UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS...
Transcript of UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS...
UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES
“UNIANDES”
FACULTAD DE SISTEMAS MERCANTILES
MAESTRÍA EN INFORMÁTICA EMPRESARIAL
TESIS PREVIA A LA OBTENCIÓN DEL TÍTULO DE MAGISTER EN
INFORMATICA EMPRESARIAL
TEMA:
PLAN DE SEGURIDAD INFORMATICA Y LOS RIESGOS
OPERATIVOS EN EL MUNICIPIO DESCENTRALIZADO DE
QUEVEDO, PROVINCIA DE LOS RIOS
AUTOR:
LCDO. ÁNGEL SANTACRUZ FERNÁNDEZ
ASESOR:
ING. EDUARDO FERNÁNDEZ MG.
QUEVEDO – ECUADOR
2013
II
CERTIFICACIÓN DEL ASESOR En calidad de asesor del presente trabajo de investigación, certifico que el
presente tema de tesis de Maestría, cuyo título es “PLAN DE SEGURIDAD
INFORMATICA Y LOS RIESGOS OPERATIVOS EN EL MUNICIPIO
DESCENTRALIZADO DE QUEVEDO, PROVINCIA DE LOS RIOS”, fue
elaborado por Santacruz Fernández Ángel Damián, cumple con los requisitos
metodológicos y científicos que la Universidad UNIANDES exige, por lo tanto
autorizamos su presentación para los trámites pertinentes.
Para constancia firman.
Ing. Eduardo Fernández Mg.
Asesor
III
DECLARACIÓN DE LA AUTORÍA
Ante las autoridades de la Universidad Regional Autónoma de Los Andes,
declaro que el contenido del presente tema de tesis de Maestría cuyo título
“PLAN DE SEGURIDAD INFORMATICA Y LOS RIESGOS OPERATIVOS EN
EL MUNICIPIO DESCENTRALIZADO DE QUEVEDO, PROVINCIA DE LOS
RIOS”, presentado como requisito previo a la obtención del título de
MAGISTER EN INFORMATICA EMPRESARIAL es original, de mi autoría y
total responsabilidad.
Atentamente,
Lcdo. Ángel Santacruz Fernández C.I. 1711005965 Autor
IV
DEDICATORIA
A Dios, sobre todo por ser mi luz y mi camino, a mis
padres por todo el esfuerzo y dedicación que me
brindaron con su amor para seguir adelante, a mis
hermanos, mi esposa, mis hijos y a mi familia en
general.
V
AGRADECIMIENTOS
A mis maestros, por sus enseñanzas, consejos y guía en
la realización de esta tesis, a mis amigos por su apoyo y
aliento en los momentos difíciles.
VI
RESUMEN EJECUTIVO
La seguridad informática ha tomado gran auge, debido a las cambiantes
condiciones y nuevas plataformas tecnológicas disponibles. La posibilidad de
interconectarse a través de redes, ha abierto nuevos horizontes a las empresas
para mejorar su productividad y poder explorar más allá de las fronteras
nacionales, lo cual lógicamente ha traído consigo, la aparición de nuevas
amenazas para los sistemas de información. En este sentido, las políticas de
seguridad informática surgen como una herramienta organizacional para
concienciar a los colaboradores de la organización sobre la importancia y
sensibilidad de la información y servicios críticos que permiten al Municipio
crecer y mantenerse competitiva.
El presente trabajo investigativo consta de las siguientes secciones:
La introducción que recoge aspectos importantes como los antecedentes
investigativos, el planteamiento del problema enfocado a las inseguridades
informáticas que presenta el Municipio, los objetivos orientados a implementar
el plan de seguridad, la justificación y más.
El marco teórico que fundamenta científicamente la propuesta de solución, este
marco teórico engloba aspectos concernientes a redes, seguridades en redes,
seguridades en sistemas y la gestión operativa.
El marco metodológico que recoge los resultados de la investigación de campo,
en el, se plasman las encuestas y sus resultados ratifican los síntomas de la
problemática, así como también orientan a la solución.
VII
Finalmente el desarrollo de la propuesta donde se estructura el plan de
seguridades en base a un análisis técnico desarrollado en la Institución
Municipal.
EXECUTIVE SUMMARY
Computer security has exploded, due to changing conditions and new
technology platforms available. The ability to interconnect through networks, has
opened new horizons for businesses to improve their productivity and to explore
beyond national borders, which logically has brought the emergence of new
threats to information systems. In this sense, information security policies
emerge as an organizational tool to raise awareness among employees of the
organization on the importance and sensitivity of the information and services
that enable the Municipality critics grow and stay competitive.
This research work includes the following sections:
The introduction includes important aspects such as research background,
problem statement focused on the computer that introduced insecurities
Municipality, aimed at implementing the objectives of the security plan, and
justification.
The theoretical framework underpinning the proposed solution scientifically, this
framework includes aspects concerning networks, networks assurances,
assurances and operational management systems.
The methodological framework that reflects the results of field research in,
embodies the surveys and their results confirm the symptoms of the problem, as
well as guide the solution.
Finally the development of the proposal where assurances structure plan based
on a technical analysis developed in the Municipal Institution.
VIII
ÍNDICE GENERAL
CONTENIDO Pág.
CERTIFICACIÓN………………………………………………………………….
II
AUTORÍA………………………………………………………………………….. II
DEDICATORIA……………………………………………………………………. IV
AGRADECIMIENTOS……………………………………………………………. V
RESUMEN EJECUTIVO……………………………………………………….... VI
EXECUTIVE SUMMARY …………………………………………………………
VII
ÍNDICE……………………………………………………………………………..
VIII
INTRODUCCIÓN ………………………………………………………………....
1
Antecedentes 1
Planteamiento del problema …………………………………………………….
…………………………………………….
2
Formulación del problema ………………………………………………………
3
Delimitación del problema ……………………………………………………… 3
Objeto de la investigación y campo de acción ……………………………….
3
Identificación de la línea de investigación ..………………………………
3
Objetivo General ………………………………………………………………... 4
Objetivos Específicos ………………………………………………………….
4
Hipótesis y variables de la investigación .. ….………………………...
4
Variable Independiente y Variable Dependiente …………………….……... 4
Justificación …………………………………………………………………..…. 4
IX
Metodología investigativa………………………………………………………... 6
Resumen de la estructura de la tesis …………………………………………..
6
Novedad científica, aporte teórico y significación práctica …………….....
7
CAPÍTULO I ………………………………………………………………….…. 9
MARCO TEÓRICO 9
1.1 Seguridad Informática …………………………………………………..…. 9
1.2 Importancia de la Seguridad Informática ………………………………... 10
1.3 Principios de la Seguridad Informática ………………………………..….
11
1.3.1Confidencialidad ……………………………………………………………..…. 11
1.3.2 Integridad ………………………………………………………………………….
11
1.3.3 Disponibilidad ....………………………………………………………...
12
1.3.4 Vulnerabilidad…………………………………………………………... 12
1.3.5 Norma ISO 27002………………………………………………………. 12
1.3.6 Áreas / Secciones Sobre Las Que Actúa ……………………………
..………………… 13
1.4 Política De Seguridad Informática ...……………………………….…….. 14
1.4.1 Elementos de una Política de Seguridad Informática …………….. 14
X
1.5 Organización de la Información De Seguridad ………………………….
…....…………
15
1.5.1 Gestión de Activos De Información ……………………………....… 16
1.5.2 Seguridad de los Recursos Humanos .………………………..…….
16
1.5.3 Seguridad Física y Ambiental ………………………………………... 16
1.5.4 Gestión de las Comunicaciones y Operaciones …………………… 16
1.5.5 Control de Accesos ………………………………………………….. 17
1.5.6 Adquisición, Desarrollo y Mantenimiento de Sistemas de
información …………………………………………………………….
……
18
1.5.7 Gestión de Incidentes en la Seguridad de la Información ..…….... 18
1.5.8 Gestión de Continuidad de Negocio ……………………………….. 19
1.5.9 Marco legal y Buenas Prácticas ….…………………………………. 19
1.6 Planeación estratégica ……..............................………………..………....
20
1.7 Plan estratégico …………………………………………………………….. 20
1.8 Planeación tecnológica ..…………………………………………….…….… 21
1.9 Plan informático……………………………………………………………….
………………………………………………………... 21
1.10 Plan de Seguridad Informática. ………………………………….……….. 22
1.11 Red lan ………………………………………………………………………. 22
1.11.1Protocolo de redes ………………………………………………….. 23
1.12 Seguridad en redes ……………………………………………………….
25
1.13 Redes WIFI …………………………………………………………………. 27
1.14 Firewall o cortafuego …………………………………………………..…. 29
1.14.1 Tipos de Firewall ………………………………………………….… 30
1.15 La gestión operativa ……………………………………………..………..
…………………………………….
35
CAPITULO II 39
MARCO METODOLÓGICO Y PLANTEAMIENTO DE LA PROPUESTA
39
XI
2.1 El Municipio …………………………………………………………..……. 39
2.2 Diseño Metodológico …………………………………………….………. 40
2.3 Propuesta del Investigador ………………………………………………... 57
2.3.1 Seguridad de las Comunicaciones …………………………………..
59
2.3.1.1 Procesos de control a implementar …………………………..
65
2.3.2 Seguridad de las aplicaciones. ………………………………………..
85
2.3.3 Seguridad de la información ………………………………………….
87
2.3.4 Seguridad lógica ………………………………………………..………
87
2.3.5 Seguridad física ………………………………………………..………
90
2.3.6 Seguridad de custodia de equipos……..……………………..………
91
2.3.7 Seguridad con respecto a los antivirus………………………..………
91
2.4 Presupuesto general del plan ……………………..……………………… 93
2.5 Cronograma de ejecución. ………………………………………………….
94
2.6 Analisis de Costo - Beneficio……………………………………………….
95
2.7 Conclusiones parciales del Capitulo ………………………………………. 96
CAPITULO III
97
VALIDACIÓN Y EVALUACION DE RESULTADOS
97
3.1 Validación de la propuesta. ……………………………………………….
97
CONCLUSIONES GENERALES ……………………………………………
98
RECOMENDACIONES ………….…………………………………………….. 99
XII
ÍNDICE DE CUADROS
Descripción
Pág.
Cuadro 1. Tabla Elemento vs riesgos ………………………………….......... 58
Cuadro 2. Tabla Direcciones IP ………………………………………………. 65
Cuadro 3. Tabla Presupuesto general del plan …………..………………... 93
Cuadro 4. Tabla Cronograma de ejecución ………………………………… 94
ÍNDICE DE FIGURAS
Descripción
Pág.
Figura 1. http://www.pentasys.es/imagenes/seguridad-en-redes-informaticas.jpg …………………………………………………………………..
27
Figura 2. Seguridad de la información………………………………………… 29
Figura 3. http://carlose25.lamula.pe/files/2009/08/proxy-aplicacion.gif …... 31
Figura 4. http://www.monografias.com/trabajos82/la-seguridad-
informatica/image004.png ………………………………………………………
32
Figura 5. http://carlose25.lamula.pe/files/2009/08/bastion.gif ……………… 33
Figura 6. http://carlose25.lamula.pe/files/2009/08/screened-subnet.gif ….. 34
Figura 7. Municipio de Quevedo ……………………………………………… 39
Figura 8. Autor ………………………………………………………………….. 43
Figura 9. Autor …………………………………………………………………… 44
Figura 10. Autor …………………………………………………………………. 45
Figura 11. Autor …………………………………………………………………. 46
Figura 12. Autor …………………………………………………………………. 47
XIII
Figura 13. Autor …………………………………………………………………. 48
Figura 14. Autor …………………………………………………………………. 49
Figura 15. Autor …………………………………………………………………. 50
Figura 16. Autor …………………………………………………………………. 51
Figura 17. Autor …………………………………………………………………. 52
Figura 18. Autor …………………………………………………………………. 53
Figura 19. Autor ……………………………………………………………….… 54
Figura 20. Autor …………………………………………………………………. 57
Figura 21. Autor …………………………………………………………………. 59
Figura 22. Planos del Municipio de Quevedo ……………………………..… 61
Figura 23. Planos del Municipio de Quevedo …………………………..…… 62
Figura 24. http://www.wikilearning.com/imagescc/9755/Firewall3.jpg ......... 66
Figura 25. Autor …………………………………………………………………. 67
Figura 26. http://www.pello.info/filez/firewall/Firewalls6.jpg ………………... 68
Figura 27. Autor …………………………………………………………………. 72
Figura 28. 3Com ………………………………………………………………... 78
Figura 29. Cisco …………………………………………………………………. 82
Figura 30. Cisco ……………………………………………………………….… 82
Figura 31. Cisco ……………………………………………………………….… 83
Figura 32. Cisco ………………………………………………………………….. 84
Figura 33. Cisco ………………………………………………………………….. 92
1
INTRODUCCIÓN
Antecedentes
Luego de una investigación preliminar realizada en la biblioteca de la
Universidad, entre los trabajos de titulación para Maestría en Informática
Empresarial, se pudo apreciar que no existen temas similares al propuesto,
entonces se oriento la investigación a nivel de pregrado, encontrándose la tesis
de los Ingenieros Edwin Cruz y William Velastegui, con su tema “Plan de
seguridad para el área de sistemas en la Cooperativa 9 de Octubre de la ciudad
de Salcedo”, en este trabajo se analiza las deficiencias del centro de
procesamiento de datos que tiene la Institución en cuanto a la seguridad de la
información que allí se genera y se proponen algunas estrategias aplicables al
departamento de Sistemas.
Por otro lado, en el internet se pudo encontrar algunos trabajos relacionados
indirectamente con el tema, así por ejemplo podemos señalar el trabajo del
Ingeniero: Claudio Armando Cabrera Proaño con el tema: “IMPLEMENTACIÓN
DE LA RED MIXTA PARA EL “Gobierno Municipal del Cantón Sucumbíos”.
También se consulto en algunos sitios Web, como por ejemplo el de la Escuela
Politécnica Nacional “EPN”, donde se encontró una tesis desarrollada previo a
la obtención del título de ingeniero en Electrónica y Telecomunicaciones cuyo
tema: es Diseño de una Red Inalámbrica para dar acceso a Internet a 46
establecimientos educativos del Cantón Pimampiro en la Provincia de
Imbabura.
Con toda esta información recopilada se concluye que las redes se constituyen
en un factor muy importante en empresas o Instituciones educativas y que
dentro de ellas, el aspecto de la seguridades informática, es un factor
primordial.
2
Planteamiento del problema
La parte operativa de toda institución pública o privada hoy en día depende
esencialmente del nivel tecnológico que esta tenga. La utilización de la
Informática en las empresas, es vital para el manejo de la información, pues en
los actuales momentos sin el uso de las mismas no se puede realizar ningún
proceso o mantener un negocio, inclusive la Informática ha traspasado sus
límites y al integrarse al internet los procesos se vuelven más dinámicos sin
embargo los procedimientos de seguridad en muchas ocasiones no se toma en
cuentas por no existir políticas de seguridad.
En algunas de las visitas técnicas realizadas al Municipio de Quevedo, se han
podido apreciar algunas dificultades operativas, resultantes de un cierto nivel de
inseguridad informática, hay que señalar, que muchas de las operaciones
Municipales, son apoyadas por la tecnología informática, especialmente con las
relacionadas a las redes. Entre las deficiencias halladas tenemos
En varias ocasiones se ha dejado de atender al usuario debido a que por
accesos indebidos se ha perdido o alterado información.
La conectividad a Internet posibilita que se tengan accesos externos, los
cuales no han sido controlados adecuadamente, produciéndose incluso
perdidas de información por accesos indebidos, y por daños debido a virus
y más.
Muchas redes inalámbricas no poseen clave de acceso, y las que tienen no
son cambiadas periódicamente.
No se tiene una cultura de la seguridad local empezando por los usuarios,
muchos equipos no tienen sus claves de acceso, de igual forma los
protectores de pantalla, lo cual posibilita que si por alguna razón un usuario
deja su computador, este puede ser mal utilizado.
La carencia de elementos de seguridad básica como redes perimetrales
(Dmz), firewall, routers, en el Municipio del Cantón Quevedo imposibilita las
seguridades en las redes que tiene el Municipio.
3
No se tiene elementos de seguridad informática en Internet relacionados el
control de ancho de banda y el impedimento de ingresar a determinados
sitios.
Todo lo descrito anteriormente lleva a concluir que la Institución posee niveles
muy bajos de seguridad informática, esto conlleva un gran riesgo a la
operatividad institucional.
Formulación del problema
¿Cómo disminuir los elevados niveles de riesgo operativo que se producen en
los diferentes procesos apoyados por la tecnología informática, al interior del
Municipio descentralizado del Cantón Quevedo, Provincia de los Ríos?
Delimitación del problema
El trabajo investigativo se llevó a cabo en el Municipio Descentralizado del
Cantón Quevedo, ubicado en la Ciudadela Municipal Km. 1 ½ vía a Quito. Se
trabajara con la información generada durante los años 2011 y 2012.
Objeto de la investigación y campo de acción
Objeto de Investigación: Procesos Informáticos.
Campo de acción: Seguridad informática
Identificación de la línea de investigación
La presente investigación se inscribe en la línea de Tecnología de Información
y Comunicaciones
4
Objetivo general
Desarrollar un Plan de seguridad informática orientado especialmente al área
de redes en el Municipio Descentralizado de Quevedo, Provincia de los Ríos
para que en base a su aplicación se logre la disminución de los niveles de
riesgo operativo.
Objetivos Específicos:
Fundamentar bibliográficamente las seguridades informáticas
especialmente en redes y los riesgos operativos
Diagnosticar los niveles de seguridad informática existente en el
Municipio especialmente en el área de redes.
Desarrollar un plan de seguridad informática, el cual constara de algunas
estrategias como por ejemplo redes perimetrales, servidores de
direcciones seguras, firewall lógicos y físicos, y más
Hipótesis y variables de la investigación
Con la aplicación de un plan de seguridad informática, orientado especialmente
a redes de datos, se disminuirán los niveles de riesgo operativo existentes en
el Municipio de Quevedo
Variable Independiente: Plan de Seguridad Informática
Variable Dependiente: Riesgos operativos
Justificación
La seguridad informática se va convirtiendo en una necesidad cada vez más
latente en las instituciones que disponen de un gran apoyo tecnológico. Es
sabido que la tecnología optimiza los procesos y acelera los servicios, pero así
5
también ha dado origen al aparecimiento de nuevos formas de delito,
generalmente por intrusión indebida con la finalidad de obtener información o
desvíos financieros en forma electrónica.
El Municipio del cantón Quevedo para su funcionamiento se apoya cada vez
más de su infraestructura tecnológica, sea esta: redes, sistemas, hardware,
todos estos elementos en conjunto, permiten que la Institución brinde un
servicio ágil y dinámico a la colectividad quevedeña en lo relacionado a pagos
de impuestos, patentes y más. Si alguno de estos elementos que conforman la
plataforma tecnológica deja de funcionar o se ve alterada es obvio suponer que
las operaciones normales que realiza la Municipalidad se verán muy afectadas
y por ende la colectividad de Quevedo.
De implementarse el plan de seguridad informática especialmente en el área de
redes, se obtendrán algunos beneficios apreciables inmediatamente, así por
ejemplo:
Las redes inalámbricas dispondrán de claves seguras que limiten el acceso
indebido de usuarios.
Se controlará de mejor manera problemas de virus y spam, muy frecuentes
en instituciones públicas. Esto en base a la implementación de redes
perimetrales y cortafuegos
También se espera crear una cultura de seguridad en los usuarios, esto
quiere decir que cada uno deberá disponer de claves para acceder a sus
equipos, a sus sistemas y a sus datos.
Todas estas mejoras a nivel de seguridades informáticas garantizan un
correcto funcionamiento de los equipos y de los sistemas y por ende,
disminuyen los riesgos de que se puedan dejar de realizar actividades
operativas. Por todos estos beneficios y por la garantía de un funcionamiento
operativo adecuado se justifica plenamente la realización de este trabajo
6
investigativo como tesis de grado, previa a la obtención del título de magister en
informática empresarial.
Metodología investigativa
Específicamente se han aplicado dos tipos de investigación que son:
Bibliográfica, consiste en la recopilación de información existente en libros,
revistas e internet, este tipo de investigación permitió la elaboración del marco
teórico referido especialmente a inseguridades, redes y más, el mismo que
fundamenta científicamente la propuesta de solución.
De campo, se utilizó para diagnosticar y ratificar la problemática expuesta
inicialmente, esta fue llevada a cabo en el sitio mismo donde se tuvieron las
manifestaciones del problema, es decir en el Municipio de Quevedo, las
técnicas para la recopilación de información fueron la encuesta y la entrevista,
las encuestas fueron realizadas tanto a empleados del departamento de
sistemas (usuarios internos) como a los empleados de la Institución (usuarios
externos); mientras que las entrevistas se las realizo al Director del
departamento de informática del Municipio. Los instrumentos asociados a las
técnicas para recopilar informaciones antes mencionadas fueron el cuestionario
y la guía de entrevista.
Entre los métodos investigativos que se han utilizado tenemos: analítico-
sintético, inductivo-deductivo e histórico-lógico.
Resumen de la estructura de la tesis
La presente tesis está estructurada en cuatro secciones perfectamente
diferenciadas que son:
7
La introducción que recoge aspectos importantes como los antecedentes
investigativos, el planteamiento del problema enfocado a las inseguridades
informáticas que presenta el Municipio, los objetivos orientados a implementar
el plan de seguridad, la justificación y más.
El marco teórico que fundamenta científicamente la propuesta de solución, este
marco teórico engloba aspectos concernientes a redes, seguridades en redes,
seguridades en sistemas y la gestión operativa.
El marco metodológico que recoge los resultados de la investigación de campo,
en el, se plasman las encuestas y sus resultados ratifican los síntomas de la
problemática, así como también orientan a la solución.
Finalmente el desarrollo de la propuesta donde se estructura el plan de
seguridades en base a un análisis técnico desarrollado en la Institución
Municipal.
Novedad científica, aporte teórico y significación práctica
El desarrollo de la informática, las redes y el internet han permitido que estos
elementos se constituyan en partes fundamentales del funcionamiento de una
empresa moderna, sea este pública o privada. La orientación de brindar
servicios vía internet es muy útil para la seguridad pero ello también a
generado nuevas dificultades ya que han aparecido usuarios que tratan de
acceder indebidamente a sitios donde se almacena información Municipal.
Como novedad científica de este trabajo investigativo se puede señalar la
aplicación de diversas metodologías para elevar el nivel de seguridades que se
tienen en las redes de datos con las cuales trabaja el Municipio.
8
El aporte teórico de esta tesis tiene que ver con la fundamentación de algunas
técnicas relacionadas a lograr impedir accesos indebidos, especialmente en el
ámbito de redes, también se fundamenta los pasos requeridos para fomentar
una cultura de seguridad a niveles básicos.
La significación práctica tiene que ver con las diferentes configuraciones que se
proponen en los elementos que complementan las seguridades informáticas del
Municipio, así por ejemplo se configura una red perimetral, también se
configuran algunos firewalls y más.
9
CAPÍTULO I
MARCO TEÓRICO
1.2 Seguridad Informática
El autor RODAO Jesús (2004), define a la seguridad informática como: “El
conjunto de procedimientos que nos permite que nuestros datos de hoy puedan
ser utilizados mañana sin ninguna merma de calidad en los mismos. Por ello, la
seguridad abarca muchos temas aparentemente dispares como el
mantenimiento regular de los equipos, la ocultación de datos, la protección de
los mismos con claves de acceso y mas”
“El objetivo de la seguridad informática será mantener la Integridad,
Disponibilidad, Privacidad (sus aspectos fundamentales), Control y Autenticidad
de la información manejada por computadora.”1
.
La seguridad Informática no solo debe encargarse de los posibles fallos
desaprensivos, sino que también debe tener en cuenta lo errores que se
pudieran generar por el mal funcionamiento del hardware, así como prevenir
acciones involuntarias que puedan afectar la seguridad de la información que se
encuentre contenida en los sistemas. La seguridad informática también ha
pasado de utilizarse para preservar los datos clasificados del gobierno en
cuestiones militares a tener una aplicación de dimensiones inimaginables y
crecientes que incluyen transacciones financieras, acuerdos contractuales,
información personal, archivos médicos, negocios por internet y más. (AREITIO
Javier, (2008)).
1.2 Importancia de la Seguridad Informática
1ALDEGANI, Gustavo, 2003“Seguridad Informática.”MP Ediciones. Argentina.
10
Hoy en día no existe duda de que se esta en una nueva era caracterizada por
el uso masivo de la información, que adicionalmente ha acarreado mucha más
relevancia que en anteriores épocas, debido a lo cual es fundamental dentro
de las organizaciones el poder detectar las vulnerabilidades del sistema
de información para contrarrestar las amenazas y riesgos por el gran número
de usuarios con potencial de ataque, que no tan solo se centran en el ambiente
que se ubica fuera de la organización, sino también en los usuarios comunes
que trabajan y son una gran amenaza a la seguridad si no se tienen políticas
claras de acceso a la información.2
Después de conocer las amenazas y puntos débiles del ambiente, adquiridos
en el análisis de riesgos, o después de la definición formal de las intenciones y
actitudes de la organización que están definidas en la política de seguridad de
la información, debemos tomar algunas medidas para la implementación de las
acciones de seguridad recomendadas o establecidas. Recuerde que las
amenazas son agentes capaces de explotar fallos de seguridad, que
denominamos puntos débiles y, como consecuencia de ello, causan pérdidas o
daños a los activos de una empresa y afectan sus negocios. No basta conocer
las fragilidades del ambiente o tener una política de seguridad escrita.
Se debe instalar herramientas, divulgar reglas, concienciar a los usuarios sobre
el valor de la información, configurar los ambientes etc. Debemos elegir e
implementar cada medida de protección, para contribuir con la reducción de las
vulnerabilidades; cada medida debe seleccionarse de tal forma que, al estar en
funcionamiento, logre los propósitos definidos. (FINE Leonard, (2005)).
Gran parte de esa concientización está en manos de los responsables de
seguridad de la información apoyados en todo momento por la Gerencia de
2ACISSI, 2011, “Seguridad Informática”, Ediciones ENI, Primera edición, Barcelona – España.
11
forma explícita y activa, por ello es importante indicarles no sólo cuales son las
principales amenazas en cada momento, sino qué deben hacer para evitarlas
1.3 Principios de la Seguridad Informática
La seguridad informática se centra en 4 principios básicos, los cuales son de
gran importancia para el plan de seguridad informática.
Confidencialidad
Integridad
Disponibilidad
Vulnerabilidad
1.3.1 Confidencialidad
Se refiere a la privacidad de los elementos de información almacenados y
procesados en un sistema informático, Basándose en este principio, las
herramientas de seguridad informática deben proteger el sistema de invasiones
y accesos por parte de personas o programas no autorizados. Este principio es
particularmente importante en sistemas distribuidos, es decir, aquellos en los
que los usuarios, computadores y datos residen en localidades diferentes, pero
están física y lógicamente interconectados.3
1.3.2 Integridad
Se refiere a la validez y consistencia de los elementos de información
almacenados y procesados en un sistema informático. Basándose en este
principio, las herramientas de seguridad informática deben asegurar que
los procesos de actualización estén bien sincronizados y no se dupliquen, de
forma que todos los elementos del sistema manipulen adecuadamente los
mismos datos. Este principio es importante en sistemas descentralizados, es
3ATELIN Philippe, 2006, “Redes Informáticas”, ediciones ENI, Primera Edición, Barcelona-España.
12
decir, aquellos en los que diferentes usuarios, computadores y procesos
comparten la misma información.
1.3.3 Disponibilidad
Se refiere a la continuidad de acceso a los elementos de información
almacenados y procesados en un sistema informático. Basándose en este
principio, las herramientas de seguridad informática deber reforzar la
permanencia del sistema informático, en condiciones de actividad adecuadas
para que los usuarios accedan a los datos con la frecuencia y dedicación que
requieran, este principio es importante en sistemas informáticos cuyos
compromiso con el usuario, es prestar servicio permanente.4
1.3.4 Vulnerabilidad
En seguridad informática, la palabra vulnerabilidad hace referencia a una
debilidad en un sistema permitiendo a un atacante violar la confidencialidad,
integridad, disponibilidad, control de acceso y consistencia del sistema o de sus
datos y aplicaciones.
1.3.5 Norma ISO 27002
Esta norma de la organización IOS-IEC consiste en un conjunto de
recomendaciones que indican acerca de sobre qué medidas tomar en la
empresa para asegurar los Sistemas de Información, está compuesta por
objetivos, los objetivos de seguridad recogen aquellos aspectos fundamentales
que se deben analizar para conseguir un sistema seguro en cada una de las
áreas que los agrupa. Para conseguir cada uno de estos objetivos la norma
propone una serie de medidas o recomendaciones (controles) que son los que
4 BAETA Jesús, “Seguridad Informática “en línea : http://es.scribd.com/doc/95069532/Seguridad-
Informatica
13
en definitiva se aplicaran para la gestión del riesgo analizado. (AREITIO Javier,
(2008)).
1.3.6 Áreas / Secciones Sobre Las Que Actúa
Dentro de cada sección, se especifican los objetivos de los distintos controles
para la seguridad de la información, para cada uno de los controles se indica
asimismo una guía para su implantación. El número total de controles suma 133
entre todas las secciones aunque cada organización debe considerar
previamente cuántos serán realmente los aplicables según sus propias
necesidades, las principales áreas son:
Política de Seguridad de la Información.
Organización de la Seguridad de la Información.
Gestión de Activos de Información.
Seguridad de los Recursos Humanos.
Seguridad Física y Ambiental.
Gestión de las Comunicaciones y Operaciones.
Control de Accesos.
Adquisición, Desarrollo y Mantenimiento de Sistemas de Información.
Gestión de Incidentes en la Seguridad de la Información.
Gestión de Continuidad del Negocio.
Marco Legal, y Buenas Prácticas.5
1.4 Política De Seguridad Informática
Una política de seguridad informática es una forma de comunicarse con los
usuarios, ya que las mismas establecen un canal formal de actuación del
5 ISO, “ISO27000” http:/www.iso.org
14
personal, en relación con los recursos y servicios informáticos de la
organización.
No se puede considerar que una política de seguridad informática es
una descripción técnica de mecanismos, ni una expresión legal que involucre
sanciones a conductas de los empleados, es más bien una descripción de los
que deseamos proteger y él por qué de ello, pues cada política de seguridad es
una invitación a cada uno de sus miembros a reconocer la información como
uno de sus principales activos así como, un motor de intercambio y desarrollo
en el ámbito de sus negocios. Por tal razón, las políticas de seguridad deben
concluir en una posición consciente y vigilante del personal por el uso y
limitaciones de los recursos y servicios informáticos.6
1.4.1 Elementos de una Política de Seguridad Informática
Como una política de seguridad debe orientar las decisiones que se toman en
relación con la seguridad, se requiere la disposición de todos los miembros de
la empresa para lograr una visión conjunta de lo que se considera importante.
Las Políticas de Seguridad Informática deben considerar principalmente los
siguientes elementos:
Alcance de las políticas, incluyendo facilidades, sistemas y personal
sobre la cual aplica.
Objetivos de la política y descripción clara de los elementos involucrados
en su definición.
Responsabilidades por cada uno de los servicios y recursos informáticos
aplicado a todos los niveles de la organización.
Requerimientos mínimos para configuración de la seguridad de los
sistemas que abarca el alcance de la política.
6CALDER Alan, 2009, “Information Security Base on ISO 270001 / ISO 270002”, Editorial Van Haren,
Wilco - Amersfoort
15
Definición de violaciones y sanciones por no cumplir con las políticas.
Responsabilidades de los usuarios con respecto a toda la información a
la que tiene acceso.
Las políticas de seguridad informática, también deben ofrecer explicaciones
comprensibles sobre por qué deben tomarse ciertas decisiones y explicar la
importancia de los recursos. Igualmente, deberán establecer las expectativas de
la organización en relación con la seguridad y especificar la
autoridad responsable de aplicar los correctivos o sanciones. Otro punto
importante, es que las políticas de seguridad deben redactarse en
un lenguaje sencillo y entendible, libre de tecnicismos y términos ambiguos que
impidan una comprensión clara de las mismas, claro está sin sacrificar su
precisión.
Por último, y no menos importante, el que las políticas de seguridad, deben
seguir un proceso de actualización periódica sujeto a los cambios
organizacionales relevantes, como son: el aumento de personal, cambios en la
infraestructura computacional, alta rotación de personal, desarrollo de nuevos
servicios, regionalización de la empresa, cambio o diversificación del área de
negocios, etc. (RODAO Jesús,(2004))
1.5 Organización de la Información De Seguridad
Aquí se trabajara sobre el hecho de reunir y definir cuál va a ser el personal
responsable que se encargara de realizar el mantenimiento, revisión y
evaluación periódica. Además si las políticas que fueron elaboradas son las
correctas, están incompletas, o pueden mejorarse.
1.5.1 Gestión de Activos De Información
Toda empresa debe llevar un inventario completo al más mínimo detalle de su
información, con una actualización inmediata de todo recurso lógico que se
posea, y debe tener un uso adecuado para evitar pérdidas en los activos
16
1.5.2 Seguridad de los Recursos Humanos
Normalmente muchas organizaciones no tienen claro el concepto de que el
área de talento humano debe trabajar de la mano con el departamento de
sistemas, ya que el objetivo es Asegurar que los empleados, contratistas y
usuarios de terceras partes entiendan sus responsabilidades y sean aptos para
las funciones que desarrollen. Reducir el riesgo de robo, fraude y mal uso de las
instalaciones y medios7
1.5.3 Seguridad Física y Ambiental
Este grupo trabaja sobre las seguridades que existen en las áreas delicadas de
la organización como el CPD, o el acceso a servidores, Switch, entre otros. Las
seguridades pueden ser lógicas o físicas para mantener seguros los recursos
tecnológicos de la institución, en resumen el objetivo de dicho control es evitar
el acceso físico no autorizado, daños o intromisiones en las instalaciones y a la
información de la organización.
1.5.4 Gestión de las Comunicaciones y Operaciones
Tiene como objetivo asegurar la correcta y segura operación de la información;
hace especial hincapié en documentar todos los procedimientos, manteniendo
los mismos disponibles a todos los usuarios que los necesiten; así como
documentar de manera correcta los servicios o tareas que se estén prestando
por parte de terceros (acuerdos, obligaciones, responsabilidades,
confidencialidad, operación, mantenimiento, etc.). Planificar todo tipo de
cambios en cuanto a sistemas se refiere para así poder reducir el riesgo de
fallos al momento de arrancar o poner en producción nuevos requerimientos,
trabajar en ambientes los cuales sean muy semejantes a la realidad y poder
7ISO “SOLUCIONES TÉCNICAS Y ORGANIZATIVAS A LOS CONTROLES DE ISO/IEC 27002”
http://www.iso27000.es/download/ControlesISO27002-2005.pdf
17
trabajar con el sistema e información que la empresa maneje y ver así el
desenvolvimiento de las actualizaciones.
Administrar y controlar todo lo que se refiere a la red empresarial, es decir,
implementar todas las medidas posibles para evitar amenazas, manteniendo la
seguridad de los sistemas y aplicaciones a través del conocimiento de la
información que circula por ella, prevenir la difusión, modificación, borrado o
destrucción de cualquier medio magnético en el cual haya sido previamente
almacenado información, mediante medidas que aseguren su almacenamiento
seguro y uso incorrecto de los mismos. Mantenimiento de logs en todos los
aplicativos que la organización posea para así poder controlar accesos y evitar
que cualquier intruso borre sus huellas. No permitir el intercambio de
información sea o no en línea, recalquemos que la información es el bien más
preciado de una organización; por esto el intercambio de información debe ser
llevado a cabo mediante reglas y usuarios establecidos.
1.5.5 Control de Accesos
En esta parte se hace referencia a que cada usuario tenga sus claves de
acceso que permitan acezar solo a los recursos que son designados para él,
esto debe ser controlado periódicamente para evitar fugas de información, y
que ciertos usuarios tengan acceso a información la cual no sea relevante para
la tarea que están realizando esto a través de una Política de Control de
accesos documentada, periódicamente revisada y basada en los niveles de
seguridad que determine el nivel de riesgo de cada activo.8
1.5.6 Adquisición, Desarrollo y Mantenimiento de Sistemas de información
8CALDER Alan, 2009, “Implementig information Security Based on ISO 27001/ISO 270002” Tercera
Edición, Ontario - Canada.
18
Plantea la necesidad de realizar un análisis de los requerimientos que deben
exigirse a los sistemas de información, desde el punto de vista de la seguridad
para cumplir con las necesidades del negocio de cada empresa en particular,
para poder garantizar que la seguridad sea una parte integral de los sistemas.
Así como también incluir dentro de los procesos, las etapas en cuanto a
desarrollo se refiere (Análisis, Diseño, Implementación y Pruebas), documentar
lo necesario y poder tener revisiones periódicas de las tareas a realizarse y
poder cumplir con todo lo pedido o pactado con terceros.
1.5.7 Gestión de Incidentes en la Seguridad de la Información
Permitir tener una metodología eficiente para definir la generación,
monitorización y seguimientos de reportes los cuales deben reflejar todos los
eventos de seguridad suscitados así como las debilidades en los sistemas, la
mejor opción es implementar herramientas de detección de vulnerabilidades. Se
debe establecer también un procedimiento que describa claramente: pasos,
acciones, responsabilidades, funciones y medidas concretas. Para lo cual se
necesitara exista la preparación adecuada del personal, por lo tanto es
necesario difundirlo, practicarlo y simularlo.
1.5.8 Gestión de Continuidad de Negocio
Tiene como objetivo contemplar todas las medidas necesarias para reaccionar
a la interrupción de actividades del negocio y proteger sus procesos críticos
frente a desastres o grandes fallos de los sistemas de información. Para que
No sufran interrupciones sobre la actividad que realiza la empresa. Lo primero
que considera este grupo es que la seguridad de la información se encuentre
incluida en la administración de la continuidad de negocio.9
9ISO “An Introduction to ISO 27001, ISO 27002” http://www.27000.org/
19
1.5.9 Marco legal y Buenas Prácticas
Se dice que este último grupo de controles es el más débil de la norma debido a
que está limitado a las leyes de cada empresa o cada país. Lo primero a
considerar es la identificación de la legislación aplicable a la empresa,
definiendo explícitamente y documentando todo lo que guarde relación con
estos aspectos. Otro componente es lo relacionado con los derechos de
propiedad Intelectual, debiendo generar procedimientos que aseguren el
cumplimiento de las regulaciones; así como el hecho de obtener software legal
e implementarlo con las respectivas licencias.
Este grupo trata además de las “Buenas prácticas”, ya que de que sirve
implantar una normal basada en políticas, controles, procedimientos, etc., si
luego el personal involucrado no da cumplimiento a las medidas y en definitiva,
la implementación falla. Por esto otro punto importante en esta norma es el
hecho de realizar auditorías y tener herramientas de auditoría las cuales
permitan dictar si la norma y procedimientos encadenados se estén cumpliendo
a cabalidad o si la misma tiene debilidades.
1.6 Planeación estratégica
La planeación o planificación estratégica es el proceso a través del cual se
declara la visión y la misión de la empresa, se analiza la situación externa y
externa de ésta, se establecen los objetivos generales, y se formulan las
estrategias y planes estratégicos necesarios para alcanzar dichos objetivos. La
planeación estratégica se realiza a nivel de la organización, es decir, considera
un enfoque global de la empresa, por lo que se basa en objetivos y estrategias
generales, así como en planes estratégicos, que afectan una gran variedad de
actividades, pero que parecen simples y genéricos.
20
Debido a que la planeación estratégica toma en cuenta a la empresa en su
totalidad, ésta debe ser realizada por la cúpula de la empresa y ser proyectada
a largo plazo, teóricamente para un periodo de 5 a 10 años, aunque en la
práctica, hoy en día se suele realizar para un periodo de 3 a un máximo de 5
años, esto debido a los cambios constantes que se dan el mercado.10.
1.7 Plan estratégico
“El plan estratégico es una herramienta que nos permite marcarnos el
camino para llegar a un lugar concreto. Difícilmente podremos elaborarlo si no
sabemos dónde nos encontramos y a donde queremos ir. Este es, por lo tanto,
el punto de partida”11.
La esencia de la planeación estratégica consiste en la identificación sistemática
de las oportunidades y peligros que surgen en el futuro, los cuales combinados
con otros datos importantes proporcionan la base para que una empresa tome
mejores decisiones en el presente para explotar las oportunidades y evitar los
peligros.
1.8 Planeación tecnológica
La Planeación Tecnológica es un asunto estratégico, pero muchas empresas
no siempre lo visualizan de esta manera. No pocos directivos piensan que la
planeación de la tecnología viene después de que la estrategia del negocio ya
fue definida y, en casi todos estos casos, sus "estrategias tecnológicas" se
limitan decidir si compran la tecnología que creen que necesitan o si mejor la
desarrollan ellas mismas.
10 FRED R. David, “Conceptos de Administración Estratégica”. www.crecenegocios.com/la-
planeacion-estrategica/
11 Miguel Aguirre, Plan de marketing estratégico, www.gestiopolis.com
21
Las empresas que manejan la tecnología como algo real estratégico, se
distinguen de las demás en varios aspectos:
Tienen muy claro y valoran el impacto de la tecnología en su
competitividad.
Saben que deben aprovechar el potencial de su tecnología actual para
no perder la ventaja que tienen sobre sus competidores.
Conocen bien en qué son tecnológicamente competentes y en dónde no
lo son.
Tienen a alguien al cuidado cotidiano de los asuntos tecnológicos y que
también participa de manera directa en la toma de las decisiones
estratégicas”12.
1.9 Plan informático
Un Plan Informático es un proceso, expresado en un documento escrito y
conocido por todos los usuarios del CPD, el cual empieza con el desarrollo de
objetivos, define estrategias y políticas para alcanzar tales objetivos, desarrolla
planes detallados para asegurar que las estrategias se sigan con el fin de que
tales objetivos se realicen en términos de productos y resultados concretos
medibles por el CDP, por los usuarios y por el nivel Director de la empresa y/u
Organización, en parámetros no técnicos y exentos de ambigüedad.
Un Plan Informático además de un presupuesto de gastos, es un conjunto de
planes interrelacionados cuya finalidad es básicamente satisfacer las
necesidades de información que el Sistema de Decisiones de la Institución
requiere, en la Cantidad, Calidad, Oportunidad y Forma que cada Nivel necesita
o anterior debe ser considerado en el marco de la velocidad de desarrollo y de
la cantidad de alternativas, (siempre crecientes), que el mercado de Informática
ofrece13.
12
Disponible en: http://gtecnol.tripod.com/plantec.htm
13 TRIVIÑO, Luis, “Plan Informático”. http://posgrado.pbworks.com/f/planinformatico.pdf
22
1.10 Plan de Seguridad Informática
Es el manual elemental que determina los principios organizativos y funcionales
de la actividad de Seguridad Informática en una organización y captara
abiertamente las políticas de seguridad y las responsabilidades de cada uno de
los involucrados en el proceso informático, así como las medidas y
procedimientos que permitan prevenir, detectar y responder a las amenazas
que gravitan sobre el mismo, al ser una política de seguridad esta debe guiar
en las decisiones que se toman en relación con la seguridad informática,
también se necesita la disposición de todos los miembros de la empresa para
lograr una visión conjunta de lo que se considera relevante.
Las políticas de seguridad informática, deben ofrecer explicaciones
comprensibles sobre por qué deben tomarse ciertas decisiones y explicar la
importancia de los recursos. Igualmente, deberán establecer las expectativas de
la organización en relación con la seguridad y especificar la autoridad
responsable de aplicar los correctivos o sanciones. (AREITO Javier, (2004))
1.11 Red lan La red de área local (LAN) es aquella que se expande en un área relativamente
pequeña. Comúnmente se encuentra dentro de un edificio o un conjunto de
edificios contiguos. Asimismo, una LAN puede estar conectada con otras LAN a
cualquier distancia por medio de una línea telefónica y ondas de radio. Puede
estar formada desde dos computadoras hasta cientos de ellas. Todas se
conectan entre sí por varios medios y topologías. A la computadora (o
agrupación de ellas) encargada de llevar el control de la red se le llama servidor
ya las PC que dependen de éste, se les conoce como nodos o estaciones de
trabajo. (ALABAU, A., “Teleinformática y redes de computación”. Marcombo -
Barcelona. 2002)
1.11.1 Protocolo de redes
23
Los protocolo de red son una o más normas standard que especifican el
método para enviar y recibir datos entre varios ordenadores. Su instalación
está en correspondencia con el tipo de red y el sistema operativo que la
computadora tenga instalado. No existe un único protocolo de red, y es posible
que en un mismo ordenador coexistan instalados varios de ellos, pues cabe
la posibilidad que un mismo ordenador pertenezca a redes distintas.
La variedad de protocolos puede suponer un riesgo de seguridad, cada
protocolo de red que se instala en un sistema queda disponible para todos los
adaptadores de red existentes en dicho sistema, físicos (tarjetas de red o
módem) o lógicos (adaptadores VPN). Si los dispositivos de red o protocolos no
están correctamente configurados, se puede dar acceso no deseado a los
recursos de la red. En estos casos, la regla de seguridad más sencilla es tener
instalados el número de protocolos indispensable; en la actualidad y en la
mayoría de los casos debería bastar con sólo TCP/IP. Dentro de la familia de
protocolos se pueden distinguir:
Protocolos de transporte:
- ATP (Apple Talk Transaction Protocol)
- NetBios/NetBEUI
- TCP (Transmission Control Protocol)
Protocolos de red:
- DDP (DeliveryDatagramProtocol)
- IP (Internet Protocol)
- IPX (Internet Packed Exchange)
- NetBEUI Desarrollado por IBM y Microsoft.
Protocolos de aplicación:
- AFP (Appletalk File Protocol)
- FTP (File TransferProtocol)
- Http (Hyper Text transfer Protocol)
24
Dentro de los protocolos antes mencionados, los más utilizados son:
- NETBEUI/NETBIOS (Network Basic Extended User Interface / Network Basic
Input/Output System) NETBIOS es un protocolo de comunicación entre
ordenadores que comprende tres servicios (servicio de nombres, servicio
de paquetes y servicio de sesión, inicialmente trabajaba sobre el protocolo
NETBEUI, responsable del transporte de datos. Actualmente con la difusión
de Internet, los sistemas operativos de Microsoft más recientes permiten
ejecutar NETBIOS sobre el protocolo TCP/IP, prescindiendo entonces de
NETBEUI.
- TCP/IP (Transmission Control Protocol/Internet Protocol) este protocolo fue
diseñado a finales de los años 60, permite enlazar computadoras con
diferentes sistemas operativos. Es el protocolo que utiliza la red de redes
Internet. (Academia de Networking de Cisco Systems “Guía CCNA 1 y 2”,
2004).
1.12 Seguridad en redes
El autor STALLING Williams (2004) señala que cuando se habla de seguridad
en las redes de computadoras, se hace una gran referencia a Internet, pues es
dentro de esa red de alcance mundial que se producen con mayor frecuencia
los ataques a nuestras computadoras.
Antes de entrar en el tema, es necesario preguntar ¿qué alcance tiene para
nosotros el término "seguridad"?. En general, se dice que una casa es segura
cuando se logra reducir las vulnerabilidades de la propiedad. Pero ¿Qué es la
vulnerabilidad? Según ISO (International Standardization Organization), en el
contexto de la informática se considera "vulnerabilidad" a cualquier flaqueza
25
que pueda ser aprovechada para violar un sistema o la información que éste
contiene.
De esta forma, tenemos varias posibles violaciones de seguridad a un sistema,
o sea, varias amenazas, entre las cuales destacamos:
- Destrucción de información.
- Modificación de la información.
- Robo, renovación o pérdida de la información o los recursos.
- Interrupción de servicios.
Debemos todavía definir "ataque": es la realización efectiva de una amenaza en
forma intencional. Como ejemplos de ataques en computación, tenemos:
- Personificación (enmascarada)
- DDos.
- Replay.
- Modificación.
- Ingeniería social.
- Rechazo o impedimento de un servicio.
Ante los riesgos de la inseguridad en las redes, muchas empresas adoptan
políticas de seguridad, que son conjuntos de reglas, leyes y prácticas de gestión
que tienen como objetivo la protección. Pueden ser implementadas a través de
varios mecanismos, como por ejemplo:
- Criptografía.
- Firma digital.
- Autenticación.
- Control de acceso.
- Rótulos de seguridad.
- Detección, registro e informe de eventos.
- Llenado de tráfico.
- Control de routeo.
26
De esta forma, al no ser suficientes los mecanismos de seguridad en la red, se
establece medidas de seguridad en las comunicaciones también, como en el
correo electrónico. El e-mail utiliza varios mecanismos para que los datos
lleguen de la manera más segura posible a su destino. Hace uso de protocolos
como SMTP (Simple Mail Transfer Protocol) que es considerado débil, S/MIME
(Secure Multipurpose Internet Mail Extensions) y PGP (Pretty Good Privacy)
que es destinado a la criptografía de e-mail personal. Actualmente, lo que se
utiliza en gran medida son los Firewall's, dispositivos que funcionan como una
barrera de protección contra invasores. Existen tanto en forma de software
como de hardware, o en la combinación de ambos14.
Como ejemplo de buenos firewall's domésticos y gratuitos, podemos citar:
- Comodo Firewall
- ZoneAlarm
- Sygate Personal Firewall
14
STALLINGS, W., “Fundamentos de seguridad en redes: aplicaciones y estándares”, 2004).
27
Figura # 1: Fuente: Investigación, “http://www.pentasys.es/imagenes/seguridad-
en-redes-informaticas.jpg”
1.13 Redes WIFI
Una red inalámbrica (conocida comúnmente como WI-FI) permite desplegar una
red de área local sin cables. Es evidente que al emplear un medio compartido
por cualquiera que se encuentre en el ámbito de la cobertura, se multiplican las
amenazas de acceso no controlado a la información. En función de las
necesidades, la red inalámbrica se puede dejar completamente abierta y sin
cifrar para poder acceder a los recursos y datos fácilmente o hacer de ella un
entorno muy seguro. Existen medidas muy sencillas y útiles que pueden evitar
amenazas sobre nuestra red:
Apagar el punto de acceso Wi-Fi cuando no se utilice, para evitar el riesgo
de ataques innecesarios.
Ocultar la publicación del nombre de la red SSID para que no pueda ser
identificada, aunque esto no evite que sea detectada mediante mecanismos
más avanzados.
Todos los equipos que emiten señal Wi-Fi (routers o puntos de acceso, pc’s,)
permiten configurar el protocolo de seguridad con el que se quiere transmitir,
permitiendo así cubrir las dimensiones de control de acceso, confidencialidad y,
en algunos casos, autenticación. Los diferentes protocolos existentes son:
WEP (Wired Equivalent Privacy). Se considera como el menos seguro de
todos por su facilidad para romperlo, siempre y cuando la persona que
quiera hacerlo tenga los conocimientos informáticos adecuados.
WPA (Wi-Fi Protected Access). Es una evolución del WEP, es más robusto.
Fue diseñado inicialmente como protocolo de autenticación para paliar las
28
deficiencias del cifrado WEP. Aunque su longitud de clave es menor que la
de WEP, su método de cifrado es más robusto.
WPA2 (Wi-Fi Protected Access 2). Es considerado bastante seguro, ya que
utiliza el algoritmo de cifrado AES, por lo que su ruptura es bastante
complicada.
WPA PSK (Wi-Fi Protected Access Pre-Share Keyda). Esta opción de
cifrado es de las más seguras. Este método difiere del anterior en que existe
una clave compartida por todos los integrantes de la red previamente a la
comunicación (desde la configuración de los dispositivos). La fortaleza de la
seguridad reside en el nivel de complejidad de esta clave.
Cualquiera de estos protocolos de cifrado y autenticación se configura en dos
pasos:
Primero, habrá que configurar la clave en el punto de acceso, en función
del protocolo seleccionado.
En segundo lugar, se deberá hacer lo mismo en todos los dispositivos
que se quieran conectar a la red, usando exactamente la misma
configuración que para el punto de acceso.
En general, los protocolos descritos solucionan muchos de los problemas de
seguridad. En cualquier caso, como todos dependen de una clave, en el
momento en que sea conocida estos protocolos dejarán de ser seguros.
1.14 Firewall o cortafuego
El autor AREITIO Javier (2004) señala que: “Un cortafuegos o firewall es un
dispositivo de seguridad de red diseñado para restringir el acceso a los
recursos, tanto a la información como a los servicios, de acuerdo a una política
de seguridad basada en reglas. Los cortafuegos no son la solución definitiva a
todos los problemas de seguridad en red, a los ataques remotos o al acceso no
autorizado a los datos del sistema, sino que sirven para conectar dos partes de
una red y controlar el tráfico de datos entre ellas. A menudo se instala entre una
29
red completa de la organización e Internet. También puede colocarse entre
departamentos dentro de una Intranet, o bien puede utilizarse entre socios
corporativos conectados mediante una extranet”
Figura # 2: Fuente: Areito Javier, “seguridad de la información”
Como puede observarse, el Muro Cortafuegos, sólo sirven de defensa
perimetral de las redes, no defienden de ataques o errores provenientes del
interior, como tampoco puede ofrecer protección una vez que el intruso lo
traspasa. Algunos Firewalls aprovechan esta capacidad de que toda la
información entrante y saliente debe pasar a través de ellos para proveer
servicios de seguridad adicionales como la encriptación del tráfico de la red. Se
entiende que si dos Firewalls están conectados, ambos deben "hablar" el
mismo método de encriptación-desencriptación para entablar la comunicación.
1.14.1 Tipos de Firewall15
Existen algunos tipos de Firewall categorizados por su funcionamiento o por su
estructura, así tenemos:
Firewall para Filtrado de Paquetes: Se utilizan Routers con filtros y reglas
basadas en políticas de control de acceso. El Router es el encargado de filtrar
los paquetes (un Choke) basados en cualquiera de los siguientes criterios:
15
HERNANDEZ Roberto, “Firewall o Cortafuegos”, www.segu-info.com.ar/firewall/firewall.htm, 2009
30
Protocolos utilizados.
Dirección IP de origen y de destino.
Puerto TCP-UDP de origen y de destino.
Estos criterios permiten gran flexibilidad en el tratamiento del tráfico.
Restringiendo las comunicaciones entre dos computadoras (mediante las
direcciones IP) se permite determinar entre cuales máquinas la comunicación
está permitida. El filtrado de paquetes mediante puertos y protocolos permite
establecer que servicios estarán disponibles al usuario y por cuales puertos se
puede permitir navegar en la WWW (puerto 80 abierto) pero no acceder a la
transferencia de archivos vía FTP (puerto 21 cerrado). Debido a su
funcionamiento y estructura basada en el filtrado de direcciones y puertos, este
tipo de Firewalls trabajan en los niveles de Transporte y de Red del Modelo OSI
y están conectados a ambos perímetros (interior y exterior) de la red.
Tienen la ventaja de ser económicos, tienen un alto nivel de desempeño y son
transparentes para los usuarios conectados a la red. Sin embargo presenta
debilidades como:
No protege las capas superiores a nivel OSI.
Las necesidades aplicativas son difíciles de traducir como filtros de
protocolos y puertos.
No son capaces de esconder la topología de redes privadas, por lo que
exponen la red al mundo exterior.
Sus capacidades de auditoría suelen ser limitadas, al igual que su
capacidad de registro de actividades.
No soportan políticas de seguridad complejas como autentificación de
usuarios y control de accesos con horarios prefijados.
Firewall por Proxy-Gateways de Aplicaciones: Para evitar las debilidades
asociadas al filtrado de paquetes, los desarrolladores crearon software de
31
aplicación encargados de filtrar las conexiones. Estas aplicaciones son
conocidas como Servidores Proxy y la máquina donde se ejecuta recibe el
nombre de Gateway de Aplicación o Bastion Host. El Proxy, instalado sobre el
Nodo Bastión, actúa de intermediario entre el cliente y el servidor real de la
aplicación, siendo transparente a ambas partes. Cuando un usuario desea un
servicio, lo hace a través del Proxy este, realiza el pedido al servidor real
devuelve los resultados al cliente. Su función fue la de analizar el tráfico de red
en busca de contenido que viole la seguridad de la misma. Gráficamente:
Figura # 3: Fuente:, “http://carlose25.lamula.pe/files/2009/08/proxy-aplicacion.gif”
Firewall Dual-Homed Host: Son dispositivos que están conectados a ambos
perímetros (interior y exterior) y no dejan pasar paquetes IP (como sucede en el
caso del Filtrado de Paquetes), por lo que se dice que actúan con el "IP-
Forwarding desactivado".
Un usuario interior que desee hacer uso de un servicio exterior, deberá
conectarse primero al Firewall, donde el Proxy atenderá su petición, y en
función de la configuración impuesta en dicho Firewall, se conectará al servicio
exterior solicitado y hará de puente entre este y el usuario interior. Es decir que
se utilizan dos conexiones. Uno desde la máquina interior hasta el Firewall y el
otro desde este hasta la máquina que albergue el servicio exterior.
32
Figura # 4: Fuente: “http://www.monografias.com/trabajos82/la-seguridad-
informatica/image004.png”
Firewall Screened Host.- En este caso se combina un Router con un host
bastión y el principal nivel de seguridad proviene del filtrado de paquetes. En el
bastión, el único sistema accesible desde el exterior, se ejecuta el Proxy de
aplicaciones y en el Choke se filtran los paquetes considerados peligrosos y
sólo se permiten un número reducido de servicios.
Figura # 5: Fuente: http://carlose25.lamula.pe/files/2009/08/bastion.gif”
Firewall Screened Subnet.- Como lo señala el portal de seguridad informática
segu-info.com.ar el diseño intenta aislar la máquina más atacada y vulnerable
33
del Firewall, el Nodo Bastión. Para ello se establece una Zona Desmilitarizada
(DMZ) de forma tal que sin un intruso accede a esta máquina no consiga el
acceso total a la subred protegida. En este esquema se utilizan dos Routers:
uno exterior y otro interior. El Router exterior tiene la misión de bloquear el
tráfico no deseado en ambos sentidos: hacia la red interna y hacia la red
externa. El Router interior hace lo mismo con la red interna y la DMZ (zona
entre el Router externo y el interno)16.
Es posible definir varios niveles de DMZ agregando más Routers, pero
destacando que las reglas aplicadas a cada uno deben ser distintas ya que en
caso contrario los niveles se simplificarían a uno solo.
Figura # 6: Fuente:“http://carlose25.lamula.pe/files/2009/08/screened-subnet.gif”
RIOS Julio (2008) señala que la Zona Desmilitarizada aísla físicamente los
servicios internos, separándolos de los servicios públicos. Además, no existe
una conexión directa entre la red interna y la externa. Los sistemas Dual-
16
SEGU-INFO, “Tipos de firewall”, http://www.segu-info.com.ar/firewall/screenedsubnet.htm
34
Homed Host y Screnned pueden ser complicados de configurar y comprobar, lo
que puede dar lugar, paradójicamente, a importantes agujeros de seguridad en
toda la red. En cambio, si se encuentran bien configurados y administrados
pueden brindar un alto grado de protección y ciertas ventajas17:
Ocultamiento de la información: los sistemas externos no deben conocer el
nombre de los sistemas internos. El Gateway de aplicaciones es el único
autorizado a conectarse con el exterior y el encargado de bloquear la
información no solicitada o sospechosa.
Registro de actividades y autenticación robusta: El Gateway requiere de
autenticación cuando se realiza un pedido de datos externos. El registro de
actividades se realiza en base a estas solicitudes.
Reglas de filtrado menos complejas: Las reglas del filtrado de los paquetes
por parte del Router serán menos compleja dado a que él sólo debe atender
las solicitudes del Gateway.
Así mismo tiene la desventaja de ser intrusivos y no transparentes para el
usuario ya que generalmente este debe instalar algún tipo de aplicación
especializada para lograr la comunicación. Se suma a esto que generalmente
son más lentos porque deben revisar todo el tráfico de la red.
Firewall por Inspección de Paquetes: Este tipo de Firewalls se basa en el
principio de que cada paquete que circula por la red es inspeccionado, así como
también su procedencia y destino. Se aplican desde la capa de Red hasta la de
Aplicaciones. Generalmente son instalados cuando se requiere seguridad
sensible al contexto y en aplicaciones muy complejas.
Firewalls Personales: Estos Firewalls son aplicaciones disponibles para
usuarios finales que desean conectarse a una red externa insegura y mantener
su computadora a salvo de ataques que puedan ocasionarle desde un simple
17
RIOS Julio, “Seguridad Informática”, http://www.monografias.com/trabajos82/la-seguridad-informatica/la-seguridad-informatica2.shtml
35
"cuelgue" o infección de virus hasta la pérdida de toda su información
almacenada.
1.15 La gestión operativa
Varios autores tratan de explicar a la gestión operativa o “gestión hacia abajo” la
que realiza el funcionario o directivo público hacia el interior de su organización
para aumentar su capacidad de conseguir los propósitos de sus políticas. Cubre
los cambios en la estructura de la organización y en el sistema de roles y
funciones, la elección de personal directivo y asesor de mediano nivel, los
procesos de capacitación del personal de planta permanente, la mejora
continua del funcionamiento de la organización con su actual tecnología y la
introducción de innovaciones técnicas y estratégicas acordes con los proyectos
en curso. Sus principales tareas son:
Análisis de los servicios: Fundamentalmente se refiere al análisis de la
concordancia entre los servicios ofrecidos o que se piensa ofrecer y los
requerimientos de los ciudadanos. También se refiere al cumplimiento de las
especificaciones técnicas propias de cada producto o servicio, y a las
pruebas de su correcto funcionamiento.
Análisis de los procesos: Se refiere a los procesos técnicos y
administrativos, y a su encuadre legal, que se utilizan o van a utilizarse para
la realización de proyectos, prestación de servicios, etc., tanto en lo
referente a la relación con el público destinatario como a la relación con
otras organizaciones de la administración pública.
Revisión de los modos de diseñar y dirigir: El enfoque estratégico de la
administración pública, a diferencia del enfoque burocrático, un permanente
proceso de búsqueda de procedimientos más eficientes para la realización
de proyectos y la prestación de servicios, tratando de lograr resultados
acordes con los requerimientos de la gente sin malgastar los recursos
públicos disponibles.
36
La tarea esencial de la gestión operativa es el despliegue de recursos y
capacidades para obtener resultados concretos. Requiere objetivos acertados
(acordes con los requerimientos sociales), capacidad de conseguir recursos y
lograr implantar sistemas, procedimientos y personal en forma acorde con lo
que se quiere conseguir.
La visión convencional del funcionamiento del sector público lo considera un
caso especial de creación de valor en condiciones de pocos cambios y
conflictos, con innovaciones mínimas, manteniendo a la capacidad operativa
contenida dentro del sistema de la organización misma. La nueva visión
estratégica aparece como realmente necesaria cuando hay muchos cambios y
conflictos y, por ende, necesidad de innovar para asumir los nuevos desafíos
con posibilidades de éxito.
Desde el punto de vista de la gestión operativa, se puede incrementar
significativamente el valor público mediante:
El aumento de la cantidad o la calidad de las actividades por recurso
empleado.
La reducción de los costos para los niveles actuales de producción.
Una mejor identificación de los requerimientos y una mejor respuesta a las
aspiraciones de los ciudadanos.
Realizar los cometidos de la organización con mayor imparcialidad.
Incrementar la disponibilidad de respuesta e innovación.
Para restructurar sus organizaciones con los lineamientos de una gestión
operativa innovadora, los directivos públicos deben analizar cinco cuestiones
principales:
Decidir que producir y cómo actuar para ofrecer esos productos.
Diseñar las operaciones necesarias para obtener esos productos o servicios.
37
Utilizar y ajustar los sistemas administrativos de su organización, e innovar
en ellos, para aumentar la calidad, flexibilidad y productividad de los
sistemas.
Atraer colaboradores nuevos para la realización de los objetivos de la
organización.
Definir tipo, grado y ubicación de las innovaciones que se consideren
necesarias.
Es muy importante definir la misión y los objetivos de la organización en forma
simple, clara y general. Debe existir, a partir de allí, una jerarquía de finalidades
y metas, de diferentes grados de abstracción, que orienten las actividades
operativas, hasta llegar a los exhumo propiamente dichos (productos o
servicios).
Esas pirámides de objetivos son muy útiles, aparte de la orientación interna,
para el seguimiento y control externo de las organizaciones. La base para
diseñar procesos, y para hacer la revisión de dichos procesos en el tiempo, es
el diseño y revisión de los exumos (productos o servicios) de la organización.
Algunos aspectos que conviene tener en cuenta son los siguientes:
No se puede diseñar un proceso sin saber que producto se quiere
conseguir.
En las operaciones, frecuentes en la Administración Pública, que
combinan servicios a prestar y obligaciones a asumir, la diferencia entre
producto y proceso es más ambigua.
Para los funcionarios identificados con la cultura burocrática tradicional,
los procesos suelen ser más importantes que los productos.
Los sistemas administrativos incentivan y orientan la actividad de la
organización, garantizan la realización de los objetivos y la prestación efectiva
de los servicios. Los sistemas administrativos más importantes son los que:
38
Establecen la estructura administrativa, es decir, definen los grados y
áreas de autoridad, las responsabilidades y las funciones.
Estipulan los procedimientos para los procesos de toma de decisión
sobre temas clave (la planificación estratégica).
Definen las tecnologías de la organización para la configuración de
políticas, programas y actuaciones.
Gestionan el personal, es decir, reclutan, seleccionan, entrenan, evalúan,
recompensan y promocionan a los empleados.
Definen los sistemas de control y gestión de la información, en lo
referente al empleo de los recursos, los niveles de actividad y los logros
obtenidos.
Desde una perspectiva estratégica, los sistemas administrativos deben ser
vistos, no aislados, sino en su conjunto, y evaluados según su aporte a la
estrategia general de la organización.
CAPITULO II
MARCO METODOLÓGICO Y PLANTEAMIENTO DE LA
PROPUESTA
2.1 El Municipio
La institución Municipal tiene la siguiente Misión: “Somos un Gobierno Municipal
elegido por el pueblo de Quevedo con el mandato de cambiar las estructuras y
métodos viciados de corrupción y vanidades, que está comprometido con la
transparencia en sus procedimientos, la integridad en el manejo de los
recursos, la rendición de cuentas periódicas y ejemplo para las presentes y
futuras generaciones”.
39
Mientras que su visión se resume en: “Ser el Gobierno Municipal de Quevedo,
ejemplo para las futuras administraciones por su eficiencia, eficacia y
efectividad en llenar las necesidades sentidas del pueblo de Quevedo”
Figura # 7: Fuente: autor “Municipio de Quevedo”
Su filosofía de trabajo se resume en:
Planificación técnica orientada a la cobertura de sus necesidades básicas.
Organización moderna que responde a un modelo de competencias
comprendido, adaptado y practicado por todas las personas involucradas
en la estructura política y administrativa del Gobierno Municipal.
Dirección enfocada hacia los resultados claves fijados por el Alcalde en la
planificación y la organización.
Coordinación entre todos los equipos de trabajo integrados en las
direcciones municipales, las secciones, las empresas municipales, las
dependencias y organizaciones gremiales que forman parte del Gobierno
Municipal, donde el señor Alcalde ejerce un liderazgo de 360 grados.
Disciplina y control de cumplimiento de los objetivos fijados dentro de las
normas que se contemplan en el modelo de competencia adoptado.
Capacitaciones y mediciones periódicas del personal que permiten
mantener el comportamiento y la cultura organizacionales deseadas por el
pueblo de Quevedo.
40
2.2 Diseño Metodológico.
La modalidad investigativa que se ha utilizado en esta tesis es la denominada
cuali-cuantitativa. La investigación cualitativa es el procedimiento metodológico
que se caracteriza por utilizar palabras, textos, discursos, dibujos, gráficos e
imágenes para comprender la vida social por medio de significados y desde una
perspectiva holística, pues se trata de entender el conjunto de cualidades
interrelacionadas que caracterizan a un determinado fenómeno y se la aplica
para determinar los objetos cualitativos del problema como el mal servicio,
eficiencia y más.
La investigación cuantitativa se caracteriza por recoger, procesar y analizar
datos cuantitativos o numéricos sobre variables previamente determinadas.
Esto ya hace darle una connotación que va más allá de un mero listado de
datos organizados como resultado; pues estos datos que se muestran en
el informe final, están en total consonancia con las variables que se declararon
desde el principio y los resultados obtenidos van a brindar una realidad
específica a la que estos están sujetos. Dicha metodología se aplica para
determinar estadísticamente los síntomas de la problemática.
Los tipos de investigación aplicados son:
Bibliográfica: este tipo de investigación se la desarrolla en base a la
recopilación de la información de fuentes primarias, se la utilizo para
desarrollar el marco teórico.
De Campo: se la lleva a cabo en base a encuestas o entrevistas y se la
aplico para desarrollar el marco metodológico.
La población involucrada en la problemática descrita en el inicio de este trabajo
investigativo está estructurada de la siguiente forma:
41
FUNCIÓN NUMERO
Director departamental 1
Funcionarios del departamento 12
Funcionarios municipales 125
TOTAL 138
Se define como la muestra a un porcentaje de la población a investigar, se la
calculó en base a la siguiente fórmula:
( )
( )
La muestra quedo estructurada de la siguiente forma:
FUNCIÓN NUMERO
Gerente 1
Funcionarios del departamento 11
Funcionarios municipales 90
TOTAL 102
Las técnicas de investigación aplicadas fueron:
Entrevista al director departamental y encuesta tanto a los funcionarios
del departamento de sistemas como a los empleados municipales.
42
Los instrumentos utilizados fueron:
Cuestionarios específicos para empleados del departamento de sistemas
(Ver Anexo A).
Cuestionarios específicos para funcionarios municipales (Ver Anexo B).
Guía de entrevista para el Director (Ver Anexo C).
Luego de realizada la investigación de campo se procedió a tabular sus
resultados de las encuestas,
los cuales se detallan a
continuación.
Resultados de la encuesta realizada a los funcionarios municipales
Pregunta No 1. ¿Han tenido que suspender la atención al público debido a que
no se puede acceder al sistema o falta información en la base de datos debido
a alguna intromisión inesperada?.
Frecuentemente……… Pocas veces…….. Nunca……
Respuestas Frecuencia Porcentaje
Frecuentemente 10 11%
Pocas veces 37 41%
Nunca 43 48%
Total 90 100%
43
Figura # 8: Fuente: Autor
Se manifiesta que en varias oportunidades se ha tenido que dejar de atender al
público por problemas en el sistema debido a accesos indebidos, ya sea a
través de la red inalámbrica o de acceso a la base de datos mediante cualquier
terminal de uso interno.
Pregunta No 2. ¿Son cambiadas periódicamente las claves de acceso de las
redes inalámbricas que se utilizan en cada departamento?.
Si…… No…….. No se………
Frecuentemente
11%
Pocas veces 41%
Nunca 48%
Respuestas Frecuencia Porcentaje
Si 25 28%
No 43 48%
No sé 22 24%
Total 90 100%
44
Figura # 9: Fuente: Autor
Casi la mitad de los encuestados señala que no se cambian periódicamente las
claves de acceso mientras que prácticamente la mitad del resto no sabe si se
cambian o no. En definitiva casi un 75% no tiene referencias sobre cambios de
clave.
Pregunta No 3. ¿Las claves de acceso a los diferentes sistemas como
recaudación de impuesto predial, seguimiento de documentos, pago de
patentes y mas, son renovadas permanentemente ?.
Si…… No…….. No se………
Si 28%
No 48%
No sé 24%
Respuestas Frecuencia Porcentaje
Si 13 14%
No 46 51%
No sé 31 34%
Total 90 100%
45
Figura # 10: Fuente: Autor
En forma similar a la pregunta anterior, las claves de acceso a los sistemas
tampoco son renovadas periódicamente y esto permite que sistemas como el
de cobro de impuestos prediales, patentes y más, eleven su riesgo operativo al
mantener claves durante mucho tiempo.
Pregunta No 4. ¿Debido a su acceso a Internet, le han llegado virus o correos
peligrosos denominados spam?.
Si 15%
No 51%
No sé 34%
Respuestas Frecuencia Porcentaje
Frecuentemente 54 60%
Pocas veces 28 31%
Nunca 8 9%
Total 90 100%
46
Figura # 11: Fuente: Autor
Un elevado porcentaje ha sufrido la problemática de los virus y de los correos
electrónicos no deseados, esto quiere decir que no hay un control en estos
aspectos.
Pregunta No 5. ¿Cambia usted periódicamente sus claves de acceso para su
computador ?.
Si….. Rara vez ……. Nunca……..
Respuestas Frecuencia Porcentaje
Si 16 18%
Rara vez 31 34%
Nunca 43 48%
Total 90 100%
Frecuentemente 60%
Pocas veces 31%
Nunca 9%
47
Figura # 12: Fuente: Autor
Prácticamente la mitad de los encuestados nunca cambian su clave de acceso
y del resto un 35% dice que lo hace rara vez, en total estamos hablando de un
85% que no actualizan frecuentemente su clave.
Pregunta No 6. ¿Cree necesario mejorar los niveles de seguridad de acceso a
redes y sistemas de tipo informático en el Municipio?
Si…. No…… No sé………….
Respuestas Frecuencia Porcentaje
Si 55 61%
No 22 24%
No sé 13 14%
Total 90 100%
Si 18%
Rara vez 34%
Nunca 48%
48
Figura # 13: Fuente: Autor
La gran mayoría considera muy necesario mejorar los niveles de seguridad
informática que mantiene la Institución, especialmente en algunos elementos
tecnológicos como redes y sistemas.
Resultados de la encuesta realizada a los funcionarios del departamento
de sistemas
Pregunta No 1. ¿Considera usted que los niveles de seguridad en las redes
Institucionales es?
Bajo……… Medio………. Alto………….
Si 61%
No 24%
No sé 15%
Respuestas Frecuencia Porcentaje
Bajo 6 55%
Medio 4 36%
Alto 1 9%
49
Figura # 14: Fuente: Autor
Los técnicos del departamento consideran que el nivel de seguridad informática
de la Institución es muy bajo y que debe ser obligatoriamente mejorado para
así disminuir los riesgos operativos.
Pregunta No 2. ¿Catalogue el nivel de la infraestructura existente (firewall
físicos, redes perimetrales y más) para proteger la red principal de la
Institución?.
Buena……… Regular………….. Mala……………
Bajo 55%
Medio 36%
Alto 9%
Total 11 100%
Respuestas Frecuencia Porcentaje
50
Figura # 15: Fuente: Autor
Más de la mitad creen que la infraestructura tecnológica de la Institución está
en niveles de regular y mala en lo referente a seguridad informática.
Pregunta No 3. ¿Qué nivel de seguridad cree usted que existe a nivel de
software para controlar virus, correos peligrosos y descargas dañinas o muy
grandes?.
Bajo…… Medio……. Alto……….
Buena 0%
Regular 36%
Mala 64%
Buena 0 0%
Regular 4 36%
Mala 7 64%
Total 11 100%
Respuestas Frecuencia Porcentaje
51
Figura # 16: Fuente: Autor
Se manifiesta que a nivel de software igualmente se tiene niveles muy bajos de
seguridad informática y que aspectos como el control de virus, descargas
dañinas o muy grandes deben ser contraladas de mejor manera al interior de la
Institución.
Pregunta No 4. ¿El departamento controla y renova frecuentemente las claves
de sistemas y acceso a equipos?.
Bajo 55%
Medio 45%
Alto 0%
Bajo 6 55%
Medio 5 45%
Alto 0 0%
Total 11 100%
Respuestas Frecuencia Porcentaje
Si 1 9%
A vecs 2 18%
52
Si ……………. No……………..
A
veces………………
Figura # 17: Fuente: Autor
El departamento no tiene un control sobre claves de acceso asignadas a los
usuarios. Esto hace que no haya una renovación constante de las mismas y al
mantenerse ellas por largo tiempo, genera una inseguridad y por ende eleva el
nivel de riesgo.
Si 9%
A vecs 18%
No 73%
No 8 73%
Total 11 100%
53
Pregunta No 5. ¿El departamento de sistemas ha definido políticas de
seguridades que hayan tenido influencia directa en toda la Institución?.
Si………….. No……………….
Figura # 18: Fuente: Autor
Se manifiesta que el departamento de Sistemas, lamentablemente no ha
definido políticas de seguridad que afecten globalmente a la Institución. Esto
implica que no se trabajo en la planificación tecnológica, específicamente en el
campo de la seguridad informática.
Si 0%
No 100%
Respuestas Frecuencia Porcentaje
Si 0 0%
No 9 100%
Total 9 100%
54
Pregunta No 6. ¿Cree importante definir un plan de seguridades para aplicarlo
en la Institución?.
Si………….. No……………….
Respuestas Frecuencia Porcentaje
Si 9 100%
No 0 0%
Total 9 100%
Figura # 19: Fuente: Autor
Todos los investigados señalan que sería muy importante un plan de
seguridades informáticas para elevar el nivel de confianza en la realización de
las operaciones administrativas de la entidad municipal.
Si 100%
No 0%
55
Entrevista realizada al Director del Departamento de Sistemas
El Ingeniero Wilmer Cherrez Director del Departamento de Sistemas del
Municipio señala lo siguiente con relación a nuestros requerimientos:
¿En qué porcentaje cree usted que la gestión operativa Municipal se
apoya en el aparato tecnológico?.
Cada día, la dependencia de la estructura tecnológica es mayor en la
Institución, considero que la gestión operativa Institucional depende en un 85-
90% de la tecnología, esto dependencia permite generar servicios rápidos,
eficaces y dinámicos.
¿Qué niveles de seguridad informática se tienen actualmente en el
Municipio?.
Cuesta mucho decirlo, pero lamentablemente los niveles de seguridad
informática son muy bajos, el departamento de sistemas especialmente se ha
dedicado a incorporar la tecnología en los diferentes procesos pero no se han
definido políticas ni normas para elevar las seguridades informáticas de la
estructura tecnológica. Hoy en día no se han tenido todavía mayores
dificultades por accesos indebidos pero como ya están brindando servicios en
línea ahí se hace imprescindible dicho proceso de seguridades.
¿Qué niveles de seguridad existen en las redes institucionales?.
Todas las redes inalámbricas tienen su respectiva clave, pero lamentablemente
dicha clave no ha sido renovada, esto quiere decir que ya la conoce todo el
mundo. También hay que señalar que no existen redes perimetrales como
elementos de seguridad ni firewall físicos.
56
¿Existe una cultura de seguridad en el personal?.
No se tiene una cultura por la seguridad informática, muchos equipos tienen sus
claves de acceso pero no se cambian nunca ni tampoco las administra el
departamento de sistemas.
¿Considera necesario un plan de seguridad informática para la
Institución?
Dado el desarrollo tecnológico, hoy en día se hace imprescindible un plan de
seguridad informática institucional, este debe proveer principalmente aspectos
relacionados con seguridades contra accesos indebidos, y el respaldo
permanente de la información.
57
2.3 Propuesta del Investigador
En base al diagnóstico previo realizado, se puede deducir que la solución a la
problemática planteada en la introducción, consiste en desarrollar un Plan de
Seguridad Informática.
El Objetivo general de esta propuesta, se lo estructura de la siguiente forma:
Desarrollar un plan de seguridad informática, orientado especialmente al área
de redes y sistemas y en el cual se tengan estrategias como control de acceso
a redes inalámbricas, a redes externas, control de ingresos indebidos,
renovación frecuente de claves, respaldo de información y más.
Se espera que luego de haber aplicado en la Institución el plan de seguridad
informática se produzca un descenso significativo de los riesgos operativos que
se tienen en la entidad Municipal.
La Solución estará estructurada de la siguiente manera:
Figura # 20: Fuente: Autor
Iniciando la descripción puntual de nodos críticos se evalúa la probabilidad de
ocurrencia de los distintos riesgos a los que se encuentra sometida la red
corporativa, con el objetivo de diseñar los controles preventivos y correctivos a
DESCRIPCIÓN PUNTUAL DE LOS NODOS
CRÍTICOS
DISEÑO DE LAS ESTRATEGIAS
DEL PLAN RESPECTIVO
RESUMEN DE ESTRATEGIAS Y CRONOGRAMA DE APLICACION
58
los que se considera más críticos y causan más impacto para la administración.
Inicialmente se plantea un cuadro con los principales riesgos de seguridad
informática que se tiene en la Institución.
Tabla: Elementos vs Riesgos
RIESGOS SUMINISTROS
PÚBLICOS FALTA DE
SEGURIDAD
ELEMENTOS CATASTRÓ
FICOS TÉCNICOS HUMANOS
SERVIDORES
Incendio, explosión, desastres naturales
Falta de mantenimiento, estandarización, información vital
Falta de conocimiento, errores y omisiones, falta de privacia
Falta de energía, fallas en las comunicaciones
Sabotaje, hurto, retiro de personal
ANTENAS Desastres naturales
Falta de mantenimiento, estandarización, información vital
Falta de conocimiento, errores y omisiones
Falla de energía, fallas en las comunicaciones
Hurto, retiro de personal
ROUTERS
Incendio, explosión, desastres naturales
Falta de mantenimiento, estandarización, información vital
Falta de conocimiento, errores y omisiones
Falla de energía, fallas en las comunicaciones
Hurto, retiro de personal
SWITCHES, HUBS
Incendio, explosión, desastres naturales
Falta de mantenimiento, estandarización, información vital
Falta de conocimiento, errores y omisiones
Falla de energía, fallas en las comunicaciones
Hurto, retiro de personal
SISTEMA ENERGIA
Incendio, explosión, desastres naturales
Estandarización, información vital
Errores y omisiones
Falla de energía. Sabotaje
CABLEADO
Incendio, explosión, desastres naturales
Estandarización, información vital
Errores y omisiones
Falla de energía, fallas en las comunicaciones
Sabotaje, hurto, retiro de personal
ESTACIONES USUARIO FINAL
Incendio, explosión, desastres naturales
Falta de mantenimiento, estandarización, información vital
Falta de conocimiento, errores y omisiones
Falla de energía, fallas en las comunicaciones
Sabotaje, hurto, retiro de personal
ENTORNO FÍSICO
Incendio, explosión, desastres naturales
Errores y omisiones
Falla de energía, fallas en las comunicaciones
Cuadro # 1: Fuente: Investigación;” Tabla: Elementos vs Riesgos”
59
Como se mencionó anteriormente, el objetivo de esta tesis consiste en
Desarrollar un plan de seguridad informática, para que mediante su aplicación
se pueda disminuir los riesgos operativos del Municipio de Quevedo. A
continuación se describen las etapas en las cuales está dividido el Plan de
Seguridad Informática.
Seguridad en las Comunicaciones.
Seguridad de las Aplicaciones.
Seguridad lógica de la información.
Seguridad física
2.3.1 Seguridad de las Comunicaciones
En esta parte del trabajo se analizó y se evaluó aspectos relacionados a la
seguridad en las comunicaciones como son los datos transmitidos, los
dispositivos que son usados, entre otros, comprobando el cumplimiento de las
normas de seguridad de la información.
La estructura general de la red es:
Figura # 21: Fuente: Autor
60
Los equipos que dispone el Municipio en sus diferentes departamentos son:
Los planos de red de varios departamentos son:
DEPARTAMENTOS EQUIPOS
SISTEMAS 7 FISCALIZACIÓN 4 SERVIDORES 2 TESORERÍA 5 OBRAS PUBLICAS 3 ORDENAMIENTO TERRITORIAL 1 CONSEJO Y JUNTA CANTONAL DE PROTECCIÓN DE LOS NIÑOS 3
JURÍDICO 3 ALCALDÍA Y ASESORÍA 3 DIRECCIÓN DE PLANIFICACIÓN Y URBANISMO 3 DEPARTAMENTO DE DIBUJO 1 RENTAS 4 DIRECCIÓN FINANCIERA Y PRESUPUESTO 4 CONTABILIDAD 5 DIRECCIÓN DE RECURSOS HIDRÁULICOS (AGUA POTABLE) 2
DIRECCIÓN DE TALENTO HUMANO Y RECURSOS HUMANOS 3
DEPARTAMENTO DE AVALÚOS Y CATASTROS 3 JEFATURA DE PROVEEDURÍA 2 JEFATURA DE GUARDA ALMACÉN 2 RECAUDACIÓN 5 DIRECCIÓN DE HIGIENE AMBIENTAL 3 COMISARIA DE CONSTRUCCIÓN 3 JEFATURA DE COACTIVAS 2
TOTAL 73
61
Figura # 22: Fuente: Autor, “Planos del Municipio de Quevedo”
62
Figura # 23: Fuente: Autor, “Planos del Municipio de Quevedo”
63
Las direcciones IP asignadas a los diferentes equipos de cómputos en la
Municipalidad es la siguiente:
DEPARTAMENTOS EQUIPOS IP RANGO
DESDE HASTA
SISTEMAS SERV. DATS. 10.10.1.1 10.10.1.1 10.10.1.10
SERV. INT. 10.10.1.2
ANLS. SISTEMAS I
10.10.1.3
ASISTENTE DE S.
10.10.1.4
AUXILIAR DE S. 10.10.1.5
LAPTOS 10.10.1.6
FISCALIZACION FISCALIZADOR I 10.10.1.11 10.10.1.11 10.10.1.20
FISCALIZADOR II 10.10.1.12
TESORERIA Y RECAUDACION
TESORERO 10.10.1.21 10.10.1.21 10.10.1.30
ASISTENTE DE T.
10.10.1.22
RECAUDA I 10.10.1.23
RECAUDA II 10.10.1.24
RECAUDA III 10.10.1.25
OBRAS PUBLICAS, ORDENAMIENTO
TERRITORAL
O.O.P.P. 10.10.1.31 10.10.1.31 10.10.1.40
ORD. TERRITORIAL
10.10.1.40
CONSEJO Y JUNTA CANTONALDE
PROTECCION DE LOS NIÑOS Y NIÑAS ADOLECENTES
JEFE 10.10.1.41 10.10.1.41 10.10.1.50
ASISTENTE 10.10.1.42
SECRETARIA 10.10.1.43
ASESORIA JURIDICA SINDICO 10.10.1.61 10.10.1.61 10.10.1.70
ABOGADO 1 10.10.1.62
ABOGADO 2 10.10.1.63
ALCALDIA Y ASESORIA ALCALDE 10.10.1.71 10.10.1.71 10.10.1.80
64
DE ALCALDE (LAPTOS)
SECRETARIA ALC.
10.10.1.72
ASESOR (LAPTO)
10.10.1.73
ASIST. DE ASESOR
10.10.1.74
SECRET. ASESOR
10.10.1.75
DEP. DE DIBUJO PLANIF Y URBANISMO
DIRECT. PLANF 10.10.1.81 10.10.1.81 10.10.1.90
SECRETARIA 10.10.1.82
DIBUJO 10.10.1.83
JEFATURA DE RENTAS JEFE RENTAS 10.10.1.91 10.10.1.91 10.10.1.100
VENTANILLA I 10.10.1.92
VENTANILLA II 10.10.1.93
DIRECCION FINANCIERA Y PRESUPUESTO
DIRECTOR F. 10.10.1.101 10.10.1.101 10.10.1.110
ASIST. FINANC 10.10.1.102
JEFE. DE PRES. 10.10.1.103
ASIST. PRES. 10.10.1.104
AUXILIAR DE S. 10.10.1.105
LAPTOS 10.10.1.106
JEFATURA DE CONTABILIDAD
JEFE (CONTADOR)
10.10.1.111 10.10.1.111 10.10.1.120
ASISTENTE DE C.
10.10.1.112
SECRETARIA 10.10.1.113
AUX. CONTB 10.10.1.114
CONTADOR I 10.10.1.115
DIRECCION DE TALENTO HUMANO Y
RECURSOS HUMANOS
DIRECTOR T.H 10.10.1.121 10.10.1.121 10.10.1.130
ASIST. DE R.H 10.10.1.122
JEFE DE R.H 10.10.1.123
DIRECCION DE RECURSOS
HIDRAULICOS (AGUA POTABLE)
JEFE 10.10.1.131 10.10.1.131 10.10.1.140
SECRETARIO 10.10.1.132
65
DEPARTAMENTO DE AVALUOS Y CATASTROS
JEFE DE CATAST.
10.10.1.141 10.10.1.141 10.10.1.150
ASIST. DE CATAST
10.10.1.142
SECRETARIA 10.10.1.143
JEFATURA DE
PROVEEDURIA Y GUARDALMACEN
JEFE DE PROV. 10.10.1.151 10.10.1.151 10.10.1.160
ASIST. DE PROV. 10.10.1.152
JEFE DE GUARD.
10.10.1.153
ASIST. DE GUARD
10.10.1.154
HIGIENE AMBIENTAL COMISARIA DE
CONSTRUCCION Y MUNICIPAL
DIRECTOR H.A 10.10.1.161 10.10.1.161 10.10.1.170
JEFE DE C.C 10.10.1.162
JEFE DE C.M 10.10.1.163
JEFATURA DE COACTIVAS
DIRECTOR H.A 10.10.1.171 10.10.1.171 10.10.1.180
JEFE DE C.C 10.10.1.172
JEFE DE C.M 10.10.1.173
Cuadro # 2: Fuente: Investigación;” Tabla: Direcciones IP”
2.3.1.1 Procesos de control a implementar:
Entre los procesos de seguridad a implementar a nivel de redes tenemos:
Estructuración de la red DMZ
Una red perimetral o DMZ es una red local que se ubica entre la red interna
de una organización y una red externa, generalmente Internet. El objetivo de
una DMZ es que las conexiones desde la red interna y la externa a la DMZ
estén permitidas, mientras que las conexiones desde la DMZ sólo se permitan
a la red externa, es decir: los equipos locales (hosts) en la DMZ no pueden
conectar con la red interna. Esto permite que los equipos (hosts) de la DMZ’s
puedan dar servicios a la red externa a la vez que protegen la red interna en el
caso de que intrusos comprometan la seguridad de los equipos (host) situados
en la zona desmilitarizada. Para cualquiera de la red externa que quiera
66
conectarse ilegalmente a la red interna, la zona desmilitarizada se convierte en
un callejón sin salida.
Figura # 24: Fuente: “http://www.monografias.com/seguridadinformatica”
En la red perimetral se sitúan servidores que requieren acceso selectivo, tanto
desde dentro como desde fuera del cortafuegos, entre estos servidores
tenemos :Servidores de corre (SMTP), servidores web (HTTP) externos, los
servidores de nombre de dominio (DNS) y los servidores RAS (Remote Access
Service) donde se encuentra la batería del modem, los servidores VPN o los
servidores FTP.
Objetivo de la actividad: Dotar a la institución de un anillo de seguridad
externa controlando accesos de varias formas.
Planificación de Actividades:
o Definir la estructura
o Definir elementos
o Configurar firewall
o Estructuración de Honeypots
o Configuración de firewall complementarios y físicos
o Wpa y Wpa2
67
A continuación se desarrollan las diferentes actividades planificadas en la
sección anterior
Actividad Definir estructura: Para nuestra propuesta se ha definido un
firewall por filtrado de paquetes o de nivel 3, se basa en un router capaz de
actuar sobre las PDU (Unidades de datos de protocolos) de nivel de red de la
pila de protocolos, que bloquea o reenvia los paquetes autorizados. Examina
las cabeceras TCO o UDP de cada paquete que circula a través del cortafuego,
en cada dirección, filtrando los paquetes en cada función de las direcciones IP
origen o destino y de los números de puerto origen y destino, como el puerto 25
SMTP de envío de correo, concediendo o denegando el acceso.
Figura # 25: Fuente: Autor
Las características que ofrecerá la DMZ diseñada será:
- Filtrado de paquetes a cualquier zona
- NAT, Mapero Bidireccional
- Colas de tráfico y Prioridad
- Balanceo de carga a servicios
- Filtrado de contenido (web-cache)
- Monitoreo de tráfico en interfaces vía netfow
68
Actividad Equipos y software
Para la construcción de este cortafuego en la red perimetral necesitamos:
1 Computador que hará de maquina expuesta o Bastión
Características: Microprocesador I3, Memoria RAM de 1 Giga, Disco duro de
150 Gigas, 3 tarjetas de red, pórticos serial y paralelo.
1 Router, 2 Switch, Sistema operativo Linux, Squid, IPTABLES
Figura # 26: Fuente: http://www.pello.info/filez/firewall/Firewalls6.jpg
Esta estrategia tiene un presupuesto de 4000 dólares
Actividad Configuraciones del firewall
Direccionamiento
69
Dispositivo Dirección IP
Router Dlink DIR 655 192.168.1.1
Pc Bastión T1 Expuesta 192.168.1.2
Pc Red DMZ T2 192.168.3.1
Pc Red Lan T3 192.168.10.1
Servidor mail 192.168.3.2
Servidor www 192.168.3.3
Pc Lan 1 192.168.10.2
En este tipo de firewall hay que permitir:
- Acceso de la red local a internet.
- Acceso público al puerto tcp/80 y tcp/443 del servidor de la DMZ
- Acceso del servidor de la DMZ a una BBDD de la LAN
La configuración utilizando IPTABLES será:
#!/bin/sh
## SCRIPT de IPTABLES - ejemplo del manual de iptables
echo -n Aplicando Reglas de Firewall...
## FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
## Establecemos politica por defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
70
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
## Empezamos a filtrar
## Nota: eth0 es el interfaz conectado al router y eth1 a la LAN
# Todo lo que venga por el exterior y vaya al puerto 80 lo redirigimos
# a una maquina interna
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to
192.168.3.2:80
# Los accesos de un ip determinada HTTPS se redirigen e esa
# maquina
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j DNAT --to
192.168.3.2:443
# El localhost se deja (por ejemplo conexiones locales a mysql)
/sbin/iptables -A INPUT -i lo -j ACCEPT
# Al firewall tenemos acceso desde la red local
iptables -A INPUT -s 192.168.10.0/24 -i eth1 -j ACCEPT
# Ahora hacemos enmascaramiento de la red local y de la DMZ
# para que puedan salir haca fuera
# y activamos el BIT DE FORWARDING (imprescindible!!!!!)
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.3.0/24 -o eth0 -j MASQUERADE
# Con esto permitimos hacer forward de paquetes en el firewall, o sea
# que otras máquinas puedan salir a traves del firewall.
echo 1 > /proc/sys/net/ipv4/ip_forward
## Permitimos el paso de la DMZ a una BBDD de la LAN:
iptables -A FORWARD -s 192.168.3.2 -d 192.168.10.5 -p tcp --dport 5432 -j
ACCEPT
71
iptables -A FORWARD -s 192.168.10.5 -d 192.168.3.2 -p tcp --sport 5432 -j
ACCEPT
## permitimos abrir el Terminal server de la DMZ desde la LAN
iptables -A FORWARD -s 192.168.10.0/24 -d 192.168.3.2 -p tcp --sport
1024:65535 --dport 3389 -j ACCEPT
# … hay que hacerlo en uno y otro sentido …
iptables -A FORWARD -s 192.168.3.2 -d 192.168.10.0/24 -p tcp --sport 3389 --
dport 1024:65535 -j ACCEPT
# … por que luego:
# Cerramos el acceso de la DMZ a la LAN
iptables -A FORWARD -s 192.168.3.0/24 -d 192.168.10.0/24 -j DROP
## Cerramos el acceso de la DMZ al propio firewall
iptables -A INPUT -s 192.168.3.0/24 -i eth2 -j DROP
## Y ahora cerramos los accesos indeseados del exterior:
# Nota: 0.0.0.0/0 significa: cualquier red
# Cerramos el rango de puerto bien conocido
iptables -A INPUT -s 0.0.0.0/0 -p tcp -dport 1:1024 -j DROP
iptables -A INPUT -s 0.0.0.0/0 -p udp -dport 1:1024 -j DROP
# Cerramos un puerto de gestión: webmin
iptables -A INPUT -s 0.0.0.0/0 -p tcp -dport 10000 -j DROP
echo " OK . Verifique que lo que se aplica con: iptables -L -n"
# Fin del script
72
Actividad Honeypots
Un honeypot o señuelo es un sistema diseñado expresamente para aprender
nuevos tipos de ataque, analizando la identidad del enemigo, desde donde
ataca, que tipo de tácticas y estrategias utiliza, que herramientas emplea y
cuáles son sus objetivos. El objetivo principal de los honeypots no es detener
los ataques, sino precisamente lo contrario, es decir facilitar al atacante un
entorno en el que pueda realizar cualquier acción para comprometer la
seguridad de todo o parte de nuestro sistema. De esta manera se pretende
registrar todas las acciones del intruso sin que este sepa que está siendo
vigilado, para aprender nuevas formas de agresión, que posteriormente se
podrán evitar mediante la reconfiguración de los dispositivos de red, de los
firewall o de los elementos de detección y respuesta a intrusos.
Figura # 27: Fuente: Autor
Para el proceso de control en la red perimetral necesitamos de los siguientes
recursos:
73
1 Computador con especificaciones mínimas, puede ser P4 Dual Core,
Memoria Ram de 1 Mega, Tarjeta de red y disco duro de 40Gigas.
Software instalado: Windows 2000 Server y activado el cortafuegos interno.
Software HoneyBOT.- es una solución honeypot de baja interacción para
Windows, gratuita que podemos instalar con un solo click y sin más
complicaciones en un pc de nuestra red local, o en un terminal dedicado,
después de su instalación, solamente hay que configurarlo adaptándolo a
nuestras necesidades y gustos.
Direccionamiento: Como se va a incluir en la zona desmilitarizada se lo hará
con la dirección IP 192.168.3.8
El software HoneyBOT puede ser descargado de la siguiente dirección:
http://www.atomicsoftwaresolutions.com/download.php.
HoneyBOT.- imita y escucha servicios vulnerables. Cuando un atacante se
conecta a estos servicios es engañado, haciéndole creer que está atacando a
un servidor real. El honeypot capta todas las comunicaciones con el atacante y
registra los resultados para el análisis futuro. En caso de que un
atacante intentara explotar o subir un rootkit, o un troyano en el servidor,
“honeypot” puede almacenar estos archivos en su equipo para la recolección de
malware y el propósito del análisis.
74
Actividad Firewall complementarios.
El firewall lógico existente en la Institución es un servicio que se encuentra
integrado en el kernel de Linux el cual fue configurado de manera que se
prohíben todos los servicios y solo se habilitan los que se necesitan en lo que
se conoce como negación prestablecida en resumen se discriminan tres clases
de paquetes:
Los que ingresan.
Los que salen.
Los que se encuentran en tránsito.
Con esto lo que no se especifique explícitamente está prohibido, es decir que
no tienen permitido el acceso los paquetes que ingresan ni los que están en
tránsito, solo los que salen pueden hacerlo sin problema, entre las reglas más
importantes tenemos las siguientes:
Se aplica NAT los paquetes que van o vienen de la red interna
colocándole la IP del servidor para evitar que sea conocida la IP del
origen, y cuando el paquete vuelve se realiza la acción contraria
Todo lo que tenga como destino los puertos 8080, 80, 8088, (HTTP), se
re direcciona al proxy.
Lo que respecta a los puertos de salida no hay ninguna restricción.
Esta permitido los Loop Back en la red.
Se permite la sincronización horaria y por ende el puerto de entrada que
utiliza (Servicios de Date y Time).
El puerto de ingreso 22 (SSH) está habilitado.
Los paquetes en tránsito son aceptados solo si provienen de la red
interna.
A todos los puertos altos (Mayores al 1023) se les permite el acceso ya
que de estos vienen todas las conexiones TCP/IP de cualquier cliente.
75
Está prohibido el acceso a todos los puertos bajos (Menores a 1023), a
excepción de los explícitamente permitidos como el 22 que pertenece a
SSH.
Los siguientes servicios o se encuentran bloqueados explícitamente, pero es
posible acceder a ellos a través de SSH:
No se han deshabilitados servicios como los de Login y los de Shell lo
que quiere decir que se puede acceder a servicios remotos como son
RLOGIN, REXED entre otros.
Se encuentra habilitado el servicio TALK (chat entre maquinas).
Se encuentra habilitado el servicio FINGER (información de los datos del
usuario logeado a la maquina).
Se encuentra habilitado el servicio SYSTAT (datos del estado del
sistema).
Hay servicios que están habilitados permanente pero no son de necesidad en la
red como por ejemplo el FTP que lo usan los usuarios externos para actualizar
y subir información de manera mensual. En el servidor se usa una política
denominada on demand que permite activar ciertos puertos cuando son
necesarios para un determinado proceso o tarea, el mantenimiento de los
sistemas lo realiza una empresa externa la cual accede al servidor a través de
una conexión cifrada SSH que es mucho más segura que usar telnet donde la
información viaja en la red en texto plano el cual es de fácil interceptación con el
simple uso de un sniffer.
Firewall físico.- Se sugiere como medida de seguridad complementaria,
adquirir un cortafuego o firewall físico para evitar que los usuarios
desautorizados de Internet tengan acceso a las redes privadas conectadas con
Internet, especialmente intranets. Todos los mensajes que entran o salen de la
Intranet pasan a través del cortafuegos, que examina cada mensaje y bloquea
los que no cumplen los criterios de seguridad especificados.
76
Es importante recordar que un cortafuego no elimina problemas de virus del
ordenador, sino que cuando se utiliza conjuntamente con actualizaciones
regulares del sistema operativo y un buen software antivirus, añadirá cierta
seguridad y protección adicionales para tu ordenador o red.
El firewall que se sugiere instalar, son elementos que se pueden configurar y
personalizar ajustándose a las seguridades y necesidades de la Municipalidad.
Esto significa que puedes añadir o quitar filtros basándote en varias
condiciones. Algunas de ellas son:
Direcciones IP.- Cada computador que esté conectado a la red de Municipio
con conexión a internet es asignado con una única dirección identificativa
llamada dirección IP, La cual permitirá identificar el equipo que está unido a la
red.
Nombres de dominio.- Al ser difícil recordar tantos números que forman las
direcciones IP y porque estos números pueden cambiar, los servidores en
Internet tienen nombres legibles llamados nombres de dominio. Esta
conversión la hacen los llamados DNS y los firewalls de las compañías pueden
también bloquear el acceso a ciertos nombres de dominio o permitir solo
algunos.
Protocolos.- El protocolo en un firewall es la manera de que alguien accede a
un servicio usando ciertos números de puerto o “entradas” a ciertas
aplicaciones. Ese “alguien” suele ser un programa de ordenador como por
ejemplo un navegador. Los protocolos normalmente describen como el cliente y
el servidor tendrá una “conversación” al conectarse. Algunos de los protocolos
que puedes configurar en el firewall son:
IP – Es el sistema principal para entregar información sobre la Internet.
TCP – Se usa para partir y volver a unir información que viaja por Internet.
http – Se usa en las páginas Web.
77
FTP – El protocolo FTP se usa para subir y descargar archivos de un sitio a
otro.
UDP – Se usa para información que no necesita respuesta de vuelta, como por
ejemplo el “streaming” o el uso de audio o video en tiempo real por Internet.
SMTP - Es el que se usa en el correo por Internet. Telnet – Para poder
conectarse a una máquina y realizar comandos de forma remota.
ICMP – Los usan ciertos elementos de red para intercambiar información con
otros dispositivos.
Cualquier máquina o servidor hace que sus servicios estén disponibles en
Internet usando unos puertos numerados, uno para cada servicio disponible en
el servidor. Por ejemplo, si un servidor tiene habilitado http y FTP, entonces
normalmente estará habilitando el puerto 80 para la Web y el puerto 21 para
FTP. El Gobierno Municipal de Quevedo restringirá a dos o tres personas para
que puedan utilizar FTP.
El firewall también se lo configurara para filtrar ciertas palabras y frases; e
incluso todo tipo de variaciones y combinaciones. La unidad de firewall se
considera el Gateway casi siempre, este tipo de firewalls son considerado muy
seguros.
El equipo que se debe adquirir es el siguiente:
Descripción del producto 3Com OfficeConnect Gigabit VPN Firewall -
aparato de seguridad
Tipo de dispositivo Aparato de seguridad
78
Dimensiones (Ancho x
Profundidad x Altura) 29.3 cm x 34.1 cm x 9.6 cm
Peso 2.5 kg
Protocolo de interconexión de
datos Ethernet, Fast Ethernet, Gigabit Ethernet
Red / Protocolo de transporte TCP/IP, PPTP, UDP/IP, L2TP, IPSec, PPPoE
Protocolo de gestión remota SNMP 2c, HTTP, HTTPS, SSH
Rendimiento Capacidad VPN (IPSec) : 80 Mbps ¦ Capacidad del
cortafuegos : 500 Mbps
Capacidad Conexión / cantidad de usuarios : 253
Características
Protección firewall, puerto DMZ, auto-sensor por
dispositivo, soporte de NAT, asistencia técnica
VPN, soporte para PAT, equilibrio de carga, señal
ascendente automática (MDI/MDI-X automático),
limitación de tráfico, Stateful Packet Inspection
(SPI), prevención contra ataque de DoS
(denegación de servicio), filtrado de paquetes,
copia de puertos, Cola Round Robin (WRR)
ponderada, filtrado de URL, soporte SNTP,
prevención de ataque DDos, soporte de Access
Control List (ACL), Quality of Service (QoS), IPSec
NAT-Traversal (NAT-T), Servidor DHCP
Valor del equipo 5.290,00
Figura # 28: Fuente: 3Com
El uso de la política de seguridad de red debe proteger las redes y riesgos y
pérdidas asociadas con recursos de red y seguridad. Las Políticas de Seguridad
de Red son la responsabilidad de encontrar una reputación así como
responsabilidad potencial.
Seguridades en redes inalámbricas.- Las políticas a implementar son en 3
sentidos:
79
Proteger los datos durante su transmisión mediante el cifrado.
Desalentar a los usuarios no autorizados mediante autenticación.
Impedir conexiones no oficiales mediante la eliminación de puntos de
acceso dudosos.
WPA y WPA2.- Estas certificaciones de seguridad basadas en normas de la
Wi-Fi Alliance para LAN de grandes empresas, empresas en crecimiento y para
la pequeña oficina u oficinas instaladas en el hogar proporcionan autenticación
mutua para verificar a usuarios individuales y cifrado avanzado. WPA
proporciona cifrado de clase empresarial y WPA2, la siguiente generación de
seguridad Wi-Fi, admite el cifrado de clase gubernamental. "Recomendamos
WPA o WPA2 para las implementaciones de LAN inalámbrica en grandes
empresas y empresas en crecimiento", comenta Jeremy Stieglitz, gerente de
productos de la unidad comercial de Conexión de Redes Inalámbricas de Cisco.
"WPA y WPA2 ofrecen control de acceso seguro, cifrado de datos robusto y
protegen la red de los ataques pasivos y activos".
Política de seguridad inalámbrica En algunos casos, puede haber parámetros de seguridad diferentes para
usuarios o grupos de usuarios diferentes de la red. Estos parámetros de
seguridad pueden establecerse utilizando una LAN virtual (VLAN) en el punto
de acceso. Por ejemplo, puede configurar políticas de seguridad diferentes para
grupos de usuarios diferenciados dentro de la compañía, como por ejemplo, los
de finanzas, jurídico, manufactura o recursos humanos. También puede
configurar políticas de seguridad independientes para clientes, partners o
visitantes que acceden a la LAN inalámbrica. Esto le permite utilizar un solo
punto de acceso de forma económica para ofrecer soporte a varios grupos de
usuarios con parámetros y requisitos de seguridad diferentes, mientras la red se
mantiene la segura y protegida.
80
La seguridad de LAN inalámbrica, aun cuando está integrada en la
administración general de la red, sólo es efectiva cuando está activada y se
utiliza de forma uniforme en toda la LAN inalámbrica. Por este motivo, las
políticas del usuario son también una parte importante de las buenas prácticas
de seguridad. El desafío es elaborar una política de usuarios de LAN
inalámbrica que sea lo suficientemente sencilla como para que la gente la
cumpla, pero además, lo suficientemente segura como para proteger la red.
Actualmente, ese equilibrio es más fácil de lograr porque WPA y WPA2 se
incorporan a los puntos de acceso Wi-Fi y los dispositivos de cliente
certificados.
Pasos prácticos que dar
Activaremos las funciones de seguridad inherentes a los puntos de acceso y
las tarjetas de interfaz. Esto se realiza normalmente ejecutando un programa
de software suministrado con el equipo inalámbrico.
El mismo programa que activa las funciones de seguridad inalámbrica
probablemente mostrará también la versión del firmware que utilizan los
puntos de acceso. (El firmware es el software utilizado por dispositivos como
los puntos de acceso o los routers.) Consulte el sitio web del fabricante del
dispositivo para conocer la versión más actualizada del firmware y actualizar
el punto de acceso si no lo está. El firmware actualizado hará que la red
inalámbrica sea más segura y confiable.
Sistema de Detección de Intrusos (IDS)
Los sistemas informáticos se apoyan en los Sistemas de Detección de
Intrusiones (IDS -de sus siglas en inglés) para prepararse y ocuparse del mal
manejo y del uso indebido de la información de una organización. Logran esta
meta, recopilando la información de una gran variedad de fuentes del sistema y
81
de la red y analizando la información que contribuye a los síntomas de los
problemas de seguridad de la misma, y permiten que el usuario especifique las
respuestas en tiempo real a las violaciones.
Los productos de detección de intrusos son aplicaciones que monitorean
activamente los sistemas operativos y el tráfico de red, con el objeto de detectar
ataques y violaciones a la seguridad.
Es decir, los IDS son herramientas de seguridad en red que recopilan
información de una variedad de fuentes del sistema, analizan la información de
los parámetros que reflejan el uso erróneo o la actividad inusual, responden
automáticamente a la actividad detectada, y finalmente informan el resultado del
proceso de la detección.
Se recomienda la compra del servicio de Cisco para la detección de intrusos,
este servicio incluye hardware y software así como una actualización
permanente de firmas digitales para el caso de virus. Los dispositivos
recomendados son:
Cisco asa 5512-x IPS (Intrusion Prevention System)
Un componente clave del Marco de Cisco SECUREX, el Cisco ASA 5500 Series
integra firewall más probada del mundo con un conjunto robusto de alta escala de
integración, servicios de seguridad líderes en el mercado de redes de todos los
tamaños - pequeñas empresas y medianas empresas con una o unas pocas
localidades, las grandes empresas, proveedores de servicios y de misión crítica
centros de datos.
El Cisco ASA 5500 Series ofrece un rendimiento multi-escala y la funcionalidad y
flexibilidad de servicios sin precedentes, escalabilidad modular, extensibilidad
característica, y menores costos de implementación y operación. Usted necesita un
servidor de seguridad que cumple con las pequeñas oficinas rendimiento y coste
necesario sin embargo, ofrece la empresa fuerza de seguridad. El Cisco ASA 5500
82
Series fue diseñado con esto en mente. Disponible en una amplia gama de tamaños y
niveles de rendimiento para adaptarse a su red y el presupuesto, todos los modelos
ofrecen el mismo nivel de seguridad probada que protege las redes de algunas de las
compañías más grandes y más consciente de la seguridad en el mundo.
Figura # 29: Fuente: Cisco
El servicio incluse IPS manager express que permite visualizar en tiempo real la
intrusión de forma simultánea de hasta 10 dispositivos de red, incluye
funcionamiento de la red
Figura # 30: Fuente: Cisco
Las características técnicas del dispositivo son:
83
Figura # 31: Fuente: Cisco
El valor del dispositivo es de 3500 dólares.
Complementariamente a este dispositivo se puede ampliar el control a software
malicioso mediante la adquisición del servicio siguiente:
Cisco IOS Intrusión Prevention System (IPS)
84
Software basado en la prevención de intrusiones en línea para Cisco Integrated
Services Routers, Intrusión Branch capacidades de prevención integrado en la
plataforma Cisco IOS Reducción de los costes operativos y de despliegue, sin
necesidad de hardware adicional
Protección de la red de trabajo en 5 vías
Figura # 32: Fuente: Cisco
El servicio IOS cuesta 3500 dólares
Cableado Estructurado
El cableado estructurado de la Institución fue tercerizado, la organización
encargada de hacerlo brindo una garantía escrita del trabajo realizado,
adicionalmente en el diseño se tomo en cuenta posibles daños así como
también la influencia de los campos magnéticos sobre los medios físicos de
cobre.
85
El cableado pasa a través de un techo falso implementado el cual permite una
fácil accesibilidad ya que simplemente se sacan los paneles que lo componen,
después los cables se extienden hasta las columnas del edificio por donde
bajan por unos paneles metálicos hasta que llegan al suelo, dichos paneles no
presentan las facilidades cuando se requiere hacer algún tipo de modificación
ya que el espacio es muy reducido para tanto cable, pero resultaron
económicos por eso fueron adquiridos, adicionalmente la empresa que instalo el
cableado dejo adicionales para futuras expansiones, los cuales están solo
conectados del lado del switch, del otro extremo está el cable sin el conector
RJ45.
Durante todo el trayecto del cableado, se observo y aplico el estándar de
distancia mínima entre cables para de esta manera no generar interferencias o
cortes. Todo el cableado esta dentro de los rangos de distancia normales,
ningún cable fue extendido mas de 90Mts, y adicionalmente existe
disponibilidad para aplicaciones futuras, en cada puesto de trabajo hay una
toma que contiene un puerto de red, y un puerto telefónico.
2.3.2 Seguridad de las aplicaciones
En esta parte del proyecto se realizo un análisis de todo lo correspondiente a
las seguridades en las aplicaciones utilizadas por la Institución, así mismo la
consistencia en sus datos de entrada y de salida, y la documentación necesaria
para su funcionamiento de acuerdo a los estándares internacionales.
Software
En la Institución existen tres servidores de las mismas características que
poseen un sistema operativo basado en Linux Centos®, dicho sistema fue
instalado en el 2011 tomando en cuenta los siguientes aspectos en la relación
coste/beneficio:
Bajo costo de adquisición.
Confiabilidad.
86
Compatibilidad con Windows
Funcionalidades de auditoría y control de accesos.
Por la posibilidad de conseguir actualizaciones.
Parches de Seguridad Constantes.
Aplicaciones Gratis.
La gran mayoría de los computadores de mesa en la empresa tienen Windows
7 al igual que las portátiles están provistas de Windows 7 Home Premium.
Seguridad en las Bases de Datos
En el Municipio se utiliza el SGBD de MySQL para el mantenimiento, manejo y
la administración de las Bases de datos, está presente un tipo de control que
permite restringir el acceso a los datos críticos de la institución, pero no existe
una organización formal de esta información. Los únicos autorizados a manejar
la base de datos y la información que se encuentra dentro de estas son el DBA
y el jefe de Sistemas.
La base de datos de la institución y las aplicaciones relacionadas a esta
disponen de los recursos suficientes ya que aproximadamente solo se está
usando un 35% de la capacidad total de almacenamiento, así mismo cuando se
borra algún registro de la base de datos, en realidad no se borra si no que se
marca como eliminado, de esta manera siempre se tiene acceso a la
información así está este “Eliminada”.
Seguridad de acceso a los Sistemas
Todo sistema de uso municipal tendrá su clave de acceso y su usuario, estos
elementos serán renovados cada 2 meses por el departamento de sistemas, el
registro de estas claves y usuarios será administrado directamente por el
departamento de sistemas mencionado anteriormente.
87
Seguridad en acceso a computadores y protectores de pantalla
Todo usuario de un computador deberá obligatoriamente tener una clave de
acceso a su equipo así como también al protector de pantalla. Esta clave será
definida por el propio usuario pero deberá estar registrada en el departamento
de sistemas. Será obligatorio la renovación de dicha clave cada 6 meses.
2.3.3 Seguridad de la información
Hoy en día uno de los principales activos que tienen las empresas es la
información, es por ello que toda la información generada por la institución debe
estar perfectamente respaldada, para ello se propone las siguientes políticas.
UPS a nivel de servidores y de cada computador a nivel de usuarios, con
ello se evitan perdidas de datos por ausencia de energía eléctrica
inesperadamente.
Respaldo automático de los archivos guardados en cada máquina de un
usuario, dicho respaldo orientado en un servidor de backups.
Backups de cada máquina en forma mensual, estos respaldos en
dispositivos magnéticos.
Respaldo del servidor de backup en un servidor en la nube.
la utilización de programas congeladores como Deep Freeze y shadow
defender.
2.3.4 Seguridad lógica
El uso de protocolos de comunicación lo determina la Jefatura de
Sistemas, en función de sus necesidades.
88
Es responsabilidad del Departamento de Sistemas mantener la
integridad, disponibilidad y confidencialidad de la información de los
usuarios, a nivel administración.
Es responsabilidad del Departamento de Cómputo la administración de
las direcciones IP que se le aplique a cada computador que se encuentre
en la Municipalidad de Quevedo.
Los usuarios de otras Instituciones Públicas que necesite ingresar a la
red de la Municipalidad de Quevedo deben solicitar los respetivos
permisos a la Jefatura de Sistemas.
El monitoreo de tráfico de la red institucional, es tarea exclusiva del
Departamento de Cómputo.
Todo equipo de cómputo que se detecte con actividad sospechosa, se le
suspenderá el servicio de red hasta corregir el problema.
El mantenimiento a software en los servidores deberá ser realizado
semestralmente por el Departamento de Cómputo, además deberá llevar
un registro.
El uso de carpetas para compartir información deberá realizarse con una
contraseña, después de utilizar dichas carpetas se deberán deshabilitar
los permisos de acceso a las mismas.
La administración, operación y correcto funcionamiento de los Servidores
de la Red, son responsabilidad única y exclusivamente del Departamento
de Cómputo.
Es responsabilidad del Departamento de Cómputo respaldar la
información de los servidores semanalmente.
La red institucional no será instrumento de experimentos que pongan
riesgo la integridad de la información.
Por seguridad de la información se deberán cerrar todas las sesiones de
red después de ser utilizadas.
La configuración de los equipos de comunicaciones deberá ser realizada
o supervisada por el Departamento de Cómputo.
89
El Departamento de Cómputo es el responsable de controlar el acceso
remoto a los equipos de la red institucional por medio de herramientas
seguras.
Cada usuario deberá tener asignada una cuenta y una clave de acceso
(password), a través del cual podrá acceder a los recursos de red que
tenga autorizados, mismas que son de uso exclusivamente personal.
Queda prohibido para cualquier usuario prestar su cuenta personal de red
a otra persona.
Ninguna cuenta de usuario podrá ser usada con propósitos ilegales o
contrarios a las políticas implementadas en la institución.
El Jefe de Sistemas podrá otorgar cuentas temporales a visitantes,
cuando éstas sean solicitadas por él. Responsabilizándose de que se
respeten las políticas establecidas.
Si se detecta la presencia de un virus u otro agente potencialmente
peligroso, se debe notificar inmediatamente al Jefe de Cómputo y
desconectar la PC de la red hasta que el problema sea resuelto.
No ejecutar ningún archivo contenido en un mensaje de correo no
solicitado o enviado por un remitente desconocido, así ofrezca atractivos
premios o temas provocativos. Mucho menos si estos archivos tienen
doble extensión.
No contestar los mensajes SPAM, ya que al hacerlo se reconfirmará su
dirección IP, ni prestar atención a los mensajes con falsos contenidos
tales como ofertas de premios, dinero, solicitudes de ayuda caritativa,
advertencia de virus de fuentes desconocidas, etc.
No se debe confiar en los archivos gratuitos que se descargan de sitios
Web desconocidos, ya que son una potencial vía de propagación de
virus.
Será responsabilidad del Jefe de Cómputo tener los discos de arranque
de sistema operativo para cualquier contingencia.
90
El Jefe de Cómputo no se hace responsable de la información de los
usuarios almacenada en los discos duros locales de los equipos de
cómputo.
El Jefe de cómputo respaldará al finalizar cada día las bases de datos de
todos los sistemas existentes y utilizados en la municipalidad, siempre y
cuando las bases de datos se encuentren almacenadas en el servidor de
datos.
2.3.5 Seguridad física
Los equipos de computo solo deberán ser conectados a la fase de red
eléctrica creada para este fin evitando conectar a la misma, ventiladores,
acondicionadores, cafetera, etc., es decir impedir conexión de aparataros
eléctricos que sobrecarguen la misma.
A cada computador conformado por (pantalla, CPU, teclado, mouse,
impresora matricial o inyección) se conectara un UPS y no se deberá
conectar al mismo impresora laser, proyector o aparato eléctrico que
sobrecargue el Sistema de alimentación ininterrumpida.
No se permite la manipulación de las partes de hardware del equipo sin la
supervisión del responsable.
Instalar en cada oficina un punto eléctrico que no está conectada a la red
eléctrica dedicada a los computadores.
Solamente está autorizada la jefatura de sistema para realizar
mantenimiento y reparaciones de los equipos informáticos.
Queda prohibido que personal no autorizado extraiga, manipule o instale
algún hardware en los computadores de la Municipalidad de Quevedo.
Se debe implementar con urgencia un cableado subterráneo tanto eléctrico
como de red y la readecuación del cuarto de sistemas.
91
2.3.6 Seguridad de Custodia de equipos
Cada funcionario que tenga asignado un equipo será responsable por el
buen uso y cuidado de la herramienta que le permite desenvolverse en su
área de trabajo.
Para llevar un control del inventario de los equipos de cómputo se prohíbe
que se cambien de un lugar a otro sin previa autorización de la Jefatura de
Sistemas.
Para préstamos o traspasos de los equipos, se deberá contar con la
autorización por escrito del responsable.
Cada funcionario que tenga a su cargo un equipo informático deberá tener
un acta de entrega / recepción del mismo, firmada por el responsable de los
Activos Fijos.
2.3.7 Seguridad con respecto a los antivirus
Acatando la ley de software libre emitida por el gobierno en el año 2009, se
adopta la siguiente política relacionada con el uso de antivirus, así tenemos
los siguientes criterios:
Es responsabilidad del Jefe de Cómputo que todos los computadores (de
escritorio y servidores) cuenten con firewall, antivirus y anti-spyware. Para
ello se instalaran los antivirus respectivos. En cuanto a estos programas se
ha investigado lo siguiente:
Clamav.- Es un programa antivirus de código abierto para
sistemas UNIX. Por tanto es válido para Debian, Ubuntu,
Fedora, SUSE etc. Está disponible en los repositorios de
OPENSUSE
Como es un ambiente grafico lo instamos desde el repositorio de SUSE:
92
Figura # 33: Fuente: Cisco
La ventaja del Opensuse es que con la herramienta yast2 podemos
descargar e instalar cualquier programa compatible desde un asistente
grafico.
AVG.- Es un antivirus que dispone de una versión gratuita para
Windows y Linux. Dispone de un paquete deb listo para instalar.
Si utiliza una distribución basada en Mandriva, Suse o RedHat,
también hay archivos específicos en la página de descargas.
Una vez descargado e instalado el paquete deb, ejecutamos el antivirus
desde el menú de aplicaciones. AVG antivirus está en inglés, aunque
utilizarlo no es complicado. Pulsamos sobre test e indicamos la ruta a
escanear.
93
2.4 Presupuesto general del plan
PRESUPUESTO DEL PLAN
Estrategias Actividades Costo
Red DMZ 4000
Configuraciones IPTable 1000
Honeypots 2000
Firewall lógicos 500
Firewall físico 3Com 5290
Seguridad en las Configuraciones en
Comunicaciones redes inalámbricas 1500
Detección de intrusos
físico Cisco asa 5512-x IPS 3500
Detección de intrusos lógica
Cisco IOS I.P.S. 3500
Total 21290
Capacitación 1500
Seguridad en las Definición y registro de
Aplicaciones claves 1500
Total 3000
Seguridad en la Servidor de respaldo 4500
Información Respaldo en la nube 7500
Accesorios de respaldo 2000
Total 14000
Instalaciones complementarias 2500
Complementos Hardware extra 5000
Total 7500
Total general del plan 45790
Cuadro # 3: Fuente: Investigación;” Tabla: “Presupuesto General del Plan”
94
2.5 Cronograma de ejecución
El plan está organizado puede ser ejecutado en forma anual, el siguiente
cronograma esta relacionado esencialmente con la ejecución técnica del
proyecto, esto quiere decir que la ejecución deberá hacerse una vez que este
aprobado y se cuente con el presupuesto fijado.
CRONOGRAMA DE EJECUCION
Estrategias M1 M2 M3 M4 M5 M6 M7 M8 M9 M10 M11 M12
Seguridad en las
Comuniccaiones
Red DMZ
Configuraciones IPTable
Honeypots
Firewall lógicos
Firewall físico 3Com
Configuraciones en
redes inlambricas
Detección de intrusos
fisico Cisco asa 5512-x IPS
Detección de intrusos logica
Cisco IOS I.P.S.
Aplicaciones
Capacitación
Definición y registro de
claves
Seguridad en la
Información
Servidor de respaldo
Respaldo en la nube
Accesorios de respaldo
Cuadro # 4: Fuente: Investigación;” Tabla: “Cronograma de Ejecución”
95
2.6 Análisis de Costo-Beneficio
En todo proyecto debe hacerse un análisis de la relación costo-beneficio, para
el presente caso dicho análisis se dificulta un poco debido a que se trata de una
empresa pública que esencialmente oferta servicios a los pobladores del
Cantón Quevedo.
Ahora, si se hace un análisis financiero de la inversión realizada se puede
señalar que los 45790 dólares producirán algunos beneficios directos e
indirectos, entre los más importantes tenemos:
Mejoramiento notorio del servicio y atención al usuario, el hecho de que el
usuario que venga a pagar sus impuestos sienta que para el pago respectivo
se demora muchos menos, la ciudadanía va a tratar de venir en un mayor
número para realizar dicho pago.
Al tener controlados los intentos de accesos indebidos se evitará la perdida
de información y todo el trabajo que se debe hacer el momento de
recuperarla. Esto quiere decir que se evitarán pagos por hora extras en
tratar de recuperar información perdida o robada.
La seguridad de la información en cuanto a acceso como a respaldo genera
una cierta tranquilidad al empleado público, ya que sabe que todos los
procesos están respaldados adecuadamente en cuanto a registros.
El momento en que se optimicen y aceleren los procesos, se mostrará una
imagen de modernidad, lo cual producirá un entorno favorable para que los
usuarios vayan a su municipio especialmente a pagar impuestos.
En definitiva, el beneficio a lograr con la inversión realizada, justifica
plenamente la realización de este proyecto.
96
2.7 Conclusiones Parciales del Capitulo
A veces se tienen que dejar de hacer las operaciones habituales en los
sistemas debido a ciertas fallas en ellos.
No se renueva frecuentemente las claves de acceso a redes inalámbricas,
sistemas o equipos personales.
El personal no tiene una cultura de seguridad, nunca renova sus claves de
acceso.
Virus y spam ingresan fácilmente a los equipos de los empleados al interior
de la red Municipal.
El departamento de sistemas no ha implantado políticas de seguridad que
surtan efecto en toda la Institución.
La infraestructura tecnológica para la protección de redes es bastante pobre.
No se dispone de un plan de seguridad informática institucional.
97
CAPITULO III
VALIDACIÓN Y EVALUACION DE RESULTADOS
3.1 Validación de la propuesta
Como se menciono anteriormente, el objetivo de este trabajo investigativo es la
consecución de un plan de seguridades informáticas orientadas a permitir un
funcionamiento operativo fiable y permanente.
Luego de que este plan ha sido plasmado en actividades, tiempo y costos se lo
ha expuesto al director del departamento de sistemas del Municipio de
Quevedo, el Ingeniero Wilmer Cherrez, el cual manifiesta que “Todas las
estrategias tienen un orden lógico y que complementarán de mejor manera la
seguridad informática de la Institución, más aun hoy que la tendencia
Institucional es a digitalizar todos los procesos. También con este grupo de
actividades que fortalecen la seguridad informática, se está garantizando la
realización normal y efectiva de todas las operaciones que realiza diariamente
la entidad Municipal”.
Por todo lo mencionado por el Director del departamento y con la certificación
que se adjunta se ha podido validar la propuesta de solución planteada en este
trabajo investigativo.
98
CONCLUSIONES GENERALES
La seguridad informática es uno de los elementos más importantes hoy en día
dentro de cualquier Institución, sea esta pública o privada.
La tendencia actual es la digitalización de todos los procesos, especialmente
en el área pública, es por ello que ha tomado mucha mayor relevancia el
aspecto de seguridad informática, debido a que los procesos deben ser
eficientes y seguros, especialmente aquellos que se ejecutan línea.
El uso del internet se ha convertido en un elemento principal dentro de la
gestión operativa de toda institución, pero así también se ha posibilitado
para que se den accesos indebidos mediante la red, es por ello que muchas
de las actividades están orientadas al resguardo de las actividades vía
Internet.
La inversión que demande la ejecución de este plan de seguridades será
plenamente recompensada al poder brindar a la comunidad un servicio
eficiente y seguro, con relación a su información personal que almacena el
Municipio.
Se debe considerar también que virus y correos maliciosos son
considerados como elementos de acceso indebido y que a más de ello
necesitan de una actualización constante. La estrategia propuesta incluye un
convenio para una actualización permanente sobre nuevos tipos de virus y
sobre como bloquearlos.
El respaldo de la información también se considera como un elemento
importante dentro de la seguridad informática, es por ello que se proponen
alternativas de respaldo automático en servidores locales así como en
servidores en la nube.
99
RECOMENDACIONES
Fomentar una cultura de seguridad informática a nivel de cada empleado de
la Institución, esto quiere decir que se debe disponer de claves de acceso en
equipos y protectores de pantalla, de tal manera que si el funcionario deja
momentáneamente el equipo este no pueda ser accedido por cualquier otra
persona.
La renovación de claves es algo importante y debe ser administrada desde
el departamento de sistemas.
Se deben complementar las estrategias de seguridad con la limitación de
acceso a ciertas paginas y la capacidad para descargar cierta información
También se debe tomar en cuenta que nunca habrá una seguridad total,
esto quiere decir que siempre habrá que estar atento a cualquier infiltración
a acceso no deseado, si de pronto se rompe alguna seguridad el respaldo
de la información se constituye en un apoyo muy importante para que la
institución continúe en su trabajo operativo.
100
BIBLIOGRAFÍA
ACISSI, 2011, “Seguridad Informática”, Ediciones ENI, Primera edición,
Barcelona – España.
ALDEGANI, Gustavo, 1997 “Seguridad Informática.” MP Ediciones. Argentina.
AREITIO Javier, 2008, “Seguridad de la información”, Editorial Paraninfo,
Primera Edición, Madrid-España.
ATELIN Philippe, 2006, “Redes Informáticas”, ediciones ENI, Primera Edición,
Barcelona-España.
BAETA Jesús, “Seguridad Informática “en línea :
http://es.scribd.com/doc/95069532/Seguridad-Informatica
BARCELÓ José, 2008, “Protocolos y Aplicaciones de Internet”, Editorial UOC,
Primera edición, Barcelona – España.
BON Jan, 2008, “Fundamentos de la Gestión de Servicios de IT basada en ITIL”,
Editorial Van Haren, Tercera Edición, Amersfoort – Holanda.
CALDER Alan, 2009, “Implementig information Security Based on ISO
27001/ISO 270002” Tercera Edición, Ontario-Canada
CALDER Alan, 2009, “Information Security Base on ISO 270001 / ISO
270002”, Editorial Van Haren, Wilco – Amersfoort
COMER Douglas, 2006 “Principles, Protocols and Architecture, Internetworking
with TCP/IP”, 4ta Edición, Prentice-Hall, EEUU.
FINE Leonard, “Seguridad en centros de computo, políticas y procedimientos”,
Editorial Trilla, Mexico-Mexico, 2004
GARCIA Alonso, 2011, “Sistemas Informáticos y Redes”, Editorial Paraninfo,
Primera Edición, Madrid-España
GESTIÓN 2000, 2008 “Lo Que se Aprende en los Mejores MBA”, Editorial
Gestión 2000, Segunda Edición, España.
GIMBERT Xavier, 2010, “Pensar Estratégicamente”, Editorial Planeta, Primera
Edición, España.
GOMEZ, Guillermo, 1994 “Planificación y organización estratégica
empresarial”, Mc Graw Hill, Primera edición, México.
GUTIÉRREZ Jaime, 2003, “Protocolos criptográficos y seguridad en redes”
Editorial Universidad de Cantabria, Primera Edición, Santander-España
101
ISO “An Introduction to ISO 27001, ISO 27002” http://www.27000.org/
ISO “SOLUCIONES TÉCNICAS Y ORGANIZATIVAS A LOS CONTROLES
DE ISO/IEC 27002” http://www.iso27000.es/download/ControlesISO27002-
2005.pdf
ISO, “ISO27000” http:/www.iso.org
LITTLEJOHN Debra, 2001 “Cisco Networking Academy Program: Computer
Networking Essentials” Editorial CiscoPress, Primera Edición, EEUU
MANTILLA Samuel, 2009, “Auditoría Del Control Interno”, Primera Edición,
Editorial ECOE, Colombia.
RODAO Jesús, “Piratas cibernéticos, Cyberware, Seguridad informática e
Internet”, Editorial Alfaomega Ra-Ma, Madrid-España, 2006
SPAFFORD, Gene. 2006, "Manual de seguridad en redes". Editorial ArCERT,
Argentina.
STALLINGS William , 2011, “Operating Systems: Internals and Design
Principles” Séptima Edición, Prentice Hall, EEUU
STALLINGS William, 2003, “Fundamentos de seguridad en redes: aplicaciones
y estándares” Editorial Pearson Educación, Segunda Edición, España
STALLINGS William, 2004 “Comunicaciones y Redes de Computadoras”, 7ma
Edición, Prentice-Hall, Primera Edición, EEUU
102
ANEXOS
103
ANEXO A
PLAN DE SEGURIDAD INFORMATICA Y LOS RIESGOS OPERATIVOS EN EL
MUNICIPIO DESCENTRALIZADO DE QUEVEDO, PROVINCIA DE LOS RIOS
Encuesta a los funcionarios municipales
Nombre del Encuestado: Sexo M F
En esta encuesta, le presentamos una serie de preguntas relacionadas con la
seguridad de Redes del Municipio, que pueden ser relevantes para el progreso del
mismo; por esta razón le pedimos de favor conteste con la mayor sinceridad y
exactitud la información que se le solicita a continuación.
Pregunta No 1. ¿Han tenido que suspender la atención al público debido a que no
se puede acceder al sistema o falta información en la base ?
Frecuentemente……… Pocas veces ….. Nunca …
Pregunta No 2. ¿Son cambiadas periódicamente las claves de acceso de las redes
inalámbricas que se utilizan en cada departamento ?
Si…… No…….. No se………
Pregunta No 3. ¿Las claves de acceso a los diferentes sistemas son renovadas
permanentemente ?
Si…… No…….. No se……
Pregunta No 4. ¿Debido a su acceso a Internet, le han llegado virus o correos
peligrosos denominados spam?
Si…… No…….. No se……
Pregunta No 5. ¿Cambia usted periódicamente sus claves de acceso para su
computador ?
Si….. Rara vez……. Nunca……..
Pregunta No 6. ¿Cree necesario mejorar los niveles de seguridad de acceso a
redes y sistemas en el Municipio?
Si…. No…… No sé………….
104
ANEXO B
PLAN DE SEGURIDAD INFORMATICA Y LOS RIESGOS OPERATIVOS EN EL
MUNICIPIO DESCENTRALIZADO DE QUEVEDO, PROVINCIA DE LOS RIOS
Encuesta a los funcionarios del departamento de sistemas
Nombre del Encuestado: Sexo M F
En esta encuesta, le presentamos una serie de preguntas relacionadas con la
seguridad de Redes del Municipio, que pueden ser relevantes para el progreso del
mismo; por esta razón le pedimos de favor conteste con la mayor sinceridad y
exactitud la información que se le solicita a continuación.
Pregunta No 1. ¿Considera usted que los niveles de seguridad en las redes
Institucionales es: ?
Bajo……… Medio………. Alto………….
Pregunta No 2. ¿Catalogue el nivel de la infraestructura existente (firewall físicos,
redes perimetrales y más) para proteger la red principal de la Institución ?
Buena……… Regular………….. Mala……………
Pregunta No 3. ¿Qué nivel de seguridad cree usted que existe a nivel de software
para controlar virus, correos peligrosos y descargas dañinas o muy grandes?.
Bajo…… Medio……. Alto……..
Pregunta No 4. ¿El departamento controla y renova frecuentemente las claves de
sistemas y acceso a equipos ?.
Si……. No…………….. A veces………………
Pregunta No 5. ¿El departamento de sistemas ha definido políticas de seguridades
que hayan tenido influencia directa en toda la Institución?.
Si……… No…………
Pregunta No 6. ¿Cree importante definir un plan de seguridades para aplicarlo en
la Institución?
Si………….. No……………….
105
ANEXO C
PLAN DE SEGURIDAD INFORMATICA Y LOS RIESGOS OPERATIVOS EN EL
MUNICIPIO DESCENTRALIZADO DE QUEVEDO, PROVINCIA DE LOS RIOS
Guía de entrevista para Director del Departamento de Sistemas
Nombre del Encuestado: Sexo M F
En esta encuesta, le presentamos una serie de preguntas relacionadas con la
seguridad de Redes del Municipio, que pueden ser relevantes para el progreso del
mismo; por esta razón le pedimos de favor conteste con la mayor sinceridad y
exactitud la información que se le solicita a continuación.
¿En qué porcentaje cree usted que la gestión operativa Municipal se apoya en el
aparato tecnológico?.
¿Qué niveles de seguridad informática se tienen actualmente en el Municipio?
¿Qué niveles de seguridad existen en las redes institucionales?
¿Existe una cultura de seguridad en el personal?
¿Considera necesario un plan de seguridad informática para la Institución?