Upload
silvio-david-benitez
View
6
Download
2
Tags:
Embed Size (px)
Citation preview
III
UNIVERSIDAD POLITÉCNICA SALESIANA
FACULTAD DE INGENIERIAS
CARRERA DE INGENIERIA DE SISTEMAS
“ELABORACIÓN DE UN PLAN DE SEGURIDAD
INFORMÁTICA EN LA ILUSTRE MUNICIPALIDAD DE
PAUTE.”
Proyecto previo a la
obtención del Titulo de
Ingeniero de Sistemas.
Autores:
Diana Fernanda Carchipulla Choco
Miriam Alexandra Guamba Román
Carmen Beatriz Méndez Rojas
Director:
Ing. Bertha Tacuri Capelo
Cuenca – Ecuador
2007
IV
Los conceptos desarrollados, análisis
realizados y las conclusiones del
presente trabajo, son de exclusiva
responsabilidad de las autoras
Cuenca, febrero 14 del 2007
………………………. …………………… ……………………
Diana Carchipulla Miriam Guamba Carmen Méndez
V
Certifico que bajo mi dirección el
proyecto de tesina fue realizada por:
Diana Fernanda Carchipulla Choco
Miriam Alexandra Guamba Román
Carmen Beatriz Méndez Rojas
..................................................
Ing. Bertha Tacuri Capelo
DIRECTORA DE TESIS
VI
DEDICATORIA:
Es muy difícil dedicar un trabajo, quisiera poder nombrar a todas las personas que me alentaron a seguir con mi carrera, a superar los retos y acompañarme siempre. Pero en especial quiero dedicarlo a toda mi familia, que han sabido brindarme todo el espacio, tiempo y apoyo. Quiero destacar el esfuerzo y sacrificio que mi madre MARIA DOLORES ha realizado, por eso este trabajo te lo dedico con todo mi cariño y gratitud.
A mi tío MESÍAS que ha sido como un padre para mí, y aunque muchas veces discrepamos, existe un sentimiento muy grande de fraternidad y cariño.
A mi tía LAURA que aunque estando lejos a sabido brindarme sus palabras de apoyo. A mi abuelita ROSITA. Hoy tu nieta está cumpliendo uno de tus sueños más anhelados. Dios permita que nos acompañes por muchos años más.
A la persona que siempre me estuvo apoyando, alegrando y alentando en los momentos más críticos y que supo despertar en mis sentimientos más profundos. Para ti mi amor NÉSTOR, este logro es tuyo y mío. Y finalmente a mis amigos, compañeros y docentes que confiaron en mí.
DIANA FERNANDA
VII
DEDICATORIA:
Este proyecto de tesis en Primer lugar quiero dedicarlos a DIOS porque fue quien me ayudo para llegar a ser alguien en mi vida profesional. En segundo lugar a mis padres MIGUEL e IBONNY, que me supieron guiar, y ayudar en todo lo que yo necesite para culminar este periodo importante. También a mi esposo FERNANDO, que siempre estuvo allí en los momentos buenos y malos para colaborar en todo lo que a podido y con ello apoyarme para poder culminar esta carrera A mis hermanos, amigos y familiares que de alguna u otra manera me incentivaron a terminar la Universidad A todas estas personas gracias de corazón.
MIRIAM ALEXANDRA
VIII
DEDICATORIA:
A mi Señor, Jesús, quien me dio la fe, la fortaleza, la salud y la esperanza para terminar este trabajo.
A mis padres, Inés y Octavio quienes me enseñaron desde pequeña a luchar para alcanzar mis metas. Mi triunfo es el de ustedes.
A los que nunca dudaron que lograría este triunfo: mis hermanos Olga, Maria, Sergio, Marco, Rene y mi querido abuelito Víctor que siempre se preocupo por la lejanía en la que nos encontrábamos.
La humildad trae gracia y felicidad a la vida; permite acomodarse a las situaciones difíciles sin pensar en lo que se está dejando ó renunciando, nos vuelve más sencillos y naturales, permite que nos concentremos en lo que estamos haciendo, y que lo hagamos correctamente.
La humildad hace que podamos ver los beneficios en cada escena de la vida, haciendo que nuestras interacciones giren en un ambiente más agradable, así logramos un lugar en el corazón de todos, eliminando en un segundo aquello que nos hiere y no nos deja crecer.
Siendo humildes comprenderemos que aún tenemos mucho por mejorar, mucho que aprender y que podemos ocuparnos en la tarea de crecer.
Andrea Moreno de Buitrago Pensamiento Inédito
CARMEN BEATRIZ
IX
AGRADECIMIENTO:
A Dios nuestro señor por la oportunidad que hemos tenido para aprender, mejorar y crecer.
Agradecemos de forma muy especial a la Ing. Bertha Tacuri Capelo quien ha sido nuestra tutora en el presente trabajo, y nos ha brindado su amistad, paciencia y apoyo durante el desarrollo de esta tesina.
A la Ilustre Municipalidad de Paute representada en su Alcalde Dr. Helioth Trelles, por la confianza depositada. Las facilidades proporcionadas por el Ing. Marco Cordero y el Egdo. Alejandro Chuquiralao que fueron fundamentales para el desarrollo del presente trabajo.
A nuestra querida U.P.S que nos acogió en sus aulas durante este periodo de nuestra vida, y en las cuales obtuvimos la luz del saber, a través de docentes que supieron comprendernos y guiarnos en nuestro proceso de aprendizaje,
A nuestras familias por el apoyo incondicional.
A nuestros compañeros y amigos por compartir las angustias y alegrías, a todos ellos GRACIAS.
Con mucho cariño.
LAS AUTORAS.
X
ÍNDICE:
Prefacio ____________________________________________________________________ 1
Introducción ________________________________________________________________ 2
Alcance ____________________________________________________________________ 3
CAPITULO I _______________________________________________________________ 4
1.1 Descripción de la Organización _____________________________________________ 5
1.1 .1 Reseña Histórica ________________________________________________________ 5
1.1.2 Misión, Visión y Objetivos ________________________________________________ 7
1.1.3 Datos Generales del Cantón Paute _________________________________________ 7
1.1.4 Ubicación ______________________________________________________________ 8
1.1.5 Estructura Organizacional ________________________________________________ 9
1.1.5.1 Organigrama _______________________________________________________ 9
1.1.5.2 Organización del area de seguridad informatica _________________________ 10
1.1.5.3 Organización del area de seguridas informatica Propuesta _________________ 12
1.2Evaluacion de la seguridad logica ___________________________________________ 13
1.2 .1 Autenticación _________________________________________________________ 13
1.2.2 Autorización __________________________________________________________ 15
1.2.3 Auditoria _____________________________________________________________ 17
1.2.4 Segregacion de Funciones _______________________________________________ 18
1.3Evaluacion de la seguridad en las comunicaciones _____________________________ 19
1.3 .1 Topologia de Red ______________________________________________________ 19
1.3.2 Componentes de Red ___________________________________________________ 22
1.3.3 Conexiones Externas ___________________________________________________ 23
1.3.4 Configuracion de la Red ________________________________________________ 24
1.3.5 Correo Electronico _____________________________________________________ 24
1.3.6 Antivirus _____________________________________________________________ 25
1.3.6.1 Herramientas ______________________________________________________ 25
1.3.7 Firewall ______________________________________________________________ 27
1.3.8 Ataques que ha sufrido la red ____________________________________________ 27
1.3.9 Herramientas Netmeeting _______________________________________________ 28
1.4 Evaluacion de la seguridad de las aplicaciones ________________________________ 29
1.4 .1 Software _____________________________________________________________ 29
1.4.1.1 Sistema Operativo __________________________________________________ 29
1.4.1.2 Sistema Informatico _________________________________________________ 31
1.4.2 Base de Datos __________________________________________________________ 42
1.4.2.1 Componentes ______________________________________________________ 42
1.4.2.2 Mejoras deSeguridad ________________________________________________ 43
XI
1.4.2.3 Tipos de Datos _____________________________________________________ 43
1.4.2.4 Tratamiento de errores ______________________________________________ 43
1.4.2.5 Sistemas de Bloqueo _________________________________________________ 43
1.4.2.6 Soporte Nativo de XML (XQUERY) ___________________________________ 44
1.4.2.7 Cifrado ___________________________________________________________ 44
1.4.3 Control de Aplicaciones en pc’ ___________________________________________ 45
1.4.4 Control en los datos ____________________________________________________ 45
1.5Evaluacion de la Administracion del CPD ____________________________________ 45
1.5 .1 Administracion del CPD ________________________________________________ 45
1.5 .2 Capacitacion __________________________________________________________ 46
1.5 .3 Backup ______________________________________________________________ 46
1.5 .4 Documentacion ________________________________________________________ 47
1.6Evaluacion de las Auditorias y Revisines _____________________________________ 48
1.7Evaluacion del Plan de Contigencia y Recuperacion de Desastres ________________ 49
1.8Elaboracion del informe de debilidades y amenazas ___________________________ 49
1.8.1 Debilidades ____________________________________________________________ 49
CAPITULO II _____________________________________________________________ 52
2.1 Introducción ___________________________________________________________ 53
2.2 Identificación de los Activos _______________________________________________ 55
2.3 Tasación de los Activos ___________________________________________________ 56
2.4 Identificación de Amenazas _______________________________________________ 56
2.4.1 Arquitectura y Dispositivos de Red _______________________________________ 56
2.4.2 Base de Datos _________________________________________________________ 57
2.4.3 Sistema de Información _________________________________________________ 57
2.5 Posibilidad de Ocurrencia de las Amenazas _________________________________ 59
2.5.1 Arquitectura y Dispositivos de Red _______________________________________ 59
2.5.2 Base de Datos _________________________________________________________ 59
2.5.3 Sistema de Información _________________________________________________ 60
2.6 Identificación de Vulnerabilidades _________________________________________ 60
2.7 Posible Explotación de Vulnerabilidades ____________________________________ 61
2.8 Estimación de valores ___________________________________________________ 62
2.8.1 Estimación del valor de los activos en riesgo ________________________________ 62
2.8.2 Posibilidad de ocurrencia del riesgo _______________________________________ 62
2.8.3 Valor del riesgo de los activos ____________________________________________ 62
2.9 Conclusiones ___________________________________________________________ 63
XII
CAPITULO III ____________________________________________________________ 64
3.1 Introducción ___________________________________________________________ 65
3.2 Del Usuario ____________________________________________________________ 67
3.3 Del Departamento de sistemas de Información _______________________________ 68
3.4 De los Sistemas de Información ____________________________________________ 71
3.5 De la Administración ____________________________________________________ 56
CAPITULO IV ____________________________________________________________ 74
4.1 Introducción ___________________________________________________________ 75
4.2 Del Usuario ____________________________________________________________ 77
4.3 Del Departamento de sistemas de Información _______________________________ 78
4.4 De los Sistemas de Información ____________________________________________ 80
Conclusiones _______________________________________________________________ 81
Recomendaciones ___________________________________________________________ 83
Anexos ____________________________________________________________________ 85
Anexo 1 ___________________________________________________________________ 86
Anexo 2 ___________________________________________________________________ 87
Anexo 3 ___________________________________________________________________ 90
Glosario ___________________________________________________________________ 92
Bibliografia ________________________________________________________________ 97
XIII
ÍNDICE DE FIGURAS:
Figura 1 ___________________________________________________________________ 9
Figura 2 __________________________________________________________________ 12
Figura 3 __________________________________________________________________ 20
Figura 4 __________________________________________________________________ 21
Figura 5 __________________________________________________________________ 32
Figura 6 __________________________________________________________________ 33
Figura 7 __________________________________________________________________ 34
Figura 8 __________________________________________________________________ 34
Figura 9 __________________________________________________________________ 35
Figura 10 _________________________________________________________________ 36
Figura 11 _________________________________________________________________ 36
Figura 12 _________________________________________________________________ 37
Figura 13 _________________________________________________________________ 37
Figura 14 _________________________________________________________________ 38
Figura 15 _________________________________________________________________ 39
Figura 16 _________________________________________________________________ 39
Figura 17 _________________________________________________________________ 40
Figura 18 _________________________________________________________________ 40
Figura 19 _________________________________________________________________ 41
Figura 20 _________________________________________________________________ 41
Figura 21 _________________________________________________________________ 44
Figura 22 _________________________________________________________________ 56
Plan de Seguridad Informático
- 1 -
PREFACIO
El presente documento describe de forma detallada el análisis que se llevó a
cabo en lo que respecta a seguridad informática en la Ilustre Municipalidad de Paute.
Este documento está destinado al Sr. Alcalde y a la alta administración del área de
informática encargada de la Seguridad Informática.
Plan De Seguridad Informática
2
INTRODUCCION
Actualmente la seguridad informática ha adquirido gran auge en todas las
organizaciones, a pesar de que el ambiente es cambiante y que la tecnología brinda
herramientas para desarrollo en pro de un avance organizacional, también han
surgido con mayor rapidez el desarrollo de aplicaciones que pretenden irrumpir la
seguridad con fines varios por lo general maliciosos, situación que desemboca en la
aparición de nuevas amenazas en los sistemas informáticos.
Esto ha llevado a que las organizaciones se preocupen por desarrollar
estrategias que permitan combatir vulnerabilidades internas de la empresa y
amenazas tecnológicas a las que están o podrían estar sometidas.
Por lo que se parte desarrollando documentos y directrices que orienten en el
uso adecuado de estas tecnologías definiendo estratos de seguridad. Realizando un
análisis de los potenciales riesgos, generación de políticas de seguridad informática
que surgen como una herramienta para concienciar a los miembros de una
organización sobre la importancia y sensibilidad de la información y servicios
críticos que permiten crear una cultura de seguridad dentro de la organización y
además permiten a la organización desarrollarse y mantenerse en su sector de trabajo.
Estas políticas deben diseñarse minuciosamente para así recoger las características
propias de la organización.
Finalmente definir estrategias para dar cumplimiento a las políticas de
seguridad, es importante acotar que las políticas deben estar muy bien definidas para
que puedan cubrir los aspectos más relevantes de seguridad dentro de la
organización. Al momento de implantar las estrategias se debe considerar que se
tendrá que realizar un monitoreo constante y que es un proceso que nunca termina.
Plan De Seguridad Informática
3
ALCANCE
En la realización de la tesina “Elaboración del plan de Seguridad Informática
en la Ilustre Municipalidad de Paute”, se pretende determinar ciertas precisiones en
lo relativo al estudio de la eficacia de la seguridad informática en la red así como en
sus aplicaciones, y realizar un análisis de los riesgos que se puedan ocasionar; a
partir de esto se podrá realizar un plan de seguridad eficiente, eficaz y seguro
mediante la elaboración de políticas, adicionalmente se contempla la definición de
estrategias para que en el futuro se pueda llevar a cabo la implementación de este
plan de seguridad sin complicaciones.
Esta aplicación de seguridad informática no pretende realizar juicios de valor
sobre la actuación de los directivos y administradores de los sistemas de la
Municipalidad de Paute en cuanto a la importancia prestada a la seguridad de su
información.
Se trata de dar a conocer la eficacia de los controles internos y externos
desde un punto de vista descriptivo, principalmente fundamentado en la recolección
de información interna de la entidad para poder emitir un juicio de valor y mejora de
la forma de protección de la información relevante en la organización, se tomará en
cuenta todos los puntos de seguridad lógica tanto para las aplicaciones como en la
red, pero no se tocará ninguna característica para protección física.
Elaborar un conjunto de Políticas de Seguridad y un plan de contingencias
para poder prevenir posibles caídas del sistema y en el peor de los casos pérdidas
irrecuperables de activos de información que son el eje de funcionamiento de la
municipalidad y en caso de ocurrir cómo recuperarnos lo mas rápidamente para que
sus usuarios no se sientan afectados en su trabajo diario.
En definitiva, esta tesis no tiene como objetivo principal dar modelos
específicos de cómo asegurar la información de la municipalidad. Con esta
investigación, se pretende contribuir al conocimiento mediante la práctica en
Seguridad Informática de los módulos revisados en el Curso de Graduación para
Ingeniería en Sistemas.
Plan De Seguridad Informática
4
CAPITULO I
Plan de Seguridad Informático
- 5 -
1.1 DESCRIPCION DE LA ORGANIZACION
1.1.1 RESEÑA HISTORICA
En donde hoy se asienta el cantón Paute se cree que antes de la llegada de los
incas, se asentó una población de artesanos y comerciantes especializados en
confeccionar artículos de cristal de roca y tejidos de lana que desarrollaron un
sistema de "intercambio a larga distancia".
Posteriormente se cree que fue zona de intercambio cultural y comercial de
cañaris, shuaras, colorados y cayapas. Esto lo demuestra a través de nombres como
Cutilcay, Chicti, Amaluza, Bulán, Guachapala, Cabug, Cobshal, Guaraynag.
Los Incas estuvieron en la zona pocos años hasta la llega de los españoles. En
el siglo XVI, durante la época de la conquista europea, se inició la entrega de solares
a los españoles en la localidad de Paute, hasta arrebatar toda la tierra a los naturales
iniciando un cambio en las relaciones entre pobladores.
En 1862, se abrió una vía al oriente bordeando el río Paute que serviría para
el tránsito de los misioneros y la extracción de cascarilla y madera. Con la extracción
de la cascarilla, Paute vivió una etapa de auge económico, el centro urbano se pobló
de forasteros que vendían sus servicios. Durante esta etapa se iniciaron los sembríos
de caña de azúcar y separándose de Gualaceo fue formado un nuevo cantón.
El auge, sin embargo, fue pasajero, en 1892, y entraron en una crisis que
estuvo presente hasta mediados del siglo XX cuando las haciendas cañícolas fueron
lotizadas y vendidas al mejor postor. La venta atrajo compradores de diverso origen
que se asentaron en las laderas y formaron los pueblos existentes en la actualidad.
Una nueva oleada de personas, muchas de las cuales se asentaron en el cantón
y un nuevo, aunque igualmente efímero período de bonanza, trajo la construcción de
la presa Daniel Palacios en Amaluza en la década de los 60.
Plan De Seguridad Informática
6
Los cambios periódicos en la economía y la composición de la población de
Paute no se detienen, la sustitución de los sembríos de caña de azúcar por flores,
influye en la economía local y atrae trabajadores de fuera del cantón.
Entre los meses de marzo y mayo de 1993 el cerro Tamuga se desplomó,
represando los ríos Cuenca y Jadán. El dique formado se rompió causando grandes
pérdidas y destrozos en una sucesión de hechos que obligaron a la población a
encontrar nuevas certezas, y grandes muestras de solidaridad.
Los Retos
La historia de Paute no es más que el recuento de numerosos retos que debió
sortear la población, hasta llegar a la actualidad donde la Alcaldía al frente de
Hellioth Trelles junto con el trabajo ferviente de la población pauteña, tienden a
potenciar el camino de unión natural entre sierra y oriente, unir los asentamientos
dispersos para potenciar sus esfuerzos, enfrentar el fenómeno de la migración que
aleja a los mejores hijos de dichas tierras, aprovechar la apertura al mundo que
genera esta migración, mitigar los impactos culturales causados por el mismo
fenómeno, en definitiva, enfrentar el futuro con todas las fortalezas y debilidades
existentes.
Plan De Seguridad Informática
7
1.1.2 MISION, VISION Y OBJETIVOS
Es fundamental que el Municipio redacte la misión, visión y objetivos. De
manera que con la misión se describa en forma clara y concisa el propósito o razón
que justifica la existencia de esta entidad a través de responder a las preguntas ¿Qué
somos o cuál es nuestro fin? ¿Quiénes son nuestros clientes, o a qué parte de la
sociedad respondemos?; ¿Qué necesidades o demandas debemos satisfacer de esa
sociedad? Con la visión podemos definir hacia donde queremos llegar como
organización y hacia donde está encaminado el trabajo municipal. Y con los
objetivos describir las metas más importantes para la Municipalidad.
1.1.3 DATOS GENERALES DEL CANTON PAUTE:
Altitud: 2.30 msnm.
Temperatura: Variable entre 15° C a 26° C. Habitantes: 25.000 Distancia a cuenca: 42. Kilómetros
Ciudades cercanas: Guachapala, Sevilla de oro, El Pan, Gualaceo, Chordeleg, Sígsig, Cuenca
Festividades: 26 de febrero Cantonización y 24 de diciembre pase del niño Fiestas parroquiales
Tabla 1
CANTON PAUTE MUNICIPALIDAD DE PAUTE Cabecera Cantonal: Paute Alcalde: Helioth Trelles Méndez Superficie: 267.2 km2 Población:
Urbana: 6,235
Rural: 19.368
% Crecimiento anual: 0.6
Tabla 2
Plan De Seguridad Informática
8
1.1.4 UBICACIÓN:
El cantón se encuentra en el corredor Nor-Oriental de la provincia del Azuay,
Limita al Norte con Cañar, al Sur con Gualaceo, al Este los cantones El Pan y Sevilla
de Oro y al Oeste con Cañar, fue creado el 26 de febrero de 1860, actualmente está
formado por las parroquias, Chicán, El Cabo, San Cristóbal, Bulán, Dug-dug,
Tomebamba, Guaraynag. 53 comunidades parroquiales y 6 barrios urbanos.
Plan De Seguridad Informática
9
1.1.5 ESTRUCTURA ORGANIZACIONAL
1.1.5.1 Organigrama de la I. Municipalidad de Paute
Comisiones CONCEJO Comisiones
Especiales Permanentes
ALCALDE
Asesoría Dpto. Justicia Jurídica Policía y Vigilancia Comisaría Auditoria Interna Terminal Camal Mercados Secretaría Terrestre Municipal del Concejo Documentación y Archivo
Dirección Dirección Dirección Dirección Dirección Dirección
Administrativa Financiera De Cultura Gestión
Ambiental Planificación OO. PP.
Jefatura de Tesorería Biblioteca Recolección Jefatura de A. Potable Personal de Basura Planificación Alcantarill.
Informática Contabilidad Otros Serv. Aseo de Avalúos y Parques y
Sociales Calles Catastros Jardines
Jefatura de Rentas Desechos Compras Sólidos
Jefatura de
Bodega
Servicios Generales
Figura 1
Fuente: Ing. Marco Cordero. Director Administrativo de la I. Municipalidad de Paute
Plan De Seguridad Informática
10
1.1.5.2 ORGANIZACIÓN DEL ÁREA DE SEGURIDAD INFORMÁTICA
El Municipio cuenta con un Centro de Cómputo, el cual se encuentra
estructurado en una mínima parte y, es el encargado del área informática, se
encuentra en una fase inicial, en proceso de implantación del nuevo sistema
unificado, existe solo una persona encargada del centro de cómputo que es Alejandro
Chuquiralao egresado de la UNITA, el cual no tiene nombramiento oficial, sino está
contratado como auxiliar. La implantación de la red fue contratada a la empresa
LogiCo. Y el desarrollo del Sistema unificado a la empresa SINET
No se ha desarrollado documentación formal como es la definición de
políticas y procedimientos en lo que respecta a seguridad informática. Se ha
determinado que no existe una clasificación de Seguridad de los activos de
información. El sistema desarrollado por SINET contiene algunos controles sobre
los accesos de los usuarios. Sin embargo estos controles no obedecen a una
definición previa de políticas de seguridad ni de una evaluación de riesgos de
seguridad de la información a nivel de todo el Municipio, sino más bien a políticas
en la forma de desarrollar el sistema establecidas por la empresa SINET
desarrolladora del sistema.
El encargado del centro de cómputo tiene la misión de apoyar en la
automatización de la información y de los sistemas de trabajo para la optimización de
los servicios. Entre las actividades y responsabilidades que debe desempeñar se
encuentran:
Actualizar versiones de los sistemas informáticos existentes en la
municipalidad.
Evaluar periódicamente su ejecución; proponiendo planes para el desarrollo
de la informática de la institución.
Asistir técnicamente a los funcionarios y empleados en el manejo y uso de
programas o paquetes computacionales y elaborar el plan de capacitación
informática.
Remitir informes periódicos sobre avances, resultados y actividades de la
dependencia, a la Dirección Administrativa.
Plan De Seguridad Informática
11
Planear, organizar, dirigir y controlar las actividades de la dependencia bajo
su cargo.
Cumplir con todas las demás funciones afines que por su naturaleza y por
requerimientos del servicio le asigne autoridad superior. Es el que realiza la administración de los accesos al sistema, creación y
eliminación de usuarios, verificación de perfiles en las aplicaciones. Tiene
conocimiento del direccionamiento existente en la red, y realiza algunas funciones
de administración de la red, y es el encargado de la administración de la base de
datos. Es el único que tiene privilegio de administrador.
También será el encargado de administrar la seguridad de información, de
revisar los archivos de auditoría que se generarán de las operaciones que realicen los
usuarios sobre el sistema, para poder identificar responsabilidades al momento que se
den malos manejos de la información.
Usuario:
Las responsabilidades de los que usan la información del Municipio como
parte de su trabajo diario denominados usuarios finales son:
Mantener la confidencialidad de las contraseñas de aplicaciones y sistemas
Reportar supuestas violaciones de la seguridad de información.
Asegurarse de ingresar información adecuada a los sistemas
Utilizar la información del Banco únicamente para los propósitos autorizados.
Propietarios de Información:
Los propietarios de información como jefes de departamento son
responsables de la información que se genera y se utiliza en las operaciones de su
departamento. Existe una relación entre estos jefes y el encargado del centro de
cómputo para asignar niveles de acceso a la información. Así también realizar una
verificación periódica de dichos accesos. Además debe verificar periódicamente la
integridad y coherencia de la información.
Plan De Seguridad Informática
12
1.1.5.3 ORGANIZACIÓN DEL ÁREA DE SEGURIDAD INFORMÁTICA
PROPUESTA
Debido a que no existe un departamento de sistemas implantado completamente sino
solamente una persona encargada de varias cosas tales como: administrador de red,
administrador de aplicaciones y otras operaciones que se realizan con la información;
y que la información que se maneja en el municipio se encuentra en una situación
crítica por que anteriormente se manejaba varios sistemas para realizar las distintas
operaciones de cada departamento del municipio.
Es necesario que el centro de cómputo se estructure de manera adecuada debido a
que éste se encargará de elaborar un Plan Maestro de Sistemas para permitir un
mejor manejo y tratamiento de la información, implementará toda la estructura de
hardware y equipos necesarios para el mejor desempeño del municipio y así mismo
será el encargado de probar el software a utilizar.
En la siguiente figura se mostrará el organigrama propuesto para el Departamento de
Sistemas de la Ilustre Municipalidad de Paute
Figura 2
Fuente: Las Autoras
ADMINISTRADOR DE SISTEMAS
(Base de Datos)
ADMINISTRADOR DE REDES
SOPORTE Y MANTENIMIENTO
WEBMASTER PORTAL
Plan De Seguridad Informática
13
1.2 EVALUACION DE LA SEGURIDAD LOGICA DE LA ILUSTRE
MUNICIPALIDAD DE PAUTE
1.2.1 Autenticación
Se permite identificar a las entidades que intentan acceder tanto al sistema
operativo como para el sistema unificado desarrollado por SINET, esto se lo hace
mediante un nombre de usuario y contraseña, con lo que se consigue autenticar que
esa persona es quien dice ser realmente. Por lo tanto el método de autenticación es en
función de algo que el usuario conoce (usuario y contraseña).
Este modelo de autenticación es el más básico, basándonos en que cuando
una de las partes desea autenticarse ante otra se limita a mostrarle su conocimiento
de esa clave común, y si ésta es correcta se otorga el acceso a un recurso. Esta
aproximación es la más vulnerable a todo tipo de ataques, pero también la más
barata. Basta con que una de las partes no mantenga la contraseña en secreto para
que toda la seguridad del modelo se pierda.
Con respecto a la aplicación desarrollada por SINET, el número de intentos
que puede digitar la contraseña la asigna el administrador, por lo general es de 3
intentos. En la pantalla de inicio se muestra en forma óvalos negros cuando el
usuario digita su contraseña. En caso de que los tres intentos hayan sido fallidos se
procede a cerrar la aplicación y deberá volver a ejecutarla. No se registra en ningún
medio los intentos de accesos inválidos. El usuario deberá volver a ejecutar la
aplicación. En el caso del sistema operativo se lo hace con la pantalla de
autenticación del SO Windows XP cuando se inicia una cuenta.
Para que este método de autenticación sea efectivo es necesario que las claves
sean seguras, deberían ser complejas pero no llegando al límite de que el usuario no
lo pueda recordar y tenga que escribirlo, y que fácilmente la termine escribiendo y
manteniéndola junto a documentos personales o pegados en el CPU o en la pantalla
del PC. Se comprobó que el administrador asigna claves, pero que estas no cumplen
con ninguno de los criterio para que una clave sea segura, la clave debe ser de uno a
diez caracteres y que el que las asignaba contenía un identificador del departamento
Plan De Seguridad Informática
14
por ejemplo del departamento de avalúos y catastros debía ser ava y a continuación
un identificador. Por otro lado se comprobó que la clave del administrador era muy
insegura pues contenía un solo carácter.
No existen tiempo de duración de una contraseña, si el usuario desea
cambiarla tiene que solicitar al administrador en caso de que esta operación no le
esté permitida.
El usuario puede estar inactivo dentro del sistema de forma indefinida. Las
restricciones horarias se reducen a los horarios de oficina en los que funciona el
Municipio, es decir de ocho a doce y de una a cinco de la tarde. Un punto importante
a acotar es que al medio día los usuarios dejan abierta la sesión del SO, y
posiblemente lo podrían hacer con el sistema unificado, por lo que si se irrumpe la
seguridad física del establecimiento se podría tener acceso a todos los recursos.
Con respecto a la toma de vacaciones por parte de los usuarios, las cuentas se
siguen manteniendo intactas, hasta el regreso del usuario.
Cuando se realizan despidos, primero se le informa al usuario y luego el jefe
de personal informa al centro de cómputo sobre el despido para que se realice el
bloqueo de la cuenta, y se guarda un registro de esta operación.
El sistema no informa al usuario del nivel de seguridad que contiene su clave,
lo cual dificulta el trabajo, pues el administrador no puede verificar que la contraseña
cumpla con las condiciones mínimas definidas para generar su clave. No existen
claves por defecto para los usuarios. También se comprobó que puede ingresar la
misma contraseña para usuarios diferentes.
El administrador puede autenticarse desde cualquier estación de trabajo
siempre y cuando haya definido esta opción en la administración del sistema.
Usamos un Software sniffer de libre distribución para verificar si las claves
que se envían en el sistema mediante la red están en texto plano o si están
encriptadas. Y lo que se descubrió es que se puede capturar tanto los nombres de
Plan De Seguridad Informática
15
usuario como las contraseñas, y se comprobó que la contraseña se envía en texto
plano.
1.2.2 Autorización.
El control de acceso al sistema no se basa en los perfiles de grupos de
usuarios y la asignación o denegación de permisos a los mismos, sino más bien en
perfiles de usuarios individuales. Estos usuarios se generan en concordancia con las
áreas de la Ilustre Municipalidad de Paute y las tareas que tienen que cumplir dentro
de la misma, y es el encargado del Centro de Cómputo quien da la asignación de
permisos a sus usuarios, cada usuario del sistema con acceso al sistema informático
cuenta con un usuario y contraseña individual aunque pertenezca al mismo
departamento.
La creación de nuevos usuarios se lo maneja directamente desde la
administración del sistema en el que solamente tiene acceso el administrador
encargado de esta área, el procedimiento que se sigue es que inicialmente se debe
registrar en el sistema una estación de trabajo únicamente pueden ser escogidas las
máquinas existentes en la red interna actual y luego crear el usuario con su respectiva
clave y los permisos para su acceso, es imprescindible que sea activado caso
contrario no tendrá acceso.
La única forma de acceso al sistema se lo puede realizar desde un Terminal
asignado caso contrario no se podrá ingresar aun conociendo el usuario y contraseña.
Se manejan varias categorías de usuarios las cuales son:
Administrador.- se tiene dos tipos el administrador del sistema el cual tiene
acceso completo a todo el sistema sin restricción alguna y el administrador
del módulo el que los permisos asignados son solamente los necesarios para
el cumplimiento de su trabajo.
Consulta.- solo visualización de datos del sistema.
Digitador.- solamente pueden ingresar datos al sistema.
Normal ( contiene las dos anteriores)
Plan De Seguridad Informática
16
El sistema informático está compuesto por una gran cantidad módulos
diferentes, donde cada uno de ellos es un programa en sí mismo. De esta manera
cada usuario del sistema, según los permisos al que pertenece en la organización,
dispone de los accesos directos a los programas que corresponden a su área. Así, los
usuarios solo pueden interactuar con los datos a los que dichos módulos les permiten
acceder.
En el sistema informático se maneja control de acceso que se utiliza para
identificar los tipos de permiso que tiene cada usuario con respecto a los datos.
Mediante esta lista nos permite identificar qué datos puede modificar cada usuario
para que el usuario pueda realizar tareas delicadas como creación, modificación y
eliminación de algún componente de información del sistema se puede autorizar su
ingreso mediante claves asignadas por el administrador del sistema.
No se posee ninguna medida para realizar una clasificación de información
mas bien cada usuario es responsable de resguardar sus datos.
Plan De Seguridad Informática
17
1.2.3 Auditoría
En el sistema existe un archivo que permite desarrollar una auditoria, pero no
contiene información completa debido a que en ella se registran algunos eventos
que realizan los distintos usuarios que tienen acceso al sistema tales como terminal,
usuario, empresa, sucursal, módulo, operación, máquina.
Debido a que no se han realizado auditorias informáticas antes, no se cuenta
con un registro de actividades ilícitas que podrían haberse suscitado. Dentro de las
operaciones podemos decir que no están contempladas todas tales como intentos
fallidos de acceso, qué se está modificando, solo se almacena operaciones tales como
modificación, ingreso, salir.
Al tener el reporte para poder visualizar las operaciones que se han realizado,
quien las ha realizado, y a que hora se han realizado nos ayudan a resolver en parte
los distintos problemas que se tengan en el Ilustre Municipio de Paute si se llegarán
a dar violaciones de seguridad y saber sobre que persona recae la responsabilidad.
Plan De Seguridad Informática
18
1.2.4 SEGREGACION DE FUNCIONES
El encargado del centro de cómputo tiene la misión de apoyar en la
automatización de la información y de los sistemas de trabajo para la optimización de
los servicios.
Entre las actividades y responsabilidades que debe desempeñar se encuentran:
Actualizar versiones de los sistemas informáticos existentes en la
municipalidad.
Evaluar periódicamente su ejecución; proponiendo planes para el desarrollo
de la informática de la institución.
Asistir técnicamente a los funcionarios y empleados en el manejo y uso de
programas o paquetes computacionales y elaborar el plan de capacitación
informática.
Remitir informes periódicos sobre avances, resultados y actividades de la
dependencia, a la Dirección Administrativa.
Planear, organizar, dirigir y controlar las actividades de la dependencia bajo
su cargo.
Cumplir con todas las demás funciones afines que por su naturaleza y por
requerimientos del servicio le asigne autoridad superior. Es el que realiza la administración de los accesos al sistema, creación y
eliminación de usuarios, verificación de perfiles en las aplicaciones. Tiene
conocimiento del direccionamiento existente en la red, y realiza algunas funciones
de administración de la red, y es el encargado de la administración de la base de
datos. Es el único que tiene privilegio de administrador.
También será el encargado de administrar la seguridad de información, de
revisar los archivos de auditoría que se generarán de las operaciones que realicen los
usuarios sobre el sistema, para poder identificar responsabilidades al momento que se
den malos manejos de la información.
Plan De Seguridad Informática
19
Usuario:
Las responsabilidades de los que usan la información del Municipio como
parte de su trabajo diario denominados usuarios finales son:
Mantener la confidencialidad de las contraseñas de aplicaciones y sistemas
Reportar supuestas violaciones de la seguridad de información.
Asegurarse de ingresar información adecuada a los sistemas
Utilizar la información del Municipio únicamente para los propósitos
autorizados
Propietarios de Información:
Los propietarios de información como jefes de departamento son
responsables de la información que se genera y se utiliza en las operaciones de su
departamento. Existe una relación entre estos jefes y el encargado del centro de
cómputo para asignar niveles de acceso a la información. Así también realizar una
verificación periódica de dichos accesos. Además debe verificar periódicamente la
integridad y coherencia de la información.
1.3 EVALUACION DE LA SEGURIDAD EN LAS COMUNICACIONES DE
LA I. MUNICIPALIDAD DE PAUTE
1.3.1 TOPOLOGIA DE RED
La Municipalidad cuenta con una red de área local la cual permite la
interconexión de los computadores y periféricos, que se encuentran distribuidos en
un único edificio para compartir recursos e intercambiar datos y aplicaciones.
Incluye tanto el hardware como el software. Estos componentes se encuentran de la
siguiente manera:
Plan De Seguridad Informática
20
Arriba
19,1m
PLANTA BAJA
BIBLIOTECA
DIRECCION ADMINISTRATIVA
MUNICIPIO DE PAUTE
DIRECCION DE PLANIFICACION
CANALETA
UTP Cat. 6
9,1m2,2m
BAÑOS
JEFATURA DE AVALUOS Y CATASTROS
RECAUDACIONES Y TESORERIA
JEFE DE PERSONAL
DIRECCION DE OBRAS PUBLICAS
JEFATURA DE AGUA POTABLE
Figura 3
Fuente: Las Autoras
Plan De Seguridad Informática
21
Arriba
19,1m19
,9m
19,9
m
PLANTA ALTA
DIRECCIÓN FINANCIERA
MUNICIPIO DE PAUTE
ALCALDIA
CANALETA
UTP Cat. 6
INTERNET
COMISARÍA
SALÓN DE SESIONES
Espacio vacío
Otros
24 m cuadr.
ASESORIA JURIDICA
24 U
2 U2 U
CENTRO DE COMPUTO PROYECTOS
BAÑOS
SALÓN DE USO MÚLTIPLE
PBX
DIFUSION CULTURALDIFUSION CULTURAL
Figura 4
Fuente: Las Autoras
Plan De Seguridad Informática
22
La Topología de Red hace referencia a la forma de interconexión entre los
dispositivos de red. Tenemos dos tipos de topología:
La topología física, hace referencia a la disposición física actual de la red,
representando los nodos que se encuentran conectados, la implementada en el
Municipio de Paute es la de Estrella extendida ya que conecta estrellas
individuales entre sí mediante la conexión de switches. Tiene la ventaja de
que puede extender el alcance y la cobertura de la red.
La topología lógica de la red: Describe el método que se usa para
comunicarse con los demás nodos, que ruta toman los datos de la red entre los
diferentes nodos de la red. La topología usada es broadcast ya que cada host
envía sus datos hacia todos los demás host del medio dentro de la red, se usa
Ethernet.
Hemos usado el sniffer Ethereal, para verificar la conectividad en la red,
como forma de comprobar que si se puede violar la seguridad.
1.3.2 COMPONENTES DE RED
Servidor: El servidor es aquel computador que va a compartir sus recursos
hardware y software con los demás equipos de la red. En este caso se ha
usado una PC normal y se ha implantado un servidor sobre el sistema
operativo Windows XP, lo cual no es óptimo puesto que este sistema
operativo no brinda características esenciales como lo haría un Windows
Server que tiene mayores prestaciones y permite una administración de la red
más adecuada.
Estaciones de trabajo: Los computadores que toman el papel de estaciones de
trabajo aprovechan o tienen a su disposición los recursos que ofrece la red así
como los servicios que proporciona el Servidor al que pueden acceder.
Tarjeta de red: También se denominan NIC (Network Interface Card).
Básicamente realiza la función de intermediario entre el computador y la red
de comunicación. En ella se encuentran grabados los protocolos de
Plan De Seguridad Informática
23
comunicación de la red. Aunque algunos equipos en el municipio disponen de
dos tarjetas para su conexión a internet.
El medio: Constituido por el cableado y los conectores que enlazan los
componentes de la red. El medio usado cable de par trenzado categoría 5E. Y
dispositivos constituidos por switch 3com y Advantek,
No existe documentación detallada sobre diagramas topológicos de la red, ni
sobre tipos de vínculos, existen un diagrama físico sobre la ubicación de los nodos
pero no está actualizada. Además existe documentación sobre el direccionamiento
implantado en la red.
1.3.3 CONEXIONES EXTERNAS
Su salida al exterior es a través de una conexión de 32 Kbps, suministrada por
un ISP-Proveedor de Servicios de Internet- (TELCONET). Este servidor no se
encuentra en el edificio correspondiente a la I. Municipalidad de Paute y tampoco es
administrada por personal de la entidad mencionada anteriormente, su ubicación es
en un café net del mismo cantón y su administración está a cargo del propietario, el
cafenet está ubicado en la misma manzana del Municipio por lo que mediante su red
proporciona un punto de red al Municipio.
La conexión a Internet es proporcionada a cuatro computadores de la
municipalidad: dos computadores de la Dirección Administrativa, Difusión Cultural
y Departamento Financiero , el servicio de Internet se lo realiza mediante tarjetas de
red con la utilización de un switch que se encuentra dentro del espacio físico del
municipio, sus características son las siguientes:
SWITCH ADVANTEK FAST ETHERNET.
16 PUERTOS RJ45
100 MB
Plan De Seguridad Informática
24
1.3.4 CONFIGURACION DE LA RED
Todas las máquinas están conectadas a la red, con lo cual desde cualquiera de
ellas se pueden acceder los recursos de las otras excepto el servidor de aplicaciones,
pero no todas tienen acceso a Internet y al nuevo Sistema de Gestión de la
Municipalidad de Paute.
El direccionamiento utilizado en la red interna del Municipio de Paute es el
privado, la dirección de red es 192.168.10.0 con un rango de 192.168.10.1 –
192.168.10.62 para la dirección de red inicial y final respectivamente, con mascara
de subred es 255.255.255.192.
1.3.5 CORREO ELECTRONICO
No existe correo electrónico interno, sino se usa las cuentas personales de
correo externo, con lo cual también se puede afectar la seguridad al descargar spam,
o correo que contiene virus. Se usan herramientas para brindar protección contra
ataques por correo electrónico. Se encuentran configurados por defecto, no se han
establecido políticas o reglas para configurarlo. No se ha puesto en consideración que
los mensajes de correo electrónico dentro del trabajo deben ser solo documentos
formales, ni se dan lineamientos referentes al uso inapropiado del lenguaje ni del
correo como por ejemplo cadenas de mensajes.
Plan De Seguridad Informática
25
1.3.6 ANTIVIRUS
En el Ilustre Municipio de Paute si existen problemas con virus, pero estos no
son muy graves debido a que se han podido controlar por medio del antivirus Avast.
Existe una máquina que está localizada en Planificación que no está conectada a la
red debido a que tiene virus.
1.3.6.1 Herramientas
Avast
Avast es un paquete completamente equipado con un antivirus diseñado.
Avast es la protección más poderosa para luchar contra las infecciones víricas en el
servidor.
El kernel de Avast combina una gran capacidad de detección con el máximo
rendimiento. Se puede esperar un 100% de detección en los virus, y una excelente
detección de troyanos.
Características
Kernel Antivirus
100% detección de virus
Gran rendimiento e integración con el sistema
Requisitos de memoria mínimos
Certificado ICSA
Interfaz De Usuario
Test de memoria al inicio de la aplicación
Interfaz simple de usuario muy intuitiva
Interfaz avanzada con apariencia tipo Outlook
Testeo de discos enteros o directorios especificados
Definición y ejecución de tareas programadas
Historial de los escaneos
Plan De Seguridad Informática
26
Enciclopedia de virus
Visor de logs
Soporte de skins para cambiar la apariencia
Integración en el menú contextual
Salvapantallas con escaneo antivirus
Escaneo programado al inicio
Escaneo desde la línea de comandos
Actualizaciones
Actualizaciones incrementales garantizan bajo tráfico
Actualizaciones completamente automáticas
Actualizaciones PUSH se cargan nada más son publicadas.
Protección Residente
La protección estándar supervisa los ficheros de sistema
Optimizada para rapidez en los procesos
Adaptada a máquina con múltiples CPUs
Soporte para servicios de terminal
Bloqueo de scripts
Reparación
Capacidad de reparación directa (especialmente virus de macro)
Reparación de ficheros usando Virus Recovery Database (VRDB) generada
automáticamente
Plan De Seguridad Informática
27
1.3.7 FIREWALL
El firewall que existe en la empresa es un servicio del Sistema Operativo
Windows XP que proporciona una línea de defensa contra quienes pudieran intentar
tener acceso a su equipo desde fuera de Firewall de Windows sin su permiso.
Este firewall se está ejecutando en equipos Windows XP Service Pack 2
(SP2), en el cual está activado de forma predeterminada y los computadores que aun
tienen Service Pack 1 (SP1) fueron activadas manualmente al igual que los equipos
que no lo tenían activado.
Los motivos que se vieron convenientes para realizar su activación fueron las
siguientes:
Ayuda a evitar que virus y gusanos informáticos lleguen a un equipo.
Pide el permiso del usuario para bloquear o desbloquear ciertas solicitudes de
conexión.
Crea un registro de seguridad, si desea tener uno, que almacene los intentos
correctos y fallidos de conectarse a un equipo.
1.3.8 ATAQUES QUE HA SUFRIDO LA RED
No han existido accesos no permitidos por parte de los usuarios, o al menos
no existe un registro que indique que haya sucedido esto. Los mayores problemas
que han tenido es que se han conectado medios removibles que contienen archivos
con virus, y que circularon por la red y se vieron afectados muchos equipos, hasta el
punto que se tuvo que formatear algunos de ellos.
Plan De Seguridad Informática
28
13.9 HERRAMIENTA NETMEETING
El Municipio tiene NetMeeting que viene incluido en Windows XP, que
brinda las siguientes características de seguridad:
1. Encriptación de datos.
2. Autenticación de usuarios.
3. Protección por password.
Y posee las siguientes utilidades:
Conferencias de Audio y Vídeo: Se puede hablar y ver a quien desee por la
red o por Internet.
Pizarra: Permite intercambiar información gráfica con otras personas.
Chat: Además de audio, se puede mantener conversaciones utilizando texto.
Interesante cuando la calidad de la conexión no es buena y el audio/vídeo es
deficiente.
Directorio Internet: El Directorio Internet de Microsoft es un sitio Web
mantenido por Microsoft en el que se puede localizar a otras personas y
llamarlas utilizando NetMeeting. Si se desea conocer gente, se puede utilizar
una lista de servidores ILS.
Transferencia de Ficheros: Permite enviar ficheros mientras se realiza una
conferencia de audio/vídeo.
Compartir Aplicaciones: Se puede compartir múltiples aplicaciones mientras
se realiza una conferencia, manteniendo siempre el control sobre el uso de
dichas aplicaciones.
Compartir Escritorio: Puede controlar remotamente otro PC, función poco
conocida pero muy interesante.
Seguridad: Usa tres tipos seguridad para proteger la privacidad.
Plan De Seguridad Informática
29
1.4 EVALUACIÓN DE LA SEGURIDAD DE LAS APLICACIONES
1.4.1 SOFTWARE
1.4.1.1 SISTEMA OPERATIVO
El sistema operativo que se utiliza tanto para el servidor como para las
distintas máquinas que existen es Windows XP que presenta las siguientes
características:
Secuencias rápidas de inicio y de hibernación.
Capacidad del sistema operativo de desconectar un dispositivo externo sin
necesidad de reiniciar.
eficacia y fiabilidad.
Una interfaz de uso más fácil, incluyendo herramientas para el desarrollo de
temas de escritorio.
Uso de varias cuentas, que permite un usuario guarde el estado actual y
aplicaciones abiertos en su escritorio y permita que otro usuario abra una
sesión sin perder esa información.
ClearType, diseñado para mejorar legibilidad del texto encendido en pantallas
de cristal liquido (LCD) y monitores similares.
Escritorio Remoto, que permite a los usuarios abrir una sesión con una
computadora que funciona con Windows XP a través de una red o Internet,
teniendo acceso a sus usos, archivos, impresoras, y dispositivos
Soporte para la mayoría de módems DSL y conexiones wireless, así como el
establecimiento de una red FireWire.
Comprobador de controladores de dispositivos
Escenarios de reinicio reducidos
Protección de códigos
Soporte colateral de DLL
Memoria escalable y soporte de procesador
Sistema de cifrado de archivos (EFS) con soporte para varios usuarios
Seguridad IP (IPSec)
Soporte para tarjetas inteligentes
Plan De Seguridad Informática
30
Configuración avanzada e interfaz de energía (ACPI)
NLA (Network Location Awareness)
Consola de recuperación
Servidor de seguridad de conexión a Internet
Puente de red
Conexión compartida a Internet (ICS)
Soporte de red "de punto a punto"
Un centro de seguridad, para comprobar el riesgo al que está sometido
Windows XP.
Interfaz del Cortafuegos de Windows XP, además de ser activado por
defecto.
Un mejor soporte de WiFi y Bluetooth.
Incorporación a Internet Explorer de un bloqueador de popups, la capacidad
de bloquear controles ActiveX, el bloqueo de las descargas automáticas y un
administrador de complementos.
Uso de la tecnología DEP (Data Execution Prevention o Prevención de
ejecución de datos) por Hardware o Software (Según si el Procesador tenga o
no soporte para ello).
Opciones de inicio del modo a prueba de fallos
Las actualizaciones automáticas están activadas por defecto.
El servicio Windows Messenger se desactiva por defecto.
Outlook Express bloquea los archivos adjuntos potencialmente peligrosos
(.exe o .vbs).
La ventana de Agregar o quitar programas permite mostrar u ocultar las
actualizaciones.
Mejoras multimedia como la inclusión del Reproductor de Windows Media 9,
DirectX 9.0c, y Windows Movie Maker 2.1.
GDI+. GDI+ (Graphics Device Interface Plus) es la parte de Microsoft
Windows.NET que proporciona tipografía, imágenes y Figuras vectoriales en
dos dimensiones.
Windows de 64 bits.
En cuanto a la seguridad de este sistema operativo podemos decir que
Windows XP ha sido criticado por su susceptibilidad a malware, como virus,
Plan De Seguridad Informática
31
troyanos o gusanos. Las opciones de seguridad por defecto crean una cuenta del
administrador que proporciona el acceso sin restricción a todo el sistema, incluyendo
los puntos vulnerables. Si alguien toma el control de dicha cuenta, casi no existiría
límite al control de la computadora, por lo que la seguridad quedaría claramente
comprometida.
Windows, con una cuota de mercado grande, ha sido tradicionalmente un
blanco para los creadores de virus. Los agujeros de la seguridad son a menudo
invisibles hasta que explotan, haciendo su prevención un hecho difícil. Microsoft ha
indicado que el lanzamiento de actualizaciones para parchear los agujeros de la
seguridad es a menudo causa de los crackers que los descubren.
1.4.1.2 SISTEMA INFORMATICO
Sistema de integración y desarrollo: El sistema fue desarrollado por la empresa
SINET con herramientas Visual Studio .NET utilizando como base de datos MS SQL server
2005 y un entorno de aplicación distribuida que permitirá trabajar en ambiente WEB. Este
contiene los siguientes módulos:
Módulo Contabilidad
Módulo de Compras
Módulo de Inventarios
Módulo de Bancos
Módulo de Manejo de Trámites
Módulo de Avalúos y Catastros
Módulo de Recaudación – Facturación
Registro de Recursos Humanos
Flujo de Trabajo
Reportes y Figuras
Administrador de Usuarios, Respaldo y Auditoría
A Continuación describimos el módulo de Administrador de Usuarios,
Respaldo y Auditoría debido a su importancia para este estudio.
Plan De Seguridad Informática
32
Modulo de Administración
Para poder ingresar al Sistema el usuario deberá autentificarse mediante un
nombre y una clave, los cuales serán asignados por el administrador del sistema
Figura 5
Fuente: Sistema de integración y desarrollo de la I.M. de Paute
Plan De Seguridad Informática
33
Si los datos son correctos se presenta el menú Principal caso contrario se le solicita
ingresar nuevamente los datos.
Figura 6
Fuente: Sistema de integración y desarrollo de la I.M. de Paute
BOTONES DE COMANDO
El siguiente menú le ayudará en todo el sistema
Abrir un módulo
Crear Nueva transacción
Guardar los cambios
Modificar datos que ya se han guardado
Borrar o Anular alguna transacción
Deshacer los cambios efectuados
Abrir la Calculadora
Ir al primer registro
Ir al anterior registro
Ir al siguiente registro
Ir al último registro
Plan De Seguridad Informática
34
OPCIONES DEL MENU TRANSACCIONES
Figura 7
Fuente: Sistema de integración y desarrollo de la I.M. de Paute
Estaciones de trabajo: formulario que le permite registrar la estación o el
computador desde cual se va a poder ingresar al sistema.
Figura 8
Fuente: Sistema de integración y desarrollo de la I.M. de Paute
Plan De Seguridad Informática
35
Creación de Empresas: este formulario le permite crear nuevas empresas,
para lo cual el administrador tendrá que escoger el botón de comando (nuevo), e ir
ingresando toda la información necesaria para la creación de dicha empresa, en este
formulario el administrador tendrá que llenar todos los campos caso contrario el
sistema no le permitirá guardar los datos anteriormente ingresados.
Figura 9
Fuente: Sistema de integración y desarrollo de la I.M. de Paute
Plan De Seguridad Informática
36
Creación de Usuarios: formulario que será modificado únicamente por el
administrador del sistema, quien ingresará la información de un nuevo usuario, el
cual tendrá un nombre de usuario y una contraseña para poder acceder al sistema
Figura 10
Fuente: Sistema de integración y desarrollo de la I.M. de Paute
OPCIONES DEL MENÚ TRANSACCIONES
Figura 11
Fuente: Sistema de integración y desarrollo de la I.M. de Paute
Directorios del Sistema: este formulario debe ser configurado en cada
Terminal, ya que en éste se ingresa la ruta de los reportes que se encuentran en el
Plan De Seguridad Informática
37
servidor, como también se da la ruta en donde se va a respaldar la base de datos cada
cierto tiempo.
Figura 12
Fuente: Sistema de integración y desarrollo de la I.M. de Paute
Restricción de Accesos: formulario que será modificado únicamente por el
administrador, ya que en éste se darán los diferentes permisos a cada terminal
dependiendo de la función que el usuario cumpla en la empresa.
El administrador tendrá que escoger la empresa, el nombre del usuario e ir marcando
o desmarcando las diferentes opciones que desea que no sean activas en las
terminales.
Figura 13
Fuente: Sistema de integración y desarrollo de la I.M. de Paute
Restricciones de Operaciones a los Usuarios: este formulario le permite o
no realizar ciertas tareas al usuario tales como crear, modificar o borrar varios tipos
Plan De Seguridad Informática
38
de transacciones, para que se pueda realizar esta tareas es necesario tener una clave,
esta clave tendrá que ser entregada por el administrador del sistema.
Figura 14
Fuente: Sistema de integración y desarrollo de la I.M. de Paute
Plan De Seguridad Informática
39
OPCIONES DEL MENU REPORTES:
Figura 15
Fuente: Sistema de integración y desarrollo de la I.M. de Paute
Reporte de Auditorias del Sistema:
Figura 16
Fuente: Sistema de integración y desarrollo de la I.M. de Paute
Plan De Seguridad Informática
40
OPCIONES DEL MENU PARAMETROS
Figura 17
Fuente: Sistema de integración y desarrollo de la I.M. de Paute
Directorio de Reportes SQL: Este formulario tendrá que ser configurado en
todas las terminales, ya que de esta configuración dependerá que en el resto de
máquinas sea posible ver todos los reportes. La configuración que deben tener todas
las terminales es la ruta correcta de los reportes en el servidor.
Figura 18
Fuente: Sistema de integración y desarrollo de la I.M. de Paute
Plan De Seguridad Informática
41
Parámetros del Sistema: formulario que le permite crear todos los parámetros que
serán usados por el sistema. En este formulario se deberá ir creando países,
provincias y ciudades para establecer ubicaciones de empresas, sucursales, etc.
básicamente es para ir cargando de información la base de datos
Figura 19
Fuente: Sistema de integración y desarrollo de la I.M. de Paute
OPCIONES DEL MENU HERRAMIENTAS:
Figura 20
Fuente: Sistema de integración y desarrollo de la I.M. de Paute
Calculadora: el usuario podrá hacer uso de una calculadora cuando él lo
estime necesario
Plan De Seguridad Informática
42
1.4.2 BASE DE DATOS
La base de datos utilizada es SQL Server 2005 la cual se considera más que
un sistema un gestor de Bases de Datos ya que incluye múltiples componentes y
servicios que la convierten en una plataforma de aplicaciones corporativas.
1.4.2.1 Componentes:
Integración entre SQL Server y Common Language Runtime (CLR)
Esta nueva característica hace que los desarrolladores de Bases de Datos
puedan aprovechar las ventajas de la biblioteca de clases de Microsoft .NET
Framework para implementar funcionalidades de servidor. Además se pueden
codificar procedimientos almacenados, funciones y triggers en un lenguaje
.NET Framework.
Notificaciones SQL (Service Brokers)
Permite enviar notificaciones a los suscriptores cuando se produce un evento.
Ésta funcionalidad es muy útil para invalidar cachés o vistas. Las
notificaciones son generadas de forma eficiente y enviadas a múltiples tipos
de dispositivos.
Múltiples resulsets y transacciones simultáneas para conexión
Una novedad importante es la de permitir múltiples resulsets abiertos para
conexión, el que permite consultar diversos grupos de resultados sin tener que
ir a consultar al servidor y sin tener que abrir y cerrar conexiones.
Relacionado con este tema encontramos el nuevo modelo transaccional que
ofrece, muy similar al de COM+, pero sin COM+. El funcionamiento es
sencillo, cuando se abre una TransactionScope toda la conexión que se abra
dentro de el será asociada a la misma transacción.
Plan De Seguridad Informática
43
1.4.2.2 Mejoras de seguridad
Podemos agrupar las mejoras en 3 grandes áreas:
1. Restricciones de acceso de usuarios al servidor
2. Deshabilitar servicios y restricción de configuraciones de servicios.
3. Reducción de la superficie de ataques para las nuevas
características.
Tres nuevos niveles de seguridad: Safe, External y Unsafe
1.4.2.3 Tipos de datos
Aparecen nuevos tipos de datos que acaban con las limitaciones del tipo
TEXT e IMAGE que tenían problemas de tamaño y de actualización. Concretamente
aparecen los tipos VARCHAR (MAX), NVARCHAR (MAX) y VARBINARY
(MAX) que se adaptan al tamaño y se pueden actualizar directamente.
1.4.2.4 Tratamiento de errores
Desaparece el acceso a los errores a través de la variable @@Error, y
aparecen bloques TRY…CATCH anidables y con nuevas funcionalidades como
ERROR_NUMBER, ERROR_MESSAGE, ETC
1.4.2.5 Sistema de bloqueo (Snapshot Isolation)
Nuevo nivel de aislamiento que hace que no haya bloqueos en las lecturas, ya
que hace que los lectores lean una versión anterior de los registros.
Tiene la ventaja de una lectura más rápida y sin bloqueos, pero tiene el inconveniente
de unas escrituras más lentas y un tamaño de Base de Datos más grande.
Plan De Seguridad Informática
44
1.4.2.6 Soporte Nativo de XML (XQUERY)
Da soporte por utilizar un tipo de datos XML para almacenar, validar y
consultar información en forma XML.
Desde un punto de vista no tan técnico, podemos ver una mejora en la interface del
sistema, y un entorno de trabajo muy similar el entorno de trabajo de Visual Studio
.NET.
1.4.2.7 Cifrado
SQL Server 2005 ofrece 4 alternativas para realizar el cifrado de datos:
• Passphrase • Asymmetric Key • Symmetric Key • Certificate Key
El motor de base de datos tiene una infraestructura de cifrado jerárquica y
administración de claves. Cada capa se encarga de cifrar a las capas inferiores
utilizando unas combinaciones de certificados, claves simétricas y asimétricas.
El diagrama que se muestra en el Figura 22 ilustra lo mencionado:
Figura 21
Fuente: Cifrando datos con SQL Server 2005. http://www.microsoft.com/spanish/ msdn/comunidad/mtj.net/voices/MTJ_0010.asp
Plan De Seguridad Informática
45
1.4.3 CONTROL DE APLICACIONES EN PC’s
Se encuentra instalado los diferentes módulos de acuerdo a como necesiten
los usuarios por ejemplo el modulo de recursos humanos lo tendrá el departamento
de jefatura de personal para con ello poder elaborar y mantener los datos que este
necesite.
1.4.4 CONTROLES EN LOS DATOS
Los datos de entrada y salida del sistema poseen ciertos controles en donde se
verifica su integridad, exactitud y validez.
Los datos de salida del sistema de la empresa no se restringen de acuerdo a
los permisos de acceso.
No se protegen con controles de acceso las carpetas que almacenan archivos
de las aplicaciones.
1.5 EVALUACIÓN DE LA ADMINISTRACIÓN DEL CENTRO DE
PROCESAMIENTO DE DATOS
1.5.1 ADMINISTRACIÓN DEL CPD
No existe una correcta organización y administración del área de sistemas
debido a que el centro de cómputo se encuentra en proceso de formación, por lo que
ésta no se encuentra en capacidad de brindar condiciones generales de operación que
posibiliten un ambiente adecuado de control, aunque se están realizando unos
primeros esfuerzos.
La dirección está a cargo de una persona egresada de la U.N.I.T.A y es él
quien deberá ponerse al frente, de manera que la experiencia que posea en el manejo
de los recursos informáticos los aplique, y comprenda los riesgos y problemas
relativos a la tecnología y sistemas de información. Es conciente de que es su
obligación y responsabilidad de mantener seguros los sistemas que se operan.
Plan De Seguridad Informática
46
El administrador es el encargado de reportar al Alcalde o en su efecto al
Director Administrativo sobre las actividades críticas en el centro de cómputo. Estos
reportes generalmente se realizan a modo de auto protección a sus actividades y no
son un pedido de ningún directivo de la Ilustre Municipalidad de Paute.
1.5.2 CAPACITACIÓN
No ha existido capacitación para el administrador del centro de cómputo, ni
siquiera por lo menos con respecto a las tecnologías usadas en el Municipio. Los
conocimientos son propios del administrador.
Los usuarios finales han sido capacitados en el uso del software del sistema,
pero no sobre el correcto manejo de recursos informáticos.
No se ha hecho una capacitación continua a los empleados que coadyuve a
desarrollar y mantener sus conocimientos, competencia, habilidades y concienciación
en materia de seguridad informática dentro del nivel requerido a fin de lograr un
desempeño eficaz.
1.5.3 BACKUP
No se han desarrollado planes formales del departamento de sistemas. Se
tienen proyectos a futuro, como es la implementación de backup para la base de
datos.
No se dispone de backups de hardware y de servicios para garantizar la
continuidad de los servicios ante alguna contingencia.
Importancia De La Seguridad
El Alcalde y autoridades de la I. Municipalidad de Paute están concientes de
que hay que brindarle una atención importante al área informática sin embargo no
están concientes de los niveles que ésta tiene y cual debería ser su estructura.
Plan De Seguridad Informática
47
Mantenimiento
Solicitud de mantenimiento: cada vez que los usuarios necesitan
asesoramiento o servicios del centro de cómputo, se comunican telefónica o
personalmente con el administrador explicando su situación. No queda ninguna
constancia de las tareas desarrolladas por los empleados del centro de cómputos,
ni de las solicitudes de los usuarios.
Mantenimiento preventivo: en este momento en el centro de cómputo no se
desarrolla ningún mantenimiento preventivo, debido al costo de contratar una
persona más que se dedique a esto.
Clasificación de datos y hardware: los equipos de la empresa no han sido
clasificados formalmente según su prioridad.
Etiquetas: no hay procesos para rotular, manipular y dar de baja un equipo,
sus periféricos o los medios de almacenamiento. Las máquinas y dispositivos no
se identifican entre ellas aunque hay un inventario de la cantidad de máquinas
que existen pero no tiene detalles suficientes.
Instaladores
Los instaladores de las aplicaciones utilizadas en la organización se
encuentran en sus CD´s originales almacenados en el centro de cómputo. Incluso los
instaladores de uso más frecuente, como los del Avast Antivirus o del Acrobat
Reader, Microsoft Office están dentro del departamento de sistemas, todos los
programas que se necesiten instalar se ejecutan desde copias de los CD´s.
1.5.4 DOCUMENTACIÓN
Documentación Del Centro De Cómputo.
En el centro de cómputo existe documentación sobre:
Números IP de las máquinas y de los switches plasmado en un documento
llamado “Plan de Direccionamiento IP”.
Figuras de la ubicación física de los equipos de las dos plantas de la
Municipalidad que no está actualizado.
Plan De Seguridad Informática
48
Inventario de computadores, existe un documento en el que se especifican las
características principales de los equipos.
Documentación del desarrollo del sistema. El cual es demasiado general y no
da una idea exacta de la estructura del sistema de gestión municipal.
No hay respaldos de ninguno de estos datos, ya que son documentos impresos que se
van modificando manualmente.
Manuales
Se posee un manual de usuario del sistema, cada módulo desarrollado posee
un manual de usuario para mejorar y facilitar el uso del mismo por medio de los
usuarios. Se han desarrollado manuales para el área de Recaudación, Agua Potable,
Rentas, Avalúos y Catastros, Administración y Gestión, aunque todavía no están
estructurados los manuales para la totalidad de los módulos. Una meta del equipo de
desarrollo es modificar los manuales existentes para generar un manual de usuario
completo que englobe todo el sistema de la empresa.
Documentación Del Desarrollo
Existe una carpeta con diagramas generales y documentación referente a cada
módulo del sistema pero con especificaciones generales de funcionamiento en un
lenguaje no técnico. Estos registros fueron entregados conjuntamente con el sistema
1.6 EVALUACION DE LAS AUDITORIAS Y REVISIONES
No se ha realizado ningún proceso de auditoría informática dentro del
Municipio, que permita verificar si se está cumpliendo con un mínimo de seguridad
de la información. Aunque estas generalmente se realizan en organizaciones que
poseen sistemas complejos o de alto Riesgo.
Plan De Seguridad Informática
49
1.7 EVALUACION DEL PLAN DE CONTINGENCIA Y RECUPERACION
DE DESASTRES
No se ha elaborado ningún plan de contingencia ni de recuperación de
desastres.
1.8 ELABORACION DEL INFORME DE DEBILIDADES Y AMENAZAS
1.8.1. DEBILIDADES
No existe fecha de expiración del password.
No hay en la empresa un procedimiento formal para efectuar las bajas de los
empleados del sistema.
No se lleva a cabo ninguna revisión periódica ni control sobre el buen
funcionamiento de las cuentas de los usuarios, ni sobre los permisos que
tienen asignados.
Aunque el usuario permanezca un largo período de tiempo sin actividad el
sistema no ejecuta ninguna acción; ni tampoco el administrador advierte a los
usuarios sobre la necesidad de no dejar las máquinas logeadas e inactivas.
Los usuarios del sistema pueden tener abiertos, al mismo tiempo, todos los
menús a los que están autorizados, y varias sesiones del mismo menú. No se
hacen restricciones en cuanto a la cantidad de sesiones que los usuarios
pueden utilizar.
El mantenimiento técnico especializado externo utiliza la misma cuenta de
administrador para hacer modificaciones en los sistemas operativos de los
servidores, y una vez finalizado el mantenimiento el administrador del
sistema no cambia la contraseña.
Los datos de autenticación son almacenados y transmitidos sin ningún
cifrado.
Las contraseñas no tienen una longitud mínima requerida por el sistema
No se realiza ningún control sobre las cuentas de los usuarios, para
comprobar que cambian el password.
Plan De Seguridad Informática
50
Cuando un usuario olvida su contraseña y se cierra la aplicación, recurre al
administrador, el cual lee el password del usuario, recordándoselo. Pero en
ningún momento se lo intima a modificar el password revelado.
Existen carpetas compartidas en las que no se realiza ningún control sobre la
criticidad de la información expuesta.
No se encuentran restringidos los servicios y protocolos que no son
necesarios para el funcionamiento del sistema.
No hay estándares definidos, no hay procedimientos a seguir ni tampoco
documentación respecto a la instalación y actualización de la configuración
de las PC’s y en general documentos auditables del área informática.
Para los usuarios no existen restricciones con respecto a la instalación de
programas en sus respectivos puestos de trabajo, ni sobre la configuración del
sistema operativo, ya que están habilitados los dispositivos externos y
algunos disponen de conexión a Internet sin restricciones.
La ventana de comandos del DOS está disponible para todos los usuarios.
No existe un plan de desarrollo de sistemas formal, ni se utilizan métricas
durante el ciclo de vida del desarrollo de la aplicación. Ejemplo: Portal Web.
No hay control de acceso físico.
No se realizan controles sobre los dispositivos de hardware instalados en las
PC´s, una vez que se ha completado la instalación de algún equipo, el
administrador del sistema no realiza chequeos rutinarios o periódicos.
No se han desarrollado planes formales del departamento de sistemas.
No hay, en los empleados del municipio, plena conciencia con respecto a la
importancia de la seguridad informática.
No existe un inventario donde se documenten todos los sistemas de
información con sus características principales.
No hay inventarios de los equipos de hardware, ni documentación con
respecto a los equipos de la red física, ni de su configuración.
En ningún momento hay consentimiento por parte de los usuarios a que
auditen sus actividades en el sistema, ni declaraciones de que conocen las
normas de “buen uso” del sistema.
No se documentan los cambios que se realizan en la configuración del
servidor, ni la fecha de estas modificaciones.
Plan De Seguridad Informática
51
No existen procedimientos para la realización ni la recuperación de los
backups de los datos almacenados en los servidores
No hay desarrollados planes de seguridad, ni planes de contingencia ni de
recuperación de desastres.
No cuentan con una aplicación que genere alarmas o avisos cuando ocurre un
evento que revista un determinado grado de riesgo.
En la empresa no se realizan auditorías, ni rutinas de chequeos de logs.
No se generan logs cuando un usuario modifica su password.
No poseen un plan de monitorización general de la red.
Plan De Seguridad Informática
52
CAPITULO II
Plan De Seguridad Informática
53
ANÁLISIS DE RIESGOS
2.1 INTRODUCCIÓN
El presente análisis de riesgos fue desarrollado con el propósito de determinar
cuáles de los activos de la empresa tienen mayor vulnerabilidad ante factores
externos o internos que puedan afectarlos, identificando las causas potenciales que
faciliten o impidan alcanzar los objetivos, calculando la probabilidad de su
ocurrencia, evaluando sus probables efectos.
Para generar esta información se desempeñaron las siguientes actividades:
1. Identificación de los activos de la empresa: se evaluaron los distintos
activos físicos y de software de la organización, generando un inventario de
aquellos que son considerados como vitales para su desenvolvimiento.
2. Tasación de los Activos: los activos fueron clasificados según el impacto
que sufriría la organización si faltase o fallara tal activo, mediante el método
de las elipses. Los activos de información que se encuentran en la elipse
central son los más críticos.
3. Identificación de Amenazas: Se listaron los factores de riesgo relevantes
a los que pueden verse sometidos cada uno de los activos mencionados
anteriormente, clasificados de la siguiente manera: interrupción,
interceptación, modificación y generación.
4. Posibilidad de Ocurrencia de Amenazas: Se asigna porcentajes a cada
una de las amenazas listadas anteriormente, un mayor porcentaje indica una
mayor probabilidad de que ocurra la amenaza.
5. Identificación de vulnerabilidades: Se refiere a describir situaciones
internas que tornan vulnerable al sistema.
Plan De Seguridad Informática
54
6. Posible explotación de vulnerabilidades: Se asigna porcentajes a cada
una de las vulnerabilidades mencionadas anteriormente, un mayor porcentaje
indica una mayor probabilidad de que ocurra la vulnerabilidad.
7. Estimación de valores: Teniendo presente el listado anterior, se generó
una descripción de las consecuencias que podría sufrir la empresa si los
activos son afectados por sus respectivos factores de riesgo, a partir de dar a
conocer el valor aproximado de los activos en riesgo, luego asignar una
porcentualización que indica la posibilidad de ocurrencia del riesgo y cuales
serían las pérdidas económicas que sufriría el municipio si es que se vieran
afectados dichos activos.
8. Conclusiones: A partir de las estimaciones anteriores se procedió a realizar
la evaluación de la situación actual del municipio mediante cálculos, de
manera que nos permita concluir si se debe o no brindar seguridad a dicho
activo, considerando que: el costo de pérdida de los activos de información
sea mayor al costo del activo, y luego hacer un estudio para garantizar que el
costo de protección del activo sea menor al costo del activo. En general,
aquellos riesgos cuya concreción esté estimada como de baja frecuencia, no
justifican preocupaciones mayores. Por el contrario, los que se estiman de alta
frecuencia deben merecer preferente atención. Entre estos extremos se
encuentran casos que deben ser analizados cuidadosamente, aplicando
elevadas dosis de buen juicio y sentido común.
Plan De Seguridad Informática
55
2.2 IDENTIFICACIÓN DE LOS ACTIVOS
Infraestructura:
o PC’s
o Servidores
o UPS’s
Arquitectura de la red
Base de Datos
o Base de Datos SQL Server 2005 contiene los siguientes módulos:
- Contabilidad
- Bancos
- Compras
- Facturación
- Agua Potable
- Avalúos y Catastros
- Administración
Plan Estratégico
Edificios
Mobiliarios
Convenios
Sistemas de Información
Empleados – Administrativos
Clientes
Plan De Seguridad Informática
56
2.3 TASACIÓN DE LOS ACTIVOS.
Figura 22
Fuente: Las Autoras
2.4 IDENTIFICACIÓN DE AMENAZAS.
2.4.1 ARQUITECTURA Y DISPOSITIVOS DE LA RED:
Interrupción
i. Destrucción o robo de los dispositivos de Red
ii. Borrado de la configuración de dispositivos
iii. Falta de conectividad
iv. Mantenimiento ineficiente de la red
Interceptación
v. Interceptar las redes a través de dispositivos o herramientas
ajenas a la empresa.
vi. Copiar la configuración y arquitectura de la red ilícitamente
Arquitectura de la red
Base de Datos
Sistema de Información
Infraestructura de Pc, Serv.
Plan Estratégico
Edificios
Mobiliario
Convenios
Empleados y Administrativos
Clientes
Plan De Seguridad Informática
57
Modificación
vii. Modificación de la configuración de los dispositivos
viii. Puertos abiertos de forma innecesaria que facilitan la
modificación de la información a intrusos.
Generación
ix. Robo de dinero por medio del Phishing (Tipo de ingeniería
social).
2.4.2 BASE DE DATOS
Interrupción
x. Destrucción de la información por medio de virus.
xi. Bloqueo permanente o temporal de los privilegios de los
usuarios.
Interceptación
xii. Ingreso no autorizado de personal en la Base de Datos para
robar la información contenida.
xiii. Robo de contraseñas por medio de herramientas o programas
para obtener información crítica.
Modificación
xiv. Modificación mal intencionada de la base de datos
Generación
xv. Forzar el ingreso probando claves y realizar transacciones no
autorizadas.
xvi. Añadir registros en la base de datos
2.4.3 SISTEMA DE INFORMACIÓN
Interrupción
Plan De Seguridad Informática
58
xvii. Daño de los datos por envío y revisión de materiales
ofensivos.
xviii. Denegación de servicio por medio de mensajes u órdenes que
paralicen su actividad normal por un largo tiempo.
xix. Borrado de programas, datos.
xx. Fallos en el SO.
Interceptación
xxi. El uso compartido de contraseñas entre los usuarios permiten
la revisión de información no autorizada para algunos
empleados.
xxii. Instalación no autorizada de software para el robo de la
información.
xxiii. Escucha en línea de datos
Modificación
xxiv. Modificación de la Información por medio de la suplantación
de identidad
xxv. Modificación de ingreso de pagos.
Generación
xxvi. Captura de mensajes y repetición para ingresar dinero en una
cuenta dada.
Plan De Seguridad Informática
59
2.5 POSIBILIDAD DE OCURRENCIA DE AMENAZAS.
2.5.1 ARQUITECTURA Y DISPOSITIVOS DE LA RED:
Destrucción o robo de los dispositivos de Red 80%
Borrado de la configuración de dispositivos 80%
Falta de conectividad 80%
Mantenimiento ineficiente de la red 30%
Interceptar las redes a través de dispositivos o herramientas ajenas a
la empresa.
90%
Copiar la configuración y arquitectura de la red ilícitamente 10%
Modificación de la configuración de los dispositivos 90%
Puertos abiertos de forma innecesaria que facilitan la modificación de
la información a intrusos.
40%
Robo de dinero por medio del Phishing. 15%
2.5.2 BASE DE DATOS:
Destrucción de la información por medio de virus. 10%
Bloqueo permanente o temporal de los privilegios de los usuarios. 5%
Ingreso no autorizado de personal en la Base de Datos para robar la
información contenida.
30%
Robo de contraseñas por medio de herramientas o programas para
obtener información critica.
40%
Modificación mal intencionada de la base de datos 50%
Forzar el ingreso probando claves y realizar transacciones no
autorizadas.
30%
Añadir registros en la base de datos 50%
Plan De Seguridad Informática
60
2.5.3 SISTEMA DE INFORMACIÓN:
Daño de los datos por envío y revisión de materiales ofensivos. 10%
Denegación de servicio por medio de mensajes u órdenes que
paralicen su actividad normal por un largo tiempo.
4%
El uso compartido de contraseñas entre los usuarios permite la
revisión de información no autorizada para algunos empleados.
70%
Instalación no autorizada de software para el robo de la información. 6%
Modificación de la Información por medio de la suplantación de
identidad
80%
Modificación de ingreso de pagos. 3%
Captura de mensajes y repetición para ingresar dinero en una cuenta
dada.
2%
2.6 IDENTIFICACIÓN DE VULNERABILIDADES
Claves en texto plano
Claves simples sensibles a fraudulencia.
Firewall: No existen políticas para la utilización de éste.
Configuración de dispositivos por defecto, es decir falta de
aplicación de políticas administrativas.
Tráfico Broadcast extenso
Falta de seguridad en la red de entrada y salida de archivos desde
discos o de computadores ajenos como portátiles.
Falta de capacitación del personal sobre la importancia de la
seguridad de la información. Borrados accidentales o intencionados
No existen registros sobre análisis de riesgos, políticas de
seguridad, planes de seguridad, planes de contingencia y
recuperación de desastres.
Resistencia al cambio por parte de los usuarios.
El Centro de Cómputo no se encuentra constituido totalmente
Falta de Control y monitoreo en el acceso a Internet.
Plan De Seguridad Informática
61
No se dispone de un lugar adecuado y seguro para los equipos que
forman parte del área de Tecnologías de información y
comunicación.
Desarrollo de aplicaciones con errores en código fuente, que
permiten algunas brechas de seguridad.
2.7 POSIBLE EXPLOTACIÓN DE VULNERABILIDADES
Claves en texto plano 20%
Claves simples sensibles a fraudulencia. 90%
Firewall: No existen políticas para la utilización de este. 15%
Configuración de dispositivos por defecto 90%
Falta de seguridad en la red de entrada y salida de archivos desde
discos o de computadores ajenos como portátiles.
70%
Falta de capacitación del personal sobre la importancia de la seguridad
de la información.
75%
Borrados accidentales o intencionados 75%
No existen registros sobre análisis de riesgos, políticas de seguridad,
planes de seguridad, planes de contingencia y recuperación de
desastres.
98%
Resistencia al cambio por parte de los usuarios. 10%
El Centro de Cómputo no se encuentra constituido totalmente. 65%
Falta de Control y monitoreo en el acceso a Internet. 65%
No se dispone de un lugar adecuado y seguro para los equipos que
forman parte del área de Tecnologías de información y comunicación.
55%
Desarrollo de aplicaciones con errores en código fuente, que permiten
brechas de seguridad.
12%
Plan De Seguridad Informática
62
2.8 ESTIMACIÓN DE VALORES
2.8.1 ESTIMADO DEL VALOR DE LOS ACTIVOS EN RIESGO
Arquitectura y dispositivos de la Red: $30.140,00
o PC’s $22140,00
27pc’s * 820= 22140,00
o Comunicaciones $8000,00
Base de Datos: $4.000,00
o Base de Datos SQL SERVER 2005
Sistema de Información: 13.000,00
2.8.2 POSIBILIDAD DE OCURRENCIA DEL RIESGO
Arquitectura y dispositivos de la Red: 80%
Base de Datos: 60%
Sistema de Información: 20%
2.8.3 VALOR DEL RIESGO DE LOS ACTIVOS
Arquitectura y dispositivos de la Red: $60.000,00
Base de Datos: $8.000,00
Sistema de Información: $30.000,00
Plan De Seguridad Informática
63
2.9 CONCLUSION:
Arquitectura y dispositivos de la Red:
$30.140,00 ≤ (0.8*$60.000,00)
30.140,00 ≤ 48.000,00
Base de Datos:
$4.000,00 ≤ (0.6*$10.000,00)
4.000,00 ≤ 6.000,00
Sistema de Información:
13.000,00 ≤ (0.2*$30.000,00)
13.000,00 ≤ 15.000,00
Plan De Seguridad Informática
64
CAPITULO III
Plan De Seguridad Informática
65
POLITICAS DE SEGURIDAD.
3.1 INTRODUCCIÓN
Las políticas de seguridad informática son definiciones establecidas por la
dirección, que determinan criterios generales a adoptar en funciones relacionadas al
área informática y actividades relacionadas con su seguridad, donde se conocen las
alternativas ante circunstancias repetidas.
Su auge ha sido estimulado por la explosión de tecnologías de manejo de
información, incluyendo a los teléfonos celulares, los buscapersonas y los
computadores. Los que trabajan en los ambientes organizacionales deben recibir
instrucciones claras y definitivas que los ayuden a garantizar la seguridad de la
información generada en tan importante entidad pública. Definitivamente, es
imprescindible mantener reglas claras que enmarquen el desarrollo de las actividades
en cualquier actividad municipal, los sistemas de información no escapan de este tipo
de documentación.
El ofrecer servicios sin tomar en cuenta la seguridad informática constituye una
invitación para que ocurran incidentes de seguridad que podrían dañar severamente
la reputación de la organización. Las políticas de seguridad informática proporcionan
delimitaciones claras que definen un dominio donde se puede encontrar una solución
aceptable.
La seguridad informática es un problema de personas y de tecnología. Pero antes de
que se pueda hacer algo al respecto, la administración municipal debe involucrarse
en la seguridad informática, asignar suficientes recursos y comunicar claramente a
todos los integrantes de su equipo que la seguridad informática realmente sí es
importante.
Las políticas son planteamientos de alto nivel que transmiten a los trabajadores la
orientación que necesitan para tomar decisiones presentes y futuras. Son requisitos
generalizados que deben ser escritos en papel y comunicados a ciertos grupos de
Plan De Seguridad Informática
66
personas dentro, y en algunos casos fuera, de la municipalidad. Los documentos de
políticas de seguridad informática varían de una organización a otra.
Las políticas son obligatorias y pueden considerarse el equivalente de una ley propia
de la organización. Se requiere una autorización especial cuando un empleado desea
irse por un camino que no está contemplado en la política.
Plan De Seguridad Informática
67
ELABORACION DE POLITICAS DE SEGURIDAD PARA LA ILUSTRE
MUNICIPALIDAD DE PAUTE
3.2 DEL USUARIO:
El usuario debe ser consciente de las medidas de seguridad implantadas
respecto a Tecnologías de Información, por lo que será compromiso de él leer
y cumplir las mencionadas políticas, esto estará descrito en el contrato como
empleado de la institución, así mismo constará las sanciones en caso de
incumplimiento.
El acceso de personal a los recursos informáticos se llevará a cabo de acuerdo
a las normas establecidas por el departamento de Sistemas Informáticos.
Todos y cada uno de los equipos son asignados a un responsable (el usuario
de ese puesto de trabajo), por lo que es de su competencia hacer buen uso de
los mismos.
La información necesaria debe estar actualizada, eliminando los archivos
basura.
Debe ser sencillo encontrar los archivos que sean necesarios, en todos los
puestos de trabajo. Para lo cual se deberá tener un criterio único de
estructuración de la información, es decir que cosa debe ir en cada carpeta y
sobre la nomenclatura de los archivos de modo que el nombre del archivo
preste suficiente información sobre el contenido del mismo.
El usuario debe cambiar su password de acuerdo a los procedimientos
establecidos de cómo generar una clave segura.
Toda información almacenada en cualquier dispositivo o medio del municipio
incluyendo disquetes, dispositivos removibles, reportes, códigos fuentes de
programas de computadora, correo electrónico y datos confidenciales de los
clientes, es propiedad del Municipio.
Plan De Seguridad Informática
68
Es responsabilidad del usuario que toda información sea confidencial o
restringida, que este impresa o almacenada en medios físicos transportables
(cintas de backup, cd’s, etc.), etiquetarla, con letras grandes que sean legible
sin la necesidad de un lector especial, indicando su clasificación o grado de
criticidad de dicha información.
Los reportes confidenciales no deben ser copiados sin la autorización del
propietario de la información.
3.3 DEL DEPARTAMENTO DE SISTEMAS INFORMÁTICOS:
Es el responsable de emitir y dar seguimiento al Reglamento para el uso de
los recursos informáticos.
Deberá propiciar el uso de tecnologías de información con el fin de contribuir
con las directrices económicas, ecológicas y de servicio de la Municipalidad
de Paute.
El departamento de Sistemas Informáticos será el encargado de la realización
del mantenimiento preventivo y correctivo de los equipos. La conservación
de su instalación y la verificación de la seguridad física, y adecuarlo a una
condición física apropiada, para lo cual se deben emitir normas y
procedimientos respectivos, así como realizar inventarios.
Este departamento será el responsable de proporcionar a los usuarios el
acceso a los diferentes recursos informáticos.
Deberá restringirse el acceso al sistema o la utilización de recursos en un
horario definido, teniendo en cuenta que:
o las cuentas de los usuarios no deben poder acceder al sistema en
horarios no laborales, de acuerdo al grupo al que pertenezcan.
o durante las vacaciones o licencias las cuentas de usuarios deben
desactivarse.
Plan De Seguridad Informática
69
o en días feriados las cuentas de todos los usuarios deben permanecer
desactivadas.
Organizar cursos de capacitación sobre seguridad informática y manejo de
recursos informáticos mínimo una vez al año.
Definir clasificaciones adecuadas de tipos de usuario, que permitan
estratificar la protección de la información y definir permisos de acceso. Ejm:
perfiles, grupos de usuario, ACL’s.
La fecha de expiración de las contraseñas deberá ser de cuatro meses. El
administrador deberá exigir el cambio, una vez cumplido el plazo.
El administrador del sistema deberá realizar un chequeo mensual de los
usuarios del sistema, comprobando que existen solo los usuarios que son
necesarios y que sus permisos sean los correctos.
Podrá sugerir las sanciones en caso de incumplimiento de las políticas y
normas de seguridad y se someterán a estudio y posterior aprobación con los
entes administrativos.
Será el encargado de realizar análisis de riesgo periódicos definidos en las
normas, y de gestionar un proceso de auditoría por lo menos una vez al año.
Tendrá que implantar tecnologías repelentes o protectoras como: cortafuegos,
sistemas de detección de intrusos- anti-spyware, antivirus, herramientas para
la protección de software etc. Mantener los sistemas de información con las
actualizaciones que más impacten en la seguridad y que sean accesibles.
Se deberán tener por lo menos una copia de seguridad de las carpetas más
importantes, y definir planes y procedimientos para este proceso.
Generar documentos sobre operaciones informáticas realizadas para que los
procedimientos sean transparentes.
Plan De Seguridad Informática
70
Realizar consideraciones relacionadas con cambios en la asignación de
funciones del empleado. Para implementar la rotación de funciones o en caso
de reasignar funciones por ausencias temporales de algunos empleados, es
necesario considerar la importancia de mantener actualizados los permisos de
acceso.
Este departamento tiene la facultad de llevar a cabo la revisión constante de
accesos y los intentos fallidos al sistema de información y puede conservar
información del tráfico, y realizar monitoreos.
La Administración del departamento de Sistemas es la responsable de
difundir el reglamento para el uso de la red y recursos informáticos; además
de procurar su cumplimiento.
Debe existir una adecuada y documentada separación de funciones dentro del
centro de cómputo.
Los usuarios de la organización que utilicen Internet deben recibir
capacitación específica respecto a su funcionalidad y a los riesgos y medidas
de seguridad pertinentes.
Deberá utilizarse más de una herramienta antivirus en los servidores, para así
disminuir el riesgo de infección.
Deberá existir una clasificación de los datos en base a su sensibilidad para así
determinar controles específicos.
Deberá existir una planificación formalizada y completa de las actividades a
desarrollarse. Deberán designarse responsabilidades claras y documentadas
para cada actividad.
El/Los administradores deberán garantizar la confidencialidad, integridad y
disponibilidad de la información, mediante mecanismos, procedimientos,
planes, etc.
Plan De Seguridad Informática
71
El administrador deberá garantizar la conectividad, y no permitir
interceptación en la red, distribuir el ancho de banda de una forma adecuada
de acuerdo a los requerimientos de la función del empleado, así como
restringir los servicios y protocolos que no son necesarios para el
funcionamiento del sistema.
Definir planes de contingencia y de recuperación de desastres en base a la
ubicación física, al medio que lo rodea, a los recursos que posee y al estudio
de análisis de riesgos.
Toda persona que instale o requiera recursos informáticos, y/o requiera
acceso a la red de la Municipalidad deberá sujetarse a las normas y
procedimientos de instalación, control y monitorización por parte del
administrador del departamento de Sistemas Informáticos.
Todo el equipo de cómputo y los de telecomunicaciones que sean de
propiedad del Municipio deberá ser sometido a inventarios y etiquetados para
su descripción, y se deberá llevar un control sobre dichos recursos.
3.4 DE LOS SISTEMAS DE INFORMACIÓN:
Se adquirirá software en caso de ser necesario, propiciando la adquisición de
licencias apropiadas, luego de haberse sometido a un estudio que justifique la
adquisición.
Se desarrollará software siguiendo procedimientos de ingeniería de software,
y estas aplicaciones se desarrollarán en base a las necesidades del municipio,
generando la respectiva documentación y cumpliendo con las normas de
programación.
Con el propósito de proteger la integridad de los sistemas informáticos tanto
adquiridos como desarrollados, será imprescindible que se disponga de
software de seguridad como antivirus, vacunas, parches, privilegios de acceso
Plan De Seguridad Informática
72
y nuevos conceptos que surjan con el fin de proveer la seguridad a la
información.
Codificar la información usando Criptología, Criptografía y Criptociencia.
Debe existir una aplicación que registre las siguientes ocurrencias:
o tiempo y duración de los usuarios en el sistema,
o número de conexiones a la base de datos,
o número de intentos fallidos de conexiones a la base de datos,
o generación de nuevos objetos en la base de datos,
o transacciones en la base de datos.
3.5 DE LA ADMINISTRACIÓN:
Se deberá notificar al administrador del sistema para desactivar el acceso a
los recursos informáticos del empleado que vaya a ser removido de su cargo,
esto se realizará antes de que éste sea notificado sobre el despido o
terminación del contrato.
Organizar encuentros periódicos con el jefe del centro de cómputo para
desarrollar planes y estrategias en pro de la seguridad de la información del
municipio.
Asegurar la existencia de controles para revocar el acceso a los empleados a
partir de la notificación de remoción del cargo de un empleado,
independientemente de las razones que tengan para salir de la empresa.
Definir puestos de trabajo contemplando la separación máxima de funciones
posibles para otorgar el mínimo permiso de acceso requerido por cada puesto
para la ejecución de tareas asignadas.
Realizar revisiones frecuentes sobre las políticas de seguridad informática.
Plan De Seguridad Informática
73
Redactar en el contrato las responsabilidades que asume sobre la información
y sobre los recursos informáticos a los que tiene acceso.
Definir una misma estructura de nombramiento de carpetas y documentos
para que otro empleado que lo necesite pueda encontrarlo fácilmente.
La Dirección de la Ilustre Municipalidad de Paute deberá proveer la
infraestructura de seguridad requerida y recursos informáticos de acuerdo a
los requerimientos específicos de cada área, y en base a un estudio que
sustente su implantación.
Informar al administrador del sistema sobre la rotación de funciones o en
caso de reasignar funciones por ausencias temporales o definitivas de
algunos empleados.
Plan De Seguridad Informática
74
CAPITULO IV
Plan De Seguridad Informática
75
ESTRATEGIAS PARA EL CUMPLIMIENTO DE POLITICAS DE
SEGURIDAD.
4.1 INTRODUCCION
Para poder llegar a las estrategias para el cumplimiento de políticas de seguridad es
necesario la creación de múltiples capas de seguridad para los equipos e información
valiosa, para así evitar que un solo nivel comprometa a la red entera. Esta protección
por capas es requerida ante la llegada de las amenazas combinadas y el perímetro de
la red.
A continuación describimos componentes fundamentales que nos pueden ayudar a
brindar protección garantizando en gran parte el cumplimiento de las políticas de
seguridad:
El software antivirus: Porque brinda protección contra los archivos
que entran a la red a través de las solicitudes, las descargas, los disquetes, etc.
El software antivirus busca automáticamente las amenazas más recientes,
explora con frecuencia los sistemas en busca de estas amenazas y también
realiza vigilancia en tiempo real. El software antivirus no solo protegerá al
servidor de aplicaciones y de base de datos, sino también a los firewalls y
aplicaciones importantes, para evitar muchos problemas antes de que surjan.
Los firewalls son una importante línea de defensa de la red y de toda
la información al explorar la información que entra y sale de la red para
garantizar que no sucedan accesos no autorizados y evitar sufrir algunos de
los ataques de DoS- Denied of Service (Denegación de servicios) y de
participar involuntariamente en uno de ellos. Los Firewalls son una
herramienta importante cuando se tiene tráfico de Internet.
El software de detección de intrusos: Con el fin de monitorear
constantemente la red en busca de actividades sospechosas o ataques directos
y que alerte para que pueda actuar inmediatamente.
Plan De Seguridad Informática
76
Determina cuando un parámetro enviado por el usuario puede ser erróneo o
cuando necesariamente involucra un intento de intrusión. Cierra las sesiones
(y puede llegar a suspender los privilegios del usuario) ante estas situaciones.
Genera como mínimo un log, estas situaciones implican siempre a un usuario
autenticado.
IDS basados en equipo host: Se sitúan en el servidor local y
monitorean el tráfico incluyendo los registros de auditoría y de incidentes.
Las redes privadas virtuales (VPN) Hoy en día son vitales si existen
conexiones remotamente a la red de la empresa. Las VPN protegen las
conexiones remotas más allá del perímetro para poder establecer
comunicaciones seguras en Internet. Las VPN se implementarán usando:
IPSec. Se implementará, aparte del servidor, un software firewall en todas las
computadoras que tengan acceso a las VPN, y una eficaz protección antivirus.
VLAN’S: La implementación de las VLAN combina la conmutación
de Capa 2 y las tecnologías de enrutamiento de Capa 3 para limitar tanto los
dominios de colisión como los dominios de broadcast. Las VLAN también
ofrecen seguridad con la creación de grupos VLAN que se comunican con
otras VLAN a través de routers. Una asociación de puerto físico se utiliza
para implementar la asignación de VLAN. La comunicación entre VLAN’s
se puede producir solamente a través del router. Esto limita el tamaño de los
dominios de broadcast y utiliza el router para determinar si se pueden
comunicar las VLAN’s.
Configuración del disco: Algunas veces es difícil saber con certeza el
alcance del ataque por lo cual sería prudente volver atrás y partir de un punto
seguro. La solución de configuración del disco puede hacer copias de
seguridad de la información y recuperarla en su estado inicial seguro para que
se pueda confiar en la integridad de la información
Plan De Seguridad Informática
77
4.2 DEL USUARIO:
El usuario mediante un compromiso firmado acepta dar cumplimiento de las
medidas de seguridad definidas en la política de seguridad informática,
destacando específicamente el mantenimiento de la confidencialidad de las
claves de acceso, la no divulgación de información de la organización, el
cuidado de los recursos, la utilización de software sin licencia y el reporte de
situaciones anormales. Debe confirmarse este compromiso anualmente o cada
vez que se produzcan cambios en las funciones asignadas al personal.
Borrar los archivos innecesarios, estos son los intermedios, las versiones sin
corregir, etc.
Asegurarse de que los usuarios cambien con frecuencia las contraseñas y
tengan cuidado de no anunciar públicamente sus nombres y contraseñas de
usuario. Fomentar la creación de claves seguras a través del uso de las
siguientes especificaciones :
o Conjunto de caracteres alfa-numérico y símbolos.
o Diferenciar mayúsculas y minúsculas
o La contraseña no deberá contener datos personales ni datos de la
entidad en la que se desempeña.
o Longitud mínima de 6 y máxima de 10 caracteres.
En cada acceso se verificará el usuario que accede y se le presentan los
sistemas que está autorizado a operar. Todas las transacciones que involucran el
ingreso de contraseñas se realizan en un ambiente seguro (protocolo SSL) con
encriptación de datos tanto para el servidor de aplicaciones como para el de
Base de datos.
Si un usuario olvida la contraseña, la aplicación no deberá mostrarle la misma
al administrador, y permitirá que el usuario ingrese una nueva desde su
terminal, la próxima vez que intente logearse.
La contraseña deberá inicializarse como expirado para obligar el cambio.
Plan De Seguridad Informática
78
4.3 DEL DEPARTAMENTO DE SISTEMAS INFORMÁTICOS:
Definir conjuntamente con la administración los periodos en los que se
brindará capacitación a los empleados con respecto a seguridad informática y
al uso de recursos.
Las PC´s deben tener instalado un protector de pantalla con contraseña.
Se deberán definir niveles de información, se sugiere :
o Crítica: se considera recurso crítico a aquel recurso interno que debe
estar disponible solamente para un conjunto determinado de personas.
o Confidencial: Se considera recurso confidencial a todo aquel que solo
deberá utilizarse y ser del conocimiento de miembros de la empresa.
o Pública: información de libre circulación; se considera recurso
disponible al público aquel que no requiere permanecer como de uso
interno.
Proceso de mínimo privilegio, es uno de los principios más fundamentales de
seguridad. La estrategia consiste en conceder a cada objeto (usuario, programa,
sistema, etc) solo aquellos permisos o privilegios que son necesarios para
realizar las tareas que se programó para ellos. Permite limitar los ataques y
limitar el daño causado por ataques particulares. Está basada en el
razonamiento de que todos los servicios ofrecidos por una red o sistema están
pensados para ser utilizados por algún perfil de usuario en particular, y no que
todos los usuarios pueden utilizar todos los servicios de la red. De esta forma es
posible reducir los privilegios requeridos para varias operaciones sin afectar al
servicio prestado a los usuarios de la red.
Estructurar un mecanismo para prueba de fallos en la seguridad de redes ya
que si un mecanismo de seguridad fallara, debería negarse el acceso a todo
usuario, inclusive aquellos usuarios permitidos (no podemos determinar si lo
son o si la función de autenticación no está funcionando), es decir debe fallar
en un estado seguro.
Plan De Seguridad Informática
79
Generar una defensa en profundidad que se basa en la implementación de
varios mecanismos de seguridad y que cada uno de ellos refuerce a los demás.
La idea es hacerle más difícil y costoso a un atacante la tarea de violar la
seguridad de la red. Esto se logra con la multiplicidad y redundancia de la
protección, es decir, con cada mecanismo respaldando a los demás mecanismos
de seguridad, de forma que si uno de esos mecanismos falla, existen otras
barreras más que vencer.
Todas las actividades críticas que se realicen en el centro de cómputo debe
tener su respectiva documentación.
Debemos instalar programas antiespías, su funcionamiento es similar al de un
antivirus solamente que este software analiza el sistema en busca de programas
espías como Adaware y Spyware y los eliminan.
Actualizar los antivirus con frecuencia (cada 15 días o una vez al mes sería lo
ideal), ya que el grado de velocidad de aparición de nuevos virus o variaciones
de los mismos es tan alto.
Para los computadores que tienen acceso a Internet se podría utilizar un
antivirus online que chequean su computadora mientras está conectado a
Internet. Es una forma cómoda y segura de inspeccionar la computadora para
encontrar todos los virus.
Instalar un cortafuegos o firewall ya que es un software destinado a garantizar
la seguridad en sus comunicaciones vía Internet al bloquear las entradas de su
computador sin autorización y restringir la salida de información.
Estar pendiente de buscar las actualizaciones de software y aprovechar las
soluciones o parches de seguridad para los agujeros que podrían hacernos
vulnerable a un ataque.
Plan De Seguridad Informática
80
Adquirir el hardware necesario para la implementación de los respaldos y
definir un plan para llevar a cabo este procedimiento.
Desactivar los puntos de red que no estén siendo utilizados.
Generar documentación de la red.
Utilizar herramientas de monitoreo de red que permitan ver y verificar el
tráfico de la red.
Configurar los dispositivos de acuerdo a los requerimientos del municipio y no
utilizando los valores que vienen por defecto
4.4 DE LOS SISTEMAS DE INFORMACIÓN:
Actualizar las aplicaciones con parches de seguridad, las vulnerabilidades que
se detectan en los programas informáticos mas utilizados como navegadores,
procesadores de texto, programas de correo, etc., son el blanco habitual de
ataques. Como norma básica debemos visitar periódicamente los sitios Web de
estas compañías e instalar dichas actualizaciones.
Se deberá mantener un control sobre las transacciones que sean realizadas por
los usuarios en el Sistema de Gestión Municipal.
Contratar mantenimiento necesario para el sistema de información que se está
implantando actualmente, de tal manera que se logre satisfacer todos los
requerimientos de los usuarios.
Adquirir un algoritmo de encriptación de libre distribución, utilizar la
herramienta de la base de datos que permite encriptar las claves.
Plan De Seguridad Informática
81
CONCLUSIONES
A lo largo de esta tesina pudimos comprender que la seguridad informática es
un conjunto de recursos destinados a lograr que la información y los activos
de una organización sean confidenciales, íntegros y disponibles para todos
sus usuarios.
Somos conscientes de que no existe un esquema de seguridad que cubra en su
totalidad los posibles riesgos, sin embargo se debe estar preparado y
dispuesto a reaccionar con rapidez ya que las amenazas y las vulnerabilidades
están cambiando constantemente, de tal forma que el objetivo sea mitigarlas.
Todas las organizaciones, sin importar su tamaño, ameritan contar con
políticas de seguridad.
Disponer de una política de seguridad es importante, pero entendemos que
hacer de la política de seguridad una parte del entorno de trabajo diario es
esencial. La comunicación con los usuarios del sistema es la clave para hacer
que esta política sea efectiva y se genere una “cultura de la seguridad”.
La implantación de una política de seguridad informática en una organización
implica un gran desafío, pero sabemos además que es imprescindible, sobre
todo si se tiene en cuenta que cada vez se produce un mayor número de
ataques.
Nunca es fácil mencionar el tema de las amenazas de intrusos internos. En un
mundo ideal, confiaríamos incondicionalmente en todos nuestros empleados.
Sin embargo, la realidad es que se trabaja en un entorno imperfecto donde las
amenazas pueden surgir desde el interior de las cuatro paredes. Aunque las
Plan De Seguridad Informática
82
políticas y procedimientos son esenciales para confrontar este problema, se
necesitan diligencia y determinación para resolverlo.
La clave para desarrollar con éxito un programa efectivo de seguridad de la
información consiste en recordar que las políticas, estándares y
procedimientos de seguridad de la información son un grupo de documentos
interrelacionados.
Ponemos de manifiesto que los resultados obtenidos en el presente trabajo
sean de utilidad para la Ilustre Municipalidad de Paute, de tal forma que
esperamos haber contribuido en algo el desarrollo de una cultura de seguridad
informática.
Asimismo podemos afirmar que las expectativas personales también fueron
cubiertas con éxito. Nos fue posible aprender nuevos conceptos,
desarrollando un trabajo de investigación sobre temas vigentes y volcar toda
la teoría asimilada a un caso práctico.
Por último, esperamos con este trabajo generar en el lector una inquietud que
incentive a futuras investigaciones o proyectos que profundicen en el campo
de la seguridad informática.
Plan De Seguridad Informática
83
RECOMENDACIONES
Se recomienda cada año a la Ilustre Municipalidad de Paute llevar a cabo un
análisis de riesgos y de revisar las políticas de seguridad. Así mismo, preparar
un informe que muestre el estado actual en cuanto a seguridad informática y
los progresos que se han logrado, y que queden documentados dichos
informes de tal manera que se permita hacer un seguimiento y a futuro hacer
un análisis de la evolución que ha tenido la seguridad informática en la Ilustre
Municipalidad de Paute.
El cumplimiento de las políticas y estándares que surgieren respecto a
seguridad informática debería ser obligatorio y se recomienda que sea
considerado como una condición en los contratos del personal.
Se recomienda considerar algún tipo de excepción a las políticas tratando de
que sea en el menor número posible, que sea para casos extremos, pero dichas
excepciones deben ser documentadas y aprobadas por el área de seguridad
informática y sean documentos auditables, se deberá detallar el motivo que
justifica el no-cumplimiento de la política.
Se recomienda seguir un esquema similar al que se expone para que se pueda
alinear las medidas de seguridad con las políticas de seguridad elaboradas:
o Clasificación de la información
o Seguridad de red y comunicaciones
o Inventario de acceso a los sistemas
o Campaña de concientización de usuarios
o Estandarizar la configuración del software base
o Revisión y adaptación de procedimientos complementarios
Para cada actividad se deberá implementar una serie de tareas por etapas, la
relación de precedencia que presenta con otras actividades y un tiempo estimado de
duración. Se podría usar herramientas con fines de planificación como puede ser
Microsoft Project.
Plan De Seguridad Informática
84
La administración debe brindar el apoyo necesario para la implementación
exitosa de este plan de seguridad.
Debe resaltarse la importancia de apegarse a las buenas prácticas de la
seguridad informática de una forma sutil y comprensible, para que no se tome
como una imposición y cause molestias en el usuario.
Plan De Seguridad Informática
85
ANEXOS
Plan De Seguridad Informática
86
ANEXO 1
Distribución de las Pc’s
Departamento Puntos de Red PC’s conectadas
Centro de Cómputo 4 1
Comisaría 1 1
Asesoría Jurídica 1 1
Proyectos 1 1
Secretaría de Difusión
Cultural
1 1
Difusión Cultural 1 1
Internet 2 2
Alcalde 2 _
Secretaría de la Alcaldía 1 1
Salón de Sesiones 1 _
Antesala 2 2
Dirección Financiera 5 5
Jefatura de Avalúos y
Catastros
3 2
Dirección Administrativa 2 2
Recaudaciones- Tesorería 3 3
Jefatura de Personal 2 1
Biblioteca 1 1
Jefatura de Agua Potable 3 1
Dirección de Obras
Públicas
3 2
Dirección de Planificación 2 2
41 30
Plan De Seguridad Informática
87
ANEXO 2
Switch 3Com Baseline Switch 2024 3C16471
Switch 10/100 de 24 puertos, sin bloqueo y sin administración
Switching simple y rico en funcionalidad para usuarios
diversos
El 3Com® Baseline Switch 2024 es un switch 10/100 de 24
puertos, sin bloqueo y sin administración diseñado para oficinas
pequeñas a medianas. Este switch de clase empresarial, que se puede instalar en rack,
puede colocarse en el armario de cableado o como unidad autónoma.
El switch viene pre-configurado para una instalación rápida y fácil, utilizando
económicos cables de cobre. Su auto-negociación ajusta la velocidad del puerto con
la del dispositivo de comunicación. Cualquiera de los 24 puertos del switch pueden
ofrecer Ethernet 10BASE-T para usuarios con requerimientos promedio de ancho de
banda, o Fast Ethernet 100BASE-TX para usuarios de potencia con conexiones de
red más nuevas. Para simplificar la conexión de cables, todos los puertos detectan
automáticamente el tipo de cable Ethernet (MDI/MDIX).
Al igual que todos los productos 3Com SuperStack 3 Baseline, este switch ofrece
una practicidad poderosa y rica en funcionalidad en un robusto paquete diseñado
para brindar fiabilidad, larga vida y un bajo coste total de propiedad
· El switch trabaja "al sacarlo de su caja" - no se necesita configuración o
software de administración
· El rendimiento sin bloqueo se traduce en un mejor acceso a los recursos de
la red
· La auto-negociación 10/100 determina automáticamente la velocidad
correcta para el puerto
Plan De Seguridad Informática
88
· MDI/MDIX automático en todos los puertos simplifica la instalación al
permitir una conexión directa a otro dispositivo, utilizando cables directos o
entrecruzados
· Su sólido diseño y calidad de construcción aseguran una operación fiable
y larga vida
· Se puede instalar en un rack o apilarse para maximizar el espacio
disponible; su tamaño estándar 1RU simplifica la planificación del espacio
· Incluye 90 días de soporte telefónico gratuito, sustitución avanzada de
hardware al siguiente día laborable y garantía limitada de por vida
· Especificaciones de producto
· Puertos: 24 puertos 10BASE-T/100BASE-TX con auto-detección y auto-
configuración MDI/MDIX
· Interfaces para medios: RJ-45
· Funciones de switching Ethernet: Velocidad total sin bloqueo en todos
los puertos Ethernet, auto-negociación y control de flujo bidireccional / half-
duplex
· Direcciones MAC que se soportan: 4,000
· Alto: 4.36 cm (1.7 pulgadas )
· Ancho: 44 cm (17.3 pulgadas)
· Profundidad: 17 cm (6.7 pulgadas )
· Peso: 1,5 kg
· Contenidos del paquete
o Switch
o Bases de goma
o Paquete para instalación en rack
o Guía del usuario
Plan De Seguridad Informática
89
SWITCH ADVANTEK ANS-16P 16 PUERTAS RJ45 10/100BT 220V
El switch de 16 puertos de Advantek Networks, es perfecto para mejorar el
performance de una red local de medida pequeña y mediana. Estos switches pueden
satisfacer las necesidades de tener un producto de excelente calidad a un precio muy
afordable.
Fast Ethernet Switch de 16 puertos tiene un diseño super compacto y ligero que
permite conveniencia en montar en la pared o en el mismo escritorio, inclusive en un
lado del escritorio para facilitar y conveniencias de las instalaciones de los cableados.
Puertos 16 Puertos Standard 802.3 (10BaseT), 802.3u (100BaseTX) Velocidad 10/100Mbps Auto-Sensing Interface Interface: RJ45 Ports Paquete de Buffer de Memoria
256KBytes
Tamaño de la tabla Mac Address
4K
Tipo de Procesamiento Store and Forward, Full/Half Duplex, Non-Blocking Flow Control
LED Indicador Power, ACT, LNK, COL, FDX, SPD Dimensión (mm) 30 x 290 x 100 Weight (g) 480 Temperatura (C) 0-45 Humedad 0-90% (Non-Condensing) Certificación FCC Class B, CE Mark, C-Tick, VCCI
Plan De Seguridad Informática
90
ANEXOS 3
Verificando la red:
La Clave del usuario anita es aguaani
Plan De Seguridad Informática
91
Lo verificamos mediante la tabla de usuarios de la base de datos:
Plan De Seguridad Informática
92
GLOSARIO
ACCESO: es la recuperación o grabación de datos que han sido almacenados en un
sistema de computación. Cuando se consulta a una base de datos, los datos son
primeramente recuperados hacia la computadora y luego transmitidos a la pantalla
del terminal, desde donde pueden ser vistos, modificados o eliminados.
AMENAZA: cualquier cosa que pueda interferir con el funcionamiento adecuado de
una computadora personal o equipo informático, o causar la difusión no autorizada
de información confiada a una computadora. Ejemplo: fallas de suministro eléctrico,
virus, saboteadores o usuarios descuidados.
ANTIVIRUS: son todos aquellos programas que permiten analizar memoria,
archivos y unidades de disco en busca de virus. Una vez que el antivirus ha detectado
alguno de ellos, informa al usuario procediendo inmediatamente y de forma
automática a desinfectar los ficheros, directorios, o discos que hayan sido víctimas
del virus.
ARCHIVO, DOCUMENTO: estos términos tienen el mismo significado y hacen
referencia a la información que se encuentra en un soporte de almacenamiento
informático. Es el trabajo real que realiza cada usuario (textos, imágenes, base de
datos, hojas de cálculo, etc.). Cada uno de ellos se caracteriza por tener un nombre
identificativo. El nombre puede estar seguido de un punto y una extensión,
compuesta por tres caracteres que identifican el tipo de fichero del que se trata.
Algunas extensiones comunes son: EXE y COM (ficheros ejecutables, programas),
TXT y DOC (ficheros de texto), etc.
ATAQUE: término general usado para cualquier acción o evento que intente
interferir con el funcionamiento adecuado de un sistema informático, o intento de
obtener de modo no autorizado la información confiada a una computadora.
AUDITORÍA: llevar a cabo una inspección y examen independiente de los registros
del sistema y actividades para probar la eficiencia de la seguridad de datos y
procedimientos de integridad de datos, para asegurar el cumplimiento con la política
establecida y procedimientos operativos, y para recomendar cualquier cambio que se
estime necesario.
AUTENTICIDAD: capacidad de determinar si una lista de personas han establecido
su reconocimiento y/o compromiso sobre el contenido del documento electrónico.
Plan De Seguridad Informática
93
BASE DE DATOS: Es un conjunto de datos interrelacionados y un conjunto de
programas para accesarlos. Una recopilación de datos estructurados y organizados de
una manera disciplinada para que el acceso a la información de interés sea rápido.
CARPETA: se trata de divisiones (no físicas sino lógicas) en cualquier tipo de disco
donde son almacenamos determinados ficheros. Forman parte de una manera de
organizar la información del disco, guardando los documentos como si de una
carpeta clasificadora se tratase.
CHAT: se trata de conversaciones escritas en Internet. Mediante una conexión a la
red y un programa especial, es posible conversar (mediante texto escrito) con un
conjunto ilimitado de personas, al mismo tiempo
CONFIDENCIALIDAD: capacidad de mantener datos inaccesibles a todos,
excepto a una lista determinada de personas.
CPD: centro de procesamiento de datos, centro de cómputos.
CRIPTOGRAFÍA: (encriptación) es la rama de las matemáticas aplicadas que se
ocupa de transformar mensajes en formas aparentemente ininteligibles y devolverlas
a su forma original.
DATOS: los datos son hechos y cifras que al ser procesados constituyen una
información, sin embargo, muchas veces datos e información se utilizan como
sinónimos. En su forma más amplia los datos pueden ser cualquier forma de
información: campos de datos, registros, archivos y la base de datos, texto (colección
de palabras), hojas de cálculo (datos en forma matricial), imágenes (lista de vectores
o cuadros de bits), video (secuencia de tramas), etc.
FIREWALL: es un sistema diseñado para evitar accesos no autorizados desde o
hacia una red privada. Los Firewalls pueden estar implementados en hardware o
software, o una combinación de ambos. Los firewalls son frecuentemente utilizados
para evitar el acceso no autorizado de usuarios de Internet a redes privadas
conectadas a la misma, especialmente intranets. Todos los mensajes que dejan o
entran a la red pasan a través del firewall, el cual examina cada mensaje y bloquea
aquellos que no cumplan con determinado criterio de seguridad.
GUSANO: es programa similar a un virus que se diferencia de éste en su forma de
realizar las infecciones. Mientras que los virus intentan infectar a otros programas
copiándose dentro de ellos, los gusanos solamente realizan copias de ellos mismos.
HACKER: persona que tiene un conocimiento profundo acerca del funcionamiento
de redes y que puede advertir los errores y fallas de seguridad del mismo. Al igual
Plan De Seguridad Informática
94
que un cracker busca acceder por diversas vías a los sistemas informáticos pero con
fines de protagonismo.
HOST: (sistema central) computador que permite a los usuarios comunicarse con
otros sistemas centrales de una red. Los usuarios se comunican utilizando programas
de aplicación, tales como el correo electrónico, Telnet y FTP.
IDENTIFICACIÓN: un subtipo de autenticación, verifica que el emisor de un
mensaje sea realmente quien dice ser.
INFECCIÓN: es la acción que realiza un virus al introducirse, empleando cualquier
método, en nuestro ordenador (o en dispositivos de almacenamiento) para poder
realizar sus acciones dañinas.
INTEGRIDAD: se refiere a que los valores de los datos se mantengan tal como
fueron puestos intencionalmente en un sistema. Las técnicas de integridad sirven
para prevenir que existan valores errados en los datos provocados por el software de
la base de datos, por fallas de programas, del sistema, hardware o errores humanos.
El concepto de integridad abarca la precisión y la fiabilidad de los datos, así como la
discreción que se debe tener con ellos.
ISP: (Internet Service Provider – Proveedor de servicios de Internet) Empresa que
presta servicios de conexión a Internet.
LOCAL AREA NETWORK: (LAN) (Red de Área Local) red de datos para dar
servicio a un área geográfica pequeña, un edificio por ejemplo, por lo cual mejorar
los protocolos de señal de la red para llegar a velocidades de transmisión de hasta
100 Mbps (100 millones de bits por segundo).
NAVEGADOR: (browser): término aplicado normalmente a programas usados para
conectarse al servicio WWW.
PHISHING: Es un término utilizado en informática con el cual se denomina el uso
de un tipo de ingeniería social, caracterizado por intentar adquirir información
confidencial de forma fraudulenta. El estafador, mejor conocido como phisherse hace
pasar por una persona o empresa de confianza en una aparente comunicación oficial
electrónica, por lo común un correo electrónico o algún sistema de mensajería
instantánea.
PRIVACIDAD: se define como el derecho que tienen los individuos y
organizaciones para determinar, ellos mismos, a quién, cuándo y qué información
referente a ellos será difundidas o transmitida a otros.
Plan De Seguridad Informática
95
PROGRAMAS (FICHEROS .EXE y .COM): los ficheros, documentos o archivos
se componen de un nombre (cuyo número de caracteres antiguamente se limitaba a
8) y una extensión que puede no existir o contener, hasta tres caracteres como
máximo. Esta extensión especifica el tipo de fichero. Si es EXE o COM, el fichero
será un programa ejecutable. De esta forma si hacemos doble clic sobre él o
escribimos su nombre, se realizarán determinadas acciones.
PROTOCOLO: descripción formal de formatos de mensaje y de reglas que dos
computadores deben seguir para intercambiar dichos mensajes.
ROUTER: (direccionador) dispositivo que distribuye tráfico entre redes. La decisión
sobre a dónde enviar se realiza en base a información de nivel de red y tablas de
direccionamiento.
SEGURIDAD: se refiere a las medidas tomadas con la finalidad de preservar los
datos o información que en forma no autorizada, sea accidental o intencionalmente,
puedan ser modificados, destruidos o simplemente divulgados. En el caso de los
datos de una organización, la privacidad y la seguridad guardan estrecha relación,
aunque la diferencia entre ambas radica en que la primera se refiere a la distribución
autorizada de información, mientras que la segunda, al acceso no autorizado de los
datos. El acceso a los datos queda restringido mediante el uso de palabras claves, de
forma que los usuarios no autorizados no puedan ver o actualizar la información de
una base de datos o a subconjuntos de ellos.
SISTEMA OPERATIVO (S.O.): existen dos términos muy utilizados en
informática. Estos son los conceptos de hardware y software. El primero de ellos se
refiere a todo lo que es físico y tangible en el ordenador, como unidades de disco,
tarjetas gráficas, microprocesador, memoria, etc. Por otro lado está el software que se
define como el conjunto de programas (o información) con la que puede trabajar el
hardware (ficheros, directorios, programas ejecutables, base de datos, controladores,
etc.). El sistema operativo pertenece al software y más concretamente es el conjunto
de programas (y ficheros o archivos de otro tipo) que permite que se pueda utilizar el
hardware. Se puede tener el mejor ordenador del mundo (el mejor hardware), pero si
éste no tiene instalado un sistema operativo, no funcionará (ni siquiera se podrá
encender). Algunos ejemplos de sistemas operativos son: MS/DOS, UNIX, OS/2,
Windows 95/98/2000/NT, etc.
SMTP: (Simple Mail Transfer Protocol - Protocolo de Transferencia Simple de
correo). Es el protocolo usado para transportar el correo a través de Internet.
Plan De Seguridad Informática
96
SPAM: Envío de e-mails basura saturando los recursos de los servidores de correo. SSL: (Secure Sockets Layer - Capa de Socket Segura). Protocolo que ofrece
funciones de seguridad a nivel de la capa de transporte para TCP.
TCP: (Transmission Control Protocol - Protocolo de control de Transmisión). Uno
de los protocolos más usados en Internet. Es un protocolo de capa de transporte.
TELNET: Telnet es el protocolo estándar de Internet para realizar un servicio de
conexión desde un terminal remoto.
TEXTO PLANO: (Plain Text) se llama así al documento antes de ser encriptado.
WWW: World Wide Web. Estrictamente la Web es la parte de Internet a la que
accedemos a través del protocolo HTTP y en consecuencia gracias a browsers
normalmente gráficos como Netscape o Internet Explorer.
Plan De Seguridad Informática
97
B I B L I O G R A F Í A
MCNAB, Chris, Seguridad en Redes, Ediciones Anaya Multimedia(Grupo Anaya,
S.A.),2004.
REFERENCIAS WEB:
http://www.auditoriasistemas.com/politicas_de_seguridad.htm
http://www.pc-news.com/detalle.asp?sid=&id=11&Ida=1255
http://www.w3c.org/TR/1999/REC-html401-19991224/loose.dtd
http://www.raona.com/Actius/SQLServer2005/tabid/141/Default.aspx
www.nexteleng.es/microsoft/camp_SQL/02.htm
http://www.microsoft.com/spanish/msdn/comunidad/mtj.net/voices/MTJ_0010.asp
http://www.microsoft.com/latam/sql/2005/productinfo
www.duiops.net/windows/winxp/nuevoestandar.htm
www.duiops.net/windows/winxp/herramientasavan.htm
http://www.duiops.net/windows/winxp/poneensusmanos.htm
http://www.w3c.org/TR/1999/REC-html401-19991224/loose.dtd
http://www.llanos.net/spa/item/RED08016.html---Switch 3COM
http://sisbib.unmsm.edu.pe/bibvirtual/tesis/Basic/cordova_rn/contenido.htm
http://www.planeta-digital.com/cursos/lib/javascript-mod.php
www.securityportal.com.ar
http://www.ame.gov.ec/frontEnd/municipios/mainMunicipios.php
http://www.auditoriasistemas.com/politicas_de_seguridad.htm
http://www.recursosvoip.com/netmeeting/index.php