Tesis.pdf

III

UNIVERSIDAD POLITÉCNICA SALESIANA

FACULTAD DE INGENIERIAS

CARRERA DE INGENIERIA DE SISTEMAS

“ELABORACIÓN DE UN PLAN DE SEGURIDAD

INFORMÁTICA EN LA ILUSTRE MUNICIPALIDAD DE

PAUTE.”

Proyecto previo a la

obtención del Titulo de

Ingeniero de Sistemas.

Autores:

Diana Fernanda Carchipulla Choco

Miriam Alexandra Guamba Román

Carmen Beatriz Méndez Rojas

Director:

Ing. Bertha Tacuri Capelo

Cuenca – Ecuador

2007

IV

Los conceptos desarrollados, análisis

realizados y las conclusiones del

presente trabajo, son de exclusiva

responsabilidad de las autoras

Cuenca, febrero 14 del 2007

………………………. …………………… ……………………

Diana Carchipulla Miriam Guamba Carmen Méndez

V

Certifico que bajo mi dirección el

proyecto de tesina fue realizada por:

Diana Fernanda Carchipulla Choco

Miriam Alexandra Guamba Román

Carmen Beatriz Méndez Rojas

..................................................

Ing. Bertha Tacuri Capelo

DIRECTORA DE TESIS

VI

DEDICATORIA:

Es muy difícil dedicar un trabajo, quisiera poder nombrar a todas las personas que me alentaron a seguir con mi carrera, a superar los retos y acompañarme siempre. Pero en especial quiero dedicarlo a toda mi familia, que han sabido brindarme todo el espacio, tiempo y apoyo. Quiero destacar el esfuerzo y sacrificio que mi madre MARIA DOLORES ha realizado, por eso este trabajo te lo dedico con todo mi cariño y gratitud.

A mi tío MESÍAS que ha sido como un padre para mí, y aunque muchas veces discrepamos, existe un sentimiento muy grande de fraternidad y cariño.

A mi tía LAURA que aunque estando lejos a sabido brindarme sus palabras de apoyo. A mi abuelita ROSITA. Hoy tu nieta está cumpliendo uno de tus sueños más anhelados. Dios permita que nos acompañes por muchos años más.

A la persona que siempre me estuvo apoyando, alegrando y alentando en los momentos más críticos y que supo despertar en mis sentimientos más profundos. Para ti mi amor NÉSTOR, este logro es tuyo y mío. Y finalmente a mis amigos, compañeros y docentes que confiaron en mí.

DIANA FERNANDA

VII

DEDICATORIA:

Este proyecto de tesis en Primer lugar quiero dedicarlos a DIOS porque fue quien me ayudo para llegar a ser alguien en mi vida profesional. En segundo lugar a mis padres MIGUEL e IBONNY, que me supieron guiar, y ayudar en todo lo que yo necesite para culminar este periodo importante. También a mi esposo FERNANDO, que siempre estuvo allí en los momentos buenos y malos para colaborar en todo lo que a podido y con ello apoyarme para poder culminar esta carrera A mis hermanos, amigos y familiares que de alguna u otra manera me incentivaron a terminar la Universidad A todas estas personas gracias de corazón.

MIRIAM ALEXANDRA

VIII

DEDICATORIA:

A mi Señor, Jesús, quien me dio la fe, la fortaleza, la salud y la esperanza para terminar este trabajo.

A mis padres, Inés y Octavio quienes me enseñaron desde pequeña a luchar para alcanzar mis metas. Mi triunfo es el de ustedes.

A los que nunca dudaron que lograría este triunfo: mis hermanos Olga, Maria, Sergio, Marco, Rene y mi querido abuelito Víctor que siempre se preocupo por la lejanía en la que nos encontrábamos.

La humildad trae gracia y felicidad a la vida; permite acomodarse a las situaciones difíciles sin pensar en lo que se está dejando ó renunciando, nos vuelve más sencillos y naturales, permite que nos concentremos en lo que estamos haciendo, y que lo hagamos correctamente.

La humildad hace que podamos ver los beneficios en cada escena de la vida, haciendo que nuestras interacciones giren en un ambiente más agradable, así logramos un lugar en el corazón de todos, eliminando en un segundo aquello que nos hiere y no nos deja crecer.

Siendo humildes comprenderemos que aún tenemos mucho por mejorar, mucho que aprender y que podemos ocuparnos en la tarea de crecer.

Andrea Moreno de Buitrago Pensamiento Inédito

CARMEN BEATRIZ

IX

AGRADECIMIENTO:

A Dios nuestro señor por la oportunidad que hemos tenido para aprender, mejorar y crecer.

Agradecemos de forma muy especial a la Ing. Bertha Tacuri Capelo quien ha sido nuestra tutora en el presente trabajo, y nos ha brindado su amistad, paciencia y apoyo durante el desarrollo de esta tesina.

A la Ilustre Municipalidad de Paute representada en su Alcalde Dr. Helioth Trelles, por la confianza depositada. Las facilidades proporcionadas por el Ing. Marco Cordero y el Egdo. Alejandro Chuquiralao que fueron fundamentales para el desarrollo del presente trabajo.

A nuestra querida U.P.S que nos acogió en sus aulas durante este periodo de nuestra vida, y en las cuales obtuvimos la luz del saber, a través de docentes que supieron comprendernos y guiarnos en nuestro proceso de aprendizaje,

A nuestras familias por el apoyo incondicional.

A nuestros compañeros y amigos por compartir las angustias y alegrías, a todos ellos GRACIAS.

Con mucho cariño.

LAS AUTORAS.

X

ÍNDICE:

Prefacio ____________________________________________________________________ 1

Introducción ________________________________________________________________ 2

Alcance ____________________________________________________________________ 3

CAPITULO I _______________________________________________________________ 4

1.1 Descripción de la Organización _____________________________________________ 5

1.1 .1 Reseña Histórica ________________________________________________________ 5

1.1.2 Misión, Visión y Objetivos ________________________________________________ 7

1.1.3 Datos Generales del Cantón Paute _________________________________________ 7

1.1.4 Ubicación ______________________________________________________________ 8

1.1.5 Estructura Organizacional ________________________________________________ 9

1.1.5.1 Organigrama _______________________________________________________ 9

1.1.5.2 Organización del area de seguridad informatica _________________________ 10

1.1.5.3 Organización del area de seguridas informatica Propuesta _________________ 12

1.2Evaluacion de la seguridad logica ___________________________________________ 13

1.2 .1 Autenticación _________________________________________________________ 13

1.2.2 Autorización __________________________________________________________ 15

1.2.3 Auditoria _____________________________________________________________ 17

1.2.4 Segregacion de Funciones _______________________________________________ 18

1.3Evaluacion de la seguridad en las comunicaciones _____________________________ 19

1.3 .1 Topologia de Red ______________________________________________________ 19

1.3.2 Componentes de Red ___________________________________________________ 22

1.3.3 Conexiones Externas ___________________________________________________ 23

1.3.4 Configuracion de la Red ________________________________________________ 24

1.3.5 Correo Electronico _____________________________________________________ 24

1.3.6 Antivirus _____________________________________________________________ 25

1.3.6.1 Herramientas ______________________________________________________ 25

1.3.7 Firewall ______________________________________________________________ 27

1.3.8 Ataques que ha sufrido la red ____________________________________________ 27

1.3.9 Herramientas Netmeeting _______________________________________________ 28

1.4 Evaluacion de la seguridad de las aplicaciones ________________________________ 29

1.4 .1 Software _____________________________________________________________ 29

1.4.1.1 Sistema Operativo __________________________________________________ 29

1.4.1.2 Sistema Informatico _________________________________________________ 31

1.4.2 Base de Datos __________________________________________________________ 42

1.4.2.1 Componentes ______________________________________________________ 42

1.4.2.2 Mejoras deSeguridad ________________________________________________ 43

XI

1.4.2.3 Tipos de Datos _____________________________________________________ 43

1.4.2.4 Tratamiento de errores ______________________________________________ 43

1.4.2.5 Sistemas de Bloqueo _________________________________________________ 43

1.4.2.6 Soporte Nativo de XML (XQUERY) ___________________________________ 44

1.4.2.7 Cifrado ___________________________________________________________ 44

1.4.3 Control de Aplicaciones en pc’ ___________________________________________ 45

1.4.4 Control en los datos ____________________________________________________ 45

1.5Evaluacion de la Administracion del CPD ____________________________________ 45

1.5 .1 Administracion del CPD ________________________________________________ 45

1.5 .2 Capacitacion __________________________________________________________ 46

1.5 .3 Backup ______________________________________________________________ 46

1.5 .4 Documentacion ________________________________________________________ 47

1.6Evaluacion de las Auditorias y Revisines _____________________________________ 48

1.7Evaluacion del Plan de Contigencia y Recuperacion de Desastres ________________ 49

1.8Elaboracion del informe de debilidades y amenazas ___________________________ 49

1.8.1 Debilidades ____________________________________________________________ 49

CAPITULO II _____________________________________________________________ 52

2.1 Introducción ___________________________________________________________ 53

2.2 Identificación de los Activos _______________________________________________ 55

2.3 Tasación de los Activos ___________________________________________________ 56

2.4 Identificación de Amenazas _______________________________________________ 56

2.4.1 Arquitectura y Dispositivos de Red _______________________________________ 56

2.4.2 Base de Datos _________________________________________________________ 57

2.4.3 Sistema de Información _________________________________________________ 57

2.5 Posibilidad de Ocurrencia de las Amenazas _________________________________ 59

2.5.1 Arquitectura y Dispositivos de Red _______________________________________ 59

2.5.2 Base de Datos _________________________________________________________ 59

2.5.3 Sistema de Información _________________________________________________ 60

2.6 Identificación de Vulnerabilidades _________________________________________ 60

2.7 Posible Explotación de Vulnerabilidades ____________________________________ 61

2.8 Estimación de valores ___________________________________________________ 62

2.8.1 Estimación del valor de los activos en riesgo ________________________________ 62

2.8.2 Posibilidad de ocurrencia del riesgo _______________________________________ 62

2.8.3 Valor del riesgo de los activos ____________________________________________ 62

2.9 Conclusiones ___________________________________________________________ 63

XII

CAPITULO III ____________________________________________________________ 64

3.1 Introducción ___________________________________________________________ 65

3.2 Del Usuario ____________________________________________________________ 67

3.3 Del Departamento de sistemas de Información _______________________________ 68

3.4 De los Sistemas de Información ____________________________________________ 71

3.5 De la Administración ____________________________________________________ 56

CAPITULO IV ____________________________________________________________ 74

4.1 Introducción ___________________________________________________________ 75

4.2 Del Usuario ____________________________________________________________ 77

4.3 Del Departamento de sistemas de Información _______________________________ 78

4.4 De los Sistemas de Información ____________________________________________ 80

Conclusiones _______________________________________________________________ 81

Recomendaciones ___________________________________________________________ 83

Anexos ____________________________________________________________________ 85

Anexo 1 ___________________________________________________________________ 86

Anexo 2 ___________________________________________________________________ 87

Anexo 3 ___________________________________________________________________ 90

Glosario ___________________________________________________________________ 92

Bibliografia ________________________________________________________________ 97

XIII

ÍNDICE DE FIGURAS:

Figura 1 ___________________________________________________________________ 9

Figura 2 __________________________________________________________________ 12

Figura 3 __________________________________________________________________ 20

Figura 4 __________________________________________________________________ 21

Figura 5 __________________________________________________________________ 32

Figura 6 __________________________________________________________________ 33

Figura 7 __________________________________________________________________ 34

Figura 8 __________________________________________________________________ 34

Figura 9 __________________________________________________________________ 35

Figura 10 _________________________________________________________________ 36

Figura 11 _________________________________________________________________ 36

Figura 12 _________________________________________________________________ 37

Figura 13 _________________________________________________________________ 37

Figura 14 _________________________________________________________________ 38

Figura 15 _________________________________________________________________ 39

Figura 16 _________________________________________________________________ 39

Figura 17 _________________________________________________________________ 40

Figura 18 _________________________________________________________________ 40

Figura 19 _________________________________________________________________ 41

Figura 20 _________________________________________________________________ 41

Figura 21 _________________________________________________________________ 44

Figura 22 _________________________________________________________________ 56

Plan de Seguridad Informático

- 1 -

PREFACIO

El presente documento describe de forma detallada el análisis que se llevó a

cabo en lo que respecta a seguridad informática en la Ilustre Municipalidad de Paute.

Este documento está destinado al Sr. Alcalde y a la alta administración del área de

informática encargada de la Seguridad Informática.

Plan De Seguridad Informática

2

INTRODUCCION

Actualmente la seguridad informática ha adquirido gran auge en todas las

organizaciones, a pesar de que el ambiente es cambiante y que la tecnología brinda

herramientas para desarrollo en pro de un avance organizacional, también han

surgido con mayor rapidez el desarrollo de aplicaciones que pretenden irrumpir la

seguridad con fines varios por lo general maliciosos, situación que desemboca en la

aparición de nuevas amenazas en los sistemas informáticos.

Esto ha llevado a que las organizaciones se preocupen por desarrollar

estrategias que permitan combatir vulnerabilidades internas de la empresa y

amenazas tecnológicas a las que están o podrían estar sometidas.

Por lo que se parte desarrollando documentos y directrices que orienten en el

uso adecuado de estas tecnologías definiendo estratos de seguridad. Realizando un

análisis de los potenciales riesgos, generación de políticas de seguridad informática

que surgen como una herramienta para concienciar a los miembros de una

organización sobre la importancia y sensibilidad de la información y servicios

críticos que permiten crear una cultura de seguridad dentro de la organización y

además permiten a la organización desarrollarse y mantenerse en su sector de trabajo.

Estas políticas deben diseñarse minuciosamente para así recoger las características

propias de la organización.

Finalmente definir estrategias para dar cumplimiento a las políticas de

seguridad, es importante acotar que las políticas deben estar muy bien definidas para

que puedan cubrir los aspectos más relevantes de seguridad dentro de la

organización. Al momento de implantar las estrategias se debe considerar que se

tendrá que realizar un monitoreo constante y que es un proceso que nunca termina.


3

ALCANCE

En la realización de la tesina “Elaboración del plan de Seguridad Informática

en la Ilustre Municipalidad de Paute”, se pretende determinar ciertas precisiones en

lo relativo al estudio de la eficacia de la seguridad informática en la red así como en

sus aplicaciones, y realizar un análisis de los riesgos que se puedan ocasionar; a

partir de esto se podrá realizar un plan de seguridad eficiente, eficaz y seguro

mediante la elaboración de políticas, adicionalmente se contempla la definición de

estrategias para que en el futuro se pueda llevar a cabo la implementación de este

plan de seguridad sin complicaciones.

Esta aplicación de seguridad informática no pretende realizar juicios de valor

sobre la actuación de los directivos y administradores de los sistemas de la

Municipalidad de Paute en cuanto a la importancia prestada a la seguridad de su

información.

Se trata de dar a conocer la eficacia de los controles internos y externos

desde un punto de vista descriptivo, principalmente fundamentado en la recolección

de información interna de la entidad para poder emitir un juicio de valor y mejora de

la forma de protección de la información relevante en la organización, se tomará en

cuenta todos los puntos de seguridad lógica tanto para las aplicaciones como en la

red, pero no se tocará ninguna característica para protección física.

Elaborar un conjunto de Políticas de Seguridad y un plan de contingencias

para poder prevenir posibles caídas del sistema y en el peor de los casos pérdidas

irrecuperables de activos de información que son el eje de funcionamiento de la

municipalidad y en caso de ocurrir cómo recuperarnos lo mas rápidamente para que

sus usuarios no se sientan afectados en su trabajo diario.

En definitiva, esta tesis no tiene como objetivo principal dar modelos

específicos de cómo asegurar la información de la municipalidad. Con esta

investigación, se pretende contribuir al conocimiento mediante la práctica en

Seguridad Informática de los módulos revisados en el Curso de Graduación para

Ingeniería en Sistemas.


4

CAPITULO I

Plan de Seguridad Informático

- 5 -

1.1 DESCRIPCION DE LA ORGANIZACION

1.1.1 RESEÑA HISTORICA

En donde hoy se asienta el cantón Paute se cree que antes de la llegada de los

incas, se asentó una población de artesanos y comerciantes especializados en

confeccionar artículos de cristal de roca y tejidos de lana que desarrollaron un

sistema de "intercambio a larga distancia".

Posteriormente se cree que fue zona de intercambio cultural y comercial de

cañaris, shuaras, colorados y cayapas. Esto lo demuestra a través de nombres como

Cutilcay, Chicti, Amaluza, Bulán, Guachapala, Cabug, Cobshal, Guaraynag.

Los Incas estuvieron en la zona pocos años hasta la llega de los españoles. En

el siglo XVI, durante la época de la conquista europea, se inició la entrega de solares

a los españoles en la localidad de Paute, hasta arrebatar toda la tierra a los naturales

iniciando un cambio en las relaciones entre pobladores.

En 1862, se abrió una vía al oriente bordeando el río Paute que serviría para

el tránsito de los misioneros y la extracción de cascarilla y madera. Con la extracción

de la cascarilla, Paute vivió una etapa de auge económico, el centro urbano se pobló

de forasteros que vendían sus servicios. Durante esta etapa se iniciaron los sembríos

de caña de azúcar y separándose de Gualaceo fue formado un nuevo cantón.

El auge, sin embargo, fue pasajero, en 1892, y entraron en una crisis que

estuvo presente hasta mediados del siglo XX cuando las haciendas cañícolas fueron

lotizadas y vendidas al mejor postor. La venta atrajo compradores de diverso origen

que se asentaron en las laderas y formaron los pueblos existentes en la actualidad.

Una nueva oleada de personas, muchas de las cuales se asentaron en el cantón

y un nuevo, aunque igualmente efímero período de bonanza, trajo la construcción de

la presa Daniel Palacios en Amaluza en la década de los 60.


6

Los cambios periódicos en la economía y la composición de la población de

Paute no se detienen, la sustitución de los sembríos de caña de azúcar por flores,

influye en la economía local y atrae trabajadores de fuera del cantón.

Entre los meses de marzo y mayo de 1993 el cerro Tamuga se desplomó,

represando los ríos Cuenca y Jadán. El dique formado se rompió causando grandes

pérdidas y destrozos en una sucesión de hechos que obligaron a la población a

encontrar nuevas certezas, y grandes muestras de solidaridad.

Los Retos

La historia de Paute no es más que el recuento de numerosos retos que debió

sortear la población, hasta llegar a la actualidad donde la Alcaldía al frente de

Hellioth Trelles junto con el trabajo ferviente de la población pauteña, tienden a

potenciar el camino de unión natural entre sierra y oriente, unir los asentamientos

dispersos para potenciar sus esfuerzos, enfrentar el fenómeno de la migración que

aleja a los mejores hijos de dichas tierras, aprovechar la apertura al mundo que

genera esta migración, mitigar los impactos culturales causados por el mismo

fenómeno, en definitiva, enfrentar el futuro con todas las fortalezas y debilidades

existentes.


7

1.1.2 MISION, VISION Y OBJETIVOS

Es fundamental que el Municipio redacte la misión, visión y objetivos. De

manera que con la misión se describa en forma clara y concisa el propósito o razón

que justifica la existencia de esta entidad a través de responder a las preguntas ¿Qué

somos o cuál es nuestro fin? ¿Quiénes son nuestros clientes, o a qué parte de la

sociedad respondemos?; ¿Qué necesidades o demandas debemos satisfacer de esa

sociedad? Con la visión podemos definir hacia donde queremos llegar como

organización y hacia donde está encaminado el trabajo municipal. Y con los

objetivos describir las metas más importantes para la Municipalidad.

1.1.3 DATOS GENERALES DEL CANTON PAUTE:

Altitud: 2.30 msnm.

Temperatura: Variable entre 15° C a 26° C. Habitantes: 25.000 Distancia a cuenca: 42. Kilómetros

Ciudades cercanas: Guachapala, Sevilla de oro, El Pan, Gualaceo, Chordeleg, Sígsig, Cuenca

Festividades: 26 de febrero Cantonización y 24 de diciembre pase del niño Fiestas parroquiales

Tabla 1

CANTON PAUTE MUNICIPALIDAD DE PAUTE Cabecera Cantonal: Paute Alcalde: Helioth Trelles Méndez Superficie: 267.2 km2 Población:

Urbana: 6,235

Rural: 19.368

% Crecimiento anual: 0.6

Tabla 2


8

1.1.4 UBICACIÓN:

El cantón se encuentra en el corredor Nor-Oriental de la provincia del Azuay,

Limita al Norte con Cañar, al Sur con Gualaceo, al Este los cantones El Pan y Sevilla

de Oro y al Oeste con Cañar, fue creado el 26 de febrero de 1860, actualmente está

formado por las parroquias, Chicán, El Cabo, San Cristóbal, Bulán, Dug-dug,

Tomebamba, Guaraynag. 53 comunidades parroquiales y 6 barrios urbanos.


9

1.1.5 ESTRUCTURA ORGANIZACIONAL

1.1.5.1 Organigrama de la I. Municipalidad de Paute

Comisiones CONCEJO Comisiones

Especiales Permanentes

ALCALDE

Asesoría Dpto. Justicia Jurídica Policía y Vigilancia Comisaría Auditoria Interna Terminal Camal Mercados Secretaría Terrestre Municipal del Concejo Documentación y Archivo

Dirección Dirección Dirección Dirección Dirección Dirección

Administrativa Financiera De Cultura Gestión

Ambiental Planificación OO. PP.

Jefatura de Tesorería Biblioteca Recolección Jefatura de A. Potable Personal de Basura Planificación Alcantarill.

Informática Contabilidad Otros Serv. Aseo de Avalúos y Parques y

Sociales Calles Catastros Jardines

Jefatura de Rentas Desechos Compras Sólidos

Jefatura de

Bodega

Servicios Generales

Figura 1

Fuente: Ing. Marco Cordero. Director Administrativo de la I. Municipalidad de Paute


10

1.1.5.2 ORGANIZACIÓN DEL ÁREA DE SEGURIDAD INFORMÁTICA

El Municipio cuenta con un Centro de Cómputo, el cual se encuentra

estructurado en una mínima parte y, es el encargado del área informática, se

encuentra en una fase inicial, en proceso de implantación del nuevo sistema

unificado, existe solo una persona encargada del centro de cómputo que es Alejandro

Chuquiralao egresado de la UNITA, el cual no tiene nombramiento oficial, sino está

contratado como auxiliar. La implantación de la red fue contratada a la empresa

LogiCo. Y el desarrollo del Sistema unificado a la empresa SINET

No se ha desarrollado documentación formal como es la definición de

políticas y procedimientos en lo que respecta a seguridad informática. Se ha

determinado que no existe una clasificación de Seguridad de los activos de

información. El sistema desarrollado por SINET contiene algunos controles sobre

los accesos de los usuarios. Sin embargo estos controles no obedecen a una

definición previa de políticas de seguridad ni de una evaluación de riesgos de

seguridad de la información a nivel de todo el Municipio, sino más bien a políticas

en la forma de desarrollar el sistema establecidas por la empresa SINET

desarrolladora del sistema.

El encargado del centro de cómputo tiene la misión de apoyar en la

automatización de la información y de los sistemas de trabajo para la optimización de

los servicios. Entre las actividades y responsabilidades que debe desempeñar se

encuentran:

Actualizar versiones de los sistemas informáticos existentes en la

municipalidad.

Evaluar periódicamente su ejecución; proponiendo planes para el desarrollo

de la informática de la institución.

Asistir técnicamente a los funcionarios y empleados en el manejo y uso de

programas o paquetes computacionales y elaborar el plan de capacitación

informática.

Remitir informes periódicos sobre avances, resultados y actividades de la

dependencia, a la Dirección Administrativa.


11

Planear, organizar, dirigir y controlar las actividades de la dependencia bajo

su cargo.

Cumplir con todas las demás funciones afines que por su naturaleza y por

requerimientos del servicio le asigne autoridad superior. Es el que realiza la administración de los accesos al sistema, creación y

eliminación de usuarios, verificación de perfiles en las aplicaciones. Tiene

conocimiento del direccionamiento existente en la red, y realiza algunas funciones

de administración de la red, y es el encargado de la administración de la base de

datos. Es el único que tiene privilegio de administrador.

También será el encargado de administrar la seguridad de información, de

revisar los archivos de auditoría que se generarán de las operaciones que realicen los

usuarios sobre el sistema, para poder identificar responsabilidades al momento que se

den malos manejos de la información.

Usuario:

Las responsabilidades de los que usan la información del Municipio como

parte de su trabajo diario denominados usuarios finales son:

Mantener la confidencialidad de las contraseñas de aplicaciones y sistemas

Reportar supuestas violaciones de la seguridad de información.

Asegurarse de ingresar información adecuada a los sistemas

Utilizar la información del Banco únicamente para los propósitos autorizados.

Propietarios de Información:

Los propietarios de información como jefes de departamento son

responsables de la información que se genera y se utiliza en las operaciones de su

departamento. Existe una relación entre estos jefes y el encargado del centro de

cómputo para asignar niveles de acceso a la información. Así también realizar una

verificación periódica de dichos accesos. Además debe verificar periódicamente la

integridad y coherencia de la información.


12

1.1.5.3 ORGANIZACIÓN DEL ÁREA DE SEGURIDAD INFORMÁTICA

PROPUESTA

Debido a que no existe un departamento de sistemas implantado completamente sino

solamente una persona encargada de varias cosas tales como: administrador de red,

administrador de aplicaciones y otras operaciones que se realizan con la información;

y que la información que se maneja en el municipio se encuentra en una situación

crítica por que anteriormente se manejaba varios sistemas para realizar las distintas

operaciones de cada departamento del municipio.

Es necesario que el centro de cómputo se estructure de manera adecuada debido a

que éste se encargará de elaborar un Plan Maestro de Sistemas para permitir un

mejor manejo y tratamiento de la información, implementará toda la estructura de

hardware y equipos necesarios para el mejor desempeño del municipio y así mismo

será el encargado de probar el software a utilizar.

En la siguiente figura se mostrará el organigrama propuesto para el Departamento de

Sistemas de la Ilustre Municipalidad de Paute

Figura 2

Fuente: Las Autoras

ADMINISTRADOR DE SISTEMAS

(Base de Datos)

ADMINISTRADOR DE REDES

SOPORTE Y MANTENIMIENTO

WEBMASTER PORTAL


13

1.2 EVALUACION DE LA SEGURIDAD LOGICA DE LA ILUSTRE

MUNICIPALIDAD DE PAUTE

1.2.1 Autenticación

Se permite identificar a las entidades que intentan acceder tanto al sistema

operativo como para el sistema unificado desarrollado por SINET, esto se lo hace

mediante un nombre de usuario y contraseña, con lo que se consigue autenticar que

esa persona es quien dice ser realmente. Por lo tanto el método de autenticación es en

función de algo que el usuario conoce (usuario y contraseña).

Este modelo de autenticación es el más básico, basándonos en que cuando

una de las partes desea autenticarse ante otra se limita a mostrarle su conocimiento

de esa clave común, y si ésta es correcta se otorga el acceso a un recurso. Esta

aproximación es la más vulnerable a todo tipo de ataques, pero también la más

barata. Basta con que una de las partes no mantenga la contraseña en secreto para

que toda la seguridad del modelo se pierda.

Con respecto a la aplicación desarrollada por SINET, el número de intentos

que puede digitar la contraseña la asigna el administrador, por lo general es de 3

intentos. En la pantalla de inicio se muestra en forma óvalos negros cuando el

usuario digita su contraseña. En caso de que los tres intentos hayan sido fallidos se

procede a cerrar la aplicación y deberá volver a ejecutarla. No se registra en ningún

medio los intentos de accesos inválidos. El usuario deberá volver a ejecutar la

aplicación. En el caso del sistema operativo se lo hace con la pantalla de

autenticación del SO Windows XP cuando se inicia una cuenta.

Para que este método de autenticación sea efectivo es necesario que las claves

sean seguras, deberían ser complejas pero no llegando al límite de que el usuario no

lo pueda recordar y tenga que escribirlo, y que fácilmente la termine escribiendo y

manteniéndola junto a documentos personales o pegados en el CPU o en la pantalla

del PC. Se comprobó que el administrador asigna claves, pero que estas no cumplen

con ninguno de los criterio para que una clave sea segura, la clave debe ser de uno a

diez caracteres y que el que las asignaba contenía un identificador del departamento


14

por ejemplo del departamento de avalúos y catastros debía ser ava y a continuación

un identificador. Por otro lado se comprobó que la clave del administrador era muy

insegura pues contenía un solo carácter.

No existen tiempo de duración de una contraseña, si el usuario desea

cambiarla tiene que solicitar al administrador en caso de que esta operación no le

esté permitida.

El usuario puede estar inactivo dentro del sistema de forma indefinida. Las

restricciones horarias se reducen a los horarios de oficina en los que funciona el

Municipio, es decir de ocho a doce y de una a cinco de la tarde. Un punto importante

a acotar es que al medio día los usuarios dejan abierta la sesión del SO, y

posiblemente lo podrían hacer con el sistema unificado, por lo que si se irrumpe la

seguridad física del establecimiento se podría tener acceso a todos los recursos.

Con respecto a la toma de vacaciones por parte de los usuarios, las cuentas se

siguen manteniendo intactas, hasta el regreso del usuario.

Cuando se realizan despidos, primero se le informa al usuario y luego el jefe

de personal informa al centro de cómputo sobre el despido para que se realice el

bloqueo de la cuenta, y se guarda un registro de esta operación.

El sistema no informa al usuario del nivel de seguridad que contiene su clave,

lo cual dificulta el trabajo, pues el administrador no puede verificar que la contraseña

cumpla con las condiciones mínimas definidas para generar su clave. No existen

claves por defecto para los usuarios. También se comprobó que puede ingresar la

misma contraseña para usuarios diferentes.

El administrador puede autenticarse desde cualquier estación de trabajo

siempre y cuando haya definido esta opción en la administración del sistema.

Usamos un Software sniffer de libre distribución para verificar si las claves

que se envían en el sistema mediante la red están en texto plano o si están

encriptadas. Y lo que se descubrió es que se puede capturar tanto los nombres de


15

usuario como las contraseñas, y se comprobó que la contraseña se envía en texto

plano.

1.2.2 Autorización.

El control de acceso al sistema no se basa en los perfiles de grupos de

usuarios y la asignación o denegación de permisos a los mismos, sino más bien en

perfiles de usuarios individuales. Estos usuarios se generan en concordancia con las

áreas de la Ilustre Municipalidad de Paute y las tareas que tienen que cumplir dentro

de la misma, y es el encargado del Centro de Cómputo quien da la asignación de

permisos a sus usuarios, cada usuario del sistema con acceso al sistema informático

cuenta con un usuario y contraseña individual aunque pertenezca al mismo

departamento.

La creación de nuevos usuarios se lo maneja directamente desde la

administración del sistema en el que solamente tiene acceso el administrador

encargado de esta área, el procedimiento que se sigue es que inicialmente se debe

registrar en el sistema una estación de trabajo únicamente pueden ser escogidas las

máquinas existentes en la red interna actual y luego crear el usuario con su respectiva

clave y los permisos para su acceso, es imprescindible que sea activado caso

contrario no tendrá acceso.

La única forma de acceso al sistema se lo puede realizar desde un Terminal

asignado caso contrario no se podrá ingresar aun conociendo el usuario y contraseña.

Se manejan varias categorías de usuarios las cuales son:

Administrador.- se tiene dos tipos el administrador del sistema el cual tiene

acceso completo a todo el sistema sin restricción alguna y el administrador

del módulo el que los permisos asignados son solamente los necesarios para

el cumplimiento de su trabajo.

Consulta.- solo visualización de datos del sistema.

Digitador.- solamente pueden ingresar datos al sistema.

Normal ( contiene las dos anteriores)


16

El sistema informático está compuesto por una gran cantidad módulos

diferentes, donde cada uno de ellos es un programa en sí mismo. De esta manera

cada usuario del sistema, según los permisos al que pertenece en la organización,

dispone de los accesos directos a los programas que corresponden a su área. Así, los

usuarios solo pueden interactuar con los datos a los que dichos módulos les permiten

acceder.

En el sistema informático se maneja control de acceso que se utiliza para

identificar los tipos de permiso que tiene cada usuario con respecto a los datos.

Mediante esta lista nos permite identificar qué datos puede modificar cada usuario

para que el usuario pueda realizar tareas delicadas como creación, modificación y

eliminación de algún componente de información del sistema se puede autorizar su

ingreso mediante claves asignadas por el administrador del sistema.

No se posee ninguna medida para realizar una clasificación de información

mas bien cada usuario es responsable de resguardar sus datos.


17

1.2.3 Auditoría

En el sistema existe un archivo que permite desarrollar una auditoria, pero no

contiene información completa debido a que en ella se registran algunos eventos

que realizan los distintos usuarios que tienen acceso al sistema tales como terminal,

usuario, empresa, sucursal, módulo, operación, máquina.

Debido a que no se han realizado auditorias informáticas antes, no se cuenta

con un registro de actividades ilícitas que podrían haberse suscitado. Dentro de las

operaciones podemos decir que no están contempladas todas tales como intentos

fallidos de acceso, qué se está modificando, solo se almacena operaciones tales como

modificación, ingreso, salir.

Al tener el reporte para poder visualizar las operaciones que se han realizado,

quien las ha realizado, y a que hora se han realizado nos ayudan a resolver en parte

los distintos problemas que se tengan en el Ilustre Municipio de Paute si se llegarán

a dar violaciones de seguridad y saber sobre que persona recae la responsabilidad.


18

1.2.4 SEGREGACION DE FUNCIONES

El encargado del centro de cómputo tiene la misión de apoyar en la

automatización de la información y de los sistemas de trabajo para la optimización de

los servicios.

Entre las actividades y responsabilidades que debe desempeñar se encuentran:

Actualizar versiones de los sistemas informáticos existentes en la

municipalidad.

Evaluar periódicamente su ejecución; proponiendo planes para el desarrollo

de la informática de la institución.

Asistir técnicamente a los funcionarios y empleados en el manejo y uso de

programas o paquetes computacionales y elaborar el plan de capacitación

informática.

Remitir informes periódicos sobre avances, resultados y actividades de la

dependencia, a la Dirección Administrativa.

Planear, organizar, dirigir y controlar las actividades de la dependencia bajo

su cargo.

Cumplir con todas las demás funciones afines que por su naturaleza y por

requerimientos del servicio le asigne autoridad superior. Es el que realiza la administración de los accesos al sistema, creación y

eliminación de usuarios, verificación de perfiles en las aplicaciones. Tiene

conocimiento del direccionamiento existente en la red, y realiza algunas funciones

de administración de la red, y es el encargado de la administración de la base de

datos. Es el único que tiene privilegio de administrador.

También será el encargado de administrar la seguridad de información, de

revisar los archivos de auditoría que se generarán de las operaciones que realicen los

usuarios sobre el sistema, para poder identificar responsabilidades al momento que se

den malos manejos de la información.


19

Usuario:

Las responsabilidades de los que usan la información del Municipio como

parte de su trabajo diario denominados usuarios finales son:

Mantener la confidencialidad de las contraseñas de aplicaciones y sistemas

Reportar supuestas violaciones de la seguridad de información.

Asegurarse de ingresar información adecuada a los sistemas

Utilizar la información del Municipio únicamente para los propósitos

autorizados

Propietarios de Información:

Los propietarios de información como jefes de departamento son

responsables de la información que se genera y se utiliza en las operaciones de su

departamento. Existe una relación entre estos jefes y el encargado del centro de

cómputo para asignar niveles de acceso a la información. Así también realizar una

verificación periódica de dichos accesos. Además debe verificar periódicamente la

integridad y coherencia de la información.

1.3 EVALUACION DE LA SEGURIDAD EN LAS COMUNICACIONES DE

LA I. MUNICIPALIDAD DE PAUTE

1.3.1 TOPOLOGIA DE RED

La Municipalidad cuenta con una red de área local la cual permite la

interconexión de los computadores y periféricos, que se encuentran distribuidos en

un único edificio para compartir recursos e intercambiar datos y aplicaciones.

Incluye tanto el hardware como el software. Estos componentes se encuentran de la

siguiente manera:


20

Arriba

19,1m

PLANTA BAJA

BIBLIOTECA

DIRECCION ADMINISTRATIVA

MUNICIPIO DE PAUTE

DIRECCION DE PLANIFICACION

CANALETA

UTP Cat. 6

9,1m2,2m

BAÑOS

JEFATURA DE AVALUOS Y CATASTROS

RECAUDACIONES Y TESORERIA

JEFE DE PERSONAL

DIRECCION DE OBRAS PUBLICAS

JEFATURA DE AGUA POTABLE

Figura 3

Fuente: Las Autoras


21

Arriba

19,1m19

,9m

19,9

m

PLANTA ALTA

DIRECCIÓN FINANCIERA

MUNICIPIO DE PAUTE

ALCALDIA

CANALETA

UTP Cat. 6

INTERNET

COMISARÍA

SALÓN DE SESIONES

Espacio vacío

Otros

24 m cuadr.

ASESORIA JURIDICA

24 U

2 U2 U

CENTRO DE COMPUTO PROYECTOS

BAÑOS

SALÓN DE USO MÚLTIPLE

PBX

DIFUSION CULTURALDIFUSION CULTURAL

Figura 4

Fuente: Las Autoras


22

La Topología de Red hace referencia a la forma de interconexión entre los

dispositivos de red. Tenemos dos tipos de topología:

La topología física, hace referencia a la disposición física actual de la red,

representando los nodos que se encuentran conectados, la implementada en el

Municipio de Paute es la de Estrella extendida ya que conecta estrellas

individuales entre sí mediante la conexión de switches. Tiene la ventaja de

que puede extender el alcance y la cobertura de la red.

La topología lógica de la red: Describe el método que se usa para

comunicarse con los demás nodos, que ruta toman los datos de la red entre los

diferentes nodos de la red. La topología usada es broadcast ya que cada host

envía sus datos hacia todos los demás host del medio dentro de la red, se usa

Ethernet.

Hemos usado el sniffer Ethereal, para verificar la conectividad en la red,

como forma de comprobar que si se puede violar la seguridad.

1.3.2 COMPONENTES DE RED

Servidor: El servidor es aquel computador que va a compartir sus recursos

hardware y software con los demás equipos de la red. En este caso se ha

usado una PC normal y se ha implantado un servidor sobre el sistema

operativo Windows XP, lo cual no es óptimo puesto que este sistema

operativo no brinda características esenciales como lo haría un Windows

Server que tiene mayores prestaciones y permite una administración de la red

más adecuada.

Estaciones de trabajo: Los computadores que toman el papel de estaciones de

trabajo aprovechan o tienen a su disposición los recursos que ofrece la red así

como los servicios que proporciona el Servidor al que pueden acceder.

Tarjeta de red: También se denominan NIC (Network Interface Card).

Básicamente realiza la función de intermediario entre el computador y la red

de comunicación. En ella se encuentran grabados los protocolos de


23

comunicación de la red. Aunque algunos equipos en el municipio disponen de

dos tarjetas para su conexión a internet.

El medio: Constituido por el cableado y los conectores que enlazan los

componentes de la red. El medio usado cable de par trenzado categoría 5E. Y

dispositivos constituidos por switch 3com y Advantek,

No existe documentación detallada sobre diagramas topológicos de la red, ni

sobre tipos de vínculos, existen un diagrama físico sobre la ubicación de los nodos

pero no está actualizada. Además existe documentación sobre el direccionamiento

implantado en la red.

1.3.3 CONEXIONES EXTERNAS

Su salida al exterior es a través de una conexión de 32 Kbps, suministrada por

un ISP-Proveedor de Servicios de Internet- (TELCONET). Este servidor no se

encuentra en el edificio correspondiente a la I. Municipalidad de Paute y tampoco es

administrada por personal de la entidad mencionada anteriormente, su ubicación es

en un café net del mismo cantón y su administración está a cargo del propietario, el

cafenet está ubicado en la misma manzana del Municipio por lo que mediante su red

proporciona un punto de red al Municipio.

La conexión a Internet es proporcionada a cuatro computadores de la

municipalidad: dos computadores de la Dirección Administrativa, Difusión Cultural

y Departamento Financiero , el servicio de Internet se lo realiza mediante tarjetas de

red con la utilización de un switch que se encuentra dentro del espacio físico del

municipio, sus características son las siguientes:

SWITCH ADVANTEK FAST ETHERNET.

16 PUERTOS RJ45

100 MB


24

1.3.4 CONFIGURACION DE LA RED

Todas las máquinas están conectadas a la red, con lo cual desde cualquiera de

ellas se pueden acceder los recursos de las otras excepto el servidor de aplicaciones,

pero no todas tienen acceso a Internet y al nuevo Sistema de Gestión de la

Municipalidad de Paute.

El direccionamiento utilizado en la red interna del Municipio de Paute es el

privado, la dirección de red es 192.168.10.0 con un rango de 192.168.10.1 –

192.168.10.62 para la dirección de red inicial y final respectivamente, con mascara

de subred es 255.255.255.192.

1.3.5 CORREO ELECTRONICO

No existe correo electrónico interno, sino se usa las cuentas personales de

correo externo, con lo cual también se puede afectar la seguridad al descargar spam,

o correo que contiene virus. Se usan herramientas para brindar protección contra

ataques por correo electrónico. Se encuentran configurados por defecto, no se han

establecido políticas o reglas para configurarlo. No se ha puesto en consideración que

los mensajes de correo electrónico dentro del trabajo deben ser solo documentos

formales, ni se dan lineamientos referentes al uso inapropiado del lenguaje ni del

correo como por ejemplo cadenas de mensajes.


25

1.3.6 ANTIVIRUS

En el Ilustre Municipio de Paute si existen problemas con virus, pero estos no

son muy graves debido a que se han podido controlar por medio del antivirus Avast.

Existe una máquina que está localizada en Planificación que no está conectada a la

red debido a que tiene virus.

1.3.6.1 Herramientas

Avast

Avast es un paquete completamente equipado con un antivirus diseñado.

Avast es la protección más poderosa para luchar contra las infecciones víricas en el

servidor.

El kernel de Avast combina una gran capacidad de detección con el máximo

rendimiento. Se puede esperar un 100% de detección en los virus, y una excelente

detección de troyanos.

Características

Kernel Antivirus

100% detección de virus

Gran rendimiento e integración con el sistema

Requisitos de memoria mínimos

Certificado ICSA

Interfaz De Usuario

Test de memoria al inicio de la aplicación

Interfaz simple de usuario muy intuitiva

Interfaz avanzada con apariencia tipo Outlook

Testeo de discos enteros o directorios especificados

Definición y ejecución de tareas programadas

Historial de los escaneos


26

Enciclopedia de virus

Visor de logs

Soporte de skins para cambiar la apariencia

Integración en el menú contextual

Salvapantallas con escaneo antivirus

Escaneo programado al inicio

Escaneo desde la línea de comandos

Actualizaciones

Actualizaciones incrementales garantizan bajo tráfico

Actualizaciones completamente automáticas

Actualizaciones PUSH se cargan nada más son publicadas.

Protección Residente

La protección estándar supervisa los ficheros de sistema

Optimizada para rapidez en los procesos

Adaptada a máquina con múltiples CPUs

Soporte para servicios de terminal

Bloqueo de scripts

Reparación

Capacidad de reparación directa (especialmente virus de macro)

Reparación de ficheros usando Virus Recovery Database (VRDB) generada

automáticamente


27

1.3.7 FIREWALL

El firewall que existe en la empresa es un servicio del Sistema Operativo

Windows XP que proporciona una línea de defensa contra quienes pudieran intentar

tener acceso a su equipo desde fuera de Firewall de Windows sin su permiso.

Este firewall se está ejecutando en equipos Windows XP Service Pack 2

(SP2), en el cual está activado de forma predeterminada y los computadores que aun

tienen Service Pack 1 (SP1) fueron activadas manualmente al igual que los equipos

que no lo tenían activado.

Los motivos que se vieron convenientes para realizar su activación fueron las

siguientes:

Ayuda a evitar que virus y gusanos informáticos lleguen a un equipo.

Pide el permiso del usuario para bloquear o desbloquear ciertas solicitudes de

conexión.

Crea un registro de seguridad, si desea tener uno, que almacene los intentos

correctos y fallidos de conectarse a un equipo.

1.3.8 ATAQUES QUE HA SUFRIDO LA RED

No han existido accesos no permitidos por parte de los usuarios, o al menos

no existe un registro que indique que haya sucedido esto. Los mayores problemas

que han tenido es que se han conectado medios removibles que contienen archivos

con virus, y que circularon por la red y se vieron afectados muchos equipos, hasta el

punto que se tuvo que formatear algunos de ellos.


28

13.9 HERRAMIENTA NETMEETING

El Municipio tiene NetMeeting que viene incluido en Windows XP, que

brinda las siguientes características de seguridad:

1. Encriptación de datos.

2. Autenticación de usuarios.

3. Protección por password.

Y posee las siguientes utilidades:

Conferencias de Audio y Vídeo: Se puede hablar y ver a quien desee por la

red o por Internet.

Pizarra: Permite intercambiar información gráfica con otras personas.

Chat: Además de audio, se puede mantener conversaciones utilizando texto.

Interesante cuando la calidad de la conexión no es buena y el audio/vídeo es

deficiente.

Directorio Internet: El Directorio Internet de Microsoft es un sitio Web

mantenido por Microsoft en el que se puede localizar a otras personas y

llamarlas utilizando NetMeeting. Si se desea conocer gente, se puede utilizar

una lista de servidores ILS.

Transferencia de Ficheros: Permite enviar ficheros mientras se realiza una

conferencia de audio/vídeo.

Compartir Aplicaciones: Se puede compartir múltiples aplicaciones mientras

se realiza una conferencia, manteniendo siempre el control sobre el uso de

dichas aplicaciones.

Compartir Escritorio: Puede controlar remotamente otro PC, función poco

conocida pero muy interesante.

Seguridad: Usa tres tipos seguridad para proteger la privacidad.


29

1.4 EVALUACIÓN DE LA SEGURIDAD DE LAS APLICACIONES

1.4.1 SOFTWARE

1.4.1.1 SISTEMA OPERATIVO

El sistema operativo que se utiliza tanto para el servidor como para las

distintas máquinas que existen es Windows XP que presenta las siguientes

características:

Secuencias rápidas de inicio y de hibernación.

Capacidad del sistema operativo de desconectar un dispositivo externo sin

necesidad de reiniciar.

eficacia y fiabilidad.

Una interfaz de uso más fácil, incluyendo herramientas para el desarrollo de

temas de escritorio.

Uso de varias cuentas, que permite un usuario guarde el estado actual y

aplicaciones abiertos en su escritorio y permita que otro usuario abra una

sesión sin perder esa información.

ClearType, diseñado para mejorar legibilidad del texto encendido en pantallas

de cristal liquido (LCD) y monitores similares.

Escritorio Remoto, que permite a los usuarios abrir una sesión con una

computadora que funciona con Windows XP a través de una red o Internet,

teniendo acceso a sus usos, archivos, impresoras, y dispositivos

Soporte para la mayoría de módems DSL y conexiones wireless, así como el

establecimiento de una red FireWire.

Comprobador de controladores de dispositivos

Escenarios de reinicio reducidos

Protección de códigos

Soporte colateral de DLL

Memoria escalable y soporte de procesador

Sistema de cifrado de archivos (EFS) con soporte para varios usuarios

Seguridad IP (IPSec)

Soporte para tarjetas inteligentes


30

Configuración avanzada e interfaz de energía (ACPI)

NLA (Network Location Awareness)

Consola de recuperación

Servidor de seguridad de conexión a Internet

Puente de red

Conexión compartida a Internet (ICS)

Soporte de red "de punto a punto"

Un centro de seguridad, para comprobar el riesgo al que está sometido

Windows XP.

Interfaz del Cortafuegos de Windows XP, además de ser activado por

defecto.

Un mejor soporte de WiFi y Bluetooth.

Incorporación a Internet Explorer de un bloqueador de popups, la capacidad

de bloquear controles ActiveX, el bloqueo de las descargas automáticas y un

administrador de complementos.

Uso de la tecnología DEP (Data Execution Prevention o Prevención de

ejecución de datos) por Hardware o Software (Según si el Procesador tenga o

no soporte para ello).

Opciones de inicio del modo a prueba de fallos

Las actualizaciones automáticas están activadas por defecto.

El servicio Windows Messenger se desactiva por defecto.

Outlook Express bloquea los archivos adjuntos potencialmente peligrosos

(.exe o .vbs).

La ventana de Agregar o quitar programas permite mostrar u ocultar las

actualizaciones.

Mejoras multimedia como la inclusión del Reproductor de Windows Media 9,

DirectX 9.0c, y Windows Movie Maker 2.1.

GDI+. GDI+ (Graphics Device Interface Plus) es la parte de Microsoft

Windows.NET que proporciona tipografía, imágenes y Figuras vectoriales en

dos dimensiones.

Windows de 64 bits.

En cuanto a la seguridad de este sistema operativo podemos decir que

Windows XP ha sido criticado por su susceptibilidad a malware, como virus,


31

troyanos o gusanos. Las opciones de seguridad por defecto crean una cuenta del

administrador que proporciona el acceso sin restricción a todo el sistema, incluyendo

los puntos vulnerables. Si alguien toma el control de dicha cuenta, casi no existiría

límite al control de la computadora, por lo que la seguridad quedaría claramente

comprometida.

Windows, con una cuota de mercado grande, ha sido tradicionalmente un

blanco para los creadores de virus. Los agujeros de la seguridad son a menudo

invisibles hasta que explotan, haciendo su prevención un hecho difícil. Microsoft ha

indicado que el lanzamiento de actualizaciones para parchear los agujeros de la

seguridad es a menudo causa de los crackers que los descubren.

1.4.1.2 SISTEMA INFORMATICO

Sistema de integración y desarrollo: El sistema fue desarrollado por la empresa

SINET con herramientas Visual Studio .NET utilizando como base de datos MS SQL server

2005 y un entorno de aplicación distribuida que permitirá trabajar en ambiente WEB. Este

contiene los siguientes módulos:

Módulo Contabilidad

Módulo de Compras

Módulo de Inventarios

Módulo de Bancos

Módulo de Manejo de Trámites

Módulo de Avalúos y Catastros

Módulo de Recaudación – Facturación

Registro de Recursos Humanos

Flujo de Trabajo

Reportes y Figuras

Administrador de Usuarios, Respaldo y Auditoría

A Continuación describimos el módulo de Administrador de Usuarios,

Respaldo y Auditoría debido a su importancia para este estudio.


32

Modulo de Administración

Para poder ingresar al Sistema el usuario deberá autentificarse mediante un

nombre y una clave, los cuales serán asignados por el administrador del sistema

Figura 5

Fuente: Sistema de integración y desarrollo de la I.M. de Paute


33

Si los datos son correctos se presenta el menú Principal caso contrario se le solicita

ingresar nuevamente los datos.

Figura 6


BOTONES DE COMANDO

El siguiente menú le ayudará en todo el sistema

Abrir un módulo

Crear Nueva transacción

Guardar los cambios

Modificar datos que ya se han guardado

Borrar o Anular alguna transacción

Deshacer los cambios efectuados

Abrir la Calculadora

Ir al primer registro

Ir al anterior registro

Ir al siguiente registro

Ir al último registro


34

OPCIONES DEL MENU TRANSACCIONES

Figura 7


Estaciones de trabajo: formulario que le permite registrar la estación o el

computador desde cual se va a poder ingresar al sistema.

Figura 8



35

Creación de Empresas: este formulario le permite crear nuevas empresas,

para lo cual el administrador tendrá que escoger el botón de comando (nuevo), e ir

ingresando toda la información necesaria para la creación de dicha empresa, en este

formulario el administrador tendrá que llenar todos los campos caso contrario el

sistema no le permitirá guardar los datos anteriormente ingresados.

Figura 9



36

Creación de Usuarios: formulario que será modificado únicamente por el

administrador del sistema, quien ingresará la información de un nuevo usuario, el

cual tendrá un nombre de usuario y una contraseña para poder acceder al sistema

Figura 10


OPCIONES DEL MENÚ TRANSACCIONES

Figura 11


Directorios del Sistema: este formulario debe ser configurado en cada

Terminal, ya que en éste se ingresa la ruta de los reportes que se encuentran en el


37

servidor, como también se da la ruta en donde se va a respaldar la base de datos cada

cierto tiempo.

Figura 12


Restricción de Accesos: formulario que será modificado únicamente por el

administrador, ya que en éste se darán los diferentes permisos a cada terminal

dependiendo de la función que el usuario cumpla en la empresa.

El administrador tendrá que escoger la empresa, el nombre del usuario e ir marcando

o desmarcando las diferentes opciones que desea que no sean activas en las

terminales.

Figura 13


Restricciones de Operaciones a los Usuarios: este formulario le permite o

no realizar ciertas tareas al usuario tales como crear, modificar o borrar varios tipos


38

de transacciones, para que se pueda realizar esta tareas es necesario tener una clave,

esta clave tendrá que ser entregada por el administrador del sistema.

Figura 14



39

OPCIONES DEL MENU REPORTES:

Figura 15


Reporte de Auditorias del Sistema:

Figura 16



40

OPCIONES DEL MENU PARAMETROS

Figura 17


Directorio de Reportes SQL: Este formulario tendrá que ser configurado en

todas las terminales, ya que de esta configuración dependerá que en el resto de

máquinas sea posible ver todos los reportes. La configuración que deben tener todas

las terminales es la ruta correcta de los reportes en el servidor.

Figura 18



41

Parámetros del Sistema: formulario que le permite crear todos los parámetros que

serán usados por el sistema. En este formulario se deberá ir creando países,

provincias y ciudades para establecer ubicaciones de empresas, sucursales, etc.

básicamente es para ir cargando de información la base de datos

Figura 19


OPCIONES DEL MENU HERRAMIENTAS:

Figura 20


Calculadora: el usuario podrá hacer uso de una calculadora cuando él lo

estime necesario


42

1.4.2 BASE DE DATOS

La base de datos utilizada es SQL Server 2005 la cual se considera más que

un sistema un gestor de Bases de Datos ya que incluye múltiples componentes y

servicios que la convierten en una plataforma de aplicaciones corporativas.

1.4.2.1 Componentes:

Integración entre SQL Server y Common Language Runtime (CLR)

Esta nueva característica hace que los desarrolladores de Bases de Datos

puedan aprovechar las ventajas de la biblioteca de clases de Microsoft .NET

Framework para implementar funcionalidades de servidor. Además se pueden

codificar procedimientos almacenados, funciones y triggers en un lenguaje

.NET Framework.

Notificaciones SQL (Service Brokers)

Permite enviar notificaciones a los suscriptores cuando se produce un evento.

Ésta funcionalidad es muy útil para invalidar cachés o vistas. Las

notificaciones son generadas de forma eficiente y enviadas a múltiples tipos

de dispositivos.

Múltiples resulsets y transacciones simultáneas para conexión

Una novedad importante es la de permitir múltiples resulsets abiertos para

conexión, el que permite consultar diversos grupos de resultados sin tener que

ir a consultar al servidor y sin tener que abrir y cerrar conexiones.

Relacionado con este tema encontramos el nuevo modelo transaccional que

ofrece, muy similar al de COM+, pero sin COM+. El funcionamiento es

sencillo, cuando se abre una TransactionScope toda la conexión que se abra

dentro de el será asociada a la misma transacción.


43

1.4.2.2 Mejoras de seguridad

Podemos agrupar las mejoras en 3 grandes áreas:

1. Restricciones de acceso de usuarios al servidor

2. Deshabilitar servicios y restricción de configuraciones de servicios.

3. Reducción de la superficie de ataques para las nuevas

características.

Tres nuevos niveles de seguridad: Safe, External y Unsafe

1.4.2.3 Tipos de datos

Aparecen nuevos tipos de datos que acaban con las limitaciones del tipo

TEXT e IMAGE que tenían problemas de tamaño y de actualización. Concretamente

aparecen los tipos VARCHAR (MAX), NVARCHAR (MAX) y VARBINARY

(MAX) que se adaptan al tamaño y se pueden actualizar directamente.

1.4.2.4 Tratamiento de errores

Desaparece el acceso a los errores a través de la variable @@Error, y

aparecen bloques TRY…CATCH anidables y con nuevas funcionalidades como

ERROR_NUMBER, ERROR_MESSAGE, ETC

1.4.2.5 Sistema de bloqueo (Snapshot Isolation)

Nuevo nivel de aislamiento que hace que no haya bloqueos en las lecturas, ya

que hace que los lectores lean una versión anterior de los registros.

Tiene la ventaja de una lectura más rápida y sin bloqueos, pero tiene el inconveniente

de unas escrituras más lentas y un tamaño de Base de Datos más grande.


44

1.4.2.6 Soporte Nativo de XML (XQUERY)

Da soporte por utilizar un tipo de datos XML para almacenar, validar y

consultar información en forma XML.

Desde un punto de vista no tan técnico, podemos ver una mejora en la interface del

sistema, y un entorno de trabajo muy similar el entorno de trabajo de Visual Studio

.NET.

1.4.2.7 Cifrado

SQL Server 2005 ofrece 4 alternativas para realizar el cifrado de datos:

• Passphrase • Asymmetric Key • Symmetric Key • Certificate Key

El motor de base de datos tiene una infraestructura de cifrado jerárquica y

administración de claves. Cada capa se encarga de cifrar a las capas inferiores

utilizando unas combinaciones de certificados, claves simétricas y asimétricas.

El diagrama que se muestra en el Figura 22 ilustra lo mencionado:

Figura 21

Fuente: Cifrando datos con SQL Server 2005. http://www.microsoft.com/spanish/ msdn/comunidad/mtj.net/voices/MTJ_0010.asp


45

1.4.3 CONTROL DE APLICACIONES EN PC’s

Se encuentra instalado los diferentes módulos de acuerdo a como necesiten

los usuarios por ejemplo el modulo de recursos humanos lo tendrá el departamento

de jefatura de personal para con ello poder elaborar y mantener los datos que este

necesite.

1.4.4 CONTROLES EN LOS DATOS

Los datos de entrada y salida del sistema poseen ciertos controles en donde se

verifica su integridad, exactitud y validez.

Los datos de salida del sistema de la empresa no se restringen de acuerdo a

los permisos de acceso.

No se protegen con controles de acceso las carpetas que almacenan archivos

de las aplicaciones.

1.5 EVALUACIÓN DE LA ADMINISTRACIÓN DEL CENTRO DE

PROCESAMIENTO DE DATOS

1.5.1 ADMINISTRACIÓN DEL CPD

No existe una correcta organización y administración del área de sistemas

debido a que el centro de cómputo se encuentra en proceso de formación, por lo que

ésta no se encuentra en capacidad de brindar condiciones generales de operación que

posibiliten un ambiente adecuado de control, aunque se están realizando unos

primeros esfuerzos.

La dirección está a cargo de una persona egresada de la U.N.I.T.A y es él

quien deberá ponerse al frente, de manera que la experiencia que posea en el manejo

de los recursos informáticos los aplique, y comprenda los riesgos y problemas

relativos a la tecnología y sistemas de información. Es conciente de que es su

obligación y responsabilidad de mantener seguros los sistemas que se operan.


46

El administrador es el encargado de reportar al Alcalde o en su efecto al

Director Administrativo sobre las actividades críticas en el centro de cómputo. Estos

reportes generalmente se realizan a modo de auto protección a sus actividades y no

son un pedido de ningún directivo de la Ilustre Municipalidad de Paute.

1.5.2 CAPACITACIÓN

No ha existido capacitación para el administrador del centro de cómputo, ni

siquiera por lo menos con respecto a las tecnologías usadas en el Municipio. Los

conocimientos son propios del administrador.

Los usuarios finales han sido capacitados en el uso del software del sistema,

pero no sobre el correcto manejo de recursos informáticos.

No se ha hecho una capacitación continua a los empleados que coadyuve a

desarrollar y mantener sus conocimientos, competencia, habilidades y concienciación

en materia de seguridad informática dentro del nivel requerido a fin de lograr un

desempeño eficaz.

1.5.3 BACKUP

No se han desarrollado planes formales del departamento de sistemas. Se

tienen proyectos a futuro, como es la implementación de backup para la base de

datos.

No se dispone de backups de hardware y de servicios para garantizar la

continuidad de los servicios ante alguna contingencia.

Importancia De La Seguridad

El Alcalde y autoridades de la I. Municipalidad de Paute están concientes de

que hay que brindarle una atención importante al área informática sin embargo no

están concientes de los niveles que ésta tiene y cual debería ser su estructura.


47

Mantenimiento

Solicitud de mantenimiento: cada vez que los usuarios necesitan

asesoramiento o servicios del centro de cómputo, se comunican telefónica o

personalmente con el administrador explicando su situación. No queda ninguna

constancia de las tareas desarrolladas por los empleados del centro de cómputos,

ni de las solicitudes de los usuarios.

Mantenimiento preventivo: en este momento en el centro de cómputo no se

desarrolla ningún mantenimiento preventivo, debido al costo de contratar una

persona más que se dedique a esto.

Clasificación de datos y hardware: los equipos de la empresa no han sido

clasificados formalmente según su prioridad.

Etiquetas: no hay procesos para rotular, manipular y dar de baja un equipo,

sus periféricos o los medios de almacenamiento. Las máquinas y dispositivos no

se identifican entre ellas aunque hay un inventario de la cantidad de máquinas

que existen pero no tiene detalles suficientes.

Instaladores

Los instaladores de las aplicaciones utilizadas en la organización se

encuentran en sus CD´s originales almacenados en el centro de cómputo. Incluso los

instaladores de uso más frecuente, como los del Avast Antivirus o del Acrobat

Reader, Microsoft Office están dentro del departamento de sistemas, todos los

programas que se necesiten instalar se ejecutan desde copias de los CD´s.

1.5.4 DOCUMENTACIÓN

Documentación Del Centro De Cómputo.

En el centro de cómputo existe documentación sobre:

Números IP de las máquinas y de los switches plasmado en un documento

llamado “Plan de Direccionamiento IP”.

Figuras de la ubicación física de los equipos de las dos plantas de la

Municipalidad que no está actualizado.


48

Inventario de computadores, existe un documento en el que se especifican las

características principales de los equipos.

Documentación del desarrollo del sistema. El cual es demasiado general y no

da una idea exacta de la estructura del sistema de gestión municipal.

No hay respaldos de ninguno de estos datos, ya que son documentos impresos que se

van modificando manualmente.

Manuales

Se posee un manual de usuario del sistema, cada módulo desarrollado posee

un manual de usuario para mejorar y facilitar el uso del mismo por medio de los

usuarios. Se han desarrollado manuales para el área de Recaudación, Agua Potable,

Rentas, Avalúos y Catastros, Administración y Gestión, aunque todavía no están

estructurados los manuales para la totalidad de los módulos. Una meta del equipo de

desarrollo es modificar los manuales existentes para generar un manual de usuario

completo que englobe todo el sistema de la empresa.

Documentación Del Desarrollo

Existe una carpeta con diagramas generales y documentación referente a cada

módulo del sistema pero con especificaciones generales de funcionamiento en un

lenguaje no técnico. Estos registros fueron entregados conjuntamente con el sistema

1.6 EVALUACION DE LAS AUDITORIAS Y REVISIONES

No se ha realizado ningún proceso de auditoría informática dentro del

Municipio, que permita verificar si se está cumpliendo con un mínimo de seguridad

de la información. Aunque estas generalmente se realizan en organizaciones que

poseen sistemas complejos o de alto Riesgo.


49

1.7 EVALUACION DEL PLAN DE CONTINGENCIA Y RECUPERACION

DE DESASTRES

No se ha elaborado ningún plan de contingencia ni de recuperación de

desastres.

1.8 ELABORACION DEL INFORME DE DEBILIDADES Y AMENAZAS

1.8.1. DEBILIDADES

No existe fecha de expiración del password.

No hay en la empresa un procedimiento formal para efectuar las bajas de los

empleados del sistema.

No se lleva a cabo ninguna revisión periódica ni control sobre el buen

funcionamiento de las cuentas de los usuarios, ni sobre los permisos que

tienen asignados.

Aunque el usuario permanezca un largo período de tiempo sin actividad el

sistema no ejecuta ninguna acción; ni tampoco el administrador advierte a los

usuarios sobre la necesidad de no dejar las máquinas logeadas e inactivas.

Los usuarios del sistema pueden tener abiertos, al mismo tiempo, todos los

menús a los que están autorizados, y varias sesiones del mismo menú. No se

hacen restricciones en cuanto a la cantidad de sesiones que los usuarios

pueden utilizar.

El mantenimiento técnico especializado externo utiliza la misma cuenta de

administrador para hacer modificaciones en los sistemas operativos de los

servidores, y una vez finalizado el mantenimiento el administrador del

sistema no cambia la contraseña.

Los datos de autenticación son almacenados y transmitidos sin ningún

cifrado.

Las contraseñas no tienen una longitud mínima requerida por el sistema

No se realiza ningún control sobre las cuentas de los usuarios, para

comprobar que cambian el password.


50

Cuando un usuario olvida su contraseña y se cierra la aplicación, recurre al

administrador, el cual lee el password del usuario, recordándoselo. Pero en

ningún momento se lo intima a modificar el password revelado.

Existen carpetas compartidas en las que no se realiza ningún control sobre la

criticidad de la información expuesta.

No se encuentran restringidos los servicios y protocolos que no son

necesarios para el funcionamiento del sistema.

No hay estándares definidos, no hay procedimientos a seguir ni tampoco

documentación respecto a la instalación y actualización de la configuración

de las PC’s y en general documentos auditables del área informática.

Para los usuarios no existen restricciones con respecto a la instalación de

programas en sus respectivos puestos de trabajo, ni sobre la configuración del

sistema operativo, ya que están habilitados los dispositivos externos y

algunos disponen de conexión a Internet sin restricciones.

La ventana de comandos del DOS está disponible para todos los usuarios.

No existe un plan de desarrollo de sistemas formal, ni se utilizan métricas

durante el ciclo de vida del desarrollo de la aplicación. Ejemplo: Portal Web.

No hay control de acceso físico.

No se realizan controles sobre los dispositivos de hardware instalados en las

PC´s, una vez que se ha completado la instalación de algún equipo, el

administrador del sistema no realiza chequeos rutinarios o periódicos.

No se han desarrollado planes formales del departamento de sistemas.

No hay, en los empleados del municipio, plena conciencia con respecto a la

importancia de la seguridad informática.

No existe un inventario donde se documenten todos los sistemas de

información con sus características principales.

No hay inventarios de los equipos de hardware, ni documentación con

respecto a los equipos de la red física, ni de su configuración.

En ningún momento hay consentimiento por parte de los usuarios a que

auditen sus actividades en el sistema, ni declaraciones de que conocen las

normas de “buen uso” del sistema.

No se documentan los cambios que se realizan en la configuración del

servidor, ni la fecha de estas modificaciones.


51

No existen procedimientos para la realización ni la recuperación de los

backups de los datos almacenados en los servidores

No hay desarrollados planes de seguridad, ni planes de contingencia ni de

recuperación de desastres.

No cuentan con una aplicación que genere alarmas o avisos cuando ocurre un

evento que revista un determinado grado de riesgo.

En la empresa no se realizan auditorías, ni rutinas de chequeos de logs.

No se generan logs cuando un usuario modifica su password.

No poseen un plan de monitorización general de la red.


52

CAPITULO II


53

ANÁLISIS DE RIESGOS

2.1 INTRODUCCIÓN

El presente análisis de riesgos fue desarrollado con el propósito de determinar

cuáles de los activos de la empresa tienen mayor vulnerabilidad ante factores

externos o internos que puedan afectarlos, identificando las causas potenciales que

faciliten o impidan alcanzar los objetivos, calculando la probabilidad de su

ocurrencia, evaluando sus probables efectos.

Para generar esta información se desempeñaron las siguientes actividades:

1. Identificación de los activos de la empresa: se evaluaron los distintos

activos físicos y de software de la organización, generando un inventario de

aquellos que son considerados como vitales para su desenvolvimiento.

2. Tasación de los Activos: los activos fueron clasificados según el impacto

que sufriría la organización si faltase o fallara tal activo, mediante el método

de las elipses. Los activos de información que se encuentran en la elipse

central son los más críticos.

3. Identificación de Amenazas: Se listaron los factores de riesgo relevantes

a los que pueden verse sometidos cada uno de los activos mencionados

anteriormente, clasificados de la siguiente manera: interrupción,

interceptación, modificación y generación.

4. Posibilidad de Ocurrencia de Amenazas: Se asigna porcentajes a cada

una de las amenazas listadas anteriormente, un mayor porcentaje indica una

mayor probabilidad de que ocurra la amenaza.

5. Identificación de vulnerabilidades: Se refiere a describir situaciones

internas que tornan vulnerable al sistema.


54

6. Posible explotación de vulnerabilidades: Se asigna porcentajes a cada

una de las vulnerabilidades mencionadas anteriormente, un mayor porcentaje

indica una mayor probabilidad de que ocurra la vulnerabilidad.

7. Estimación de valores: Teniendo presente el listado anterior, se generó

una descripción de las consecuencias que podría sufrir la empresa si los

activos son afectados por sus respectivos factores de riesgo, a partir de dar a

conocer el valor aproximado de los activos en riesgo, luego asignar una

porcentualización que indica la posibilidad de ocurrencia del riesgo y cuales

serían las pérdidas económicas que sufriría el municipio si es que se vieran

afectados dichos activos.

8. Conclusiones: A partir de las estimaciones anteriores se procedió a realizar

la evaluación de la situación actual del municipio mediante cálculos, de

manera que nos permita concluir si se debe o no brindar seguridad a dicho

activo, considerando que: el costo de pérdida de los activos de información

sea mayor al costo del activo, y luego hacer un estudio para garantizar que el

costo de protección del activo sea menor al costo del activo. En general,

aquellos riesgos cuya concreción esté estimada como de baja frecuencia, no

justifican preocupaciones mayores. Por el contrario, los que se estiman de alta

frecuencia deben merecer preferente atención. Entre estos extremos se

encuentran casos que deben ser analizados cuidadosamente, aplicando

elevadas dosis de buen juicio y sentido común.


55

2.2 IDENTIFICACIÓN DE LOS ACTIVOS

Infraestructura:

o PC’s

o Servidores

o UPS’s

Arquitectura de la red

Base de Datos

o Base de Datos SQL Server 2005 contiene los siguientes módulos:

- Contabilidad

- Bancos

- Compras

- Facturación

- Agua Potable

- Avalúos y Catastros

- Administración

Plan Estratégico

Edificios

Mobiliarios

Convenios

Sistemas de Información

Empleados – Administrativos

Clientes


56

2.3 TASACIÓN DE LOS ACTIVOS.

Figura 22

Fuente: Las Autoras

2.4 IDENTIFICACIÓN DE AMENAZAS.

2.4.1 ARQUITECTURA Y DISPOSITIVOS DE LA RED:

Interrupción

i. Destrucción o robo de los dispositivos de Red

ii. Borrado de la configuración de dispositivos

iii. Falta de conectividad

iv. Mantenimiento ineficiente de la red

Interceptación

v. Interceptar las redes a través de dispositivos o herramientas

ajenas a la empresa.

vi. Copiar la configuración y arquitectura de la red ilícitamente

Arquitectura de la red

Base de Datos

Sistema de Información

Infraestructura de Pc, Serv.

Plan Estratégico

Edificios

Mobiliario

Convenios

Empleados y Administrativos

Clientes


57

Modificación

vii. Modificación de la configuración de los dispositivos

viii. Puertos abiertos de forma innecesaria que facilitan la

modificación de la información a intrusos.

Generación

ix. Robo de dinero por medio del Phishing (Tipo de ingeniería

social).

2.4.2 BASE DE DATOS

Interrupción

x. Destrucción de la información por medio de virus.

xi. Bloqueo permanente o temporal de los privilegios de los

usuarios.

Interceptación

xii. Ingreso no autorizado de personal en la Base de Datos para

robar la información contenida.

xiii. Robo de contraseñas por medio de herramientas o programas

para obtener información crítica.

Modificación

xiv. Modificación mal intencionada de la base de datos

Generación

xv. Forzar el ingreso probando claves y realizar transacciones no

autorizadas.

xvi. Añadir registros en la base de datos

2.4.3 SISTEMA DE INFORMACIÓN

Interrupción


58

xvii. Daño de los datos por envío y revisión de materiales

ofensivos.

xviii. Denegación de servicio por medio de mensajes u órdenes que

paralicen su actividad normal por un largo tiempo.

xix. Borrado de programas, datos.

xx. Fallos en el SO.

Interceptación

xxi. El uso compartido de contraseñas entre los usuarios permiten

la revisión de información no autorizada para algunos

empleados.

xxii. Instalación no autorizada de software para el robo de la

información.

xxiii. Escucha en línea de datos

Modificación

xxiv. Modificación de la Información por medio de la suplantación

de identidad

xxv. Modificación de ingreso de pagos.

Generación

xxvi. Captura de mensajes y repetición para ingresar dinero en una

cuenta dada.


59

2.5 POSIBILIDAD DE OCURRENCIA DE AMENAZAS.

2.5.1 ARQUITECTURA Y DISPOSITIVOS DE LA RED:

Destrucción o robo de los dispositivos de Red 80%

Borrado de la configuración de dispositivos 80%

Falta de conectividad 80%

Mantenimiento ineficiente de la red 30%

Interceptar las redes a través de dispositivos o herramientas ajenas a

la empresa.

90%

Copiar la configuración y arquitectura de la red ilícitamente 10%

Modificación de la configuración de los dispositivos 90%

Puertos abiertos de forma innecesaria que facilitan la modificación de

la información a intrusos.

40%

Robo de dinero por medio del Phishing. 15%

2.5.2 BASE DE DATOS:

Destrucción de la información por medio de virus. 10%

Bloqueo permanente o temporal de los privilegios de los usuarios. 5%

Ingreso no autorizado de personal en la Base de Datos para robar la

información contenida.

30%

Robo de contraseñas por medio de herramientas o programas para

obtener información critica.

40%

Modificación mal intencionada de la base de datos 50%

Forzar el ingreso probando claves y realizar transacciones no

autorizadas.

30%

Añadir registros en la base de datos 50%


60

2.5.3 SISTEMA DE INFORMACIÓN:

Daño de los datos por envío y revisión de materiales ofensivos. 10%

Denegación de servicio por medio de mensajes u órdenes que

paralicen su actividad normal por un largo tiempo.

4%

El uso compartido de contraseñas entre los usuarios permite la

revisión de información no autorizada para algunos empleados.

70%

Instalación no autorizada de software para el robo de la información. 6%

Modificación de la Información por medio de la suplantación de

identidad

80%

Modificación de ingreso de pagos. 3%

Captura de mensajes y repetición para ingresar dinero en una cuenta

dada.

2%

2.6 IDENTIFICACIÓN DE VULNERABILIDADES

Claves en texto plano

Claves simples sensibles a fraudulencia.

Firewall: No existen políticas para la utilización de éste.

Configuración de dispositivos por defecto, es decir falta de

aplicación de políticas administrativas.

Tráfico Broadcast extenso

Falta de seguridad en la red de entrada y salida de archivos desde

discos o de computadores ajenos como portátiles.

Falta de capacitación del personal sobre la importancia de la

seguridad de la información. Borrados accidentales o intencionados

No existen registros sobre análisis de riesgos, políticas de

seguridad, planes de seguridad, planes de contingencia y

recuperación de desastres.

Resistencia al cambio por parte de los usuarios.

El Centro de Cómputo no se encuentra constituido totalmente

Falta de Control y monitoreo en el acceso a Internet.


61

No se dispone de un lugar adecuado y seguro para los equipos que

forman parte del área de Tecnologías de información y

comunicación.

Desarrollo de aplicaciones con errores en código fuente, que

permiten algunas brechas de seguridad.

2.7 POSIBLE EXPLOTACIÓN DE VULNERABILIDADES

Claves en texto plano 20%

Claves simples sensibles a fraudulencia. 90%

Firewall: No existen políticas para la utilización de este. 15%

Configuración de dispositivos por defecto 90%

Falta de seguridad en la red de entrada y salida de archivos desde

discos o de computadores ajenos como portátiles.

70%

Falta de capacitación del personal sobre la importancia de la seguridad

de la información.

75%

Borrados accidentales o intencionados 75%

No existen registros sobre análisis de riesgos, políticas de seguridad,

planes de seguridad, planes de contingencia y recuperación de

desastres.

98%

Resistencia al cambio por parte de los usuarios. 10%

El Centro de Cómputo no se encuentra constituido totalmente. 65%

Falta de Control y monitoreo en el acceso a Internet. 65%

No se dispone de un lugar adecuado y seguro para los equipos que

forman parte del área de Tecnologías de información y comunicación.

55%

Desarrollo de aplicaciones con errores en código fuente, que permiten

brechas de seguridad.

12%


62

2.8 ESTIMACIÓN DE VALORES

2.8.1 ESTIMADO DEL VALOR DE LOS ACTIVOS EN RIESGO

Arquitectura y dispositivos de la Red: $30.140,00

o PC’s $22140,00

27pc’s * 820= 22140,00

o Comunicaciones $8000,00

Base de Datos: $4.000,00

o Base de Datos SQL SERVER 2005

Sistema de Información: 13.000,00

2.8.2 POSIBILIDAD DE OCURRENCIA DEL RIESGO

Arquitectura y dispositivos de la Red: 80%

Base de Datos: 60%

Sistema de Información: 20%

2.8.3 VALOR DEL RIESGO DE LOS ACTIVOS

Arquitectura y dispositivos de la Red: $60.000,00

Base de Datos: $8.000,00

Sistema de Información: $30.000,00


63

2.9 CONCLUSION:

Arquitectura y dispositivos de la Red:

$30.140,00 ≤ (0.8*$60.000,00)

30.140,00 ≤ 48.000,00

Base de Datos:

$4.000,00 ≤ (0.6*$10.000,00)

4.000,00 ≤ 6.000,00

Sistema de Información:

13.000,00 ≤ (0.2*$30.000,00)

13.000,00 ≤ 15.000,00


64

CAPITULO III


65

POLITICAS DE SEGURIDAD.

3.1 INTRODUCCIÓN

Las políticas de seguridad informática son definiciones establecidas por la

dirección, que determinan criterios generales a adoptar en funciones relacionadas al

área informática y actividades relacionadas con su seguridad, donde se conocen las

alternativas ante circunstancias repetidas.

Su auge ha sido estimulado por la explosión de tecnologías de manejo de

información, incluyendo a los teléfonos celulares, los buscapersonas y los

computadores. Los que trabajan en los ambientes organizacionales deben recibir

instrucciones claras y definitivas que los ayuden a garantizar la seguridad de la

información generada en tan importante entidad pública. Definitivamente, es

imprescindible mantener reglas claras que enmarquen el desarrollo de las actividades

en cualquier actividad municipal, los sistemas de información no escapan de este tipo

de documentación.

El ofrecer servicios sin tomar en cuenta la seguridad informática constituye una

invitación para que ocurran incidentes de seguridad que podrían dañar severamente

la reputación de la organización. Las políticas de seguridad informática proporcionan

delimitaciones claras que definen un dominio donde se puede encontrar una solución

aceptable.

La seguridad informática es un problema de personas y de tecnología. Pero antes de

que se pueda hacer algo al respecto, la administración municipal debe involucrarse

en la seguridad informática, asignar suficientes recursos y comunicar claramente a

todos los integrantes de su equipo que la seguridad informática realmente sí es

importante.

Las políticas son planteamientos de alto nivel que transmiten a los trabajadores la

orientación que necesitan para tomar decisiones presentes y futuras. Son requisitos

generalizados que deben ser escritos en papel y comunicados a ciertos grupos de


66

personas dentro, y en algunos casos fuera, de la municipalidad. Los documentos de

políticas de seguridad informática varían de una organización a otra.

Las políticas son obligatorias y pueden considerarse el equivalente de una ley propia

de la organización. Se requiere una autorización especial cuando un empleado desea

irse por un camino que no está contemplado en la política.


67

ELABORACION DE POLITICAS DE SEGURIDAD PARA LA ILUSTRE

MUNICIPALIDAD DE PAUTE

3.2 DEL USUARIO:

El usuario debe ser consciente de las medidas de seguridad implantadas

respecto a Tecnologías de Información, por lo que será compromiso de él leer

y cumplir las mencionadas políticas, esto estará descrito en el contrato como

empleado de la institución, así mismo constará las sanciones en caso de

incumplimiento.

El acceso de personal a los recursos informáticos se llevará a cabo de acuerdo

a las normas establecidas por el departamento de Sistemas Informáticos.

Todos y cada uno de los equipos son asignados a un responsable (el usuario

de ese puesto de trabajo), por lo que es de su competencia hacer buen uso de

los mismos.

La información necesaria debe estar actualizada, eliminando los archivos

basura.

Debe ser sencillo encontrar los archivos que sean necesarios, en todos los

puestos de trabajo. Para lo cual se deberá tener un criterio único de

estructuración de la información, es decir que cosa debe ir en cada carpeta y

sobre la nomenclatura de los archivos de modo que el nombre del archivo

preste suficiente información sobre el contenido del mismo.

El usuario debe cambiar su password de acuerdo a los procedimientos

establecidos de cómo generar una clave segura.

Toda información almacenada en cualquier dispositivo o medio del municipio

incluyendo disquetes, dispositivos removibles, reportes, códigos fuentes de

programas de computadora, correo electrónico y datos confidenciales de los

clientes, es propiedad del Municipio.


68

Es responsabilidad del usuario que toda información sea confidencial o

restringida, que este impresa o almacenada en medios físicos transportables

(cintas de backup, cd’s, etc.), etiquetarla, con letras grandes que sean legible

sin la necesidad de un lector especial, indicando su clasificación o grado de

criticidad de dicha información.

Los reportes confidenciales no deben ser copiados sin la autorización del

propietario de la información.

3.3 DEL DEPARTAMENTO DE SISTEMAS INFORMÁTICOS:

Es el responsable de emitir y dar seguimiento al Reglamento para el uso de

los recursos informáticos.

Deberá propiciar el uso de tecnologías de información con el fin de contribuir

con las directrices económicas, ecológicas y de servicio de la Municipalidad

de Paute.

El departamento de Sistemas Informáticos será el encargado de la realización

del mantenimiento preventivo y correctivo de los equipos. La conservación

de su instalación y la verificación de la seguridad física, y adecuarlo a una

condición física apropiada, para lo cual se deben emitir normas y

procedimientos respectivos, así como realizar inventarios.

Este departamento será el responsable de proporcionar a los usuarios el

acceso a los diferentes recursos informáticos.

Deberá restringirse el acceso al sistema o la utilización de recursos en un

horario definido, teniendo en cuenta que:

o las cuentas de los usuarios no deben poder acceder al sistema en

horarios no laborales, de acuerdo al grupo al que pertenezcan.

o durante las vacaciones o licencias las cuentas de usuarios deben

desactivarse.


69

o en días feriados las cuentas de todos los usuarios deben permanecer

desactivadas.

Organizar cursos de capacitación sobre seguridad informática y manejo de

recursos informáticos mínimo una vez al año.

Definir clasificaciones adecuadas de tipos de usuario, que permitan

estratificar la protección de la información y definir permisos de acceso. Ejm:

perfiles, grupos de usuario, ACL’s.

La fecha de expiración de las contraseñas deberá ser de cuatro meses. El

administrador deberá exigir el cambio, una vez cumplido el plazo.

El administrador del sistema deberá realizar un chequeo mensual de los

usuarios del sistema, comprobando que existen solo los usuarios que son

necesarios y que sus permisos sean los correctos.

Podrá sugerir las sanciones en caso de incumplimiento de las políticas y

normas de seguridad y se someterán a estudio y posterior aprobación con los

entes administrativos.

Será el encargado de realizar análisis de riesgo periódicos definidos en las

normas, y de gestionar un proceso de auditoría por lo menos una vez al año.

Tendrá que implantar tecnologías repelentes o protectoras como: cortafuegos,

sistemas de detección de intrusos- anti-spyware, antivirus, herramientas para

la protección de software etc. Mantener los sistemas de información con las

actualizaciones que más impacten en la seguridad y que sean accesibles.

Se deberán tener por lo menos una copia de seguridad de las carpetas más

importantes, y definir planes y procedimientos para este proceso.

Generar documentos sobre operaciones informáticas realizadas para que los

procedimientos sean transparentes.


70

Realizar consideraciones relacionadas con cambios en la asignación de

funciones del empleado. Para implementar la rotación de funciones o en caso

de reasignar funciones por ausencias temporales de algunos empleados, es

necesario considerar la importancia de mantener actualizados los permisos de

acceso.

Este departamento tiene la facultad de llevar a cabo la revisión constante de

accesos y los intentos fallidos al sistema de información y puede conservar

información del tráfico, y realizar monitoreos.

La Administración del departamento de Sistemas es la responsable de

difundir el reglamento para el uso de la red y recursos informáticos; además

de procurar su cumplimiento.

Debe existir una adecuada y documentada separación de funciones dentro del

centro de cómputo.

Los usuarios de la organización que utilicen Internet deben recibir

capacitación específica respecto a su funcionalidad y a los riesgos y medidas

de seguridad pertinentes.

Deberá utilizarse más de una herramienta antivirus en los servidores, para así

disminuir el riesgo de infección.

Deberá existir una clasificación de los datos en base a su sensibilidad para así

determinar controles específicos.

Deberá existir una planificación formalizada y completa de las actividades a

desarrollarse. Deberán designarse responsabilidades claras y documentadas

para cada actividad.

El/Los administradores deberán garantizar la confidencialidad, integridad y

disponibilidad de la información, mediante mecanismos, procedimientos,

planes, etc.


71

El administrador deberá garantizar la conectividad, y no permitir

interceptación en la red, distribuir el ancho de banda de una forma adecuada

de acuerdo a los requerimientos de la función del empleado, así como

restringir los servicios y protocolos que no son necesarios para el

funcionamiento del sistema.

Definir planes de contingencia y de recuperación de desastres en base a la

ubicación física, al medio que lo rodea, a los recursos que posee y al estudio

de análisis de riesgos.

Toda persona que instale o requiera recursos informáticos, y/o requiera

acceso a la red de la Municipalidad deberá sujetarse a las normas y

procedimientos de instalación, control y monitorización por parte del

administrador del departamento de Sistemas Informáticos.

Todo el equipo de cómputo y los de telecomunicaciones que sean de

propiedad del Municipio deberá ser sometido a inventarios y etiquetados para

su descripción, y se deberá llevar un control sobre dichos recursos.

3.4 DE LOS SISTEMAS DE INFORMACIÓN:

Se adquirirá software en caso de ser necesario, propiciando la adquisición de

licencias apropiadas, luego de haberse sometido a un estudio que justifique la

adquisición.

Se desarrollará software siguiendo procedimientos de ingeniería de software,

y estas aplicaciones se desarrollarán en base a las necesidades del municipio,

generando la respectiva documentación y cumpliendo con las normas de

programación.

Con el propósito de proteger la integridad de los sistemas informáticos tanto

adquiridos como desarrollados, será imprescindible que se disponga de

software de seguridad como antivirus, vacunas, parches, privilegios de acceso


72

y nuevos conceptos que surjan con el fin de proveer la seguridad a la

información.

Codificar la información usando Criptología, Criptografía y Criptociencia.

Debe existir una aplicación que registre las siguientes ocurrencias:

o tiempo y duración de los usuarios en el sistema,

o número de conexiones a la base de datos,

o número de intentos fallidos de conexiones a la base de datos,

o generación de nuevos objetos en la base de datos,

o transacciones en la base de datos.

3.5 DE LA ADMINISTRACIÓN:

Se deberá notificar al administrador del sistema para desactivar el acceso a

los recursos informáticos del empleado que vaya a ser removido de su cargo,

esto se realizará antes de que éste sea notificado sobre el despido o

terminación del contrato.

Organizar encuentros periódicos con el jefe del centro de cómputo para

desarrollar planes y estrategias en pro de la seguridad de la información del

municipio.

Asegurar la existencia de controles para revocar el acceso a los empleados a

partir de la notificación de remoción del cargo de un empleado,

independientemente de las razones que tengan para salir de la empresa.

Definir puestos de trabajo contemplando la separación máxima de funciones

posibles para otorgar el mínimo permiso de acceso requerido por cada puesto

para la ejecución de tareas asignadas.

Realizar revisiones frecuentes sobre las políticas de seguridad informática.


73

Redactar en el contrato las responsabilidades que asume sobre la información

y sobre los recursos informáticos a los que tiene acceso.

Definir una misma estructura de nombramiento de carpetas y documentos

para que otro empleado que lo necesite pueda encontrarlo fácilmente.

La Dirección de la Ilustre Municipalidad de Paute deberá proveer la

infraestructura de seguridad requerida y recursos informáticos de acuerdo a

los requerimientos específicos de cada área, y en base a un estudio que

sustente su implantación.

Informar al administrador del sistema sobre la rotación de funciones o en

caso de reasignar funciones por ausencias temporales o definitivas de

algunos empleados.


74

CAPITULO IV


75

ESTRATEGIAS PARA EL CUMPLIMIENTO DE POLITICAS DE

SEGURIDAD.

4.1 INTRODUCCION

Para poder llegar a las estrategias para el cumplimiento de políticas de seguridad es

necesario la creación de múltiples capas de seguridad para los equipos e información

valiosa, para así evitar que un solo nivel comprometa a la red entera. Esta protección

por capas es requerida ante la llegada de las amenazas combinadas y el perímetro de

la red.

A continuación describimos componentes fundamentales que nos pueden ayudar a

brindar protección garantizando en gran parte el cumplimiento de las políticas de

seguridad:

El software antivirus: Porque brinda protección contra los archivos

que entran a la red a través de las solicitudes, las descargas, los disquetes, etc.

El software antivirus busca automáticamente las amenazas más recientes,

explora con frecuencia los sistemas en busca de estas amenazas y también

realiza vigilancia en tiempo real. El software antivirus no solo protegerá al

servidor de aplicaciones y de base de datos, sino también a los firewalls y

aplicaciones importantes, para evitar muchos problemas antes de que surjan.

Los firewalls son una importante línea de defensa de la red y de toda

la información al explorar la información que entra y sale de la red para

garantizar que no sucedan accesos no autorizados y evitar sufrir algunos de

los ataques de DoS- Denied of Service (Denegación de servicios) y de

participar involuntariamente en uno de ellos. Los Firewalls son una

herramienta importante cuando se tiene tráfico de Internet.

El software de detección de intrusos: Con el fin de monitorear

constantemente la red en busca de actividades sospechosas o ataques directos

y que alerte para que pueda actuar inmediatamente.


76

Determina cuando un parámetro enviado por el usuario puede ser erróneo o

cuando necesariamente involucra un intento de intrusión. Cierra las sesiones

(y puede llegar a suspender los privilegios del usuario) ante estas situaciones.

Genera como mínimo un log, estas situaciones implican siempre a un usuario

autenticado.

IDS basados en equipo host: Se sitúan en el servidor local y

monitorean el tráfico incluyendo los registros de auditoría y de incidentes.

Las redes privadas virtuales (VPN) Hoy en día son vitales si existen

conexiones remotamente a la red de la empresa. Las VPN protegen las

conexiones remotas más allá del perímetro para poder establecer

comunicaciones seguras en Internet. Las VPN se implementarán usando:

IPSec. Se implementará, aparte del servidor, un software firewall en todas las

computadoras que tengan acceso a las VPN, y una eficaz protección antivirus.

VLAN’S: La implementación de las VLAN combina la conmutación

de Capa 2 y las tecnologías de enrutamiento de Capa 3 para limitar tanto los

dominios de colisión como los dominios de broadcast. Las VLAN también

ofrecen seguridad con la creación de grupos VLAN que se comunican con

otras VLAN a través de routers. Una asociación de puerto físico se utiliza

para implementar la asignación de VLAN. La comunicación entre VLAN’s

se puede producir solamente a través del router. Esto limita el tamaño de los

dominios de broadcast y utiliza el router para determinar si se pueden

comunicar las VLAN’s.

Configuración del disco: Algunas veces es difícil saber con certeza el

alcance del ataque por lo cual sería prudente volver atrás y partir de un punto

seguro. La solución de configuración del disco puede hacer copias de

seguridad de la información y recuperarla en su estado inicial seguro para que

se pueda confiar en la integridad de la información


77

4.2 DEL USUARIO:

El usuario mediante un compromiso firmado acepta dar cumplimiento de las

medidas de seguridad definidas en la política de seguridad informática,

destacando específicamente el mantenimiento de la confidencialidad de las

claves de acceso, la no divulgación de información de la organización, el

cuidado de los recursos, la utilización de software sin licencia y el reporte de

situaciones anormales. Debe confirmarse este compromiso anualmente o cada

vez que se produzcan cambios en las funciones asignadas al personal.

Borrar los archivos innecesarios, estos son los intermedios, las versiones sin

corregir, etc.

Asegurarse de que los usuarios cambien con frecuencia las contraseñas y

tengan cuidado de no anunciar públicamente sus nombres y contraseñas de

usuario. Fomentar la creación de claves seguras a través del uso de las

siguientes especificaciones :

o Conjunto de caracteres alfa-numérico y símbolos.

o Diferenciar mayúsculas y minúsculas

o La contraseña no deberá contener datos personales ni datos de la

entidad en la que se desempeña.

o Longitud mínima de 6 y máxima de 10 caracteres.

En cada acceso se verificará el usuario que accede y se le presentan los

sistemas que está autorizado a operar. Todas las transacciones que involucran el

ingreso de contraseñas se realizan en un ambiente seguro (protocolo SSL) con

encriptación de datos tanto para el servidor de aplicaciones como para el de

Base de datos.

Si un usuario olvida la contraseña, la aplicación no deberá mostrarle la misma

al administrador, y permitirá que el usuario ingrese una nueva desde su

terminal, la próxima vez que intente logearse.

La contraseña deberá inicializarse como expirado para obligar el cambio.


78

4.3 DEL DEPARTAMENTO DE SISTEMAS INFORMÁTICOS:

Definir conjuntamente con la administración los periodos en los que se

brindará capacitación a los empleados con respecto a seguridad informática y

al uso de recursos.

Las PC´s deben tener instalado un protector de pantalla con contraseña.

Se deberán definir niveles de información, se sugiere :

o Crítica: se considera recurso crítico a aquel recurso interno que debe

estar disponible solamente para un conjunto determinado de personas.

o Confidencial: Se considera recurso confidencial a todo aquel que solo

deberá utilizarse y ser del conocimiento de miembros de la empresa.

o Pública: información de libre circulación; se considera recurso

disponible al público aquel que no requiere permanecer como de uso

interno.

Proceso de mínimo privilegio, es uno de los principios más fundamentales de

seguridad. La estrategia consiste en conceder a cada objeto (usuario, programa,

sistema, etc) solo aquellos permisos o privilegios que son necesarios para

realizar las tareas que se programó para ellos. Permite limitar los ataques y

limitar el daño causado por ataques particulares. Está basada en el

razonamiento de que todos los servicios ofrecidos por una red o sistema están

pensados para ser utilizados por algún perfil de usuario en particular, y no que

todos los usuarios pueden utilizar todos los servicios de la red. De esta forma es

posible reducir los privilegios requeridos para varias operaciones sin afectar al

servicio prestado a los usuarios de la red.

Estructurar un mecanismo para prueba de fallos en la seguridad de redes ya

que si un mecanismo de seguridad fallara, debería negarse el acceso a todo

usuario, inclusive aquellos usuarios permitidos (no podemos determinar si lo

son o si la función de autenticación no está funcionando), es decir debe fallar

en un estado seguro.


79

Generar una defensa en profundidad que se basa en la implementación de

varios mecanismos de seguridad y que cada uno de ellos refuerce a los demás.

La idea es hacerle más difícil y costoso a un atacante la tarea de violar la

seguridad de la red. Esto se logra con la multiplicidad y redundancia de la

protección, es decir, con cada mecanismo respaldando a los demás mecanismos

de seguridad, de forma que si uno de esos mecanismos falla, existen otras

barreras más que vencer.

Todas las actividades críticas que se realicen en el centro de cómputo debe

tener su respectiva documentación.

Debemos instalar programas antiespías, su funcionamiento es similar al de un

antivirus solamente que este software analiza el sistema en busca de programas

espías como Adaware y Spyware y los eliminan.

Actualizar los antivirus con frecuencia (cada 15 días o una vez al mes sería lo

ideal), ya que el grado de velocidad de aparición de nuevos virus o variaciones

de los mismos es tan alto.

Para los computadores que tienen acceso a Internet se podría utilizar un

antivirus online que chequean su computadora mientras está conectado a

Internet. Es una forma cómoda y segura de inspeccionar la computadora para

encontrar todos los virus.

Instalar un cortafuegos o firewall ya que es un software destinado a garantizar

la seguridad en sus comunicaciones vía Internet al bloquear las entradas de su

computador sin autorización y restringir la salida de información.

Estar pendiente de buscar las actualizaciones de software y aprovechar las

soluciones o parches de seguridad para los agujeros que podrían hacernos

vulnerable a un ataque.


80

Adquirir el hardware necesario para la implementación de los respaldos y

definir un plan para llevar a cabo este procedimiento.

Desactivar los puntos de red que no estén siendo utilizados.

Generar documentación de la red.

Utilizar herramientas de monitoreo de red que permitan ver y verificar el

tráfico de la red.

Configurar los dispositivos de acuerdo a los requerimientos del municipio y no

utilizando los valores que vienen por defecto

4.4 DE LOS SISTEMAS DE INFORMACIÓN:

Actualizar las aplicaciones con parches de seguridad, las vulnerabilidades que

se detectan en los programas informáticos mas utilizados como navegadores,

procesadores de texto, programas de correo, etc., son el blanco habitual de

ataques. Como norma básica debemos visitar periódicamente los sitios Web de

estas compañías e instalar dichas actualizaciones.

Se deberá mantener un control sobre las transacciones que sean realizadas por

los usuarios en el Sistema de Gestión Municipal.

Contratar mantenimiento necesario para el sistema de información que se está

implantando actualmente, de tal manera que se logre satisfacer todos los

requerimientos de los usuarios.

Adquirir un algoritmo de encriptación de libre distribución, utilizar la

herramienta de la base de datos que permite encriptar las claves.


81

CONCLUSIONES

A lo largo de esta tesina pudimos comprender que la seguridad informática es

un conjunto de recursos destinados a lograr que la información y los activos

de una organización sean confidenciales, íntegros y disponibles para todos

sus usuarios.

Somos conscientes de que no existe un esquema de seguridad que cubra en su

totalidad los posibles riesgos, sin embargo se debe estar preparado y

dispuesto a reaccionar con rapidez ya que las amenazas y las vulnerabilidades

están cambiando constantemente, de tal forma que el objetivo sea mitigarlas.

Todas las organizaciones, sin importar su tamaño, ameritan contar con

políticas de seguridad.

Disponer de una política de seguridad es importante, pero entendemos que

hacer de la política de seguridad una parte del entorno de trabajo diario es

esencial. La comunicación con los usuarios del sistema es la clave para hacer

que esta política sea efectiva y se genere una “cultura de la seguridad”.

La implantación de una política de seguridad informática en una organización

implica un gran desafío, pero sabemos además que es imprescindible, sobre

todo si se tiene en cuenta que cada vez se produce un mayor número de

ataques.

Nunca es fácil mencionar el tema de las amenazas de intrusos internos. En un

mundo ideal, confiaríamos incondicionalmente en todos nuestros empleados.

Sin embargo, la realidad es que se trabaja en un entorno imperfecto donde las

amenazas pueden surgir desde el interior de las cuatro paredes. Aunque las


82

políticas y procedimientos son esenciales para confrontar este problema, se

necesitan diligencia y determinación para resolverlo.

La clave para desarrollar con éxito un programa efectivo de seguridad de la

información consiste en recordar que las políticas, estándares y

procedimientos de seguridad de la información son un grupo de documentos

interrelacionados.

Ponemos de manifiesto que los resultados obtenidos en el presente trabajo

sean de utilidad para la Ilustre Municipalidad de Paute, de tal forma que

esperamos haber contribuido en algo el desarrollo de una cultura de seguridad

informática.

Asimismo podemos afirmar que las expectativas personales también fueron

cubiertas con éxito. Nos fue posible aprender nuevos conceptos,

desarrollando un trabajo de investigación sobre temas vigentes y volcar toda

la teoría asimilada a un caso práctico.

Por último, esperamos con este trabajo generar en el lector una inquietud que

incentive a futuras investigaciones o proyectos que profundicen en el campo

de la seguridad informática.


83

RECOMENDACIONES

Se recomienda cada año a la Ilustre Municipalidad de Paute llevar a cabo un

análisis de riesgos y de revisar las políticas de seguridad. Así mismo, preparar

un informe que muestre el estado actual en cuanto a seguridad informática y

los progresos que se han logrado, y que queden documentados dichos

informes de tal manera que se permita hacer un seguimiento y a futuro hacer

un análisis de la evolución que ha tenido la seguridad informática en la Ilustre

Municipalidad de Paute.

El cumplimiento de las políticas y estándares que surgieren respecto a

seguridad informática debería ser obligatorio y se recomienda que sea

considerado como una condición en los contratos del personal.

Se recomienda considerar algún tipo de excepción a las políticas tratando de

que sea en el menor número posible, que sea para casos extremos, pero dichas

excepciones deben ser documentadas y aprobadas por el área de seguridad

informática y sean documentos auditables, se deberá detallar el motivo que

justifica el no-cumplimiento de la política.

Se recomienda seguir un esquema similar al que se expone para que se pueda

alinear las medidas de seguridad con las políticas de seguridad elaboradas:

o Clasificación de la información

o Seguridad de red y comunicaciones

o Inventario de acceso a los sistemas

o Campaña de concientización de usuarios

o Estandarizar la configuración del software base

o Revisión y adaptación de procedimientos complementarios

Para cada actividad se deberá implementar una serie de tareas por etapas, la

relación de precedencia que presenta con otras actividades y un tiempo estimado de

duración. Se podría usar herramientas con fines de planificación como puede ser

Microsoft Project.


84

La administración debe brindar el apoyo necesario para la implementación

exitosa de este plan de seguridad.

Debe resaltarse la importancia de apegarse a las buenas prácticas de la

seguridad informática de una forma sutil y comprensible, para que no se tome

como una imposición y cause molestias en el usuario.


85

ANEXOS


86

ANEXO 1

Distribución de las Pc’s

Departamento Puntos de Red PC’s conectadas

Centro de Cómputo 4 1

Comisaría 1 1

Asesoría Jurídica 1 1

Proyectos 1 1

Secretaría de Difusión

Cultural

1 1

Difusión Cultural 1 1

Internet 2 2

Alcalde 2 _

Secretaría de la Alcaldía 1 1

Salón de Sesiones 1 _

Antesala 2 2

Dirección Financiera 5 5

Jefatura de Avalúos y

Catastros

3 2

Dirección Administrativa 2 2

Recaudaciones- Tesorería 3 3

Jefatura de Personal 2 1

Biblioteca 1 1

Jefatura de Agua Potable 3 1

Dirección de Obras

Públicas

3 2

Dirección de Planificación 2 2

41 30


87

ANEXO 2

Switch 3Com Baseline Switch 2024 3C16471

Switch 10/100 de 24 puertos, sin bloqueo y sin administración

Switching simple y rico en funcionalidad para usuarios

diversos

El 3Com® Baseline Switch 2024 es un switch 10/100 de 24

puertos, sin bloqueo y sin administración diseñado para oficinas

pequeñas a medianas. Este switch de clase empresarial, que se puede instalar en rack,

puede colocarse en el armario de cableado o como unidad autónoma.

El switch viene pre-configurado para una instalación rápida y fácil, utilizando

económicos cables de cobre. Su auto-negociación ajusta la velocidad del puerto con

la del dispositivo de comunicación. Cualquiera de los 24 puertos del switch pueden

ofrecer Ethernet 10BASE-T para usuarios con requerimientos promedio de ancho de

banda, o Fast Ethernet 100BASE-TX para usuarios de potencia con conexiones de

red más nuevas. Para simplificar la conexión de cables, todos los puertos detectan

automáticamente el tipo de cable Ethernet (MDI/MDIX).

Al igual que todos los productos 3Com SuperStack 3 Baseline, este switch ofrece

una practicidad poderosa y rica en funcionalidad en un robusto paquete diseñado

para brindar fiabilidad, larga vida y un bajo coste total de propiedad

· El switch trabaja "al sacarlo de su caja" - no se necesita configuración o

software de administración

· El rendimiento sin bloqueo se traduce en un mejor acceso a los recursos de

la red

· La auto-negociación 10/100 determina automáticamente la velocidad

correcta para el puerto


88

· MDI/MDIX automático en todos los puertos simplifica la instalación al

permitir una conexión directa a otro dispositivo, utilizando cables directos o

entrecruzados

· Su sólido diseño y calidad de construcción aseguran una operación fiable

y larga vida

· Se puede instalar en un rack o apilarse para maximizar el espacio

disponible; su tamaño estándar 1RU simplifica la planificación del espacio

· Incluye 90 días de soporte telefónico gratuito, sustitución avanzada de

hardware al siguiente día laborable y garantía limitada de por vida

· Especificaciones de producto

· Puertos: 24 puertos 10BASE-T/100BASE-TX con auto-detección y auto-

configuración MDI/MDIX

· Interfaces para medios: RJ-45

· Funciones de switching Ethernet: Velocidad total sin bloqueo en todos

los puertos Ethernet, auto-negociación y control de flujo bidireccional / half-

duplex

· Direcciones MAC que se soportan: 4,000

· Alto: 4.36 cm (1.7 pulgadas )

· Ancho: 44 cm (17.3 pulgadas)

· Profundidad: 17 cm (6.7 pulgadas )

· Peso: 1,5 kg

· Contenidos del paquete

o Switch

o Bases de goma

o Paquete para instalación en rack

o Guía del usuario


89

SWITCH ADVANTEK ANS-16P 16 PUERTAS RJ45 10/100BT 220V

El switch de 16 puertos de Advantek Networks, es perfecto para mejorar el

performance de una red local de medida pequeña y mediana. Estos switches pueden

satisfacer las necesidades de tener un producto de excelente calidad a un precio muy

afordable.

Fast Ethernet Switch de 16 puertos tiene un diseño super compacto y ligero que

permite conveniencia en montar en la pared o en el mismo escritorio, inclusive en un

lado del escritorio para facilitar y conveniencias de las instalaciones de los cableados.

Puertos 16 Puertos Standard 802.3 (10BaseT), 802.3u (100BaseTX) Velocidad 10/100Mbps Auto-Sensing Interface Interface: RJ45 Ports Paquete de Buffer de Memoria

256KBytes

Tamaño de la tabla Mac Address

4K

Tipo de Procesamiento Store and Forward, Full/Half Duplex, Non-Blocking Flow Control

LED Indicador Power, ACT, LNK, COL, FDX, SPD Dimensión (mm) 30 x 290 x 100 Weight (g) 480 Temperatura (C) 0-45 Humedad 0-90% (Non-Condensing) Certificación FCC Class B, CE Mark, C-Tick, VCCI


90

ANEXOS 3

Verificando la red:

La Clave del usuario anita es aguaani


91

Lo verificamos mediante la tabla de usuarios de la base de datos:


92

GLOSARIO

ACCESO: es la recuperación o grabación de datos que han sido almacenados en un

sistema de computación. Cuando se consulta a una base de datos, los datos son

primeramente recuperados hacia la computadora y luego transmitidos a la pantalla

del terminal, desde donde pueden ser vistos, modificados o eliminados.

AMENAZA: cualquier cosa que pueda interferir con el funcionamiento adecuado de

una computadora personal o equipo informático, o causar la difusión no autorizada

de información confiada a una computadora. Ejemplo: fallas de suministro eléctrico,

virus, saboteadores o usuarios descuidados.

ANTIVIRUS: son todos aquellos programas que permiten analizar memoria,

archivos y unidades de disco en busca de virus. Una vez que el antivirus ha detectado

alguno de ellos, informa al usuario procediendo inmediatamente y de forma

automática a desinfectar los ficheros, directorios, o discos que hayan sido víctimas

del virus.

ARCHIVO, DOCUMENTO: estos términos tienen el mismo significado y hacen

referencia a la información que se encuentra en un soporte de almacenamiento

informático. Es el trabajo real que realiza cada usuario (textos, imágenes, base de

datos, hojas de cálculo, etc.). Cada uno de ellos se caracteriza por tener un nombre

identificativo. El nombre puede estar seguido de un punto y una extensión,

compuesta por tres caracteres que identifican el tipo de fichero del que se trata.

Algunas extensiones comunes son: EXE y COM (ficheros ejecutables, programas),

TXT y DOC (ficheros de texto), etc.

ATAQUE: término general usado para cualquier acción o evento que intente

interferir con el funcionamiento adecuado de un sistema informático, o intento de

obtener de modo no autorizado la información confiada a una computadora.

AUDITORÍA: llevar a cabo una inspección y examen independiente de los registros

del sistema y actividades para probar la eficiencia de la seguridad de datos y

procedimientos de integridad de datos, para asegurar el cumplimiento con la política

establecida y procedimientos operativos, y para recomendar cualquier cambio que se

estime necesario.

AUTENTICIDAD: capacidad de determinar si una lista de personas han establecido

su reconocimiento y/o compromiso sobre el contenido del documento electrónico.


93

BASE DE DATOS: Es un conjunto de datos interrelacionados y un conjunto de

programas para accesarlos. Una recopilación de datos estructurados y organizados de

una manera disciplinada para que el acceso a la información de interés sea rápido.

CARPETA: se trata de divisiones (no físicas sino lógicas) en cualquier tipo de disco

donde son almacenamos determinados ficheros. Forman parte de una manera de

organizar la información del disco, guardando los documentos como si de una

carpeta clasificadora se tratase.

CHAT: se trata de conversaciones escritas en Internet. Mediante una conexión a la

red y un programa especial, es posible conversar (mediante texto escrito) con un

conjunto ilimitado de personas, al mismo tiempo

CONFIDENCIALIDAD: capacidad de mantener datos inaccesibles a todos,

excepto a una lista determinada de personas.

CPD: centro de procesamiento de datos, centro de cómputos.

CRIPTOGRAFÍA: (encriptación) es la rama de las matemáticas aplicadas que se

ocupa de transformar mensajes en formas aparentemente ininteligibles y devolverlas

a su forma original.

DATOS: los datos son hechos y cifras que al ser procesados constituyen una

información, sin embargo, muchas veces datos e información se utilizan como

sinónimos. En su forma más amplia los datos pueden ser cualquier forma de

información: campos de datos, registros, archivos y la base de datos, texto (colección

de palabras), hojas de cálculo (datos en forma matricial), imágenes (lista de vectores

o cuadros de bits), video (secuencia de tramas), etc.

FIREWALL: es un sistema diseñado para evitar accesos no autorizados desde o

hacia una red privada. Los Firewalls pueden estar implementados en hardware o

software, o una combinación de ambos. Los firewalls son frecuentemente utilizados

para evitar el acceso no autorizado de usuarios de Internet a redes privadas

conectadas a la misma, especialmente intranets. Todos los mensajes que dejan o

entran a la red pasan a través del firewall, el cual examina cada mensaje y bloquea

aquellos que no cumplan con determinado criterio de seguridad.

GUSANO: es programa similar a un virus que se diferencia de éste en su forma de

realizar las infecciones. Mientras que los virus intentan infectar a otros programas

copiándose dentro de ellos, los gusanos solamente realizan copias de ellos mismos.

HACKER: persona que tiene un conocimiento profundo acerca del funcionamiento

de redes y que puede advertir los errores y fallas de seguridad del mismo. Al igual


94

que un cracker busca acceder por diversas vías a los sistemas informáticos pero con

fines de protagonismo.

HOST: (sistema central) computador que permite a los usuarios comunicarse con

otros sistemas centrales de una red. Los usuarios se comunican utilizando programas

de aplicación, tales como el correo electrónico, Telnet y FTP.

IDENTIFICACIÓN: un subtipo de autenticación, verifica que el emisor de un

mensaje sea realmente quien dice ser.

INFECCIÓN: es la acción que realiza un virus al introducirse, empleando cualquier

método, en nuestro ordenador (o en dispositivos de almacenamiento) para poder

realizar sus acciones dañinas.

INTEGRIDAD: se refiere a que los valores de los datos se mantengan tal como

fueron puestos intencionalmente en un sistema. Las técnicas de integridad sirven

para prevenir que existan valores errados en los datos provocados por el software de

la base de datos, por fallas de programas, del sistema, hardware o errores humanos.

El concepto de integridad abarca la precisión y la fiabilidad de los datos, así como la

discreción que se debe tener con ellos.

ISP: (Internet Service Provider – Proveedor de servicios de Internet) Empresa que

presta servicios de conexión a Internet.

LOCAL AREA NETWORK: (LAN) (Red de Área Local) red de datos para dar

servicio a un área geográfica pequeña, un edificio por ejemplo, por lo cual mejorar

los protocolos de señal de la red para llegar a velocidades de transmisión de hasta

100 Mbps (100 millones de bits por segundo).

NAVEGADOR: (browser): término aplicado normalmente a programas usados para

conectarse al servicio WWW.

PHISHING: Es un término utilizado en informática con el cual se denomina el uso

de un tipo de ingeniería social, caracterizado por intentar adquirir información

confidencial de forma fraudulenta. El estafador, mejor conocido como phisherse hace

pasar por una persona o empresa de confianza en una aparente comunicación oficial

electrónica, por lo común un correo electrónico o algún sistema de mensajería

instantánea.

PRIVACIDAD: se define como el derecho que tienen los individuos y

organizaciones para determinar, ellos mismos, a quién, cuándo y qué información

referente a ellos será difundidas o transmitida a otros.


95

PROGRAMAS (FICHEROS .EXE y .COM): los ficheros, documentos o archivos

se componen de un nombre (cuyo número de caracteres antiguamente se limitaba a

8) y una extensión que puede no existir o contener, hasta tres caracteres como

máximo. Esta extensión especifica el tipo de fichero. Si es EXE o COM, el fichero

será un programa ejecutable. De esta forma si hacemos doble clic sobre él o

escribimos su nombre, se realizarán determinadas acciones.

PROTOCOLO: descripción formal de formatos de mensaje y de reglas que dos

computadores deben seguir para intercambiar dichos mensajes.

ROUTER: (direccionador) dispositivo que distribuye tráfico entre redes. La decisión

sobre a dónde enviar se realiza en base a información de nivel de red y tablas de

direccionamiento.

SEGURIDAD: se refiere a las medidas tomadas con la finalidad de preservar los

datos o información que en forma no autorizada, sea accidental o intencionalmente,

puedan ser modificados, destruidos o simplemente divulgados. En el caso de los

datos de una organización, la privacidad y la seguridad guardan estrecha relación,

aunque la diferencia entre ambas radica en que la primera se refiere a la distribución

autorizada de información, mientras que la segunda, al acceso no autorizado de los

datos. El acceso a los datos queda restringido mediante el uso de palabras claves, de

forma que los usuarios no autorizados no puedan ver o actualizar la información de

una base de datos o a subconjuntos de ellos.

SISTEMA OPERATIVO (S.O.): existen dos términos muy utilizados en

informática. Estos son los conceptos de hardware y software. El primero de ellos se

refiere a todo lo que es físico y tangible en el ordenador, como unidades de disco,

tarjetas gráficas, microprocesador, memoria, etc. Por otro lado está el software que se

define como el conjunto de programas (o información) con la que puede trabajar el

hardware (ficheros, directorios, programas ejecutables, base de datos, controladores,

etc.). El sistema operativo pertenece al software y más concretamente es el conjunto

de programas (y ficheros o archivos de otro tipo) que permite que se pueda utilizar el

hardware. Se puede tener el mejor ordenador del mundo (el mejor hardware), pero si

éste no tiene instalado un sistema operativo, no funcionará (ni siquiera se podrá

encender). Algunos ejemplos de sistemas operativos son: MS/DOS, UNIX, OS/2,

Windows 95/98/2000/NT, etc.

SMTP: (Simple Mail Transfer Protocol - Protocolo de Transferencia Simple de

correo). Es el protocolo usado para transportar el correo a través de Internet.


96

SPAM: Envío de e-mails basura saturando los recursos de los servidores de correo. SSL: (Secure Sockets Layer - Capa de Socket Segura). Protocolo que ofrece

funciones de seguridad a nivel de la capa de transporte para TCP.

TCP: (Transmission Control Protocol - Protocolo de control de Transmisión). Uno

de los protocolos más usados en Internet. Es un protocolo de capa de transporte.

TELNET: Telnet es el protocolo estándar de Internet para realizar un servicio de

conexión desde un terminal remoto.

TEXTO PLANO: (Plain Text) se llama así al documento antes de ser encriptado.

WWW: World Wide Web. Estrictamente la Web es la parte de Internet a la que

accedemos a través del protocolo HTTP y en consecuencia gracias a browsers

normalmente gráficos como Netscape o Internet Explorer.


97

B I B L I O G R A F Í A

MCNAB, Chris, Seguridad en Redes, Ediciones Anaya Multimedia(Grupo Anaya,

S.A.),2004.

REFERENCIAS WEB:

http://www.auditoriasistemas.com/politicas_de_seguridad.htm

http://www.pc-news.com/detalle.asp?sid=&id=11&Ida=1255

http://www.w3c.org/TR/1999/REC-html401-19991224/loose.dtd

http://www.raona.com/Actius/SQLServer2005/tabid/141/Default.aspx

www.nexteleng.es/microsoft/camp_SQL/02.htm

http://www.microsoft.com/spanish/msdn/comunidad/mtj.net/voices/MTJ_0010.asp

http://www.microsoft.com/latam/sql/2005/productinfo

www.duiops.net/windows/winxp/nuevoestandar.htm

www.duiops.net/windows/winxp/herramientasavan.htm

http://www.duiops.net/windows/winxp/poneensusmanos.htm

http://www.w3c.org/TR/1999/REC-html401-19991224/loose.dtd

http://www.llanos.net/spa/item/RED08016.html---Switch 3COM

http://sisbib.unmsm.edu.pe/bibvirtual/tesis/Basic/cordova_rn/contenido.htm

http://www.planeta-digital.com/cursos/lib/javascript-mod.php

www.securityportal.com.ar

http://www.ame.gov.ec/frontEnd/municipios/mainMunicipios.php

http://www.auditoriasistemas.com/politicas_de_seguridad.htm

http://www.recursosvoip.com/netmeeting/index.php

Documents

Tesis.pdf