Salta el contingut

Fase 2: Disseny de la Solució

Introducció

Amb les necessitats identificades en la Fase 1, la Fase 2 consisteix a dissenyar l'arquitectura tècnica de la solució de ciberseguretat. El disseny ha de ser realista, implementable i justificat per les necessitats identificades.

No es tracta de dissenyar la solució perfecta (amb pressupost il·limitat), sinó la solució adequada per a l'organització fictícia triada, considerant el seu contexte, pressupost i maduresa tecnològica.

Lliurables de la Fase 2

L2.1 - Arquitectura de seguretat

# Arquitectura de Seguretat - [Nom de l'organització]
**Alumne**: NOMCOGNOM
**Data**: ____________________

## 1. Principis de disseny
- Defense in depth: múltiples capes de seguretat
- Least privilege: mínims privilegis per a cada compte i servei
- Zero Trust: "mai confiar, sempre verificar"
- Seguretat integrada des del disseny (Security by Design)

## 2. Diagrama d'arquitectura
[Diagrama Mermaid o imatge de l'arquitectura proposta]

## 3. Segments de xarxa
| Segment | VLAN | Subxarxa | Descripció |
|---------|------|---------|-----------|
| DMZ | 10 | 10.0.1.0/24 | Serveis exposats a Internet |
| Corporativa | 20 | 192.168.10.0/24 | Estacions de treball |
| Servidors | 30 | 192.168.20.0/24 | BBDD, aplicacions |
| Gestió | 99 | 192.168.99.0/24 | Administració de xarxa |

## 4. Stack tecnològic proposat
| Capa | Solució | Justificació |
|------|---------|-------------|
| Perímetre | pfSense + Suricata | Open source, cost baix |
| WAF | ModSecurity + NGINX | Integrat amb el web existent |
| Autenticació | Keycloak + TOTP | Open source, estàndard OIDC |
| SIEM | Wazuh | Open source, escalable |
| EDR | Wazuh Agent | Integrat amb el SIEM |
| VPN | WireGuard | Modern, rendiment alt |
| Backup | Borg + Restic | Backup xifrat, open source |

L2.2 - Selecció i justificació de controls

Basant-te en l'anàlisi de riscos de la Fase 1, selecciona controls del CIS Controls v8 o ISO 27002:

## Controls prioritzats (CIS Controls v8 - Implementació Grup 1)

### CIS Control 1: Inventari d'actius (Hardware)
**Per quin motiu**: No es pot protegir el que no se sap que existeix
**Implementació proposada**: Nmap programat + GLPI (inventari)
**Cost estimat**: 0€ (open source) + 4h implementació

### CIS Control 2: Inventari de software
**Per quin motiu**: Software no autoritzat pot ser un vector d'atac
**Implementació**: Wazuh agent amb detecció de software instal·lat
**Cost estimat**: 0€

### CIS Control 4: Configuració segura
**Per quin motiu**: Configuració per defecte és sovint insegura
**Implementació**: CIS Benchmark, Lynis, Ansible playbooks d'hardening
**Cost estimat**: 0€ (eines) + 16h implementació

[Continuar per als 10 controls prioritaris]

L2.3 - Pla d'implementació

## Pla d'implementació per fases

### Fase A: Visibilitat (Mes 1-2)
"No pots defensar el que no veus"
- [ ] Desplegar SIEM (Wazuh)
- [ ] Configurar agents en tots els servidors
- [ ] Inventari d'actius complet
- [ ] Establir línia base de comportament normal

### Fase B: Controls bàsics (Mes 3-4)
- [ ] MFA per a tots els comptes privilegiats
- [ ] Hardening de servidors (CIS Benchmark)
- [ ] Política de contrasenyes forta (PAM)
- [ ] Segmentació de xarxa (VLANs)

### Fase C: Controls avançats (Mes 5-6)
- [ ] WAF davant dels serveis web
- [ ] Escaneig de vulnerabilitats mensual (OpenVAS)
- [ ] SAST en el pipeline de CI/CD
- [ ] Simulacre de phishing + formació

### Fase D: Maduresa i millora contínua (Mes 7-12)
- [ ] Red team exercise (pentest extern)
- [ ] Revisió i actualització del pla de resposta a incidents
- [ ] Certificació ISO 27001 (si aplica)
- [ ] Exercici de continuïtat del negoci (BCP test)

## Diagrama de Gantt

| Activitat | M1 | M2 | M3 | M4 | M5 | M6 |
|-----------|----|----|----|----|----|----|
| SIEM Wazuh | 🔵 | 🔵 | | | | |
| MFA | | | 🔵 | | | |
| Hardening | | 🔵 | 🔵 | | | |
| VLANs | | | 🔵 | 🔵 | | |
| WAF | | | | | 🔵 | |
| OpenVAS | | | | 🔵 | 🔵 | 🔵 |

L2.4 - Pressupost

## Estimació de pressupost

### Costos de llicències/software
| Solució | Tipus | Cost anual |
|---------|-------|-----------|
| Wazuh SIEM | Open source | 0€ |
| pfSense | Open source | 0€ |
| ModSecurity WAF | Open source | 0€ |
| OpenVAS | Open source (community) | 0€ |
| WireGuard | Open source | 0€ |
| Cloudflare (DDoS) | Free tier | 0€ |
| **Total software** | | **0€** |

### Costos d'infraestructura
| Element | Descripció | Cost |
|---------|-----------|------|
| Servidor SIEM | VM 4 cores, 16GB RAM | 120€/mes |
| Firewall hardware | Protectli FW4B | 350€ (única vegada) |
| Formació empleats | KnowBe4 o similar | 15€/user/any × 50 = 750€ |
| **Total infraestructura** | | 2.194€/primer any |

### Costos de consultoria/implementació
| Activitat | Hores | Cost |
|-----------|-------|------|
| Disseny i arquitectura | 20h | 2.000€ |
| Implementació SIEM + agents | 40h | 4.000€ |
| Hardening i VLANs | 30h | 3.000€ |
| Formació interna | 8h | 800€ |
| **Total consultoria** | | **9.800€** |

### ROI estimat
Cost d'un incident de seguretat (estimació IBMreport 2023 Spain): ~4,8M€
Probabilitat d'incident sense mesures: ~30%/any
Probabilitat d'incident amb mesures: ~5%/any
Reducció de risc: 4.800.000€ × 25% = **1.200.000€/any**
Cost de les mesures: **12.000€/any**
ROI: 1.200.000 / 12.000 = **100x**

Revisió i Aprovació

La Fase 2 es presenta al professor (que fa el rol de "client") per a validació. Els criteris d'avaluació:

  • L'arquitectura és coherent amb les necessitats identificades a la Fase 1?
  • Els controls seleccionats cobrien els riscos prioritaris?
  • El pla d'implementació és realista?
  • El pressupost és justificat?

Entrega

Format: Document PDF + presentació de 15 minuts davant del grup

Nom del fitxer: fase2_NOMCOGNOM.pdf

Data d'entrega: [Indicada pel professor al calendari del curs]