Proyecto integrador de seguridad informatica

Servicio de asesoría y resolución de ejercicios ciencias_help@hotmail.com

Pide una cotización a nuestros correos.

Maestros Online

P. I. de seguridad
informática

Apoyo en
ejercicios

Servicio de asesorías y solución de ejercicios

Ciencias_help@hotmail.com

www.maestronline.com


ANEX, INC., la administración de riesgos y la selección de
tecnología de Seguridad de Información (parte 1)

Introducción:

Las empresas modernas han considerado el uso de la tecnología de información (TI) un
elemento estratégico indispensable para otorgar las muy necesarias precisión y rapidez de
información requeridas por la economía actual. Esto, aunado a la aparición de Internet y
particularmente de la llamada WWW – World Wide Web, ha afectado significativamente la
manera en que las empresas interactúan con sus mercados. De ser considerada un costo, la
TI ha pasado a ser un elemento estratégico indispensable, si las empresas pretenden
mantener una posición competitiva ante la competencia. Si bien el nuevo entorno presenta a
las empresas nuevas oportunidades, también presenta nuevas amenazas, la mayoría
provenientes de fuentes insospechadas. El contar con mecanismos de protección específica
contra estas amenazas no es siempre bienvenido y mucho menos comprendido. Los recursos
de las empresas, siempre limitados y orientados a las inversiones estratégicas, no reconocen
los riesgos asociados con el entorno informático, como críticos para la supervivencia de las
organizaciones.

Pregunta detonante:

 ¿De qué medios disponen las empresas para probar el valor efectivo de las
soluciones de seguridad de información?
 ¿Cómo pueden las empresas determinar la mejor manera de invertir sus recursos
para protegerse adecuadamente?
 Menciona al menos tres metodologías de administración de riesgos y proporciona las
ligas electrónicas a su contenido

ANEX, INC., la administración de riesgos y la selección de
tecnología de Seguridad de Información (parte 2)
Como Gerente de Seguridad de Información de una empresa mediana, ANEX, INC., recibe la
visita del Director General, su jefe, quien recientemente ha leído un artículo en una revista
especializada en Tecnología de Información. Su jefe le externa la preocupación por el
contenido de uno de los artículos, uno enfocado en ataques provocados por una variedad
particular de gusano informático. Su jefe le dice “Estamos constantemente amenazados vía
Internet y no tenemos un plan claro de optimización de nuestros recursos de seguridad:
¿cómo podemos determinar el riesgo de que este gusano infecte nuestros equipos de
cómputo?, ¿cómo podemos justificar la adición de una solución antivirus, cuando hasta el
momento hemos podido mantener a raya los virus sin requerir de estas soluciones?

Su jefe le pide que lea el artículo, el artículo dice:

“En Enero 30 de 2008, un nuevo gusano llamado W32/Sober.k@MM fue descubierto. Esta



nueva variante, escrita en VB manifiesta las siguientes características:

 Contiene su propia máquina de SMTP
 Las direcciones origen/destino de correo electrónico son extraídas de la
máquina de la víctima
 Los mensajes de salida pueden ser en Inglés o Español
 Propagación de correo
 Fabrica el encabezado “From” de los mensajes construidos

El gusano es empacado con UPX.
El gusano extrae las direcciones destino de correo electrónico de la máquina de la víctima y
las escribe en el archivo DATAMX.DAM en el directorio %SysDir%. La importancia del
mensaje es clasificada como “High” (esta tendrá un efecto sólo para ciertos clientes de correo
electrónico)…”

Problemática:

Después de leer este artículo, su jefe le pide que lleve a cabo una evaluación de riesgos y
haga algunas sugerencias sobre la posible adquisición de una solución antivirus.

A. El formato que deberá utilizar para identificar los riesgos asociados es el siguiente:

Nivel Nivel Nivel
Activos Amenazas Vulnerabilidad Prioridad Controles
A/M/B A/M/B A/M/B

(A: alto = 3, M: medio = 2, B: bajo = 1) La Prioridad se determina por el producto de los
Niveles de Activo, Amenaza y Vulnerabilidad. Cada activo puede estar sujeto a varias
amenazas y vulnerabilidades, se le pide considere tres amenazas y tres vulnerabilidades por
activo.

 El análisis de riesgos que deberá realizar no se circunscribe exclusivamente a riesgos
asociados a virus/gusanos
 Por simplicidad, se le solicita que el análisis de riesgos lo haga sobre los tres activos
más importantes de la empresa: información, servidores e imagen de la empresa.
 Se le solicita que sugiera los controles aplicables (en base al anexo A del estándar de
seguridad de información ISO/IEC 27001:2005) para las principales vulnerabilidades
con los impactos de seguridad más altos.

B. Usted tiene una metodología de evaluación de riesgos basada en la ALE (Annual Loss
Expectancy - Expectativa de Pérdida Anual). La ALE es el producto de la Tasa de Ocurrencia
Anual o Anualizada (ARO = Annual Rate of Occurrence) por la Expectativa de Pérdida Única
(SLE = Single Loss Expectancy).

 Las condiciones bajo las cuales ha de hacer los cálculos para determinar el ALE son
que el número de equipos que tiene que considerar para el ejercicio es de 100. Por
otra parte, después de estudiar las condiciones de operación de la empresa, en
cuanto a conectividad y uso de Internet en la organización, asume que el factor de
exposición promedio es, para un virus o gusano típico, del 1%. Además, usted espera
que el número promedio de ataques en un año cualquiera ascienda a 6.
 Para la recuperación de un ataque de virus/gusano considera que el costo promedio



de la mano de obra por remoción de virus en cada computadora es de $2,000
dólares, en tanto que el costo de la recuperación de datos asciende a $3,000 dólares.
 De acuerdo a sus estimaciones, la productividad del personal se vería afectada de tal
forma que usted estima que el costo ascendería a $2,000 dólares en promedio.
 Determine la ALE.

C. Por otra parte, el costo de la licencia anual por sitio de una solución anti-virus es de
$65,000 dólares.

 ¿Bajo qué condiciones se justificaría la inversión en el software para su compañía?
 Incluya las consideraciones que haya tomado para el cálculo y la decisión.

El Caso de la Compañía Zima2 (parte 1)

Importancia de la Seguridad en Redes-Seguridad en Redes

¿Podrá Zima2 comprender que la Seguridad de Información debe ser parte de sus
planes estratégicos?

Introducción

Desde el año 2001 se han presentado una serie de ataques de códigos maliciosos a grandes
y medianas corporaciones que les han causado cuantiosas pérdidas.

En los últimos años, desde 2003, se ha podido constatar que los ataques han continuado y se
han sofisticado en sus técnicas de ataque y están siendo comandados por bandas que se
dedican a actividades maliciosas en lugar de hackers que lo hacían para satisfacer su ego.

La Compañía Zima2 ha sido una de las miles de Organizaciones que han sido atacadas por
estas Bandas. Es sabido que en los últimos meses los ataques son a objetivos particulares o
Activos de Información que son críticos para la operación de estas Organizaciones.

La Dirección General de Zima2 no sabe por el momento que camino tomar, uno puede ser
recurrir a demandas legales, otro puede ser implementar controles de Seguridad de
Información, apostar que los ataques van a disminuir, cancelar una serie de servicios en línea
que son accesados desde Internet para bajar los riesgos.

Pregunta Detonante:

 ¿Cuál crees que han sido las razones determinantes para que bandas Internacionales
maliciosas estén realizando sus actividades mediante el ciberespacio?, nombrar al
menos cinco razones justificando cada una en detalle.
 De los caminos mencionados que podría tomar la Dirección General, para cada uno
menciona la conveniencia o no de tomarlos.
 ¿Cómo consideras que podría afectar si hay personas infiltradas de Bandas



organizadas en ZIma2?

La Compañía Zima2.

La Compañía Zima2 es una organización que fabrica productos Químicos desde 1977 que fue
fundada por Don Facunado Zima.

Esta organización ha crecido en forma exponencial gracias a su diversidad de productos y
que el NAFTA ha ayudado a su expansión en USA y Canadá.

Actualmente cuenta con 4,800 empleados, en 19 oficinas en México y Estados Unidos, su
cuartel general está en Monterrey NL México.

La TI de Zima2.

Cuenta con un sistema ERP basado en SAP, en este sistema se manejan los procesos de
ventas, facturación, cobranza, producción, atención a clientes, diseño de productos, etc.

Cuenta con aproximadamente 5,000 nodos de red y una red WAN que conecta a todas las
oficinas. Esta red ha crecido en forma desordenada e inclusive los Directores se han quejado
de la lentitud y falta de continuidad en las operaciones de la misma, hecho que ha afectado
este año a los procesos de negocio debido a interrupciones en los Sistemas de Información.

Seguridad de Información de Zima2.

Desde el año 2005 la organización nombró a un Director de TI que a su vez está a cargo de la
Seguridad de Información aunque no en forma oficial dado que al parecer cuando han
atacado la red de Zima2 él ha mencionado que no se ve como el responsable de Seguridad.

En las últimas dos semanas la situación ha sido insostenible debido a una serie de ataques al
parecer de Denegación de Servicios Distribuida (DDoS) dirigidos hacia el servidor de correos,
lo anterior ha causado que el 50% del tiempo el servicio de correos ha estado caído sin
operar.

No solo ha afectado este servicio, el sistema ERP debido a una inundación de paquetes en la
red local, ha estado caído un 25% de su tiempo comprometido. Lo anterior ha causado una
serie de quejas de sus Clientes, además se registraron 20 rompimientos de acuerdos
establecidos en contratos con clientes los cuales se han traducido en 5 cancelaciones de
pedidos y 3 demandas legales.

El Director de TI habló con un consultor para pedir ayuda de emergencia, el cual le paso dos
o tres consejos que aminoraron de momento los problemas. Se instaló un Network Intrusion
Detection solo en modo de escucha para saber que tipo de mensajes estaban cursando en la
red.

Se pudo detectar que el 50% del tráfico era videos del un sitio muy popular, al parecer la
mayoría de empleados lo acceden dado que nada se los impide. Además el tráfico peer to
peer estaba siendo usado en abuso a través del programa Messenger.

Otra situación que se advirtió por parte de este experto es que el diseño de la red y su ruteo
hacen que se cuente en práctica con una sola red local de 5,000 nodos de red lo que



ocasiona grandes problemas de colisiones, etc.; además que no con contaba con ninguna
DMZ donde alberga los servidores que son accesados desde Internet.

Otro aspecto que llamó la atención del consultor fueron las versiones de Software de los
principales Servidores de Windows dado que su actualización era de versiones muy antiguas.
Lo anterior contribuyó a que los ataques hayan sido exitosos contra la Organización.

El consultor notó otra situación muy preocupante dado que detectó varios programas Sniffers
en la red local y pudo leer la bitácora de alguno de ellos descubriendo decenas de cuentas
con usuario y password de las principales aplicaciones de la empresa.

El Director de TI procedió a bloquear una serie de servicios de red que impiden que
aplicaciones peer to peer dejen de funcionar así como una serie de sitios muy populares que
contienen videos que demandan gran ancho de banda de la red.

Cientos de personas empezaron a quejarse con el Director de TI y algunos a la Dirección
General que ya no podían acceder a “ciertos sitios” para desempeñar su trabajo.

La Dirección General de Zima2 llamó al Director de TI para que él le diera una solución de
fondo basada en lo que encontró dicho consultor. Se decidió contratar a un experto en
Seguridad de Información para ofrecer soluciones de fondo.

La Dirección General de Zima2 enfrenta una situación muy crítica, quizá el pecado que
cometieron es tener un crecimiento desordenado en lo que respecta a su TI y
específicamente en el rubro de Seguridad de Información, este caso es muy representativo de
lo que ocurre en muchas empresas u organizaciones, vemos además cómo el Director de TI
en este caso no ha tenido las competencias suficientes para afrontar la problemática. Hoy por
eso se necesitan personas que desarrollen fuertes competencias en Seguridad de
Información, es necesario tomar en cuenta que en 5 años más, según reportan estudios
formales en Seguridad de Información y de TI las organizaciones estarán manejando 20
veces más volumen de información que la que maneja actualmente, por lo tanto ¿será
importante velar por la Seguridad de la misma?

Preguntas de Estudio:

 Describir las vulnerabilidades que han sido detectadas en las redes de Zima2.
Describir y y explicar al Director General como están siendo llevados a cabo estos
tipos de ataques DDoS hacia Zima2 en un lenguaje apto para la Dirección ,
explicando los impactos negativos al negocio que se han sufrido, así como otros
problemas potenciales.
 Se te pide por parte de Dirección General establecer las defensas básicas las cuáles
tienen que ver con la Seguridad perimetral.
 Define la nueva arquitectura de redes que considere Seguridad a profundidad,
ejemplos :DMZ, etc.

El Caso de la Compañía Zima2 (parte 2)



La Compañía Zima2 es una organización que fabrica productos Químicos desde 1977 que fue
fundada por Don Facunado Zima.

Esta organización ha crecido en forma exponencial gracias a su diversidad de productos y
que el NAFTA ha ayudado a su expansión en USA y Canadá.

Actualmente cuenta con 4,800 empleados, en 19 oficinas en México y Estados Unidos, su
cuartel general está en Monterrey NL México.

La TI de Zima2.

Cuenta con un sistema ERP basado en SAP, en este sistema se manejan los procesos de
ventas, facturación, cobranza, producción, atención a clientes, diseño de productos, etc.

Cuenta con aproximadamente 5,000 nodos de red y una red WAN que conecta a todas las
oficinas. Esta red ha crecido en forma desordenada e inclusive los Directores se han quejado
de la lentitud y falta de continuidad en las operaciones de la misma, hecho que ha afectado
este año a los procesos de negocio debido a interrupciones en los Sistemas de Información.

Seguridad de Información de Zima2.

Desde el año 2005 la organización nombró a un Director de TI que a su vez está a cargo de la
Seguridad de Información aunque no en forma oficial dado que al parecer cuando han
atacado la red de Zima2 él ha mencionado que no se ve como el responsable de Seguridad.

En las últimas dos semanas la situación ha sido insostenible debido a una serie de ataques al
parecer de Denegación de Servicios Distribuida (DDoS) dirigidos hacia el servidor de correos,
lo anterior ha causado que el 50% del tiempo el servicio de correos ha estado caído sin
operar.

No solo ha afectado este servicio, el sistema ERP debido a una inundación de paquetes en la
red local, ha estado caído un 25% de su tiempo comprometido. Lo anterior ha causado una
serie de quejas de sus Clientes, además se registraron 20 rompimientos de acuerdos
establecidos en contratos con clientes los cuales se han traducido en 5 cancelaciones de
pedidos y 3 demandas legales.

El Director de TI habló con un consultor para pedir ayuda de emergencia, el cual le paso dos
o tres consejos que aminoraron de momento los problemas. Se instaló un Network Intrusion
Detection solo en modo de escucha para saber que tipo de mensajes estaban cursando en la
red.

Se pudo detectar que el 50% del tráfico era videos del un sitio muy popular, al parecer la
mayoría de empleados lo acceden dado que nada se los impide. Además el tráfico peer to
peer estaba siendo usado en abuso a través del programa Messenger.

Otra situación que se advirtió por parte de este experto es que el diseño de la red y su ruteo
hacen que se cuente en práctica con una sola red local de 5,000 nodos de red lo que
ocasiona grandes problemas de colisiones, etc.; además que no con contaba con ninguna
DMZ donde alberga los servidores que son accesados desde Internet.

Otro aspecto que llamó la atención del consultor fueron las versiones de Software de los



principales Servidores de Windows dado que su actualización era de versiones muy antiguas.
Lo anterior contribuyó a que los ataques hayan sido exitosos contra la Organización.

El consultor notó otra situación muy preocupante dado que detectó varios programas Sniffers
en la red local y pudo leer la bitácora de alguno de ellos descubriendo decenas de cuentas
con usuario y password de las principales aplicaciones de la empresa.

EL Director de TI procedió a bloquear una serie de servicios de red que impiden que
aplicaciones peer to peer dejen de funcionar así como una serie de sitios muy populares que
contienen videos que demandan gran ancho de banda de la red.
Cientos de personas empezaron a quejarse con el Director de TI y algunos a la Dirección
General que ya no podían acceder a “ciertos sitios” para desempeñar su trabajo.

La Dirección General de Zima2 llamó al Director de TI para que él le diera una solución de
fondo basada en lo que encontró dicho consultor. Se decidió contratar a un experto en
Seguridad de Información para ofrecer soluciones de fondo.

Cierre

La Dirección General de Zima2 enfrenta una situación muy crítica, quizá el pecado que
cometieron es tener un crecimiento desordenado en lo que respecta a su TI y
específicamente en el rubro de Seguridad de Información, este caso es muy representativo de
lo que ocurre en muchas empresas u organizaciones, vemos además cómo el Director de TI
en este caso no ha tenido las competencias suficientes para afrontar la problemática. Hoy por
eso se necesitan personas que desarrollen fuertes competencias en Seguridad de
Información, es necesario tomar en cuenta que en 5 años más, según reportan estudios
formales en Seguridad de Información y de TI las organizaciones estarán manejando 20
veces más volumen de información que la que maneja actualmente, por lo tanto ¿será
importante velar por la Seguridad de la misma?

Preguntas de Estudio

1. Se te pide por parte de Dirección General establecer políticas adecuadas de uso de
Redes. Describir en detalle estos dos tipos de recomendaciones procurando ser muy
específico. Menciona los controles de Seguridad que incluyan tecnologías, procesos y
capacitación necesaria. Menciona al menos 5 políticas de Seguridad de Información
que recomiendas definir e implementar.
2. Otro pedido que hace la Dirección General es sobre la implementación de controles
de Seguridad de Información más avanzados que los del punto anterior.
3. Describe como implementarías un IDS que considere además sus procedimientos y
capacitación.
Respecto a controles criptográficos será necesario proponer controles específicos.
Por último hacer recomendaciones sobre futuras adquisiciones o desarrollos de
aplicaciones en el sentido de ventajas o desventajas de iniciar adoptando sistemas
abiertos en lugar de sistemas propietarios.
4. Menciona como podrías mitigar los riesgos que llevan a que personas no autorizadas
instalen Sniffers.
5. Menciona 5 razones por la cuales la empresa deberá de restingar los servicios en la
red sobre todo los que la empresa no necesita para operar (accesos a otros sitios,
aplicaciones peer to peer, etc.).



Servicios administrados de nóminas SA de CV (SAN)
(parte 1)

Seguridad en aplicaciones y en las operaciones.

Introducción

Dentro del mercado de tecnologías de información existen empresas dedicadas al desarrollo
de aplicaciones que son utilizadas ya sea por ellas mismas o por terceros para ofrecer
servicios de procesamiento de datos. Esto con el fin de permitir que sus clientes dediquen sus
esfuerzos a actividades estratégicas para su negocio.

Esta tendencia ha permitido que los procesos considerados “staff” por las organizaciones
puedan ser manejados como servicios a través de terceros. Los ejemplos más claros de este
concepto son los servicios de Tecnologías de Información, Recursos Humanos,
Comunicación e imagen, entre otros.

Este concepto busca reducir costos operativos y de inversión al ceder parte o la totalidad de
la operación de procesos staff a compañías expertas en ello.

SAN es una empresa que desarrolla sistemas de nómina y ofrece los servicios de
procesamiento de nominas a nivel México.

Pregunta Detonante:

¿Cuáles considera son las principales ventajas para que una empresa desarrolle sus propias
aplicaciones y mantenga sus operaciones de TI con personal propio? ¿Cuáles considera son
sus principales desventajas?

Cuerpo del Caso:


La Compañía Servicios Administrados de Nóminas SA de CV (SAN) es una empresa de
capital extranjero creada en 1996 con el objetivo de ofrecer servicios de procesamiento de
nómina en México. Para esto adquirió el código fuente de una aplicación de nómina
desarrollada para el mercado mexicano y contrató a los desarrolladores de la misma para
ejecutar las modificaciones de acuerdo a las necesidades del cliente.

La empresa no vende licencias de software, si no los servicios de procesamiento de Nómina,
para lo cual cuenta con expertos de nómina y fiscalistas que ejecutan y validan las
transacciones solicitadas por el cliente. Sus ingresos provienen de cada transacción
procesada.

Su mercado son grandes Corporativos que manejan más de 4,000 transacciones mensuales.

Cuando se cierra una negociación, un equipo de implementación genera los ambientes y
realiza la configuración de dicho ambiente de acuerdo a las necesidades del cliente. En los



últimos años los proyectos de implementación han se han alargado hasta caso 18 meses.
Esto implica grandes costos para la organización, ya que la misma no empieza a cobrarle al
cliente hasta que empieza a procesar transacciones y los costos de implementación
generalmente son mayores a lo cobrado al cliente por malas estimaciones de tiempo y
recursos.

Le empresa cuenta con un área de desarrollo de aproximadamente 30 personas, quienes
además de realizar desarrollos propios de la aplicación (nuevas versiones, mejoras), realizan
actividades de soporte técnico en caso de fallas de la aplicación. el error más común son
cálculos erróneos que generan pagos mal realizados (i.e IMSS , Hacienda) lo que causa
multas para los clientes. Por obligaciones contractuales, si esas multas fueron ocasionadas
por errores de cálculo, las mismas deben de ser compensadas por SAN en la facturación que
esta haga al cliente.

La aplicación corre en servidores que se encuentran en las instalaciones de SAN en la Ciudad
de Monterrey. Los clientes acceden a estos servidores vía Internet a través de un cliente WEB
para la captura de incidencias (altas o modificaciones salariales). A través del área de
atención a clientes pueden solicitar la ejecución de transacciones especiales (por ejemplo un
finiquito).

Actualmente la empresa se encuentra en crisis, debido al descontento de sus principales
clientes

La Problemática

SAN enfrenta diversos problemas que han ocasionado que su área de desarrollo se vea
saturada en la resolución de fallas del sistema. Esto ha ocasionado que los tiempos
dedicados a adecuaciones para clientes se vean relegadas y la mejoras y nuevas versiones
se encuentren paradas (desde hace más de dos años están desarrollando la versión de .NET)

En los últimos meses se realizó un análisis de las razones del porqué los procesos de
implementación se alargaban y se detectaron las siguientes causas:

1. El cliente tardaba en entregar información requerida para la configuración del sistema
2. Las fechas de entrega para las adecuaciones por parte del área de desarrollo no se
cumplían por la carga de trabajo.
3. No se cumplía con los requerimientos establecidos por el cliente. La gente de
desarrollo se queja que los implementadores no saben tomar requerimientos (¿Qué
es eso?)
4. Existían problemas de migración entre el sistema de nóminas que dificultaban la
migración de información histórica al Sistema de SAN.

El área de Procesamiento, el área fiscal y el cliente se quejan continuamente (de allí la
saturación del personal de desarrollo) de que el sistema realiza cálculos mal. Lo más crítico
es que mencionan que con anterioridad el sistema si funcionaba. Se ha detectado que al
realizar modificaciones para un cliente en particular han afectado a los ambientes de otros
clientes afectándolos adversamente. Lamentablemente no existe documentación de los
cambios, lo que ocasiona que los problemas de detección de fallas sean mayores. Lo más
crítico es que los desarrolladores al realizar sus pruebas de calidad no detectaron estos
problemas. Otra causa de errores de cálculo son ocasionados por el usuario al introducir
información invalida y que el sistema o el usuario debería detectar.




1. ¿Cuáles considera usted que son los principales problemas en el proceso actual de
desarrollo de la aplicación? ¿Qué solución implementaría? (justifique su decisión)
2. Por favor indique que controles implementaría basados en la prioridad de su
implementación, incluyendo las razones de su decisión.
3. Recomendaría usted la implementación de mejores prácticas tales como CMMI y/o
ITIL? Justifique su respuesta.

(parte 2)
La Problemática.

El pasado mes de diciembre durante la ejecución del cálculo de aguinaldos se cayeron los
servidores de producción. Después de un exhaustivo análisis se detectó que un
implementador estaba ejecutando una prueba de un ambiente y de la interface de dicho
ambiente con el ERP del cliente. Este evento ocasionó que las bases de datos de algunos
clientes se corrompieran obligando a la restauración de respaldos los cuales se realizan
mediante cintas magnéticas. Lamentablemente con dos clientes dicho procedimiento no
funcionó por las siguientes razones:

1. Para un cliente su respaldo consistía de tres cintas, una de las cuales no fue hallada.
2. Para el otro cliente sus cintas estaban inutilizables dado que fueron expuestas a
campos magnéticos durante su traslado.

Actualmente se está en negociaciones con un cliente muy importante y el cual en caso de que
acepta la propuesta de SAN implicaría un aumento del 35% en las transacciones mensuales a
ser ejecutadas. Este cliente realizó una auditoría de seguridad y realizó los siguientes
hallazgos.

1. Tuvo acceso físico a los servidores sin consentimiento de SAN
2. Utilizó las cuentas de default de los ruteadores, teniendo acceso a su configuración.
3. Se presentó en recepción como un empleado de nueva contratación. La señorita de la
recepción facilitó el acceso a las instalaciones a pesar de no contar con la credencial
correspondiente.
4. Encontró cintas que ya no se utilizaban en el bote de basura y pudo leer la
información contenida en las mismas.

Cierre

La Dirección General de SAN enfrenta una situación muy crítica, está perdiendo clientes y
siendo mal referenciado por ellos. Esto le ha impedido mejorar sus ingresos (al contrario van
a la baja), actualmente la crisis financiera los está llevando a entregar parte de su
participación accionaria a sus acreedores. Se considera que el concepto del servicio es bueno
y que deben de generar las acciones necesarias para realizar un producto robusto y con



mayor satisfacción al cliente. Se requiere hacer una revisión de sus procesos actuales y de la
forma de operar. Los clientes cada vez son más sensibles al cuidado de su información por lo
que la integridad y disponibilidad de la misma se ha vuelto crítica. Mucho de esto debido a
aspectos regulatorios). Esto los está obligando a darle mayor énfasis a los aspectos de
seguridad de su aplicación y a sus procesos operativos. Dada esta situación, usted ha sido
contratado como consultor para que diseñe e implemente los procesos y controles requeridos
para volver a la compañía a generar utilidades.


1. ¿Cuáles considera usted que son los principales problemas en las operaciones?
¿Qué solución implementaría? (justifique su decisión)
2. ¿Considera usted que existe segregación de funciones en el proceso de desarrollo?
Por favor justifique su respuesta.
3. De acuerdo a lo expuesto ¿en qué nivel de madurez considera usted que se
encuentra SAN en cuanto a sus prácticas de desarrollo?
4. Por favor indique qué controles implementaría basados en la prioridad de su
implementación, incluyendo las razones de su decisión. Por favor incluya al menos
dos controles administrativos y dos técnicos. Especifique la naturaleza de dicho
control (Preventivo, detectivo, correctivo, etc)

TJX

Implicaciones legales de incidentes de seguridad de información

Introducción

El hecho de que la mayoría de las empresas grandes y medianas, y aún las pequeñas, estén
teniendo una presencia relevante en Internet, a través de las páginas Web donde se hace
propaganda de las bondades de los productos y servicios que ofrecen a sus clientes potenciales y
establecidos, incluyendo la realización de transacciones comerciales electrónicas formales y que,
como parte de dichas transacciones, se requiera del envío y almacenamiento en las bases de
datos de las empresas, de información sensible de los clientes, impone la necesidad de medidas
de protección electrónica para los datos en tránsito y en almacenamiento. Además, por la
ubicuidad de los sitios Web, que pueden hospedados y ser accedidos desde cualquier parte del
planeta, requieren de un tipo de legislación especial que trascienda fronteras, que sea observada,
cumplida y reforzada, por igual, independientemente del país, por empresas y legislaciones
locales.

Preguntas detonantes:

 ¿Cómo habrán de prepararse las empresas para afrontar los retos que presenta este
entorno sin fronteras?
 ¿Cómo deberá evolucionar el entorno legal y regulatorio ante las nuevas amenazas que se
presentan a las empresas en este medio electrónico?
 ¿Cómo debe prepararse el especialista en seguridad de información para responder a este



entorno legal y regulatorio?
 Investiga e informa de tres casos recientes donde se haya expuesto información de
clientes (incluye las ligas electrónicas).

Cuerpo del Caso:

En diciembre 18 de 2006 un auditor encontró anomalías en los datos de tarjetas de la empresa
TJX Cos. En ese momento, TJX Cos. contrató a expertos forenses de IBM y General Dynamics
Corp. y notificó al Servicio Secreto de E. U., el cual invirtió un mes tratando de atrapar a los ciber
criminales en el acto. Aunque no pudieron dar con los infractores, encontraron sus huellas:
archivos de cómputo alterados, software sospechoso y algunos datos revueltos como por ejemplo,
registros de tiempo en el orden incorrecto. El 17 de enero de 2007, TJX Cos. anunció que sus
sistemas TI habían sucumbido a la infiltración de intrusos desconocidos, lo que derivó en el robo
de tarjetas de crédito más grande de la historia. TJX Cos., la compañía propietaria de T.J. Maxx,
Marshalls, Home Goods, y A.J. Wright en Estados Unidos y Puerto Rico, tuvo que dar la versión
oficial de cómo, de acuerdo con la primera versión, cerca de 45 millones de tarjetas de crédito y
débito, en un período de dos años, llegaron a manos de otra gente.

Una persona familiarizada con la investigación interna dice que los ciber criminales accedieron a
unos 200 millones de números de tarjetas de crédito correspondientes a registros de cuatro años
de operaciones.

Lo cierto es que la brecha costará mucho dinero, tanto que quizás nunca se pueda estimar del
todo. Varios analistas han estimado que el costo final será de cientos de millones de dólares o
incluso más de $1,000 millones de dólares [1]. Muchas de estas estimaciones no incluyen
demandas; hasta ahora se han presentado más de 20 demandas por daños [2]. Los bancos
podrían gastar $300 millones de dólares en reemplazar las tarjetas de tan sólo un año de números
robados, aún cuando la mitad de los números hayan expirado y algunas estuviesen ocultas en los
datos robados. TJX, proyectó unos $20 millones en transacciones fraudulentas derivadas del
incidente.

Otras implicaciones:

La cuenta por el incidente podría sobrepasar los $1,000 millones de dólares en un espacio de 5
años – incluido el costo de consultores, actualizaciones de seguridad, honorarios de abogados y
campañas adicionales de mercadotecnia para retener a los clientes, pero no los cargos por
demandas – esto de acuerdo a Forrester Research, empresa de investigación de mercado y
tecnología en Cambridge, Mass. Tan sólo la actualización de seguridad podría costar $100
millones de dólares.

TJX declinó comentar sobre estos números, pero declaró que está realizando una “investigación
completa y dolorosa sobre el incidente” contratando un equipo de 50 expertos en seguridad de
datos y declarando un cargo por $5 millones en su primer trimestre fiscal. También dijo que pagará
por un servicio de monitoreo de fraude de tarjetas de crédito para ayudarle a anticipar el robo de
identidad de aquellos clientes cuyos números de seguro social fueron robados. “Creemos que los
clientes deberían sentirse seguros por comprar en nuestras tiendas”, dice una carta que la
Directora Ejecutiva Carol Meyrowitz publicó en el sitio Web de TJX.

¿Seguridad de Datos o Ataque de Código Malicioso?

A simple vista, este robo de información puede parecer principalmente un problema de seguridad
de datos. Y cierta evidencia indica que esta inquietud superó las preocupaciones por el código



malicioso. Por ejemplo, un estudio realizado a 100 profesionales TI del Reino Unido patrocinado
por Cisco Systems revelaba que la preocupación por virus cayó un 30%, en tanto que el robo de
información fue la inquietud de seguridad número uno [3].

Sin embargo, estas inquietudes aparentemente distintas (seguridad de datos y ataques de código
malicioso) pueden ser los dos lados de la moneda. Una razón es que los ciber criminales pueden
usar código malicioso para robar datos. No se ha hablado públicamente de este software
sospechoso encontrado en los sistemas TI de TJX Cos., y cómo llegó a los servidores críticos
sigue siendo una incógnita. Sin embargo, varias herramientas de código malicioso que habrían
ayudado a los ciber ladrones a perpetrar este ataque son conocidas por estar ampliamente
disponibles.

Otra relación entre estas dos inquietudes es que cada vez más los autores de código malicioso
apuntan a los datos corporativos debido al potencial de sacarles provecho. Los ataques dirigidos,
en los cuales los autores de código malicioso hacen planes detallados contra víctimas
seleccionadas, son la norma en lugar de la excepción. Los ciber criminales involucrados en el caso
de TJX Cos. vendieron el lote de tarjetas de crédito a otros criminales por cantidades de dinero
muy altas. Dichas ventas son ofrecidas audazmente en varios sitios protegidos por contraseñas
utilizados por las pandillas.

Ciber Criminales Audaces

El hecho de que los autores de este ciber crimen no hayan sido detenidos (y tal vez nunca
identificados) sólo puede servir para estimular de forma indirecta más robos. En efecto, los
métodos de los ladrones de TJX Cos. indican su total confianza. Sus operaciones tienen las
características de las pandillas de ciber criminales rumanos y miembros del crimen organizado de
Rusia. Los investigadores dicen que estos grupos son conocidos por monitorear los objetivos
menos seguros y ser metódicos en sus intrusiones. El Wall Street Journal menciona que los
ladrones se comunicaron entre sí usando los propios sistemas TI de TJX Cos.; para evitar robar los
mismos grupos de números de tarjeta dos veces (y por tanto duplicar el esfuerzo), se dejaban
mensajes cifrados sobre qué tarjetas ya habían copiado. Un individuo familiarizado con la
investigación interna de TJX Cos. dijo de los métodos usados: “tan fácil como entrar a una casa a
través de una ventana totalmente abierta [2]."

Los investigadores ahora creen que los ciber criminales apuntaron, desde fuera, una antena en
forma de telescopio hacia una tienda de descuento Marshalls, ubicada cerca de St. Paul,
Minnesota, y utilizaron una laptop para decodificar el flujo de datos a través del aire entre
dispositivos de mano para checar precios, cajas registradoras y las computadoras de la tienda.
Dejaron huellas electrónicas que muestran que la mayoría de las penetraciones fueron hechas
durante los períodos pico de ventas para capturar mayor cantidad de datos. Eso les ayudó espiar
el registro de los empleados a la base de datos de la empresa propietaria, TJX Cos. en
Framingham, Mass. y robar una o más cuentas de usuarios y contraseñas, para así crear sus
propias cuentas en el sistema y repetidamente apropiarse de información de clientes, incluyendo la
recolección de datos de transacciones como números de tarjetas de crédito en alrededor de 100
archivos grandes para su propio acceso. Ellos fueron capaces de acceder al sistema de TJX de
manera remota desde cualquier computadora en Internet.

La red inalámbrica de la empresa de $17,400 millones de dólares tenía menos seguridad de la que
muchas personas tienen en sus redes caseras y, por 18 meses, la empresa no tuvo idea de lo que
estaba ocurriendo.

Cuando las redes inalámbricas explotaron en popularidad al inicio del 2000, los datos fueron



protegidos por un mecanismo de codificación llamado WEP o Wired Equivalent Privacy, que fue
rápidamente roto. El peligro se hizo evidente cuando en 2001 expertos en seguridad lanzaron
advertencias de que habían sido capaces de romper los sistemas WEP de cifrado de varios
detallistas importantes.

En 2003, la industria inalámbrica estaba ofreciendo un mecanismo más seguro llamado WPA o Wi-
Fi Protected Access, con un cifrado más complejo. Muchos comerciantes incrementaron su
seguridad, pero otros, incluido TJX, fueron más lentos en realizar el cambio. Un auditor encontró
después, que la empresa tampoco había instalado firewalls ni protección de datos en muchas de
sus computadoras que utilizaban su red inalámbrica, y tampoco había instalado otra capa de
seguridad que había comprado.

TJX Cos. se ha disculpado repetidas veces por permitir esta brecha, y se realiza una investigación
para determinar si la compañía es culpable por almacenar información personal de los clientes y
sus tarjetas de crédito en violación de los estándares de la Payment Card Industry (PCI) además
de haber transmitido dicha información a los bancos sin haberlos cifrado.

Los ciber criminales también obtuvieron información personal como números de licencias de
conducir, identificaciones militares y números de seguro social de 451,000 clientes – datos que
podrían ser utilizados para robo de identidad. TJX borró sus propias copias de los registros
robados por los ciber criminales y no ha podido decifrar los archivos cifrados (encriptados) que los
ciber criminales dejaron en sus sistemas.

En marzo, la policía de Florida culpó a una pandilla de comprar algunos de los datos robados de
TJX y utilizarlos para robar en unos cuatro meses, unos $8 millones en pequeñas transacciones,
comprando tarjetas de regalos y usándolas para comprar TVs, computadoras y otros equipos
electrónicos en Wal-Mart Stores, Inc. Sam’s Club y otras tiendas a través del estado. Fraudes
relacionados con TJX, han ocurrido en al menos otros 6 estados y en al menos 8 países desde
México hasta China, esto de acuerdo con banqueros e investigadores. Estos aún están trabajando
en encontrar todos los números robados.

La facilidad y escala de este fraude expone lo pobre de la protección que algunas empresas
ofrecen a los datos de sus clientes sobre las redes inalámbricas, las cuales transmiten datos por
ondas de radio y son fácilmente interceptados. El incidente también ha renovado el debate acerca
de quién debería ser hecho financieramente responsable. Los bancos que emiten las tarjetas de
crédito o débito hasta ahora han cargado con el costo de las pérdidas de TJX, en vez de la
empresa o las redes de tarjetas de crédito como Visa o MasterCard.

Los consumidores individuales han sido ya cubiertos de los cargos fraudulentos de TJX. Los
poseedores de tarjetas de débito legalmente pueden ser sujetos de demandas por transacciones
fraudulentas si no reportan el fraude dentro de los 60 días siguientes, mientras que los clientes de
tarjetas de crédito sólo pueden ser culpables por los primeros $50 dólares en cargos fraudulentos.

Ejemplo:

Eleanor Dunning de Dana Point, California, se llevó un susto temporal el pasado otoño cuando
abrió el sobre con su cuenta de tarjeta de crédito Bank of America Visa: Habían $45,000 dólares en
cargos por tarjetas de regalo de Wal-Mart en Florida. “Lo que vi fue una página completa de $450
dólares en cargos, todos idénticos, todos del mismo lugar.” El banco removió los cargos y emitió
una nueva tarjeta. Cuando el incidente de TJX se dio a conocer y comprendió que ella había sido
una víctima de él, ella decidió dejar de comprar en Marshalls.



Marilyn Oliver, de San Marcos, California, recibió una llamada de Bank of America alertándola de
que 40 tarjetas de regalo con valor de $400 dólares cada una habían sido compradas con su
tarjeta Visa desde cajeros en un solo Wal-Mart de Florida.

Debido a este incidente, los representantes de los bancos y los legisladores de algunos estados
están empujando por leyes que atribuirían la responsabilidad financiera por incidentes como estos
a las compañías que fueron penetradas [2]. Por lo tanto, las ramificaciones de estas amenazas
relacionadas (seguridad de datos y ataques de código malicioso) probablemente estén presentes
por algún tiempo.

Remedios propuestos por TJX para los clientes:

El acuerdo, sujeto a aprobación por parte de la Corte Federal donde se radicó una demanda de
clase contra la empresa, pretende compensar a los clientes de varias maneras que incluyen
''vouchers'' o vales por una cantidad no especificada y una venta de ''apreciación al cliente'' válida
para todos los clientes sin importar si fueron afectados o no.

Esta propuesta de acuerdo no incluye la exigencia de los bancos de los clientes afectados, quienes
tuvieron que incurrir en gastos al emitir nuevas tarjetas de débito y crédito.

Para clientes que hayan devuelto mercancía sin recibo y que hayan recibido una carta como que
fueron afectados:

 TJX propone ofrecer, pagado por esta, tres (3) años de monitoreo de su historial de crédito
con seguro de cobertura contra robo de identidad (dos (2) años para quienes hayan
aceptado una oferta anterior ofrecida por la compañía)
 Además, TJX reembolsará el costo de gestionar el reemplazo de ciertos documentos y/o
licencias de conducir y si el número de seguro social resulta ser utilizado como número de
identificación en su licencia de conducir u otro tipo de identificación, la empresa pagará por
ciertos tipos de pérdidas causadas por robo de identidad

Para clientes que compraron en las tiendas de la empresa en EE.UU., Canadá y Puerto Rico
(excluyendo las tiendas Bob's Stores) durante el período relevante al caso e incurrieron en ciertos
costos como resultado de esta situación:

 TJX ofrecerá vales para usarse en dichas tiendas en el país correspondiente

Para todos los clientes:

 TJX ofrecerá en un futuro una venta de ''apreciación del cliente'' que durará tres días, la
cual ocurrirá una sola vez, y que ofrecerá precios reducidos en un 15%. Esta venta
especial será anunciada y se espera ocurra durante 2008.

Cierre

Hasta el momento no se han acabado de identificar todas las consecuencias ni alcances del
incidente de seguridad acaecido a TJX. Siguen presentándose demandas legales que
incrementarán los costos ya incurridos por la empresa, quizás poniendo en duda la viabilidad
financiera de la misma. Las lecciones que este caso deja, tampoco han acabado de escribirse; a
medida que se obtenga más información, se irán complementando las medidas de seguridad que
hasta el momento se han identificado. Los alcances de este incidente han tocado a mucha gente y



a muchas empresas, las cuales nunca estuvieron directamente involucradas en el incidente y sin
embargo, se vieron impactadas de manera directa y concreta por él. Queda clara la necesidad de
seguir trabajando en el terreno internacional sobre nuevas y más efectivas formas de colaboración
entre las autoridades de los países involucrados, de manera que se produzcan más y mejores
resultados en la persecución de los delincuentes.

Referencias

1. "Analistas: el caso TJX puede costar más de 1,000 millones de dólares," The Boston
Globe, Abril 12, 2007,
http://www.boston.com/business/personalfinance/articles/2007/04/12/analysts_tjx_case_ma
y_cost_over_1b/?page=2
2. "Cómo Información de Tarjetas de Crédito Salió por la Puerta Inalámbrica”, The Wall Street
Journal, May 4, 2007, página 1.
3. "El robo de información reemplaza al código malicioso como la principal preocupación de
seguridad”, Realidad comprobada por John Leyden, Abril 19, 2007,
http://www.theregister.com/2007/04/19/security_fears_poll/.

Tarea:

Realizar una investigación en Internet sobre el estado del caso TJX, al momento del estudio,
actualizando la información aquí presentada e incluyendo las referencias bibliográficas
correspondientes.

Preguntas de estudio:

1. ¿Cuáles son los impactos que las empresas deberán anticipar como consecuencia de su
presencia en Internet?
2. ¿Cómo podrán prepararse las empresas para evitar exposiciones indebidas a incidentes
de seguridad de información?
3. ¿Qué leyes o regulaciones existen en Estados Unidos de América en relación a la
protección de datos / privacidad?
4. ¿Qué protecciones se pueden implementar de manera que los datos de los clientes
puedan ser debidamente protegidos?


Proyecto integrador de seguridad informatica

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (13)

Similar a Proyecto integrador de seguridad informatica

Similar a Proyecto integrador de seguridad informatica (20)

Más de Maestros Online

Más de Maestros Online (20)

Último

Último (20)

Proyecto integrador de seguridad informatica