PRINCIPIOS DE SEGURIDAD DE LA INFORMACIN

A
MSIA

N-TIER Security Caso Widget Warehouse

MSIA-ESPOL

Caso Widget Warehouse

En este caso los estudiantes analizarn, ofrecern recomendaciones y redisearn la red para ayudar a mejorar la infraestructura de seguridad de un negocio ficticio. Los estudiantes completarn las siguientes tareas: Analizar requerimientos de las aplicaciones del negocio. Analizar los riesgos de seguridad. Identificar los recursos crticos de la red. Analizar los requerimientos de seguridad. Redisear la red corporativa de acuerdo a las recomendaciones de seguridad del paper Building Secure N-Tier Environments. Esto incluye: o Agregar/eliminar dispositivos/segmentos de red

A
MSIA

I N G . K A R I N A A S T U D I L L O K A S T U D I @ E S P O L . E D U . E C

scenario: Widget Warehouse es una compaa mediana que vende accesorios para el hogar importados a travs de 3 puntos de ventas presenciales y por medio de su sitio web www.widget.com a 200 clientes diarios aproximadamente. Su grupo de trabajo ha sido contratado para asistir a la empresa en el desarrollo e implementacin de una nueva poltica de seguridad. La red de Widget Warehouse network est compuesta de una intranet con 50 usuarios, y un servidor Web pblico que procesa el trfico de e-commerce de la compaa. La compaa est dividida en un departamento de Tecnologa (10 personas), un departamento de Contabilidad (6 personas), Limpieza, (4 personas), Servicio al Cliente (7 personas), Ventas (10 personas), Inventario (5 personas), Finanzas (4 personas) y Gerencia (8 personas).

Red actual de Widget Warehouse

La sucursal Norte tiene 4 vendedores, 1 auxiliar de limpieza, 3 asesores de servicio al cliente, 1 tcnico de soporte y 1 Gerente de tienda con su secretaria. Las sucursales Oeste y Sur tienen cada una 3 vendores, 1 auxiliar de limpieza, 3 vendedores, 2 asesores de servicio al cliente, 1 tcnico de soporte y 1 Gerente de tienda con su secretaria.

I N G . K A R I N A A S T U D I L L O K A S T U D I @ E S P O L . E D U . E C

La matriz tiene 1 webmaster, 2 desarrolladores, 1 administrador de base de datos 1 administrador de servidores y 2 operadores en el departamento de IT, adicionalmente ah labora todo el personal de Contabilidad, Finanzas, Inventario, el Gerente General con su secretaria y 1 persona de limpieza. Los vendedores y el personal de servicio al cliente de las sucursales necesitan acceder al mdulo de ventas del SistemaXYZ instalado en el servidor de aplicaciones ubicado en la matriz y eventualmente requieren acceso a Internet para consultar la extranet de los proveedores. Todos los gerentes de sucursal requieren acceso al mdulo de ventas del SistemaXYZ y el gerente general requiere acceso total al sistema. Los departamentos de Contabilidad, Finanzas e Inventario requieren acceso slo a los mdulos respectivos del sistema. Adicionalmente todos los gerentes y los jefes departamentales requieren acceso a Internet para navegar y chequear el correo electrnico. El personal de TI con excepcin de los operadores que slo tienen acceso al correo interno (servicio de correo en el mismo servidor WWW) actualmente tienen acceso total a Internet.