizar las tendencias del mercado. Sobre esas conclusiones, elabora un ranking de los fabricantes con mejores soluciones y productos. Los resultados son presentados bajo el nombre de “cuadrante mágico de Gartner”. El susodicho cuadrante tiene sus inicios en las reuniones de investigación llevadas a cabo por Gideo Gartner, autor de los experimentos mentales Stalking Horses, que despiertan el pensamiento innovador. Este método gráfico evolucionó en los años 90 hasta llegar a convertirse en una investigación oficial. Las divisiones del cuadrante mágico de Gartner
• Líderes: aquí se encuentran los proveedores que mayor puntuación han obtenido como resultado de combinar su gran capacidad de visión del mercado y la habilidad para ejecutar. Estas empresas ofertan una solución de productos amplia y completa, que además es capaz de evolucionar según la demanda en el mercado. A modo de ejemplo ilustrativo, la compañía Kaspersky Lab ha conseguido por quinto año consecutivo situarse en el liderazgo con sus Plataformas de Protección de Endpoint o VMware AirWatch, que se ubica como líder en el uadrante mágico de Gartner 2016 para la Administración de movilidad empresarial (EMM).
• Retadores o aspirantes: estos proveedores ofrecen buenas funcionalidades pero tienen menor variedad de productos al estar centrados en un único aspecto de la demanda del mercado.
• Visionarios: estos se pueden asemejar a los líderes en su capacidad para anticiparse a las necesidades del mercado pero no disponen de medios suficientes para realizar implantaciones globales.
• Jugadores de nicho: en último lugar, se encuentran estos stakeholders que no llegan a puntuar lo suficiente en ninguna de las dos categorías.
(10) http://www.solopiensoentic.com/cuadrante-magico-de-gartner/ Teniendo en cuenta el cuadrante mágico de Gartnet sobre NGFW UTM se identifican tres marcas líderes en el mercado, Sophos, Palo Alto y Fortinet.
Esquema 17. Certificaciones seguridad informática.
(11) http://fortinet.globalgate.com.ar/adm/pagesfiles/imagenes/Comparacion2.bmp Se genera verificación de las diferentes organizaciones a nivel mundial que generan testing sobre los fabricantes y sus correspondientes productos de seguridad informática, por lo cual se relacionan los resultados de las certificaciones más importantes a tener en cuenta en la elección de un Fabricante o Vendor para el proyecto.
Esquema 18. Servicios seguridad informática.
(12) http://fortinet.globalgate.com.ar/adm/pagesfiles/imagenes/Comparacion1.bmp
Otra recomendación a tener en cuenta son los servicios de seguridad que ofrece cada fabricante, es importante aclarar que existen servicios que no se encuentran disponibles en algunos fabricantes y otros que son desarrollados por terceros, lo que genera que no sean soluciones totalmente compatible con todos los servicios de seguridad requeridos en el proyecto. Teniendo en cuenta el estudio técnico operativo y los requerimientos mínimos establecidos en el proyecto se genera comparación entre los diferentes fabricantes de soluciones de seguridad perimetral del mercado, identificando que el fabricante que cumple con todos los requerimientos técnicos es Fortinet, por lo cual se sugiere detallar la solución técnica y generar el dimensionamiento de los equipos con este Fabricante.
11. ESTUDIO FINANCIERO
Se presenta el estudio financiero para determinar la viabilidad económica del proyecto, se ha generado un estudio proyectado a 5 años, y se han utilizado indicadores financieros como la Tasa de interés de retorno, la tasa de interés de oportunidad y el valor presente neto. Con este estudio se pretende determinar cuál es el monto de los recursos económicos necesarios para la ejecución del proyecto, y los ingresos que se aspiran recibir en un periodo de 5 años, de esta manera determinar si el proyecto es viable o no financieramente.
11.1 Inversión Inicial:
Según los requerimientos de la compañía y el proyecto de diseño de un sistema de seguridad perimetral e interna para la empresa Americas Business Process Services, se plantea la siguiente propuesta económica para la inversión en equipamiento, presentada por el proveedor Openlink.
Tabla 22. Propuesta económica sede Dorado.
Tabla 23. Propuesta económica sede Carvajal
Tabla 24. Propuesta económica sede Fontibón
Tabla 25. Propuesta económica sede Cali
Tabla 26. Propuesta económica Servicios profesionales
Tabla 27. Tabla Resumen Propuesta económica.
El datasheet o detalle técnico de los equipos propuestos en la oferta económica se encuentran el e Anexo 5 Datasheet Appliance.
Nómina Anual.
Se relaciona la nómina anual teniendo en cuenta el estudio administrativo, se
utiliza la base de salario mínimo del año 2017, y un crecimiento anual del 7%
según el comportamiento de aumento de salario minio en Colombia.
NOMINA EMPLEADOS
Técnico Ingeniero
Salario base $ 737,717.00 $ 3,000,000.00
auxilio de transporte $ 83,140.00
H/ Extras
Comisiones
Viáticos
T dev $ 820,857.00 $ 3,000,000.00
salud empleados 0.04 $ 29,508.68 $ 120,000.00
empleador 0.09 $ 62,705.95 $ 255,000.00
Pension empleados 0.04 $ 29,508.68 $ 120,000.00
empleador 0.12 $ 88,526.04 $ 360,000.00
Rieso Tipo $ 1.00 0.00522 $ 3,850.88 $ 15,660.00
$ 2.00 1.04%
$ 3.00 2.14%
Parafiscales SENA 0.02 $ 14,754.34 $ 60,000.00
ICBF 0.03 $ 22,131.51 $ 90,000.00
Caja de compensación 0.04 $ 29,508.68 $ 120,000.00
Prestaciones sociales Prima 0.08 $ 68,377.39 $ 249,900.00
Cesantías 0.08 $ 68,377.39 $ 249,900.00
int/cesantías 0.12 $ 8,208.57 $ 30,000.00
vacaciones 4.17% $ 30,762.80 $ 125,100.00
Valor mensual Empleador
$ 1,218,060.54 $ 4,555,560.00
Valor Neto Empleado $ 761,839.64 $ 2,760,000.00
Valor Empleador x Año
$ 14,616,726.51 $ 54,666,720.00
Tabla 28 Nomina de empleados.
Valor Nómina anual Empleador
Año 1 Año 2 Año 3 Año 4 Año 5
Técnico $ 14,616,726.51 $ 15,639,897.37
$ 16,734,690.
19
$ 17,906,118.
50
$ 19,159,546.
79
Ingeniero $ 54,666,720.00 $ 58,493,390.40
$ 62,587,927.
73
$ 66,969,082.
67
$ 71,656,918.
46
TOTAL $ 69,283,446.51 $ 74,133,287.77
$ 79,322,617.
91
$ 84,875,201.
17
$ 90,816,465.
25
Tabla 29. Valor Nomina Anual Empleador
11.2 Flujo de caja del proyecto.
Para el cálculo del precio objetivo se determina el costo de licenciamiento y de
soporte anual, sobre el cual se calcula un 30% de ganancia, y un crecimiento
anual del 10%.
Se genera el flujo de caja en seis escenarios, realista, pesimista y optimista,
adicional se realiza el flujo de caja con la solicitud de un préstamo para un
porcentaje de la inversión inicial.
Escenario Realista
FLUJO DE CAJA DEL PROYECTO “Realista”
Año
ítem 0 1 2 3 4 5
Ingresos $ 632,501,000
$ 200,000,000
$ 220,000,000
$ 242,000,000
$ 266,200,000
Venta $ 450,000,000
Implementacion y puesta en Marcha de la solución
$ 87,501,000
Licenciamiento $ 100,000,000
$ 110,000,000
$ 121,000,000
$ 133,100,000
Soporte técnico $ 95,000,000
$ 100,000,000
$ 110,000,000
$ 121,000,000
$ 133,100,000
Préstamo
Egresos $ 69,283,447
$ 154,133,288
$ 163,322,618
$ 173,075,201
$ 183,426,465
Appliance
Nomina $ 69,283,447
$ 74,133,288
$ 79,322,618
$ 84,875,201
$ 90,816,465
Licenciamiento $ 80,000,000
$ 84,000,000
$ 88,200,000
$ 92,610,000
Depreciación
Interés
Flujo de caja antes de impuestos $ 563,217,553
$ 45,866,712
$ 56,677,382
$ 68,924,799
$ 82,773,535
Impuestos $ 168,965,266
$ 13,760,014
$ 17,003,215
$ 20,677,440
$ 24,832,060
Flujo de caja después de impuestos $ 394,252,287
$ 32,106,699
$ 39,674,167
$ 48,247,359
$ 57,941,474
Depreciación $ 67,500,000
$ 67,500,000
$ 67,500,000
$ 67,500,000
$ 67,500,000
Amortización
Inversión inicial (1000) $ 540,753,000
Flujo de caja neto $ (540,753,000)
$ 461,752,287
$ 99,606,699
$ 107,174,167
$ 115,747,359
$ 125,441,474
Tabla 30 Escenario Realista
Escenario Pesimista
FLUJO DE CAJA DEL PROYECTO “Pesimista”
Año
ítem 0 1 2 3 4 5
Ingresos $ 632,501,000
$ 180,000,000
$ 198,000,000
$ 217,800,000
$ 239,580,000
Venta $ 450,000,000
Implementacion y puesta en Marcha de la solución
$ 87,501,000
Licenciamiento $ 100,000,000
$ 105,000,000
$ 110,250,000
$ 115,762,500
Soporte técnico $ 95,000,000
$ 80,000,000
$ 93,000,000
$ 107,550,000
$ 123,817,500
Préstamo
Egresos $ 69,283,447
$ 154,133,288
$ 163,322,618
$ 173,075,201
$ 183,426,465
Appliance
Nomina $ 69,283,447
$ 74,133,288
$ 79,322,618
$ 84,875,201
$ 90,816,465
Licenciamiento $ 80,000,000
$ 84,000,000
$ 88,200,000
$ 92,610,000
Depreciación
Interés
Flujo de caja antes de impuestos $ 563,217,553
$ 25,866,712
$ 34,677,382
$ 44,724,799
$ 56,153,535
Impuestos $ 168,965,266
$ 7,760,014
$ 10,403,215
$ 13,417,440
$ 16,846,060
Flujo de caja después de impuestos $ 394,252,287
$ 18,106,699
$ 24,274,167
$ 31,307,359
$ 39,307,474
Depreciación $ 67,500,000
$ 67,500,000
$ 67,500,000
$ 67,500,000
$ 67,500,000
Amortización
Inversión inicial (1000) $ 540,753,000
Flujo de caja neto $ (540,753,000)
$ 461,752,287
$ 85,606,699
$ 91,774,167
$ 98,807,359
$ 106,807,474
Tabla 31 Escenario Pesimista
Escenario Optimista
FLUJO DE CAJA DEL PROYECTO “Optimista”
Año
ítem 0 1 2 3 4 5
Ingresos $ 632,501,000
$ 220,000,000
$ 242,000,000
$ 266,200,000
$ 292,820,000
Venta $ 450,000,000
Implementacion y puesta en Marcha de la solucion
$ 87,501,000
Licenciamiento $ 100,000,000
$ 105,000,000
$ 110,250,000
$ 115,762,500
Soporte tecnico $ 95,000,000
$ 120,000,000
$ 137,000,000
$ 155,950,000
$ 177,057,500
Préstamo
Egresos $ 69,283,447
$ 154,133,288
$ 163,322,618
$ 173,075,201
$ 183,426,465
Appliance
Nomina $ 69,283,447
$ 74,133,288
$ 79,322,618
$ 84,875,201
$ 90,816,465
Licenciamiento $ 80,000,000
$ 84,000,000
$ 88,200,000
$ 92,610,000
Depreciación
Interés
Flujo de caja antes de impuestos $ 563,217,553
$ 65,866,712
$ 78,677,382
$ 93,124,799
$ 109,393,535
Impuestos $ 168,965,266
$ 19,760,014
$ 23,603,215
$ 27,937,440
$ 32,818,060
Flujo de caja después de impuestos $ 394,252,287
$ 46,106,699
$ 55,074,167
$ 65,187,359
$ 76,575,474
Depreciación $ 67,500,000
$ 67,500,000
$ 67,500,000
$ 67,500,000
$ 67,500,000
Amortización
Inversión inicial (1000) $ 540,753,000
Flujo de caja neto $ (540,753,000)
$ 461,752,287
$ 113,606,699
$ 122,574,167
$ 132,687,359
$ 144,075,474
Tabla 32 Escenario Optimista
Análisis de sensibilidad.
Análisis de sensibilidad
PV TIO TIR VPN Costo Beneficio R
Escenario realista $ 200,000,000.00 20% 29.52% $ 81,465,615.31 1.88
Escenario optimista $ 220,000,000.00 20% 32.97% $ 115,757,828.53 1.97
Escenario pesimista $ 180,000,000.00 20% 25.78% $ 47,173,402.08 1.79
Tabla 33 Análisis de Sensibilidad.
Generando el flujo de caja del proyecto sin solicitar un préstamo para la inversión inicial, se identifica que en el escenario realista se tiene
un precio de venta de $200.000.000 con una tasa de interés de oportunidad del 20%, lo cual genera una tasa de interés de oportunidad de
29.52%, y un valor presente neto de $ 81.465.615, generando un costo beneficio de 1.88 es decir por cada peso invertido retomo 1.88
pesos. En el escenario Optimista se tiene un precio de venta de $220.000.000 con una tasa de interés de oportunidad del 20%, lo cual
genera una tasa de interés de oportunidad de 32.97%, y un valor presente neto de $ 115.757.828, generando un costo beneficio de 1.97
es decir por cada peso invertido retomo 1.97 pesos. . En el escenario Pesimista se tiene un precio de venta de $180.000.000 con una tasa
de interés de oportunidad del 20%, lo cual genera una tasa de interés de oportunidad de 25.78%, y un valor presente neto de $ 47.173.402,
generando un costo beneficio de 1.79 es decir por cada peso invertido retomo 1.79 pesos.
Teniendo en cuenta este análisis de sensibilidad se identifica que el proyecto es viable financieramente, ya que la proyección realizada en
los tres escenarios la TIR refleja el porcentaje esperado, y la VPN es positiva, y aunque los cambios en los tres escenarios es considerable
no se evidencian valores negativos que afecten el estudio financiero del proyecto.
Escenario Realista con préstamo de $100.000.000
FLUJO DE CAJA DEL PROYECTO “Realista con préstamo”
Año
ítem 0 1 2 3 4 5
Ingresos $ 632,501,000
$ 200,000,000
$ 220,000,000
$ 242,000,000
$ 266,200,000
Venta $ 450,000,000
Implementacion y puesta en Marcha de la solución
$ 87,501,000
Licenciamiento $ 100,000,000
$ 105,000,000
$ 110,250,000
$ 115,762,500
Soporte técnico $ 95,000,000
$ 100,000,000
$ 115,000,000
$ 131,750,000
$ 150,437,500
Préstamo $ 100,000,000
Egresos $ 69,283,447
$ 154,133,288
$ 163,322,618
$ 173,075,201
$ 183,426,465
Appliance
Nomina $ 69,283,447
$ 74,133,288
$ 79,322,618
$ 84,875,201
$ 90,816,465
Licenciamiento $ 80,000,000
$ 84,000,000
$ 88,200,000
$ 92,610,000
Depreciación
Interés $ 31,440,000
$ 28,058,494
$ 26,737,307
$ 17,771,793
$ 10,093,002
Flujo de caja antes de impuestos $ 531,777,553
$ 17,808,218
$ 29,940,075
$ 51,153,006
$ 72,680,533
Impuestos $ 159,533,266
$ 5,342,465
$ 8,982,023
$ 15,345,902
$ 21,804,160
Flujo de caja después de impuestos $ 372,244,287
$ 12,465,753
$ 20,958,053
$ 35,807,104
$ 50,876,373
Depreciación $ 67,500,000
$ 67,500,000
$ 67,500,000
$ 67,500,000
$ 67,500,000
Amortización $ 10,755,426
$ 14,136,932
$ 18,581,584
$ 24,423,634
$ 32,102,424
Inversión inicial (1000) $ 540,753,000
Recuperación capital de trabajo
Valor de salvamento
Flujo de caja neto $ (440,753,000)
$ 428,988,861
$ 65,828,821
$ 69,876,469
$ 78,883,471
$ 86,273,949
Tabla 34 Realista con Préstamo
Escenario Pesimista con préstamo de $100.000.000
FLUJO DE CAJA DEL PROYECTO “Pesimista con préstamo”
Año
ítem 0 1 2 3 4 5
Ingresos $ 632,501,000
$ 180,000,000
$ 198,000,000
$ 217,800,000
$ 239,580,000
Venta $ 450,000,000
Implementacion y puesta en Marcha de la solucion
$ 87,501,000
Licenciamiento $ 100,000,000
$ 105,000,000
$ 110,250,000
$ 115,762,500
Soporte tecnico $ 95,000,000
$ 80,000,000
$ 93,000,000
$ 107,550,000
$ 123,817,500
Préstamo $ 100,000,000
Egresos $ 69,283,447
$ 154,133,288
$ 163,322,618
$ 173,075,201
$ 183,426,465
Appliance
Nomina $ 69,283,447
$ 74,133,288
$ 79,322,618
$ 84,875,201
$ 90,816,465
Licenciamiento $ 80,000,000
$ 84,000,000
$ 88,200,000
$ 92,610,000
Depreciación
Interés $ 31,440,000
$ 28,058,494
$ 26,737,307
$ 17,771,793
$ 10,093,002
Flujo de caja antes de impuestos $ 531,777,553
$ (2,191,782)
$ 7,940,075
$ 26,953,006
$ 46,060,533
Impuestos $ 159,533,266
$ (657,535)
$ 2,382,023
$ 8,085,902
$ 13,818,160
Flujo de caja después de impuestos $ 372,244,287
$ (1,534,247)
$ 5,558,053
$ 18,867,104
$ 32,242,373
Depreciación $ 67,500,000
$ 67,500,000
$ 67,500,000
$ 67,500,000
$ 67,500,000
Amortización $ 10,755,426
$ 14,136,932
$ 18,581,584
$ 24,423,634
$ 32,102,424
Inversión inicial (1000) $ 540,753,000
Recuperación capital de trabajo
Valor de salvamento
Flujo de caja neto $ (440,753,000)
$ 428,988,861
$ 51,828,821
$ 54,476,469
$ 61,943,471
$ 67,639,949
Tabla 35 Pesimista con Préstamo
Escenario Optimista con préstamo de $100.000.000
FLUJO DE CAJA DEL PROYECTO
Año
ítem 0 1 2 3 4 5
Ingresos $ 632,501,000
$ 220,000,000
$ 242,000,000
$ 266,200,000
$ 292,820,000
Venta $ 450,000,000
Implementacion y puesta en Marcha de la solucion
$ 87,501,000
Licenciamiento $ 100,000,000
$ 105,000,000
$ 110,250,000
$ 115,762,500
Soporte tecnico $ 95,000,000
$ 120,000,000
$ 137,000,000
$ 155,950,000
$ 177,057,500
Préstamo $ 100,000,000
Egresos $ 69,283,447
$ 154,133,288
$ 163,322,618
$ 173,075,201
$ 183,426,465
Appliance
Nomina $ 69,283,447
$ 74,133,288
$ 79,322,618
$ 84,875,201
$ 90,816,465
Licenciamiento $ 80,000,000
$ 84,000,000
$ 88,200,000
$ 92,610,000
Depreciación
Interés $ 31,440,000
$ 28,058,494
$ 26,737,307
$ 17,771,793
$ 10,093,002
Flujo de caja antes de impuestos $ 531,777,553
$ 37,808,218
$ 51,940,075
$ 75,353,006
$ 99,300,533
Impuestos $ 159,533,266
$ 11,342,465
$ 15,582,023
$ 22,605,902
$ 29,790,160
Flujo de caja después de impuestos $ 372,244,287
$ 26,465,753
$ 36,358,053
$ 52,747,104
$ 69,510,373
Depreciación $ 67,500,000
$ 67,500,000
$ 67,500,000
$ 67,500,000
$ 67,500,000
Amortización $ 10,755,426
$ 14,136,932
$ 18,581,584
$ 24,423,634
$ 32,102,424
Inversión inicial (1000) $ 540,753,000
Recuperación capital de trabajo
Valor de salvamento
Flujo de caja neto $ (440,753,000)
$ 428,988,861
$ 79,828,821
$ 85,276,469
$ 95,823,471
$ 104,907,949
Tabla 35 Optimista con Préstamo
Análisis de sensibilidad.
Análisis de sensibilidad
PV TIO TIR VPN Costo Beneficio R
Escenario realista $ 200,000,000.00 20% 31.98% $ 75,603,310.09 1.88
Escenario optimista $ 220,000,000.00 20% 36.43% $ 109,895,523.31 1.97
Escenario pesimista $ 180,000,000.00 20% 27.01% $ 41,311,096.87 1.79
Tabla 36 Análisis de sensibilidad con Préstamo
Generando el flujo de caja del proyecto solicitando un préstamo de $100.000.000 para la inversión inicial, se identifica que en el escenario
realista se tiene un precio de venta de $200.000.000 con una tasa de interés de oportunidad del 20%, lo cual genera una tasa de interés
de oportunidad de 31.98%, y un valor presente neto de $ 75.603.310, generando un costo beneficio de 1.88 es decir por cada peso invertido
retomo 1.88 pesos. En el escenario Optimista se tiene un precio de venta de $220.000.000 con una tasa de interés de oportunidad del 20%,
lo cual genera una tasa de interés de oportunidad de 36.43%, y un valor presente neto de $ 109.895.523, generando un costo beneficio de
1.97 es decir por cada peso invertido retomo 1.97 pesos. . En el escenario Pesimista se tiene un precio de venta de $180.000.000 con una
tasa de interés de oportunidad del 20%, lo cual genera una tasa de interés de oportunidad de 27.01%, y un valor presente neto de $
41.311.096, generando un costo beneficio de 1.79 es decir por cada peso invertido retomo 1.79 pesos.
Teniendo en cuenta este análisis de sensibilidad se identifica que el proyecto es viable financieramente aun solicitando un prestamos de
$100.000.000 para la inversión inicial con una tasa de interés del 31.44%, ya que la proyección realizada en los tres escenarios la TIR
refleja el porcentaje esperado, la VPN es positiva, y aunque los cambios en los tres escenarios son considerables no se evidencian valores
negativos que afecten el estudio financiero del proyecto.
Amortización.
Se requiere generar un préstamo de $100.000.000 para la inversión inicial del proyecto,
por lo cual se genera la siguiente tabla de amortización con un interés del 31.44%, tasa
actual del valor promedio para créditos de libre inversión de una entidad financiera, este
préstamo se calcula con pago a 5 años, duración total del proyecto,
Cuota Anual -$ 42,195,426.24
Valor total interes $
110,977,131.18
Tabla de
amortización
Año Saldo Cuota Interes Abono a capital
$ 1.00 $
100,000,000.00 -$ 42,195,426.24 $
31,440,000.00 $
10,755,426.24
$ 2.00 $ 89,244,573.76 -$ 42,195,426.24 $
28,058,493.99 $
14,136,932.25
$ 3.00 $ 75,107,641.52 -$ 42,195,426.24 $
23,613,842.49 $
18,581,583.74
$ 4.00 $ 56,526,057.77 -$ 42,195,426.24 $
17,771,792.56 $
24,423,633.67
$ 5.00 $ 32,102,424.10 -$ 42,195,426.24 $
10,093,002.14 $
32,102,424.10
$ 0.00 $ 0.00 $ 0.00
Tabla 37 Tabla de Amortización
12. Estudio Legal y Ambiental
NORMOGRAMA AMBIENTAL
COMPONENTE AMBIENTAL
ASPECTO AMBIENTAL O TIPO DE PROCESO
TIPO DE NORMA NUMERO AÑO
ENTIDAD QUE LA EXPIDE DESCRIPCION
CONSUMO ENERGÍA
ELÉCTRICA
RECURSOS NATURALES Ley 697 2001
Congreso de la republica
Reglamenta el uso eficiente y ahorro del Energía. La ley no impone una obligación especifica para Americas BPS Art 1. Declárase el Uso Racional y Eficiente de la Energía (URE) como un asunto de interés social, público y de conveniencia nacional, fundamental para asegurar el abastecimiento energético pleno y oportuno, la competitividad de la economía colombiana, la protección al consumidor y la promoción del uso de energías no convencionales de manera sostenible con el medio ambiente y los recursos naturales.
CONSUMO ENERGÍA
ELÉCTRICA
RECURSOS NATURALES Decreto
697 3450
Articulo 1 y 2
2008
Gobierno
Nacional Por el cual se dictan medidas tendientes al uso racional y eficiente de la energía eléctrica.
RIESGOS AMBIENTALES
RECURSOS NATURALES Ley 1523 2012
Congreso de la republica
POR El CUAL SE ADOPTA lA pOlíTICA NACIONAL DE GESTiÓN DEL RIESGO DE DESASTRES Y SE ESTABLECE El SISTEMA NACIONAL DE GESTiÓN DEL RIESGO DE DESASTRES Y SE DICTAN OTRAS DISPOSICIONES".
CONSUMO ENERGÍA
ELÉCTRICA
RECURSOS NATURALES Ley 1672 2013
Congreso de la republica
Por la cual se establecen los lineamientos para la adopción de una política pública de gestión integral de residuos de aparatos eléctricos y electrónicos (RAEE).
RESIDUOS NO PELIGROSOS
SUELO Decreto
2811
Articulo 34
1974 Presidente de la republica En el manejo de residuos, basuras,
desechos y desperdicios
CONSUMO DE COMBUSTIBLES
LIQUIDOS ACPM Y FULL
OIL
AIRE Decreto 174 2016 Distrito Capital "Por medio del cual se adoptan medidas para reducir la contaminación y mejorar la calidad del Aire en el Distrito Capital"
CONSUMO DE AGUA
AGUA Decreto 1575 2007 Ministerio de la
proteccion Social
Por el cual se establece el Sistema para la Protección y Control de la Calidad del Agua para Consumo Humano
CONSUMO DE AGUA
AGUA Resolución
631 Articulos 14
y 15 2015
MINISTERIO DE AMBIENTE
Y
Por la cual se establecen los parámetros y los valores límites máximos permisibles en vertimientos puntuales a cuerpos de
DESARROLLO SOSTENIBLE
aguas superficiales y a sistemas de alcantarillado
RESIDUOS NO PELIGROSOS
SUELO Decreto 2041
Articulo 1 2014
MINISTERIO DE SALUD Y
PROTECCIÓN SOCIAL
Por el cual se reglamenta la gestión integral de los residuos generados en la atención y otras actividades.
CONSUMO DE AGUA
AGUA Decreto 2667 2012
MINISTERIO DE AMBIENTE
Y DESARROLLO SOSTENIBLE
Por el cual se reglamenta la tasa retributiva por la utilización directa e indirecta del agua como receptor de los vertimientos puntuales, y se toman otras determinaciones.
Tabla 38, Nomograma Ambiental.
El detalle de las leyes y decretos incluidos en el nomograma se encuentran en el anexo 6 Nomograma Ambiental.
13. Bibliografía
(1) https://www.grupocontrol.com/evolucion-de-la-seguridad-informatica (2) Christian Locher, Methodologies for evaluating information security investments, 2005. (3) (http://www.dinero.com/ Dinero, 2016) (4) ( http://www.acopi.org.co/) (5)(http://acis.org.co/revista139/content/tendencias-2016-encuesta-nacional-de-seguridad-inform%C3%A1tica) (6) http://contratacion.unicauca.edu.co/procesoscontract/2017-03-08-NoRes-206/ADENDA%20No.1%20CONVOCATORIA%2009.pdf (7) https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&cad=rja&uact=8&ved=0ahUKEwjlpZKZxsrUAhVCJCYKHaLUB5oQFggmMAA&url=https%3A%2F%2Fwww.contratos.gov.co%2Fconsultas%2FVerDocumentoPublic%3Fruta%3D%2F2016%2F2016Q3%2F2016%2FDA%2F111001017%2F16-1-160356%2FDA_PROCESO_16-1-160356_111001017_20328877.pdf&usg=AFQjCNHzK6LeyHP8MoZ-Lm2XkVppK64aCQ&sig2=eGK1bIvRgp7lRphvG8aTOA Especificaciones tecnicas, Unidad Administrativa Especial Agenda del Inspectos General de Tributos, Rentas y Contribuciones Parafiscales (8) https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=2&cad=rja&uact=8&ved=0ahUKEwjlpZKZxsrUAhVCJCYKHaLUB5oQFggrMAE&url=https%3A%2F%2Fwww.contratos.gov.co%2Fconsultas%2FVerDocumentoPublic%3Fruta%3D%2F2016%2F2016Q4%2F2016%2FDA%2F211001037%2F16-11-5632206%2FDA_PROCESO_16-11-5632206_211001037_21783194.pdf&usg=AFQjCNHh6LAmRvsGpqspSuDnIPocKlQaSQ&sig2=5HzPRYkymGDwiYtHEUZ1HA FICHA TECNICA PLATAFORMA DE SEGURIDAD INFORMATICA Minvivienda (9) http://fortinet.globalgate.com.ar/adm/pagesfiles/descargables/gartner-mq-utm-2016.pdf (10) http://www.solopiensoentic.com/cuadrante-magico-de-gartner/ (11) http://fortinet.globalgate.com.ar/adm/pagesfiles/imagenes/Comparacion2.bmp (12) http://fortinet.globalgate.com.ar/adm/pagesfiles/imagenes/Comparacion1.bmp (13) ( https://businessvalueexchange.com/es/2015/05/29/como-sera-la-seguridad-en-el-futuro-cinco-tendencias-clave/)
14. LISTA DE TABLAS
Tabla 1 Análisis de involucrados
Tabla 2 Cifras de Digiware sobre los ataques informáticos informatica-colombia-
para-2016/217635)
Tabla 3 Matriz de marco Lógico
Tabla 4 Empresas Competencia
Tabla 5. Estudio de precios
Tabla 6. Firewall Virtual
Tabla 7. Cuadro de costos Canal dedicado.
Tabla 8. FW Capa 3 y appliances dedicados
Tabla 9. NGFW UTM
Tabla 10, Plataforma de Logs y reportes.
Tabla 11. Plataforma de autenticación.
Tabla 12. Puntos de acceso
Tabla 13. Costos anuales
Tabla 14. Factores Subjetivos.
Tabla 15. Cuadro de ponderación subjetiva.
Tabla 16. FOI vs FSI
Tabla 17. MPL
Tabla 18. Código de proximidades
Tabla 19. Áreas diseño planta
Tabla 20. Identificación de espacios.
Tabla 21. Tabla áreas.
Tabla 22. Propuesta económica sede Dorado.
Tabla 23. Propuesta económica sede Carvajal
Tabla 24. Propuesta económica sede Fontibón
Tabla 25. Propuesta económica sede Cali
Tabla 26. Propuesta económica Servicios profesionales
Tabla 27. Tabla Resumen Propuesta económica.
Tabla 28 Nomina de Empleados
Tabla 29 Valor Nominal Anual Empleador
Tabla 30 Escenario Realista
Tabla 31 Escenario Pesimista
Tabla 32 Escenario Optimista
Tabla 33 Análisis de sensibilidad.
Tabla 34 Escenario Realista con préstamo
Tabla 35 Escenario Optimista Con Préstamo.
Tabla 36 Análisis de Sensibilidad con Préstamo
Tabla 37 Amortización
15. LISTA DE ESQUEMAS.
Esquema 1 (Análisis de involucrados)
Esquema 2(Árbol de problemas)
Esquemas 3 (Árbol de Objetivos)
Esquemas 4 (Estructura Analítica del proyecto)
Esquema 5 (Resultados de encuestas seguridad empresarial) http://www.eset-
la.com/co
Esquema 6 (Sectores interesados)
Esquema 7 (Tamaños de las empresas)
Esquema 8 (Responsable de la seguridad en las empresas)
Esquema 9. Diseño técnico de proyecto.
Esquema 10. Tabla relaciona actividades.
Esquema 11. Diagrama relacional de recorridos de la división operativa.
Esquema 12. Distribución de planta, Bloques.
Esquema 13. Diagrama relacional de espacios
Esquema 14. Diagrama relacional de espacios.
Esquema 15. Proceso de producción.
Esquema 16. Cuadrante Gartner NGFW UTM.
Esquema 17. Certificaciones seguridad informática.
Esquema 18. Servicios seguridad informática.
