Universidad Tecnologica de México

Programa educativo: Maestría en seguridad de tecnologías de la información

Materia: Dirección de seguridad

Profesor: Raymundo Santana Alquicira

Entregable Final: Caso de estudio

Alumno: Jonathan Samuel Santiago Valle

Ciclo: 23-3
 Jonathan Samuel Santiago Valle
Entregable Final: Caso de estudio

Contenido

Introducción....................................................................................................................................... 3

Organización...................................................................................................................................... 4

Objetivo .......................................................................................................................................... 5

Alcance ........................................................................................................................................... 5

Matriz RACI .................................................................................................................................. 7

Análisis de riesgos ............................................................................................................................. 8

Herramientas para el análisis de riesgos ..................................................................................... 9

Arquitectura de la infraestructura ............................................................................................ 14

Inventario ..................................................................................................................................... 14

Diagrama...................................................................................................................................... 15

Gestión de riesgos ............................................................................................................................ 18

Mitigación de amenazas .............................................................................................................. 18

Directrices de seguridad ............................................................................................................. 18

Matriz de controles ..................................................................................................................... 19

Políticas ........................................................................................................................................ 19

Inversión........................................................................................................................................... 21

Conclusión........................................................................................................................................ 25

Referencias ....................................................................................................................................... 26

2|Página
 Jonathan Samuel Santiago Valle
Entregable Final: Caso de estudio

Introducción

A lo largo de la materia de dirección de seguridad estudiamos diversos aspectos a tener en cuenta al

momento de realizar una estrategia de seguridad que nos permita establecer un gobierno de
tecnologías de la información y un sistema de gestión de seguridad de la información, entre ellos
encontramos la necesidad de conocer el contexto de la organización que nos permita conocer cuales
son las características, estrategias, y objetivos de la empresa, de este modo podremos conocer cuales
son sus activos, jerarquía, y procesos; y finalmente, partiendo de esta información podremos saber
cuál es la problemática del negocio, y sus necesidades para, en función de todo esto, planear, diseñar
e implementar una estrategia que permita resolver dicha problemática mientras satisface sus
necesidades.

Para ello es necesario que la estrategia de seguridad se pueda alinear con las de la organización, para
que todo este en función y a favor del negocio y sus objetivos, es por ello por lo que la solución de
seguridad no puede interferir o entorpecer dichos objetivos.

En el siguiente documento plantearemos un caso de estudio, ficticio, pero, que nos permita desarrollar
y poner en practica los temas vistos durante el curso. Para ello imaginaremos un caso nuevo de una
organización que tenga una antigüedad y niveles de madurez bajos, con ciertos problemas y
necesidades enfocados a la seguridad lógica de su infraestructura y buscaremos dar solución a dicha
problemática a partir del análisis de riesgos donde utilizaremos la metodología OCTAVE,
posteriormente, también utilizaremos y mezclaremos diversas metodologías en función de establecer
los controles y políticas que permitan dar soporte a la solución de seguridad que vamos a plantear.

Dentro de las herramientas que utilizaremos encontramos el análisis de riesgos y mapa de calor para
conocer cuales son las necesidades que debemos priorizar, también, utilizaremos la matriz RACI que
nos permita identificar y clasificar los roles y responsabilidades de los interesados, se incluirá una
matriz de controles donde se especifiquen dichas soluciones, también, agregare las políticas que den
soporte y cumplimiento a dichos controles y finalmente, se colocará la parte de inversión, para que
este documento incluya también la parte financiera que la estrategia debe considerar y comunicar al
negocio al momento de planear, diseñar e implementar la solución.

A continuación, se desarrolla el entregable final de la materia de dirección de seguridad que

corresponde a un caso practico de una estrategia de seguridad que da solución a una problemática.

3|Página
 Jonathan Samuel Santiago Valle
Entregable Final: Caso de estudio

Organización

El negocio bolitas y palitos S.A de C.V. fundada en febrero del año dos mil veinte y tres consiste en
ofrecer una pagina web para ventas de todo tipo de productos por internet, está abierta a cualquier
usuario para vender prácticamente cualquier tipo de artículos, de este modo, encontramos su:

• Misión: Proporcionar a los clientes la mejor selección de productos, los precios más
accesibles y la mayor comodidad para realizar sus compras en internet.1
• Visión: Consiste en elevar de manera continua el nivel positivo de experiencia del usuario a
través del internet y la tecnología, permitiendo, que, como consumidores, puedan encontrar,
descubrir, y, por ende, adquirir cualquier tipo de cosa.2
• Objetivo: Ser la opción número uno de los usuarios en internet cuando realicen la adquisición
de un producto por internet.

De este modo, podemos condensar esta información sobre la organización mencionando que sus
esfuerzos están enfocados en convertirse en la empresa número uno de ventas por internet a nivel
global. Para realizarlo, actualmente disponen de sus oficinas centrales y treinta y tres empleados.

Problemática

Actualmente, el negocio no cuenta con una infraestructura de redes de comunicación, están operando
con una computadora habilitada como servidor para su página web, correo electrónico y cualquier
otro servicio que necesiten lo centralizan ahí, además de cinco equipos de computo para los
operadores. Durante el tiempo en el que han operado, además de los problemas que conlleva no contar
con una infraestructura adecuada, han sufrido diversos ataques que consisten en denegación de
servicios (Ddos), virus, malware e intrusiones; lo cuál ha generado que los servicios estén inactivos
por un tiempo considerable, provocando no solo perdidas económicas, si no de confianza por parte
de los usuarios de la página, así como de las diversas tiendas y organizaciones que han buscado
integrarse a su modelo de negocio para ofrecer su negocio, resultando en una perdida de prestigio
para el negocio, perdiendo oportunidad de crecimiento en todos los ámbitos.

1
(Amazon, 2023)
2
(Amazon, 2023)

4|Página
 Jonathan Samuel Santiago Valle
Entregable Final: Caso de estudio

Objetivo

Una vez que conocemos las necesidades y la problemática de la organización, el objetivo se centrará
en satisfacer dichas necesidades y en solucionar la problemática planteada por la organización, siendo
así que debemos centrar los esfuerzos de esta estrategia de seguridad de tecnologías de la información
en satisfacer las necesidades del negocio, misma que consiste en implementar una infraestructura de
redes para la comunicación, y a su vez, se tiene que dar solución a la problemática del negocio, por
lo tanto, dicha implementación de la infraestructura de redes deberá garantizar la seguridad de los
activos de información, y cumplir con la confidencialidad, disponibilidad e integridad necesaria para
la operación de la organización, el cumplimiento de metas y objetivos, mientras soluciona los
problemas de seguridad planteados que consisten en ataques de denegación de servicios, intrusiones,
virus y malware.

Alcance

Tomando en cuenta la información sobre la organización con la que contamos tales como contexto,
necesidades y problemática, así como el objetivo de la implementación; por lo tanto, esta estrategia
de seguridad se centrará únicamente en la seguridad lógica del negocio, proporcionando el diseño, y
estructura de la red que les permita operar de manera segura, continua y ordenada, así como
proporcionar los controles para garantizar la seguridad de dicha infraestructura y las políticas que
permitan dar soporte y cumplimiento a estos controles de seguridad. Todo esto con la finalidad de dar
solución a la problemática planteada por la organización mientras se satisfacen sus necesidades de
manera estructurada y segura.

Cabe destacar que en esta estrategia no se tomarán en cuenta la seguridad física, la administración de
seguridad, otras áreas de la organización, así como otras necesidades y problemáticas de la
organización que no hayan sido planteadas en el contexto de la organización, en caso de que se
materialice alguna de estas opciones será necesaria la realización de una nueva estrategia, y por ende
un nuevo proyecto que será completamente distinto e independiente al desarrollado en este texto.

5|Página
 Jonathan Samuel Santiago Valle
Entregable Final: Caso de estudio

Justificación

Esta estrategia de seguridad de tecnologías de la información se realiza principalmente para diseñar

e implementar una infraestructura de redes de comunicación para la organización, ya que actualmente
opera de manera desordenada y poco práctica, lo cuál ha generado incidentes de seguridad, por lo que
a su vez se tiene que realizar garantizando la seguridad de dicha infraestructura mediante dispositivos,
controles y políticas.

También, se realiza por la necesidad de contar con un sistema que pueda estar disponible al menos
un noventa y nueve porcientos del tiempo por año, evitando perdidas financieras, de usuarios y
prestigio.

Además, se realiza para comenzar el proceso de madurez de la organización mediante un gobierno

de seguridad de tecnologías de la información, sin embargo, para que exista dicho gobierno es
necesaria una infraestructura, misma que actualmente no existe; por tal motivo, se realiza este
proyecto, centrando la estrategia en establecer dicha infraestructura que permita comenzar con el
proceso de madurez y que coloque los cimientos de un futuro gobierno de tecnologías de la
información.

Normativa

A continuación, se menciona cual es la normativa que será utilizada para la realización de la

estrategia, diseño e implementación de la infraestructura, así como los controles utilizados y las
políticas que soportaran dicha estrategia de seguridad:

• ISO 27001:2013: Para la seguridad de la información.

• ISO 9001:2015: Enfocada en los apéndices de contexto de la organización para conocer el
negocio, así como el apoyo y operación para desarrollar la documentación. Además, también
se tomará en cuenta para establecer los roles y responsabilidades.
• COBIT: Se empleará COBIT y sus controles para la planeación y diseño de la estrategia de
seguridad.
• OCTAVE: Se utilizará eta metodología para realizar el análisis y posterior gestión de riesgos.

6|Página
 Jonathan Samuel Santiago Valle
Entregable Final: Caso de estudio

• SAFE: Se utilizará el modelo SAFE de cisco para diseñar la infraestructura de la red en

módulos y distribuir los dispositivos y mecanismos de seguridad de la red, garantizando la
seguridad de esta.

Matriz RACI

A continuación, se muestra la matriz RACI indicando roles y responsabilidades durante el proceso de

planeación, diseño e implementación de la estrategia de seguridad de tecnologías de la información.

Se establece también la comunicación entre los responsables de la estrategia de seguridad y los

interesados, acordando dos juntas semanales, una el lunes al iniciar el día y otra los viernes al finalizar
donde se deberán expresar los objetivos a realizar en dicha semana, así como si se han conseguido o
no, y porque, además de tratar cualquier cuestión que impida la realización de dicho proyecto. El

7|Página
 Jonathan Samuel Santiago Valle
Entregable Final: Caso de estudio

canal puede ser presencial o en línea mediante el Microsoft teams de la organización, dependiendo
de las necesidades e intereses de los stalkeholers.

Análisis de riesgos

Para realizar el análisis de riesgo se utilizará la metodología OCTAVE, a continuación, se muestra el

plan de trabajo:

• Requisitos de seguridad de la organización.

1. Activos: Actualmente la organización cuenta con una maquina habilitada como
servidor para cualquier servicio que necesiten, incluyendo web SMNTP, etc,
además de cinco equipos de computo y treinta y tres empleados incluyendo
administrativos y gente de campo (Repartidores).
2. Amenazas: Consisten en ataques de denegación de servicios, intrusiones, virus y
malware. Así como la interrupción de la continuidad de negocio.
3. Practicas: Actualmente la organización no cuenta con prácticas de seguridad, no
existen prácticas para el uso y gestión de contraseñas, así como el
almacenamiento, tratamiento y procesamiento de información; todo se maneja de
manera desorganizada como si se tratará de una computadora personal.
4. Procesos: Sus procesos consisten en análisis de la solicitud del cliente,
procesamiento de la solicitud, entrega y post venta.
5. Requisitos de seguridad: Una infraestructura que garantice la disponibilidad,
confidencialidad e integridad de los dispositivos y activos de información para
realizar los procesos de la organización.
• Vulnerabilidades de la infraestructura.
1. Vulnerabilidades técnicas: No existe una infraestructura de redes, los activos con los
que cuentan no son los adecuados para realizar las operaciones del negocio, no
cuentan con mecanismos de seguridad ni controles de acceso a sus dispositivos.
2. Componentes clave: Servidores, switches, cores, VPN, endpoint.
• Estrategia de gestión de riesgos:
1. Riesgos: Manejo de tecnologías de la información, manejos de servicios, riesgos
cibernéticos, corrupción, perdida o eliminación de información, robo de credenciales,
intrusiones, ataques de denegación de servicios.

8|Página
 Jonathan Samuel Santiago Valle
Entregable Final: Caso de estudio

2. Estrategia de seguridad: Se diseñará e implementará una infraestructura de seguridad

que garantice la disponibilidad, confidencialidad, e integridad e la red, está además
será adecuada para realizar los procesos del negocio, facilitando la consecución de
sus objetivos.
3. Planes de mitigación: Consiste en implementar mecanismos, dispositivos, controles
y políticas de seguridad que puedan respaldar la estrategia y proporcionar a los
usuarios, gerencia y alta dirección la certeza de que realizan sus procesos y manera
segura.

Herramientas para el análisis de riesgos

Para realizar esta parte tomaré en cuenta la metodología que he trabajado anteriormente en el
entregable correspondiente a la materia de seguridad de la infraestructura de tecnología de la
información, sin embargo, las matrices son realizadas nuevas y exclusivamente para este
documento.3

Para complementar el análisis de riesgos utilizaremos diversas herramientas que nos permitan
identificar los riesgos, amenazas, con la finalidad de gestionarlos realizando la priorización y
posterior diseño e implementación de la solución.

• Matriz de riesgos: En esta matriz de riesgos se analizan los activos críticos identificados
durante el proceso de contexto de la organización y haciendo uso de la metodología
OCTAVE, siendo estos el servidor, equipos de cómputo, página web, y base de datos. Para
realizar esta matriz se toman en cuenta los siguientes parámetros donde A es Amenaza, P es
Probabilidad, I es impacto y NR es el nivel de riesgo al cual esta sometido el activo, y este se
obtiene a través de la multiplicación entre la probabilidad y el impacto. Finalmente, para
considerar el riesgo ideal debe ser menor a dos.4

También, para la realización de esta matriz se tomo en cuenta el alcance de la estrategia, por
lo que no se tomará en cuenta la seguridad física, centrándose únicamente en la seguridad
lógica de dichos activos.

3
(Santiago Valle, Seguridad en la infraestructura de tecnologías de la información, 2022)
4
(Santiago Valle, Seguridad en la infraestructura de tecnologías de la información, 2022)

9|Página
 Jonathan Samuel Santiago Valle
Entregable Final: Caso de estudio

• Calculadora de riesgo de OWASP: Es una calculadora que toma en cuenta factores de agente
de la amenaza, y vulnerabilidad para obtener la probabilidad, mientras que analiza factores
técnicos de impacto e impacto de negocios para determinar cuál es el impacto, por lo que la

10 | P á g i n a
 Jonathan Samuel Santiago Valle
Entregable Final: Caso de estudio

utilizaremos analizando cada uno de nuestros activos para obtener más información en el
análisis de riesgos y proceder a la gestión de riesgos.
1. Base de datos:

2. Equipos:

11 | P á g i n a
 Jonathan Samuel Santiago Valle
Entregable Final: Caso de estudio

3. Página web:

4. Servidor:

12 | P á g i n a
 Jonathan Samuel Santiago Valle
Entregable Final: Caso de estudio

• Mapa de calor: A partir de los resultados obtenidos en la matriz de riesgos y la calculadora e

riesgos e OWASP, podemos realizar este mapa y priorizar los riesgos para saber a cuál
debemos prestarle más atención y tratar inmediatamente, siendo los resultados.

Resultando las prioridades por orden:

1. Servidor: Con un nivel de riesgo del 10.353 su probabilidad, así como su impacto se
consideran altos, por lo que, será el riesgo de seguridad al cual se le dé prioridad,
atendiéndolo primero. Además, es el activo donde se alojan los servicios, comenzando
por la pagina web, por lo que es de máxima importancia.
2. Página web: Con un nivel de riesgo del 5.200 su probabilidad, así como su impacto se
considera medio, además, por la criticidad, ya que la pagina es el alma del negocio, es
necesario securizarlo, por lo que, después de mitigar el servidor donde esta se aloja es
necesario atenderlo.
3. Base de datos: Con un nivel de riesgo del 2.852 su probabilidad es baja, pero, su impacto
es medio, por lo que, aunque es poco probable que algo pase, si una amenaza llegará a
materializarse, el daño sería lo suficientemente fuerte para causar estragos financieros, o
de prestigio para el negocio.
4. Equipos de cómputo: Finalmente, con un nivel de riesgo del 2.333 su probabilidad, así
como su impacto es bajo, por lo que, aunque se llegará a materializar una amenaza esta
no tendría impacto en la continuidad del negocio y los años causados serían manejables,
por lo tanto, dentro de la escala de prioridades será el último en atender.

13 | P á g i n a
 Jonathan Samuel Santiago Valle
Entregable Final: Caso de estudio

Arquitectura de la infraestructura

Para esta parte de arquitectura de le infraestructura también tomaré como referencia el entregable
final de la materia de seguridad en la infraestructura de tecnología de la información, de esta me
base para los dispositivos, mecanismos y controles necesarios para diseñar la red; así como el
entregable final de la materia de arquitectura de seguridad, donde de esta tome la metodología
SAFE de cisco para basar la infraestructura de redes.5

Este apartado se divide en dos, el primero sería el inventario, que a su vez se divide en dos partes, la
primera, el inventario con el que cuenta actualmente la organización, y la segunda parte, la cual
consiste en el inventario de dispositivos que se necesitaran para la infraestructura de redes que se
implementará; y la otra parte, correspondiente al diagrama de red de la infraestructura, que a su vez,
también se divide en dos, el diagrama actual del negocio, y el diagrama de red que se diseñara para
implementar esta estrategia de seguridad.

Inventario

A continuación, se define el inventario de la organización entre las partes anteriormente

mencionadas:

• Actual: La organización cuenta con un servidor y con cinco equipos de computo para
desarrollar sus procesos.
• Para la estrategia: Para el diseño e implementación de la estrategia se consideran los
siguientes dispositivos.
1. Servidor de control de accesos.
2. Servidor OTP para contraseñas únicas.
3. Servidor para antivirus.
4. Servidor de correo (SMTP y POP3).
5. Servidor DNS.

5
(Santiago Valle , Diseño de arquitectura e seguridad de tecnologías de la información, 2022)

14 | P á g i n a
 Jonathan Samuel Santiago Valle
Entregable Final: Caso de estudio

6. Servidor FTP/HTTP.
7. Servidor web.
8. Servidor de base de datos.
9. Servidor de aplicaciones.
10. Servidor de acceso telefónico.
11. Host de sysadmin.
12. Host de syslogs.
13. Host SNMP.
14. Network-based Intrusión detection System (NIDS).
15. Inrusion Detection System.
16. Telefonía IP.
17. Gestor de llamadas.
18. Firewall.
19. Filtro de direcciones URL.
20. Concentrador VPN.
21. RouterVPN.
22. Switch de capa dos.
23. Switch de capa tres.
24. Router IOS.
25. Estaciones de trabajo.

Diagrama

A continuación, se muestra el diagrama de red de la organización entre las partes anteriormente

mencionadas:

• Actual: La organización no cuenta con una infraestructura de redes, que es parte de la

problemática a la cual se le va a dar solución dentro de la estrategia que estamos
planteando.
• Para la estrategia: El diseño de la infraestructura se realizará en módulos siendo estos
módulos de gestión, central, distribución del negocio, acceso al negocio, distribución del
contorno, internet del negocio, VPN y acceso remoto y WAN.
1. Diagrama de los módulos.

15 | P á g i n a
 Jonathan Samuel Santiago Valle
Entregable Final: Caso de estudio

2. Módulo de gestión:

3. Módulo VPN:

6
(Convery & Trudel, 200)
7
(Convery & Trudel, 200)

16 | P á g i n a
 Jonathan Samuel Santiago Valle
Entregable Final: Caso de estudio

4. Módulo de internet:

5. Módulo de comercio electrónico:

10

8
(Convery & Trudel, 200)
9
(Convery & Trudel, 200)
10
(Convery & Trudel, 200)

17 | P á g i n a
 Jonathan Samuel Santiago Valle
Entregable Final: Caso de estudio

6. Módulo de telefonía IP:

11

Gestión de riesgos

Mitigación de amenazas

Una vez definidos los dispositivos y diseñado el diagrama para la infraestructura de la red, encuentro
pertinente mencionar cuales son las amenazas que se mitigan con la implementación de dichos
artefactos de red, tomando en cuenta los factores de necesidades, problemática de la organización y
el análisis de riesgos realizado para fundamentar la estrategia, resultando en las siguientes amenazas
mitigadas:

• Acceso no autorizado.
• Spoofing.
• Reconocimiento de la red.
• Virus y malware.
• Ataques a la capa de aplicaciones.
• Redireccionamiento de puertos.
• Packet sniffers.
• Man in the middle.
• Ataques de contraseñas.
• Denegación de servicios.

Directrices de seguridad

11
(Convery & Trudel, 200)

18 | P á g i n a
 Jonathan Samuel Santiago Valle
Entregable Final: Caso de estudio

Para que la estrategia de seguridad funcione, es necesario respaldarla con directrices de seguridad que
permitan garantizar la seguridad de la información y la continuidad del negocio. A continuación, se
presentan la matriz de controles y las políticas de seguridad para esta estrategia.

Matriz de controles

Se realiza la matriz de controles de seguridad utilizados durante el ciclo de vida de esta estrategia.

Políticas

Después de realizar el diseño de la infraestructura, y de establecer los controles de seguridad lógica,

ambos enfocados en las necesidades, problemática y análisis de riesgos de la organización, es
pertinente y necesario establecer una serie de políticas que permitan soportar nuestra infraestructura
y gestionar los riesgos a partir del comportamiento de los usuarios utilizando normativa y directrices
de seguridad adecuadas a nuestros fines, que en este caso, es la seguridad lógica, para ello se
establecerán las siguientes políticas:

• Se deberán utilizar contraseñas con un mínimo de doce caracteres de largo, estas deben incluir
por lo menos una letra mayúscula, una minúscula, un número y un carácter especial, además,
se deberán omitir aquellas contraseñas comunes como fecha de nacimiento, nombres, número
de empleado, etc, es decir, cualquiera definida en el documento de contraseñas no permitidas.
• Las contraseñas tendrán una caducidad de noventa días, por lo que será necesario renovarlas
antes de que se venza el plazo o de lo contrario se perderá acceso.

19 | P á g i n a
 Jonathan Samuel Santiago Valle
Entregable Final: Caso de estudio

• Se deberá identificar, autentificar y autorizar a los usuarios que tengan acceso a la red,
dispositivos e información, además, de segmentarlos en roles y privilegios a partir e su área
y responsabilidades para proporcionar el acceso a dichos activos.
• Los usuarios de los colaboradores que ya no se encuentren dentro de la organización deberán
ser eliminados de manera inmediata o previamente, así como será necesario retirar los
dispositivos de la organización tales como equipos de cómputo, teléfonos, etc. Con la
finalidad de quitar cualquier acceso que pudiesen tener a la red e información de la
organización, incluyendo terceros como proveedores.
• Siempre que se acceda a la red desde un sitio que no sea dentro de la organización se deberá
acceder haciendo uso de la VPN.
• La información de la organización dentro de los equipos de computo deberá ser cifrada
mediante MD5 y SHA-256, además, se establecerá un mecanismo de cifrado de disco duro.
• La información de la organización solo puede viajar mediante los canales de comunicación
de la organización, además, deberá viajar cifrada mediante MD5 y SHA-256.
• Todos los dispositivos de la organización deberán contar con las actualizaciones más
recientes del sistema, de sus aplicativos y de seguridad disponibles a la fecha.
• Todos los dispositivos de la organización deberán tener instalado el antivirus y antimalware
proporcionado por la organización.
• Se establecerán ACL’s y proxys para limitar el trafico en la red y prohibir el acceso a los
activos y dispositivos fuera del alcance del usuario mediante los roles y responsabilidades,
así como se quitará acceso a paginas de ocio como redes sociales, video, streaming, juegos,
etc.
• Se establecerá una white list sobre los aplicativos que se podrán instalar dentro de los
dispositivos de la organización, y estos serán gestionados por el equipo de tecnologías de la
información.
• Se limitarán los archivos descargados, no permitiendo realizar cualquier tipo de descarga de
información hacia los activos de información sin que este previamente autorizada.
• Se deberá capacitar a los empleados, desde los administradores de la red, hasta los usuarios,
para que cada uno pueda cumplir con su rol y responsabilidad de manera adecuada. Se deberá
concientizar sobre los riesgos de seguridad de la infraestructura y el impacto en caso de que
se materialice alguna amenaza.
• Se establecerá una dirección de seguridad de la información, donde se encontrará el
responsable del gobierno de tecnologías de la información, el CISO de la organización, quien

20 | P á g i n a
 Jonathan Samuel Santiago Valle
Entregable Final: Caso de estudio

dirigirá, administrará e implementará nuevas estrategias, diseños y soluciones de seguridad

requeridas por la organización en el futuro.
• La dirección de seguridad de la información se encargará de gestionar el equipo de gestión
de incidentes que proporcionará el apoyo y respaldo adecuado a la operación en caso de algún
incidente de seguridad.
• Dentro de la dirección de tecnologías de la información además de la gerencia de tecnologías
de la información que se encargará de gestionar los activos de información de la organización.
• La dirección de tecnologías de la información se encargará del área de gestión de incidentes
a la operación, es decir, mesa de ayuda, que proporcionará apoyo y respaldo al área operativa
en caso de requerirlo.

Inversión

Para realizar el cálculo de la inversión que requerirá la organización para implementar dicha
estrategia se tendrán en cuenta varios factores como:

• Dispositivos: Dentro de este apartado se considerarán los costos

1. Servidores: Servidor Dell Poweredge T140 Intel Xeon E-2224 16gb, 1tb
25,219$ y se necesitaran diez, resultando, 252,190$
2. Host: 2,799$ y diez que usaran 27990$
3. Network-based Intrusión detection System (NIDS): Nordlayer 5,500$
4. Inrusion Detection System: Nordlayer 3,299.85$
5. Telefonía IP: Cisco Teléfono 4 líneas Display 3.5 2,278.60$ se usarán diez y
seis 36457.6$
6. Gestor de llamadas: Cisco 7,500$
7. Firewall: Cisco Meraki Go Router Firewall Plus | Cloud Managed | VPN
7,218.53$ se necesitarán dos 14437.06$
8. Concentrador VPN: Cisco anyconnect 33,599.70$
9. Router VPN e IOS: Router de seguridad Gigabit Ethernet Cisco 891F con SFP
modelo C891F-K9 11,029.00$ necesitaremos dos 22,058$
10. Switch de capa dos: Cisco Conmutador no administrado Business CBS110-
16T-D 2,973.14$ y se necesitaran seis, resultando 17838.84$

21 | P á g i n a
 Jonathan Samuel Santiago Valle
Entregable Final: Caso de estudio

11. Switch de capa tres: CISCO DESIGNED Business CBS220-24T-4G Smart

Switch | 24 Puertos GE | 4x1G SFP 5,183.85 y se necesitarán tres, siendo,
15551.55$
12. Estaciones de trabajo: Thinkstation P70 Lenovo Intel Xeon E5-2620 32 GB
Ram 1 TB Rom 10,999$ el negocio requiere ocho 87992$
13. Cableado: El estimado total de todos los cables, incluyendo conexiones de
red, ethernet, coaxial, fibra óptica, etc. Es de 49,999.85$

• Personal externo: Se considerarán el personal externo cada posición, por cuantas personas
se necesitan por posición y finalmente las horas que se estima durara el proyecto:
1. CISO: Se encargará de la planificación, diseño e implementación, el proyecto
consta de 250 horas con costo cada una de 50$ resultando 12500$
2. Ingeniero de redes: Se encargará de apoyar en el diseño y la implementación de
la infraestructura y los dispositivos de la gestión de riesgos que den solución a
la problemática el negocio y satisfagan las necesidades de este. Se consideran
150 horas a 35$ siendo 5250$ por cuatro personas del equipo 21000$

22 | P á g i n a
 Jonathan Samuel Santiago Valle
Entregable Final: Caso de estudio

3. Ingeniero de pruebas: Se encargará de probar que la implementación e la

infraestructura sea correcta, se considerarán 75 horas a 30$ resultando 2250$
por dos que serán en el equipo 4500$

• Personal interno: Se consideran las posiciones que el negocio necesitará a partir de

implementación del gobierno de tecnologías de información, así como el salario anual, que
será una inversión a futuro.
1. CISO: Se encargará de la administración de la estrategia de seguridad de la
información y del gobierno, así como la mejora continua una vez que termine la
implementación; se estima un salario anual de 600,000$
2. Gerente de seguridad: Se encargará de apoyar con la administración de la estrategia
y el gobierno de seguridad enfocado al área operativa; se estima un salario anual
de 300,000$
3. Ingeniero de soporte: Será el personal enfocado en ar soporte al área en caso de los
incidentes operativos y de seguridad estima un salario anual de 150,000$ y un
equipo de ocho personas.

23 | P á g i n a
 Jonathan Samuel Santiago Valle
Entregable Final: Caso de estudio

Además, a la inversión final se le agregara el costo del mantenimiento anual para que este
contemplado dentro de los gastos de la organización, el plan financiero y se tome la decisión
completamente documentada.

Resultando la traba final de la inversión:

24 | P á g i n a
 Jonathan Samuel Santiago Valle
Entregable Final: Caso de estudio

Conclusión

Este documento tuvo como objetivo poner en práctica los conocimientos adquiridos y las habilidades
desarrolladas durante el curso de dirección de seguridad, para ello es necesario que tengamos un
panorama completo, es por eso, que para establecer una dirección de seguridad efectiva tenemos que
tener en cuenta la planeación, que es el paso donde nos enfocamos en conocer el contexto de la
organización, desde su misión, visión, objetivos, estrategia, valores, empleados, jerarquía, inventario
etc, cualquier cosa que nos permita conocer sus necesidades y problemática a las cuales vamos a
proporcionar una solución; además, si generamos dicho conocimiento podremos saber cuáles son las
vulnerabilidades, y amenazas posteriormente, teniendo en cuenta dichos factores, vamos a generar un
diseño de la solución, que se encargará de gestionar los riesgos encontrados en la fase previa de
análisis de riesgos, y saber que estrategias, mecanismos, dispositivos y controles vamos a
implementar para estructurar y fortalecer nuestra estrategia. El siguiente paso consiste en la
implementación, donde ponemos en practica y probamos las soluciones que diseñamos a partir de las
fases previas, se coloca en operación y finalmente se monitorea y a partir de los resultados se vuelve
a planificar, encontrar necesidades, problemáticas, diseñar soluciones e implementar las mejoras.

Aunque en este documento de un caso de estudio nos centramos en la planificación, necesidades,

problemática, y diseño de la estrategia, y por razones practicas no es posible realizar la
implementación, pruebas, monitorización mejora continua, dentro del desarrollo de la estrategia se
tomaron en cuenta todos estos factores, con la finalidad de que dicha estrategia, con sus respectivas
modificaciones se pueda materializar en una organización. Que es la finalidad del curso, poder aplicar
nuestros conocimientos y habilidades en nuestra vida profesional.

También, en este documento se utilizaron diversas normativas, y metodologías que son importantes
al momento de desarrollar estrategias de seguridad, así como herramientas para el análisis de riesgos
como la matriz de riesgos y el mapa de calor, así como la matriz RACI para roles y responsabilidades
y la matriz de controles para la seguridad lógica.

Finalmente, la idea principal y el objetivo del curso es implementar un gobierno de seguridad, y es el

objetivo de este documento, si no hacerlo de cero a cien, por lo menos, centrar un alcance que nos
permita implementar una parte, pero teniendo en cuenta todos los factores para realizarlo. Pienso que
se cumplió el objetivo profesional planteado al inicio el curso y en la introducción de este documento.

25 | P á g i n a
 Jonathan Samuel Santiago Valle
Entregable Final: Caso de estudio

Referencias

Amazon. (30 de Mayo de 2023). Amazon. Obtenido de Amazon:

https://www.amazon.jobs/es/landing_pages/about-amazon

Convery, S., & Trudel, B. (200). Cisco SAFE: Un modelo de seguridad para las redes de las empresas.
San Jose, CA: Cisco Systems, Inc.

Díaz Rincón, H., Echevarría Chan, I., Navarrete Prieto, J., Marban Cabrera, M., & Laguna López de
Nava, I. (Enero de 2018). Universidad Autónoma de Baja California. Obtenido de
Universidad Autónoma de Baja California:
http://fcqi.tij.uabc.mx/usuarios/revistaaristas/numeros/N12/articulos/56-64.pdf

International Organization for Standardization. (2014). ISO/IEC:27001. Madrid: AENOR.

Network Working Group. (Septiembre de 1997). IETF. Obtenido de IETF:

https://www.ietf.org/rfc/rfc2196.txt

Ontoria Gonzalo, S., & Folgueras Marcos, A. (2011). Gobierno y modelado e la seguridad de la
información en las organizaciones. Madrid: Escuela politécnica de madri.

Open Web Application Security Project. (30 de Mayo de 2023). OWASP. Obtenido de OWASP:
https://owasp.org/www-project-risk-assessment-framework/

Open Web Application Security Project. (30 de Mayo de 2023). OWASP risk calculator. Obtenido
de OWASP risk calculator: https://owasp-risk-rating.com/

Santiago Valle , J. (2022). Diseño de arquitectura e seguridad de tecnologías de la información.

Ciudad de México: Universidad Tecnológica de México.

Santiago Valle, J. (2022). Seguridad en la infraestructura de tecnologías de la información. Ciudad

de México: Universiad Tecnológica de México.

26 | P á g i n a