Implementación de la Seguridad por capas. Cuando un dispositivo de red comienza a recibir información cada uno de los niveles de la pila TCP/IP comienza su tarea identificando bit a bit a qué módulo le corresponde trabajar. El momento en que una información circula por la red e ingresa a un ETD, a medida que cada nivel la va evaluando, decide si se dirige hacia él o no en cada uno de los niveles, cuando no es para él entonces debe descartar esa información y en algunos casos reenviarla. Cuando se logra operar en modo promiscuo, esto implica que no descarte información, sino que procese todo, sea para este ETD o para cualquier otro. Por esta razón la idea de analizar el tráfico de una red, está particularmente dirigida a poder escuchar todo el tráfico que circula por ella. Cuando se realiza el análisis de tráfico en una red, generalmente se lo relación con los conocidos Sniffers, que básicamente lo que hacen es husmear dentro de una red y capturar todo lo que se pueda, para posteriormente analizarlo. Un sniffer sólo captura tráfico y lo presenta de manera entendible. Un analizador de protocolos, realiza esta tarea y a su vez procesa esta información para obtener todas las posibles necesidades del usuario con la misma. Un analizador de protocolos captura conversaciones entre dos o más sistemas o dispositivos. No solamente captura el tráfico, sino que también lo analiza, decodifica e interpreta, brindando una representación de su escucha en lenguaje entendible por medio de la cual, se obtiene la información necesaria para el análisis de una red y las estadísticas que el analizador proporciona. En síntesis, un analizador de protocolos debería proporcionar: estadísticas, captura de paquetes y decodificación y representación de información histórica. Las técnicas de detección de sniffers que se emplean son varias y todas se basan en poder determinar si la interfaz de red se encuentra en modo promiscuo, lo cual es un claro síntoma de que desea recibir todo el tráfico que pasa por ella. 3.3.4.4. Seguridad en la Capa de Red La función de esta capa se basa principalmente en el protocolo IP y es el manejo de rutas. Es un protocolo no orientado a la conexión, permitiendo el intercambio de datos sin el establecimiento previo de la llamada. Soporta las operaciones de fragmentación y defragmentación, por medio de las cuales un datagrama se subdivide y segmenta en paquetes más pequeños para ser introducidos a la red, y luego en el destino se reconstruyen en su formato original para entregarlos al nivel superior. También implementa el, el cual lo realiza por medio de un esquema de direccionamiento. En TCP/IP se tiene la Capa de Internet, en esta capa se puede realizar cualquier ataque que afecte un datagrama IP. Siendo los principales ataques a esta capa: las técnicas de sniffing, la suplantación de mensajes, la modificación de datos, los retrasos de mensajes y la denegación de mensajes. En un ataque se puede suplantar un paquete si se indica que proviene de otro sistema. La suplantación de un mensaje se puede realizar, por ejemplo, dando una respuesta a otro mensaje antes de que lo haga el suplantado. En esta capa, la autenticación de los paquetes se realiza a nivel de máquina (por dirección IP) y no a nivel de usuario. Si un sistema suministra una dirección de máquina errónea, el receptor no detectará la suplantación. Para conseguir su objetivo, este tipo de ataques suele utilizar otras técnicas, como la predicción de números de secuencia TCP, el envenenamiento de tablas caché, etc. Por otro lado, los paquetes se pueden manipular si se modifica sus datos y se reconstruyen de forma adecuada los controles de las cabeceras. Si esto es posible, el receptor será incapaz de detectar el cambio. Para controlar la seguridad en esta capa se debe poner atención en los mensajes de ruta y direcciones: Seguridad en Router: El Router es el dispositivo a controlar en este nivel, para lo cual se debe tomas atención en: Control de contraseñas: Los router permiten la configuración de distintos tipos de contraseñas, para acceder al modo usuario es la primera que solicita si se accede vía Telnet, luego también para el ingreso a modo privilegiado, también se permite el acceso a una contraseña cifrada, la de acceso vía consola y por último por medio de interfaz gráfica por http. Configuración del router: Dentro de este aspecto se contemplan los detalles de configuración que muchas veces en forma innecesaria quedan habilitados y no se emplean como Broadcast Subnetting, local loop, puertos, rutas, etc. Resguardo de las configuraciones: Se debe guardar la startup-config en forma consistente con la running-config, y esta a su vez en un servidor tftp, como así también en forma impresa. Protocolos de ruteo: El empleo de los protocolos de ruteo es crítico pues la mayor flexibilidad está dada por el uso de los dinámicos (RIP, IGRP, EIGRP, OSPF), pero se debe tener en cuenta que con esta medida se facilita información para ser aprovechada por intrusos, los cuales a su vez pueden emplearla para hacerse partícipe de las tablas de ruteo (En especial con RIP pues no se puede verificar el origen de los costos de las rutas, en OSPF, es más fácil pues se envía una tabla completa que pertenece a un router específico y a su vez a este se lo puede verificar con dos niveles de contraseña: normal y Message Digest). Las tablas de ruteo estáticas, por el contrario, incrementan sensiblemente las medidas de seguridad, pues toda ruta que no esté contemplada, no podrá ser alcanzada. Listas de control de acceso (ACL): Son la medida primaria de acceso a una red Listas de acceso extendidas (ACL extendida): Amplían las funciones de las anteriores, generalmente con parámetros de nivel de transporte Archivos .Log: Permiten generar las alarmas necesarias. Seguridad en el acceso por consola: Se debe prestar especial atención pues por defecto viene habilitada sin restricciones, y si se tiene acceso físico al router, se obtiene el control total del mismo. Siempre hay que tener presente que un usuario experto, si tiene acceso físico puede iniciar la secuencia de recuperación de contraseña e iniciar el router con una contraseña nueva. Control de tráfico ICMP: Mejor ruta: Este se trata del campo código de la cabecera ICMP con el código 5 de mensaje, su mal empleo permite triangular la ruta de una red para obligarla a pasar siempre por un router sobre el cual se obtiene la información deseada. Solicitud y respuesta de eco (Ping): Se lleva a cabo por medio del protocolo ICMP con una solicitud y respuesta de eco (código 0 y 8, conocido como ping). Un conocido ataque es enviarlo con una longitud mayor a lo permitido por IP (65535 Byte). Al ser recibido, el host no sabe cómo tratarlo y se bloquea. Se debe indicar que hoy la masa de los sistemas ya no lo permiten. También se puede negar el servicio, por medio de una inundación de estos. Destino no alcanzable: Es el código 3 de ICMP, lo importante pasa por los códigos en que se subdivide, pues por medio de estos, se obtiene información que es de sumo interés. Al recibir respuestas de destino no alcanzable, desde ya no es lo mismo esta situación si se trata de prohibición de acceso, de puertos negados, de Servidores que administrativamente niegan acceso a sus aplicaciones, etc. El campo código de la cabecera ICMP puede contener uno de los siguientes valores: Código Valor 0 1 Net unreachable Host unreachable 2 Protocol unreachable 3 4 Port unreachable Fragmentation needed and don’t fragment bit was set 5 6 Source route failed Destination network unknown 7 Destination host unknown 8 Source host isolated 9 Destination network is administratively prohibited 10 Destination host is administratively prohibited 11 12 Destination network unreacheable for type of service Destination host unreacheable for type of service 13 14 Communication Administratively prohibited Host precedence violation 15 Precedence cutoff in effect Tabla No. 3.10. Código de la cabecera ICMP. Fuente: http://neo.lcc.uma.es/evirtual/cdd/tutorial/red/icmp.html. Seguridad ARP: El ataque ARP es uno de los más difíciles de detectar pues se refiere a una asociación incorrecta de direcciones MAC e IP, por lo tanto se debe analizar todas las tramas que circulan por la red y comparar permanentemente las mismas con un patrón de referencia válido. Existen programas que realizan esta tarea, como Arpwatch, siendo de los más conocidos. Arpwatch corre bajo linux y está en los repositorios de las principales distribuciones, así que se la puede instalar con apt get, yum, rpm, etc. Una vez instalada, se debe editar el fichero de configuración, que está en /etc/arpwatch.conf, para que mire nuestra subred y nos envíe las alertas. Para esto, añadimos una línea dentro del fichero que ponga eth0 -a -n 192.168.1.0/24. Obviamente, arpwatch, o cualquier otro sistema similar, no puede mirar más que la subred o subredes a la que pertenece el computador donde lo hemos instalado, ya que los paquetes arp no saltan de VLAN en VLAN. Esto quiere decir que se necesita un arpwatch por cada subred, así que se debe ser cuidadosos y tratar de minimizar el trabajo. Se lo instalará en las subredes más críticas, como puedan ser administración y sistemas. Para que envíe las alertas, se tiene muchas formas. Una de ellas es configurarlo para que envie un mail, añadiendo al fichero /etc/arpwatch.conf una línea como ésta: eth0 -a -n 192.168.1.0/24 -m [email protected] Control de direccionamiento IP: Como es de conocimiento existen dos formas de asignación de direcciones IP Estático: Se implementa en cada host manualmente, y se hace presente en la red siempre con la misma dirección IP. Dinámico: Se asigna a través del empleo del protocolo DHCP dentro del rango que se desee. Se debe tener en cuenta que al producirse las cuatro tramas de DHCP, se pueden configurar varios parámetros, uno de ellos también es la máscara de subred. Si se asigna la IP de forma estática en los dispositivos se gana en seguridad, puesto que si por cualquier circunstancia un intruso llega a acceder a la red, no se le asignará dirección IP para conectarse, por lo que evitará que se pueda comunicar, tanto con el exterior como con el resto de equipos. Esto es una medida adicional sobre todo para las conexiones WiFi. Actualmente la Red de la Cooperativa asigna las direcciones IP en forma Dinámica pero se debe hacer una planificación para realizar esta asignación en forma Estática. 3.3.4.5. Seguridad en la Capa de Transporte La capa de transporte se encarga de la calidad de servicio, garantizando, cuando la aplicación lo requiera, confiabilidad, control de flujo, segmentación y control de errores en la comunicación. Se basa en dos protocolos, TCP, protocolo orientado a la conexión y UDP, protocolo no orientado a la conexión. La capa de transporte transmite información TCP o UDP sobre datagramas IP. En esta capa se puede encontrar problemas de autenticación, de integridad y de confidencialidad. Algunos de los ataques más conocidos en esta capa son las denegaciones de servicio debidas a protocolos de transporte. En cuanto a los mecanismos de seguridad incorporados en el diseño del protocolo de TCP, existe una serie de ataques que aprovechan ciertas deficiencias en su diseño. Una de las vulnerabilidades más graves contra estos mecanismos de control puede comportar la posibilidad de interceptación de sesiones TCP establecidas, con el objetivo de secuestrarlas y dirigirlas a otros equipos con fines deshonestos. En este nivel dentro de la pila TCP/IP como se mencionó, existirán dos posibilidades, operar en modo orientado a la conexión para lo cual se emplea TCP o sin conexión cuyo protocolo es UDP, el responsable de decidir a qué protocolo le entregará su mensaje es el que se emplee en el nivel superior, para lo cual existe el concepto de Puerto que es el SAP (Service Acces Point) entre el nivel de transporte y el de aplicación. En este nivel los dos elementos importantes a controlar son el establecimiento de sesiones y los puertos, los cuales se pueden determinar con las siguientes actividades: Control de establecimientos y cierres de sesión: Ataques LAND. Inundación de SYN. Controles en UDP: Este protocolo por no ser orientado a la conexión, no implementa ninguno de los bit de TCP, por lo tanto, es sumamente difícil regular su ingreso o egreso seguro en una red. Mientras que un Proxy, solo puede regular las sesiones TCP, una de las grandes diferencias con un Firewall es que el último puede “Recordar” las asociaciones entre los segmentos UDP y el datagrama correspondiente, de manera tal de poder filtrar toda asociación inconsistente. Este tipo de Firewall son los que permiten el filtrado dinámico de paquetes. Como medida precautoria se deben cerrar todos los puertos UDP que no se necesite. Control en Puertos UDP y TCP: Dentro del encabezado de TCP o UDP se encuentran los campos Puerto Origen y Puerto Destino, los cuales son uno de los detalles más importantes a controlar dentro de una red pues a través de ellos, se puede ingresar a un Host y operar dentro de este. Por lo tanto se deberá considerar las medidas a adoptar acorde a los puertos detallados en el capítulo del nivel de transporte referido en lo referente al análisis de puertos. 3.3.4.6. Seguridad en la Capa de Aplicación Superada la capa de transporte, todas las funciones y servicios se orientan hacia el usuario. Es decir, a partir de este nivel es poco probable que se encuentren aspectos relacionados a la red, en cambio se ingresa a lo que en el modelo TCP/IP se conoce como Aplicación, que es donde existe la mayor diferencia con el modelo OSI que lo trata como tres capas diferentes, sesión, presentación y aplicación. En esta capa es el nivel donde mayor cantidad de protocolos existen. El modelo TCP/IP combina todos los aspectos relacionados con las aplicaciones en esta capa, aquí se definen los protocolos de alto nivel, aspectos de representación y codificación de los datos y control de diálogo entre procesos. La capa de aplicación presenta varias deficiencias de seguridad asociadas a sus protocolos. Debido al gran número de protocolos definidos en esta capa, la cantidad de deficiencias presentes también será superior al resto de capas. Por lo que se deberán controlar los siguientes protocolos especialmente: Servidores de correo, Web, TFP y TFP, Proxy: Limitar el acceso a áreas específicas de esos servidores. Especificar las listas o grupos de usuarios con sus permisos correspondientes. Prestar especial atención a la cuenta Anónimos y a toda aquella que presente nombres de fácil aprovechamiento. Requerir contraseñas seguras. Siempre controlar los archivos Log. Deshabilitar índices de directorios. Deshabilitar todos los servicios de red que no sean empleados por el servidor Control en Firewall: Todo el tráfico de entrada o salida debe pasar obligatoriamente por esta barrera de seguridad que debe ser capaz de autorizar, denegar, y tomar nota de aquello que ocurre en la red. Hay que tomar en cuenta que un Firewall consiste en un conjunto de medidas de Hardware y Software destinadas a asegurar una instalación de red, el mismo que actúa en los nivel es 3 o red a 7 o aplicación del modelo OSI. Bombardeos de mail: Se puede llenar el espacio en disco de un servidor de correo, enviándole una cantidad suficiente de mails. Se debe tener en cuenta que hasta que el usuario buscado no se conecte, los mensajes permanecerán en el servidor. Si esto se produce, no se poseerá capacidad de almacenamiento para ningún otro mensaje entrante, por lo tanto se inhibirá el servicio de correo electrónico. Se puede también generar reportes si el tráfico de correo crece repentinamente. Para controlarlo es necesario asignar espacio en el disco rígido enviando las alarmas correspondientes una vez alcanzado el porcentaje establecido. Dedicar grandes áreas de disco al almacenamiento de mensajes, y separar esta área del resto del sistema. Bombardeos de SYSLOG y SNMP: Semejante al de mail, pero llenará el sistema de .Log y de administración de red. Misma solución que el caso anterior FTP (Puerto TCP 20 y 21): Dos de los puertos sobre los que se debe prestar atención son los de Comando (21) y de datos (20) que están reservados para ftp. El acceso a una red a través de los mismos es bastante común. La principal ventaja que ofrecen es que se puede regular con bastante precisión su flujo de establecimiento de sesiones. Servidores DNS: Controlar la configuración de los mismos, en especial al tráfico TCO sobre el puerto 53 Servidores de correo: Una de las principales herramientas que emplean los spammers para ocultar sus rastros son la infección de servidores de correo que tienen activada la opción de replay (o relé), la infección de un servidor de este tipo es muy difícil de localizar, pero no lo es así en cuanto al análisis de tráfico, pues se incrementa de forma muy voluminosa, por lo tanto es una buena práctica evaluar el tráfico entrante y saliente periódicamente. DNS: Las vulnerabilidades de este protocolo las puede clasificar en cuatro: UDP: Entre los servidores se transfieren grandes volúmenes de información a través del puerto UDP 53, el cual por ser no orientado a la conexión lo hace especialmente difícil de controlar y filtrar, aprovechándose esta debilidad. Obtención de Información: Los servidores DNS almacenan información importante, la cual es muy buscada y fácilmente obtenible por un intruso. Texto plano: Toda la información viaja en texto plano. Falta de autenticación: El protocolo no ofrece ninguna técnica de autenticación. Los DNS también pueden ser vulnerables a la técnica de spoof, que se puede implementar en muchos protocolos y niveles, en este caso consiste en falsificar una respuesta DNS, ofreciendo una dirección IP que no es la que verdaderamente está relacionada con ese nombre. Lo natural sería infectar o envenenar las tablas de un servidor DNS maestro, y con ello se propagaría y cualquier consulta hacia el nombre infectado, lo respondería con la dirección IP falsa. La realidad es que es relativamente difícil esta tarea, pues los DNS maestros de Internet suelen estar bastante asegurados y monitorizados como para que esta actividad, inclusive en el caso de lograrla, no sea detectada de forma bastante rápida y solucionada. Telnet: El servicio Telnet autentica al usuario mediante la solicitud del identificador de usuario y su contraseña, que se transmiten por la red. Al igual que el resto de servicios de internet que no protegen los datos mediante mecanismos de protección, el protocolo de aplicación Telnet hace posible la captura de aplicación sensible mediante el uso de técnicas de sniffing. File Transfer Protocol:Al igual que Telnet, FTP es un protocolo que envía la información tanto por el canal de datos como por el canal de comandos. Al enviar el identificador de usuario y la contraseña por una red potencialmente hostil, presenta las mismas deficiencias de seguridad que con el protocolo Telnet. Aparte de pensar en mecanismos de protección de información para solucionar el problema, FTP permite la conexión anónima a una zona restringida en la cual sólo se permite la descarga de archivos. De este modo, se restringen considerablemente los posibles problemas de seguridad relacionados con la captura de contraseñas, sin limitar una de las funcionalidades más interesantes del servicio. Hypertext Transfer Protocol (HTTP y HTTPS): El protocolo HTTP es el responsable del servicio World Wide Web. Una de sus vulnerabilidades más conocidas procede de la posibilidad de entrega de información por parte de los usuarios del servicio. Esta entrega de información desde el cliente de HTTP es posible mediante la ejecución remota de código en la parte del servidor. La ejecución de este código por parte del servidor suele utilizarse para dar el formato adecuado tanto a la información entregada por el usuario como a los resultados devueltos (para que el navegador del cliente la pueda visualizar correctamente). Si este código que se ejecuta presenta deficiencias de programación, la seguridad del equipo en el que esté funcionando el servidor se podrá poner en peligro. Se trata del protocolo principal que regula todo el sistema de navegación a través de páginas Web. Este es el protocolo empleado entre clientes y servidores Web. La diferencia con los demás protocolos de nivel de aplicación es que este establece una sesión por cada información requerida (texto, sonido, gráficos, etc), esta finaliza al completarse la solicitud. Es normal la apertura de vari as sesiones para bajar una sola página. Desde la versión 1.0 en adelante incorpora MIME (Multimedia Internet Mail Extensions) para soportar la negociación de distintos tipos de datos. El acceso a este protocolo es por medio del puerto TCP 80 por defecto, pero es común en redes privadas el empleo de otro para incrementar las medidas de seguridad.Todo lo que viaja a través de HTTP lo hace en texto plano, en otras palabras: puede ser leído si se interceptan los datos. Por tal motivo surgió HTTPS.Hypertext Transfer Protocol Secure (Protocolo seguro de transferencia de hipertexto), más conocido por sus siglas HTTPS, es un protocolo de red basado en el protocolo HTTP, destinado a la transferencia segura de datos de hipertexto, es decir, es la versión segura de HTTP.El sistema HTTPS utiliza un cifrado basado en SSL/TLS para crear un canal cifrado, cuyo nivel de cifrado depende del servidor remoto y del navegador utilizado por el cliente, más apropiado para el tráfico de información sensible que el protocolo HTTP. Correo electrónico SMTP, POP y MIME: Una pasarela SMTP es un host con dos conexiones a redes distintas. Las pasarelas SMTP se pueden implementar de forma que conecten distintos tipos de redes. Se puede prohibir el acceso a la pasarela a determinados nodos de la red, empleando la sentencia de configuración RESTRICT. Alternativamente, la seguridad se puede implementar con un fichero de autorización de accesos, que es una tabla en la que se especifican de quién y a quién se puede enviar correo por la pasarela. POP es un protocolo que permite a un usuario conectarse a un sistema y entregar su correo usando su nombre de usuario y contraseña a través del puerto TCP 110. La metodología a seguir para descargar correo es la misma que en SMTP, lo cual implica que cuando un servidor recibe un mail, establece la sesión SMTP con este destino y entrega su mensaje.Las vulnerabilidades que sufre el correo electrónico son referidas a su privacidad y su seguridad, dentro de ellas existen debilidades concretas.La privacidad es fácilmente vulnerable pues el correo viaja como texto plano, es decir, que si no se emplea algún algoritmo criptográfico, cualquiera puede tener acceso al mismo. SNMP (Single Network Monitor Protocol): Este es el protocolo que habilita las funciones que permiten administrar redes no uniformes. Permite a los administradores supervisar el funcionamiento de la red, buscar y resolver sus problemas, y planear su crecimiento. SNMP es un protocolo de requerimiento-respuesta. El sistema de administración genera un requerimiento, y los dispositivos administrados devuelven una respuesta. El acceso de las NMS (Network Management Stations) a los dispositivos administrados está controlado por un nombre de “comunidad”. Cada dispositivo tiene configurado una comunidad (o más) con un nombre que deben conocer las NMS para poder accederlo y obtener sus datos. Detección de Vulnerabilidades La capa de Aplicación es la que más protocolos tiene de todas las capas, en la lista anterior se han visto los más importantes. Se pueden usar algunas herramientas para detectar vulnerabilidades en la capa Aplicación o Presentación si fuera el caso de OSI. Estas herramientas van a lanzar diferentes tipos de ataques hacia uno o varios host, y luego informarán cuáles de ellos presentan debilidades. Es una muy buena estrategia emplearlas para detectar vulnerabilidades en nuestros propios sistemas y luego de ello analizar las causas para minimizar o evitar su explotación por personas no deseadas. Sistema de detección de Intrusos (IDS) Al igual que el punto anterior, este sistema está ligado al nivel de aplicación, pues si bien hoy existe Hardware que ya posee preinstalado este tipo de herramientas conocidas como appliance, en realidad lo que está haciendo es ejecutar módulos de software que de una u otra forma interactúan a nivel de aplicación con el usuario que los administra. Un IDS es básicamente un sniffer de red, optimizado, para poder seleccionar el tráfico deseado, y de esta forma, poder analizar exclusivamente lo que se configura, sin perder rendimiento, y que luego de ese análisis en base a los resultados que obtiene, permite generar las alarmas correspondientes. Existen sniffer de red (Network IDSs o NIDS) y de host (Host IDSs o HIDS). Uno de los productos líderes en esta categoría es Snort. Snort es un sniffer de paquetes y un detector de intrusos basado en red (se monitoriza todo un dominio de colisión). Es un software muy flexible que ofrece capacidades de almacenamiento de sus bitácoras tanto en archivos de texto como en bases de datos abiertas como lo es MySQL. CONCLUSIONES GENERALES Con el incremento de las exigencias de las instituciones y la evolución de la tecnología, la seguridad de información se ha convertido en una prioridad para todo tipo de empresas, especialmente para las entidades de tipo financiero. Existen innumerables herramientas y sistemas de seguridad orientadas a preservar la integridad, confidencialidad y disponibilidad de información y sistemas. También existen una gran cantidad de herramientas para implementar la seguridad informática por capas. En la presente investigación se han seleccionado las más adecuadas para la implementación en la Cooperativa. La seguridad de la información por capas puede implementarse, tomando como punto de partida los 7 niveles del modelo OSI esto es el nivel Físico, nivel de Enlace, nivel de Red, nivel de Transporte, nivel de Sesión, nivel de Presentación y nivel de Aplicación, aunque la implementación se la debe realizar de acuerdo a los niveles del modelo TCP/IP. El crecimiento de las redes IP y la proliferación de nuevas aplicaciones, dispositivos y tecnologías web en el lugar de trabajo generan más vulnerabilidades potenciales para las redes. A medida que avanza la tendencia de ejecutar aplicaciones adicionales en la web, habrá aún más tráfico de red que pase la LAN que se pudiera decir que es confiable y esté fuera del alcance del firewall. Las formas de ataque cambian y surgen constantemente nuevas amenazas. La protección de seguridad por capas, es una forma dinámica de controlar el ataque en la información, en la cual se trata de detectar y bloquear el tráfico malintencionado, dejando pasar únicamente el tráfico que no es dañino. RECOMENDACIONES Abarcar la seguridad de la información por capas de una manera óptima para mantener fiables tanto el funcionamiento de las redes, así como de sus aplicaciones. Se debe prestar especial atención a los servicios de seguridad en varias capas; Enfocar para que los servicios y capas de protección funcionen de forma cooperativa para detectar y bloquear dinámicamente el tráfico malintencionado y así generar informes adecuados para la toma de decisiones a tiempo. Estar actualizando siempre las nuevas versiones de las diferentes herramientas para el control de la seguridad por capas, así como investigar nuevas herramientas que puedan servir en el control de la Red. Organizar el Departamento de sistemas, delegando responsabilidades a las personas que trabajan en el área con la finalidad de estar siempre monitoreando la Red existente.