UNIVERSIDAD REGIONAL AUTNOMA DE LOS ANDES

MAESTRA EN INFORMTICA EMPRESARIAL

TESIS DE GRADO
PREVIA LA OBTENCIN DEL TTULO DE:

MAGISTER EN INFORMTICA EMPRESARIAL

TEMA: PLAN DE SEGURIDAD INFORMTICA PARA MEJORAR LA GESTIN OPERATIVA DE LA EMPRESA TELPROYEC CIA. LTDA.

AUTOR: ING. JOS GABRIEL GARCA JARAMILLO

TUTOR: ING. EDUARDO FERNNDEZ, MG.

SANTO DOMINGO 2012

APROBACIN DEL TUTOR

El suscrito Ing. Eduardo Fernndez asesor del Trabajo de Tesis cuyo tema es PLAN DE SEGURIDAD INFORMTICA PARA MEJORAR LA GESTIN OPERATIVA DE LA EMPRESA TELPROYEC CIA. LTDA., realizado por el Ing. Gabriel Garca Jaramillo, certifico que he revisado el trabajo, y que cumple con los requisitos estipulados en el Reglamento Interno de la Universidad, y por tanto considero aprobado y autorizo la presentacin del mismo para el tramite respectivo.

_______________________________ Ing. Eduardo Fernndez Mg. ASESOR

DERECHOS DE AUTOR
Yo, Gabriel Garca Jaramillo, declaro bajo juramento que el trabajo aqu descrito es de mi autora; que no ha sido previamente presentado para ningn grado o calificacin profesional; y, que he consultado las referencias bibliogrficas que se incluyen en este documento.

A travs de la presente declaracin cedo mis derechos de propiedad intelectual correspondientes a este trabajo, a la UNIVERSIDAD REGIONAL AUTNOMA DE LOS ANDES, segn lo establecido por la Ley de Propiedad Intelectual, por su Reglamento y por la normatividad institucional vigente.

_____________________________ Ing. Gabriel Garca Jaramillo AUTOR

II

NDICE GENERAL
INTRODUCCIN...... Objetivo General. Objetivos Especficos CAPTULO I: MARCO TERICO 1.1 Seguridad Informtica............................................................................. 1.1.1 Plan de Seguridad Informtica. 1.1.2 Importancia de la Seguridad Informtica 1.1.3 Principios de la Seguridad Informtica 1.1.3.1 Confidencialidad. 1.1.3.2 Integridad 1.1.3.3 Disponibilidad. 1.2 Norma ISO 27002 1.2.1 reas / Secciones Sobre Las Que Acta.. 1.2.1.1 Poltica De Seguridad Informtica.. 1.2.1.1.1 Elementos de una Poltica de Seguridad Informtica.. 1.2.1.2 Organizacin de la Informacin De Seguridad... 1.2.1.3 Gestin de Activos De Informacin 1.2.1.4 Seguridad de los Recursos Humanos.. 1.2.1.5 Seguridad Fsica y Ambiental. 1.2.1.6 Gestin de las Comunicaciones y Operaciones... 1.2.1.7 Control de Accesos. 1.2.1.8 Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin 1.2.1.9 Gestin de Incidentes en la Seguridad de la Informacin 1.2.1.10 Gestin de Continuidad del Negocio. 1.2.1.11 Marco Legal y Buenas Prcticas. 1.3 Auditoria Informtica.. 1.3.1 Tipos de Auditora Informtica. 1.3.2 Tipos de Amenazas Informticas.. 1.3.2.1 Factores Humanos... 1.3.2.2 Hardware. 1.3.2.3 Red de Datos 1.3.2.4 Software... 1.3.2.5 Desastres Naturales. 1.4 Plan de Contingencia Informtico... 1.4.1 Acciones a ser Consideradas.. 1.4.2 Plan de Prevencin.. 1.4.3 Plan de Ejecucin 1.4.4 Plan de Recuperacin.. 1.5 Red.. 1.5.1 Redes Informticas.. 1.5.2 Caractersticas de las Redes Informticas 1.5.3 Tipos de Redes Informticas... 1.5.4 Topologas de las Redes Informticas. 1.6 Protocolo. 1.6.1 Protocolo de Comunicacin de Red 1.6.1.1 Protocolo TCP/IP. 1.6.1.1.1 Capa de Aplicacin. 1.6.1.1.2 Capa de Transporte. III 1 3 3 7 7 8 9 9 9 10 10 10 11 12 13 13 13 14 14 15 15 15 16 16 16 17 17 17 18 18 18 19 19 19 19 20 20 20 20 21 21 22 22 22 23 24 24

1.6.1.1.3 Capa Internet 1.6.1.1.4 Capa de Interfaz de Red.. 1.6.1.2 Protocolo de Referencia OSI.. 1.6.1.3 Protocolo IP. 1.6.1.3.1 Protocolo Internet versin 4: IPv4... 1.6.1.3.2 Protocolo Internet versin 6: IPv6... 1.6.1.3.2.1 Caractersticas principales... 1.7 Tecnologas de Seguridad 1.7.1 Redes de rea Local Virtual: VLANs. 1.7.2 Filtrado IP 1.7.3 Traduccin de Direcciones de Red: NAT 1.7.4 Cortafuegos.. 1.7.5 Redes Privadas Virtuales: VPNs. 1.7.6 Mtodos de Autenticacin... 1.8 Conceptos Bsicos De Informtica.. 1.8.1 Sistemas Operativos 1.8.2 Informacin. 1.8.3 Dato. 1.8.4 Intranet. 1.8.5 Router.. 1.8.6 Switch.. 1.9 Planificacin. 1.9.1 Importancia de la Planificacin 1.9.2 Principios. 1.9.3 Limitaciones. 1.10 Planificacin Estratgica.. 1.10.1 Ventajas de la Planificacin Estratgica.................. 1.11 Anlisis Foda... 1.11.1 Estructura Organizacional 1.11.1.1 Estructura Formal 1.11.1.2 Estructura Informal. 1.12 Operatividad 1.12.1 Gestin Operativa 1.12.1.1 Anlisis De Los Servicios 1.12.1.2 Anlisis De Los Procesos 1.12.1.3 Revisin De Los Modos De Disear Y Dirigir 1.12.2 La funcin de la Gestin Operativa. 1.12.3 Las Tcnicas De La Gestin Operativa 1.13 Conclusiones Parciales Del Capitulo... CAPITULO II: MARCO METODOLGICO 2.1 La Empresa.. 2.2 Diseo Metodolgico........................................................................... RESULTADO DE LA ENCUESTA A EMPLEADOS.. RESULTADO DE LA ENCUESTA A CLIENTES RESULTADOS DE LA ENTREVISTA DIRIGIDA AL GERENTE. 2.3 Propuesta del Investigador... 2.4 Conclusiones Parciales del Capitulo CAPITULO III: DESARROLLO DE LA PROPUESTA 3.1 Tema

25 25 26 26 26 27 29 30 30 31 31 32 33 33 34 34 34 35 35 36 36 36 37 37 37 38 38 39 39 39 40 40 41 41 41 41 42 42 43 44 44 47 54 60 62 65 67

IV

3.2 3.3 3.4 3.5 3.5.1 3.5.1.1 3.5.1.1.1 3.5.1.1.1.1 3.5.1.1.1.2 3.5.1.1.1.3 3.5.1.1.1.4 3.5.1.1.1.5 3.5.1.1.1.6 3.5.1.1.2 3.5.1.1.3 3.5.1.1.3.1 3.5.1.1.3.2 3.5.1.1.4 3.5.1.2 3.5.1.2.1 3.5.1.2.1.1 3.5.1.2.1.2 3.5.1.2.2 3.5.1.2.2.1 3.5.1.2.2.2 3.5.1.2.2.3 3.5.1.2.3 3.5.1.2.3.1 3.5.1.2.3.2 3.5.1.2.4 3.5.1.2.4.1 3.5.1.2.4.2 3.5.1.2.4.3 3.5.1.2.4.4 3.5.1.2.4.5 3.5.1.2.5 3.5.1.2.5.1 3.5.1.2.5.2 3.5.1.2.6 3.5.1.2.6.1 3.5.1.2.6.2 3.5.1.2.6.3 3.5.1.2.6.4 3.5.1.2.7 3.5.1.2.7.1 3.5.1.2.7.2 3.5.1.2.7.3 3.5.1.2.7.4 3.5.1.3

Objetivo General.. Objetivos Especficos... Introduccin. Descripcin General de la Propuesta... Anlisis Previo. Seguridad Lgica. Identificacin de Usuario. Ingreso de Usuario... Baja de Usuarios.. Mantenimiento de las Cuentas de Usuarios. Permisos... Inactividad Cuentas de Usuario.. Autenticacin.. Passwords Generacin... Cambios... Segregacin de Funciones Seguridad de las Comunicaciones Topologa de Red. Componentes de Red... Descripcin de la Red.. Conexiones Externas Sucursal Guayaquil.. Servidor de Internet.. Servidor Hosting.. Configuracin Lgica de la Red.. Interoperatividad Windows Linux Recursos Compartidos. Mail.. Herramientas Creacin de Usuario de Mail... Recepcin y Envo de Mails Cuotas de Disco... Opciones Seguras de Configuracin Antivirus.. Herramientas Escaneo de Virus. Firewall Configuracin de Servicios del Firewall.. Testeo de la red Fallas en Servidores. Parches de Seguridad en Linux Ataques de Red Sistema de Deteccin de Intrusos (IDS).. Negacin de Servicio (DOS) Sniffing y Spoofing. Ataque a los Password. Seguridad en las Aplicaciones.

66 66 66 67 67 68 68 68 69 69 69 70 70 71 72 72 72 73 73 73 73 73 74 74 74 75 75 75 76 76 76 76 77 77 77 78 78 78 78 78 80 80 81 81 81 81 82 82 83

3.5.1.3.1 3.5.1.3.2 3.5.1.3.3 3.5.1.3.4 3.5.1.3.5 3.5.1.4 3.5.1.4.1 3.5.1.4.1.1 3.5.1.4.1.2 3.5.1.4.2 3.5.1.4.3 3.5.1.4.4 3.5.1.4.5 3.5.1.4.6 3.5.1.4.6.1 3.5.1.4.6.2 3.5.1.5 3.5.1.5.1 3.5.1.5.1.1 3.5.1.5.1.2 3.5.1.5.1.3 3.5.1.5.1.4 3.5.1.5.1.5 3.5.1.5.1.6 3.5.1.5.1.7 3.5.1.5.1.8 3.5.1.5.2 3.5.1.5.3 3.5.1.5.3.1 3.5.1.5.3.2 3.5.1.5.3.3 3.5.1.5.3.4 3.5.1.5.3.5 3.5.1.5.3.6 3.5.1.5.4 3.5.1.5.4.1 3.5.1.5.4.2 3.5.1.5.4.3 3.5.2 3.5.2.1 3.5.2.1.1 3.5.2.1.2 3.5.2.1.3 3.5.2.1.4 3.5.2.2 3.5.2.2.1 3.5.2.2.2 3.5.2.2.3 3.5.2.2.4

Software... Seguridad en las Bases de Datos.. Control de Aplicaciones en PCs. Control de Datos en las Aplicaciones.. Ciclo de Vida... Seguridad Fsica.. Equipamiento.. Caractersticas de los servidores. Caractersticas de los PCs.. Control de Acceso Fsico al Centro de Computo. Control de Acceso a equipos.. Dispositivos de Soporte... Estructura del edificio.. Cableado Estructurado. Ancho de Banda de la Red.. Falla en la Red. Administracin del CPD.. Administracin del CPD.. Responsabilidad del Equipo de Sistemas. Planes de Sistemas... Permisos de los Encargados de los Centros de Computo Importancia de la Seguridad Mantenimiento Interaccin con el Usuario.. Instaladores. Licencias. Capacitacin Backup. Backup de Datos en el Servidor.. Backup de Datos en las PCs.. Backup de la Pagina Web Backup de Logs Proteccin del Backup. Documentacin del Backup. Documentacin Documentacin del Centro de Computo. Manuales.. Documentacin del Desarrollo Diseo de las Estrategias.. Seguridad Lgica. Identificacin de IDs.. Autenticacin Password.. Segregacin de Funciones Seguridad en la Comunicaciones. Topologa de la red.. Conexiones Externas Configuracin Lgica de Red.. Mail..

83 83 84 85 85 87 87 87 87 87 88 89 90 90 91 91 91 91 91 92 92 92 93 93 93 94 94 95 95 96 96 96 96 97 97 97 97 98 98 99 99 101 102 103 103 103 103 104 104

VI

3.5.2.2.5 Antivirus.. 3.5.2.2.6 Firewall. 3.5.2.2.7 Ataques de Red. 3.5.2.3 Seguridad en las Aplicaciones.. 3.5.2.3.1 Software... 3.5.2.3.2 Seguridad en Base de Datos. 3.5.2.3.3 Control de las Aplicaciones en las PCs.. 3.5.2.3.4 Control de Datos en las Aplicaciones.. 3.5.2.3.5 Ciclo de Vida 3.5.2.4 Seguridad Fsica... 3.5.2.4.1 Equipamiento... 3.5.2.4.2 Control de Acceso Fsico al Centro de Computo. 3.5.2.4.3 Control de Acceso a Equipos.. 3.5.2.4.4 Dispositivos de Soporte 3.5.2.4.5 Estructura del Edificio. 3.5.2.4.6 Cableado Estructurado. 3.5.2.5 Administracin del CPD.. 3.5.2.5.1 Administracin del CPD.. 3.5.2.5.2 Capacitacin. 3.5.2.5.3 Backup.. 3.5.2.5.4 Documentacin 3.6 Resumen de Estrategias 3.7 Conclusiones Parciales del Capitulo CONCLUSIONES.. RECOMENDACIONES. BIBLIOGRAFA ANEXOS

105 106 106 107 107 108 108 109 109 111 111 111 112 112 113 113 114 114 116 116 117 118 122 123 124

VII

NDICE DE GRFICOS
GRFICO N 1: ENCUESTA A EMPLEADOS Qu tipos de capacitaciones considera Ud. que le hacen falta como empleado de la empresa TELPROYEC CIA. LTDA., en Ingeniera Social para mejorar sus actividades laborales? GRFICO N 2: ENCUESTA A EMPLEADOS Por qu factores considera Ud. que existe inseguridad en la base de datos y en el servidor que maneja la empresa TELPROYEC CIA. LTDA.? GRFICO N 3: ENCUESTA A EMPLEADOS Cmo empleado de la empresa TELPROYEC CIA. LTDA.?Como considera Ud. El hecho de que la empresa de acceso libre a reas delicadas a todo su personal, no existiendo un control de este y que las computadoras no tengan clave de acceso? GRFICO N 4: ENCUESTA A EMPLEADOS Ante la falta de control interno de uso de la red wireless, en la empresa existe perdida de informacin de proyectos? GRFICO N 5: ENCUESTA A EMPLEADOS Existe en la empresa un control de inventarios de los equipos de hardware asignados al personal? GRFICO N 6: ENCUESTA A EMPLEADOS Considera ud. Que la empresa TELPROYEC CIA. LTDA.?Requiere de un plan de seguridad informtica que le permita proteger la informacin y los activos de la organizacin, a fin de que los procesos sean ejecutados de manera eficiente? GRFICO N 7: ENCUESTA A EMPLEADOS Cree ud. Que el mejorar la gestin operativa de la TELPROYEC CIA. LTDA.?, har que los procesos ejecutados por esta sean ms eficientes y logren la satisfaccin de los clientes? GRFICO N 8: ENCUESTA A CLIENTES Considera ud. Importante que se capacite al personal de la empresa TELPROYEC CIA. LTDA.?a fin de mejorar la gestin operativa que realiza esta empresa?
VIII

Pg. 47

48

49

50

51

52

53

54

GRFICO N 9: ENCUESTA A CLIENTES Por qu factores considera ud. Que no debe existir inseguridad en la base de datos y en el servidor que maneja la empresa TELPROYEC CIA. LTDA.? GRFICO N 10: ENCUESTA A CLIENTES Cmo considera Ud. La idea de que los jefes de empresas limiten el acceso que brindan a sus empleados a reas protegidas y al uso de las diversas claves que tienen sus equipos? GRFICO N 11: ENCUESTA A CLIENTES Qu tan necesario considera Ud. El hecho de que los jefes de empresas realicen un control de inventarios de los equipos de hardware que asignan a su personal? GRFICO N 12: ENCUESTA A CLIENTES Cmo considera ud. La idea de que la empresa TELPROYEC CIA. LTDA.?Aplique un plan de seguridad informtica que le permita proteger la informacin y los activos de la organizacin, a fin de que los procesos sean ejecutados de manera eficiente? GRFICO N 13: ENCUESTA A CLIENTES Cree ud. Que el mejorar la gestin operativa de la empresa TELPROYEC CIA. LTDA.?., har que los procesos ejecutados por esta sean ms eficientes y logren la satisfaccin de los clientes?

55

56

57

58

59

IX

NDICES DE FIGURAS
Pg. 11

Fig. 1 Cuadro de Conformidad Legal Fig. 2 Esquema de la Arquitectura TCP/IP Fig. 3: Estructura del datagrama IPv4 Fig. 4: Formato de la Cabecera Bsica IPv6 Fig. 5: Ejemplo de VLAN Fig. 6: Cortafuegos en una Red de Datos Fig. 7: Redes Privadas Virtuales Fig. 8 Aspectos de solucin.

24

27

28

30

32

33

62

RESUMEN EJECUTIVO

Actualmente existen grandes desafos de seguridad informtica que tienen que ver en gran medida por las pocas preocupaciones que tienen los gerentes de las empresas en los temas informticos, y se debe a que muchas empresas estn en una burbuja de cristal al no haberles ocurrido ningn tipo de afectacin grave que causara perdida de informacin, es por esto que se debe dar una gran importancia al tema de la seguridad ya que permitir proteger el activo ms importante de toda empresa que es la informacin.

La metodologa de investigacin aplicada para el desarrollo de esta tesis tuvo que ver con investigaciones de campo, as como el desarrollo de encuestas y entrevistas a los diferentes tipos de actores durante el despliegue de la investigacin, y las cuales permitieron orientar la solucin a la aplicacin de un Plan de Seguridad Informtica para mejorar la Gestin Operativa de la Empresa TELPROYEC CIA. LTDA.

La lnea de investigacin en la que esta enmarca el presente proyecto de tesis tiene que ver con las tecnologas de informacin.

Una vez efectuada la investigacin se logr elaborar el Plan de Seguridad Informtica, que permitir mejorar las seguridades Informticas ya que la informacin estar siempre accesible, ntegra y confidencial para los usuarios autorizados a su respectivo uso.

XI

EXECUTIVE SUMMARY

Currently there are major information security challenges that deal largely by the few concerns that managers of companies in the computer issues, and because many companies are in a glass bubble to not have happened any severe disease that cause loss of information, which is why you should give great importance to the issue of security as it will protect the most important asset of any company is information.

The research methodology applied to the development of this thesis was related to field research, and the development of surveys and interviews with different types of actors during the deployment of the research, and which guide the solution allowed the application an Information Security Plan to improve the operational management of the Company TELPROYEC CIA. LTDA.

The line of research in which this part of this thesis is concerned with information technology.

Once the research has managed to develop the Information Security Plan, which will improve the assurances Computer because information is always accessible, complete and confidential for authorized users to their respective use.

XII

INTRODUCCIN

Se ha elaborado una investigacin preliminar y se han encontrado algunos trabajos que servirn de base para la investigacin, as tenemos el tema encontrado en la biblioteca de nuestra alma mater que se titula PLAN INFORMTICO PARA EL PROCESO GERENCIAL DE LA CONSTRUCTORA ECOCEN desarrollado por el Magister Eduardo Fernndez en el que se puede concluir que la planificacin es un tema muy importante para las empresas ya que permiten tener una mejor administracin de todos los recursos con la cuenta la institucin, y tambin permite mejorar los procesos gerenciales y decisiones ms acertadas gracias a toda la informacin que se posee de una manera inmediata.

Otro proyecto interesante el cual fue observado en el repositorio de la ESPOL y el cual ser un referente para la investigacin se titula PLANIFICACIN ESTRATGICA Y PLAN DE SEGURIDAD INFORMTICA DE FABRIL FAME S.A. desarrollado por Jos Luis Rojas Urgils y Juan Jos Vela Veintimilla en el ao 2011, en dicho trabajo se puede concluir que mediante El Plan Estratgico Informtico se gestionar el uso de la Informacin y se planificar la implementacin de los sistemas informticos que resuelvan las necesidades especficas de la empresa.

Dicho proyecto refleja una visin de alto nivel de los requerimientos de informacin de la organizacin FAME S.A., y desarrolla una planificacin para satisfacer dichos requerimientos mediante el levantamiento de informacin a los usuarios en las reas de los procesos claves, a travs de entrevistas y observacin.

En cuanto a la problemtica de la empresa se menciona que la empresa TELPROYEC CIA. LTDA. es una empresa dedicada a prestar servicios de preventa, ofertas, manejo de proyectos, soporte tcnico y comercio exterior, en especial en el rea de telecomunicaciones, la empresa tiene un personal de 250 empleados distribuidos en zonas como Quito,

Guayaquil, en su gran mayora, y un pequeo grupo en ciudades de Manta, Loja, Machala, entre otros. La empresa TELPROYEC CIA. LTDA., no cuenta con un plan de seguridad informtica que permita proteger la informacin y los activos de la organizacin, lo cual produce que los procesos no sean ejecutados de manera eficiente afectando directamente la gestin operativa.

En las visitas realizadas a la empresa se pudo constatar que existen problemas relacionados a la seguridad informtica, como los que se indican a continuacin: Acceso libre a reas delicadas de procesamiento, no existe un control de personal que labora en la empresa. Los computadores no tienen claves de acceso y si las que las tienen son fciles de descifrar con software especializado. No se realizan capacitaciones al personal para que est atento a ataques de ingeniera social. Existe prdida de informacin de proyectos de la empresa, ya que no existe un control interno de uso de la red wireless la misma que tiene una encriptacin de baja seguridad. No existe un control de inventario de los equipos de hardware asignados al personal lo que causa desconocimientos de los equipos que poseen los trabajadores. La seguridad en la base de datos es inexistente, al igual que el servidor que tienen claves por defecto y versiones anteriores de su software lo que podra causar que un pirata informtico cause daos a la empresa y con esto se vera afectada la gestin operativa de la institucin al no poder realizar las tareas de manera normal y con las seguridades del caso.

La problemtica mencionada anteriormente se la formula en los siguientes trminos: Como hacer para que la tecnologa informtica, sustente una gestin operativa

permanentemente eficiente y segura en la empresa TELPROYEC CIA. LTDA.?

En cuanto a la delimitacin del problema podemos sealar: El objeto de estudio en el presente trabajo investigativo son los Procesos Informticos y el campo de accin del mismo es la Seguridad informtica. Se trabajara con la informacin generada en la TELPROYEC CIA. LTDA., durante el periodo de enero 2011 a diciembre del 2012.

La lnea de investigacin que se ha seguido es la relacionada con la Tecnologa de la Informacin.

Los objetivos del presente trabajo investigativo, quedaron estructurados de la siguiente manera:

Objetivo General Desarrollar un plan de seguridad informtica para que mediante su aplicacin se pueda mejorar la gestin operativa de la empresa TELPROYEC CIA. LTDA.

Objetivos Especficos Fundamentar cientficamente la seguridad informtica y la gestin operativa de la empresa TELPROYEC CIA. LTDA. Diagnosticar la gestin operativa que se est llevando a cabo en la empresa TELPROYEC CIA. LTDA. Desarrollar un plan de seguridad informtica aplicable a la empresa.

La idea a defender se la estructuro de la siguiente forma: Con la ejecucin del plan de seguridad informtica desarrollado en este trabajo investigativo y caracterizado por estrategias tecnolgicas actuales, se mejorar la gestin operativa de la empresa TELPROYEC CIA. LTDA.

La elaboracin del presente trabajo investigativo se justifica plenamente debido a que, luego aplicar la propuesta de solucin planteada se obtuvieron los siguientes beneficios: Exista un acceso libre a reas delicadas de procesamiento, no haba un control del personal que labora en la empresa. Los computadores no tenan claves de acceso y si las que las tenan eran fciles de descifrar con software especializado. No se realizaba capacitaciones al personal para que estuviese atento a ataques de ingeniera social. Exista prdida de informacin de proyectos de la empresa, ya que no haba un control interno de uso de la red wireless la misma que posea una encriptacin de baja seguridad. No haba un control de inventario de todos los equipos de hardware asignados al personal. No haba seguridad en la base de datos, al igual que en el servidor que tena claves por defecto y versiones anteriores de su software lo que pudo causar que un pirata informtico incurriera en daos a la empresa y con esto se hubiese visto afectada la gestin operativa de la institucin al no poder realizar las tareas de manera normal y con las seguridades del caso.

En el presente trabajo de titulacin, la investigacin constituye un elemento importante dentro del mismo, gracias a ella se puede ratificar la existencia del problema mencionado en la parte inicial, tambin nos orienta a la solucin de la misma que es desarrollada en la propuesta.

Especficamente se han aplicado dos tipos de investigacin que son: Bibliogrfica, consiste en la recopilacin de informacin existente en libros, revistas e internet, este tipo de investigacin permiti la elaboracin del marco terico el mismo que fundamenta cientficamente la propuesta de solucin.

De campo, se

utiliz para diagnosticar y ratificar la problemtica expuesta

inicialmente, esta fue llevada a cabo en el sitio mismo donde se tienen las manifestaciones del problema, es decir en la empresa, las tcnicas para la recopilacin de informacin fueron la encuesta y la entrevista, las encuestas fueron realizadas tanto a clientes internos como externos; mientras que las entrevistas se las realizo al Gerente y a los Jefes de reas. Los instrumentos asociados a las tcnicas para recopilar informaciones antes mencionadas fueron el cuestionario y la gua de entrevista.

El resumen de la estructura de la tesis queda de la siguiente forma:

En la parte introductoria del presente proyecto se realiz un planteamiento del problema basado en los antecedentes de la investigacin que permiti desarrollar un plan de seguridad informtica para que mediante su aplicacin se pueda mejorar la gestin operativa de la empresa TELPROYEC CIA. LTDA.

En el Captulo I la informacin ha sido recopilada, analizada y sintetizada en el marco terico, las sntesis incorporadas en este captulo estn perfectamente referenciadas segn la normativa que tiene la institucin; para la realizacin del presente trabajo investigativo se ha recabado informacin tanto de libros como del internet, esta informacin se encuentra relacionada con las herramientas de desarrollo que se utiliz en la elaboracin de la parte prctica de la tesis.

En el captulo II se cumpli con una breve introduccin de la empresa, luego de esto se procedi a describir los tipos de investigaciones que se utilizaron, tambin se realiz la tabulacin de las encuestas y entrevistas realizadas para poder llegar a la propuesta del investigador la cual empieza en la descripcin de los nudos crticos de la empresa.

En el Captulo III se efectu un anlisis de los nudos crticos existentes en la empresa y que pudieron ser identificados en el marco metodolgico gracias a la aplicacin de las tcnicas de investigacin utilizadas; luego de realizar el anlisis de los puntos crticos se procedi a crear las Polticas de Seguridad Informtica las cuales estn basadas en las recomendaciones que existen en la norma ISO 27002 y que su aplicacin permitir mejorar la gestin operativa de la empresa TELPROYEC CIA. LTDA.

Como un aporte terico particular de este trabajo investigativo se puede sealar la sntesis relacionada con la norma ISO 27002 la cual es una gua de buenas prcticas de seguridad informtica que presenta una extensa serie de controles de seguridad que nos servirn de base para la elaboracin de las Polticas de Seguridad Informtica que conforman al Plan de Seguridad Informtica,aparte de dicha referencia los criterios expuestos son resultados de la experiencia profesional de quien desarroll el trabajo. Como novedad cientfica podemos sealar que dentro de la parte prctica se han utilizado nuevas normas como es la ISO 27002 la cual es la nica que no slo cubre la problemtica de la IT sino que hace una aproximacin holstica a la seguridad de la informacin abarcando todas las funcionalidades de una organizacin en cuanto a la gestin operativa que puedan ser afectadas por la seguridad informtica, el uso de estas nuevas tecnologas a requerido de un mayor esfuerzo investigativo.

CAPTULO I MARCO TERICO

1.1

Seguridad Informtica

La seguridad Informtica es el compendio de actividades y medidas encaminadas al resguardo y proteccin de la informacin que se encuentran contenidas en los sistemas e instalaciones informticas, y hace frente a su posible destruccin, modificacin, utilizacin, y difusin indebida.

La seguridad Informtica no solo debe encargarse de los posibles fallos desaprensivos, sino que tambin debe tener en cuenta lo errores que se pudieran generar por el mal funcionamiento del hardware, as como prevenir acciones involuntarias que puedan afectar la seguridad de la informacin que se encuentre contenida en los sistemas. El objetivo de la seguridad informtica ser mantener la Integridad, Disponibilidad, Privacidad (sus aspectos fundamentales), Control y Autenticidad de la informacin manejada por computadora.1

1.1.1

Plan de Seguridad Informtica.

Es el manual elemental que determina los principios organizativos y funcionales de la actividad de Seguridad Informtica en una organizacin y captara abiertamente las polticas de seguridad y las responsabilidades de cada uno de los involucrados en el proceso informtico, as como las medidas y procedimientos que permitan prevenir, detectar y responder a las amenazas que gravitan sobre el mismo, al ser una poltica de seguridad esta debe guiar en las decisiones que se toman en relacin con la seguridad informtica , tambin se necesita la disposicin de todos los miembros de la empresa para lograr una visin conjunta de lo que se considera relevante.

ALDEGANI, Gustavo, 1997Seguridad Informtica.MP Ediciones. Argentina.

Las polticas de seguridad informtica, deben ofrecer explicaciones comprensibles sobre por qu deben tomarse ciertas decisiones y explicar la importancia de los recursos. Igualmente, debern establecer las expectativas de la organizacin en relacin con la seguridad y especificar la autoridad responsable de aplicar los correctivos o sanciones. Importancia de la Seguridad Informtica

1.1.2

Hoy en da no existe duda de que nos encontramos en una nueva era caracterizada por el uso masivo de la informacin, que adicionalmente ha acarreado mucha ms relevancia que en anteriores pocas, debido lo cual es fundamental dentro de las organizaciones el poder detectar las vulnerabilidades del sistema de informacin para contrarrestar las amenazar y riesgos por el gran nmero de usuarios con potencial de ataque, que no tan solo se centran en el ambiente que se ubica fuera de la organizacin, sino tambin en los usuarios comunes que trabajan y son una gran amenaza a la seguridad si no se tienen polticas claras de acceso a la informacin.2

Despus de conocer las amenazas y puntos dbiles del ambiente, adquiridos en el anlisis de riesgos, o despus de la definicin formal de las intenciones y actitudes de la organizacin que estn definidas en la poltica de seguridad de la informacin, debemos tomar algunas medidas para la implementacin de las acciones de seguridad recomendadas o establecidas. Recuerde que las amenazas son agentes capaces de explotar fallos de seguridad, que denominamos puntos dbiles y, como consecuencia de ello, causan prdidas o daos a los activos de una empresa y afectan sus negocios. No basta conocer las fragilidades del ambiente o tener una poltica de seguridad escrita.

Se debe instalar herramientas, divulgar reglas, concienciar a los usuarios sobre el valor de la informacin, configurar los ambientes etc. Debemos elegir e implementar cada medida de proteccin, para contribuir con la reduccin de las vulnerabilidades; cada medida debe seleccionarse de tal forma que, al estar en funcionamiento, logre los propsitos definidos.
2

ACISSI, 2011, Seguridad Informtica, Ediciones ENI, Primera edicin, Barcelona Espaa.

Gran parte de esa concientizacin est en manos de los responsables de seguridad de la informacin apoyados en todo momento por la Gerencia de forma explcita y activa, por ello es importante indicarles no slo cuales son las principales amenazas en cada momento, sino qu deben hacer para evitarlas

1.1.3

Principios de la Seguridad Informtica

La seguridad informtica se centra en 3 principios bsicos, los cuales son de gran importancia para el plan de seguridad informtica. Confidencialidad Integridad Disponibilidad

1.1.3.1 Confidencialidad Se refiere a la privacidad de los elementos de informacin almacenados y procesados en un sistema informtico, Basndose en este principio, las herramientas de seguridad informtica deben proteger el sistema de invasiones y accesos por parte de personas o programas no autorizados. Este principio es particularmente importante en sistemas distribuidos, es decir, aquellos en los que los usuarios, computadores y datos residen en localidades diferentes, pero estn fsica y lgicamente interconectados.3

1.1.3.2 Integridad Se refiere a la validez y consistencia de los elementos de informacin almacenados y procesador en un sistema informtico. Basndose en este principio, las herramientas de seguridad informtica deben asegurar que los procesos de actualizacin estn bien sincronizados y no se dupliquen, de forma que todos los elementos del sistema manipulen adecuadamente los mismos datos. Este principio es importante en sistemas descentralizados,

3ATELIN Philippe, 2006, Redes Informticas, ediciones ENI, Primera Edicin, Barcelona -Espaa.

es decir, aquellos en los que diferentes usuarios, computadores y procesos comparten la misma informacin.

1.1.3.3 Disponibilidad Se refiere a la continuidad de acceso a los elementos de informacin almacenados y procesados en un sistema informtico. Basndose en este principio, las herramientas de seguridad informtica deber reforzar la permanencia del sistema informtico, en condiciones de actividad adecuadas para que los usuarios accedan a los datos con la frecuencia y dedicacin que requieran, este principio es importante en sistemas informticos cuyos compromiso con el usuario, es prestar servicio permanente.4

1.2

Norma ISO 27002

Esta norma de la organizacin IOS-IEC consiste en un conjunto de recomendaciones que indican acerca de sobre qu medidas tomar en la empresa para asegurar los Sistemas de Informacin, est compuesta por objetivos, los objetivos de seguridad recogen aquellos aspectos fundamentales que se deben analizar para conseguir un sistema seguro en cada una de las reas que los agrupa. Para conseguir cada uno de estos objetivos la norma propone una serie de medidas o recomendaciones (controles) que son los que en definitiva se aplicaran para la gestin del riesgo analizado.

1.2.1

reas / Secciones Sobre Las Que Acta

Dentro de cada seccin, se especifican los objetivos de los distintos controles para la seguridad de la informacin, para cada uno de los controles se indica asimismo una gua para su implantacin. El nmero total de controles suma 133 entre todas las secciones aunque cada organizacin debe considerar previamente cuntos sern realmente los aplicables segn sus propias necesidades, las principales reas son:

Poltica de Seguridad de la Informacin. Organizacin de la Seguridad de la Informacin.

4 BAETA Jess, Seguridad Informtica en lnea : http://es.scribd.com/doc/95069532/Seguridad -Informatica

10

Gestin de Activos de Informacin. Seguridad de los Recursos Humanos. Seguridad Fsica y Ambiental. Gestin de las Comunicaciones y Operaciones. Control de Accesos. Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin. Gestin de Incidentes en la Seguridad de la Informacin. Gestin de Continuidad del Negocio. Marco Legal, y Buenas Prcticas.5

Fig. 1 Cuadro de Conformidad Legal

1.2.1.1 Poltica De Seguridad Informtica Una poltica de seguridad informtica es una forma de comunicarse con los usuarios, ya que las mismas establecen un canal formal de actuacin del personal, en relacin con los recursos y servicios informticos de la organizacin.
5

ISO, ISO27000 http:/www.iso.org

11

No se puede considerar que una poltica de seguridad informtica es una descripcin tcnica de mecanismos, ni una expresin legal que involucre sanciones a conductas de los empleados, es ms bien una descripcin de los que deseamos proteger y l por qu de ello, pues cada poltica de seguridad es una invitacin a cada uno de sus miembros a reconocer la informacin como uno de sus principales activos as como, un motor de intercambio y desarrollo en el mbito de sus negocios. Por tal razn, las polticas de seguridad deben concluir en una posicin consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informticos.6

1.2.1.1.1 Elementos de una Poltica de Seguridad Informtica Como una poltica de seguridad debe orientar las decisiones que se toman en relacin con la seguridad, se requiere la disposicin de todos los miembros de la empresa para lograr una visin conjunta de lo que se considera importante.

Las Polticas de Seguridad Informtica deben considerar principalmente los siguientes elementos: Alcance de las polticas, incluyendo facilidades, sistemas y personal sobre la cual aplica. Objetivos de la poltica y descripcin clara de los elementos involucrados en su definicin. Responsabilidades por cada uno de los servicios y recursos informticos aplicado a todos los niveles de la organizacin. Requerimientos mnimos para configuracin de la seguridad de los sistemas que abarca el alcance de la poltica. Definicin de violaciones y sanciones por no cumplir con las polticas. Responsabilidades de los usuarios con respecto a toda la informacin a la que tiene acceso.

CALDER Alan, 2009, Information Security Base on ISO 270001 / ISO 270002, Editorial Van Haren, Wilco - Amersfoort

12

Las polticas de seguridad informtica, tambin deben ofrecer explicaciones comprensibles sobre por qu deben tomarse ciertas decisiones y explicar la importancia de los recursos. Igualmente, debern establecer las expectativas de la organizacin en relacin con la seguridad y especificar la autoridad responsable de aplicar los correctivos o sanciones. Otro punto importante, es que las polticas de seguridad deben redactarse en un lenguaje sencillo y entendible, libre de tecnicismos y trminos ambiguos que impidan una comprensin clara de las mismas, claro est sin sacrificar su precisin.

Por ltimo, y no menos importante, el que las polticas de seguridad, deben seguir un proceso de actualizacin peridica sujeto a los cambios organizacionales relevantes, como son: el aumento de personal, cambios en la infraestructura computacional, alta rotacin de personal, desarrollo de nuevos servicios, regionalizacin de la empresa, cambio o diversificacin del rea de negocios, etc.

1.2.1.2

Organizacin de la Informacin De Seguridad

Aqu se trabajara sobre el hecho de reunir y definir cul va a ser el personal responsable que se encargara de realizar el mantenimiento, revisin y evaluacin de peridica. Adems si las polticas que fueron elaboradas son las correctas, estn incompletas, o pueden mejorarse.

1.2.1.3

Gestin de Activos De Informacin

Toda empresa debe llevar un inventario completo al ms mnimo detalle de su informacin, con una actualizacin inmediata de todo recurso lgico que se posea, y debe tener un uso adecuado para evitar prdidas en los activos

1.2.1.4

Seguridad de los Recursos Humanos

Normalmente muchas organizaciones no tienen claro el concepto de que el rea de talento humano debe trabajar de la mano con el departamento de sistemas, ya que el objetivo es Asegurar que los empleados, contratistas y usuarios de terceras partes entiendan sus

13

responsabilidades y sean aptos para las funciones que desarrollen. Reducir el riesgo de robo, fraude y mal uso de las instalaciones y medios7

1.2.1.5 Seguridad Fsica y Ambiental Este grupo trabaja sobre las seguridades que existen en las reas delicadas de la organizacin como el CPD, o el acceso a servidores, Switch, entre otros. Las seguridades pueden ser lgicas o fsicas para mantener seguros los recursos tecnolgicos de la institucin, en resumen el objetivo de dicho control es Evitar el acceso fsico no autorizado, daos o intromisiones en las instalaciones y a la informacin de la organizacin.

1.2.1.6 Gestin de las Comunicaciones y Operaciones Tiene como objetivo asegurar la correcta y segura operacin de la informacin; hace especial hincapi en documentar todos los procedimientos, manteniendo los mismos disponibles a todos los usuarios que los necesiten; as como documentar de manera correcta los servicios o tareas que se estn prestando por parte de terceros (acuerdos, obligaciones,

responsabilidades, confidencialidad, operacin, mantenimiento, etc.). Planificar todo tipo de cambios en cuanto a sistemas se refiere para as poder reducir el riesgo de fallos al momento de arrancar o poner en produccin nuevos requerimientos, trabajar en ambientes los cuales sean muy semejantes a la realidad y poder trabajar con el sistema e informacin que la empresa maneje y ver as el desenvolvimiento de las actualizaciones.

Administrar y controlar todo lo que se refiere a la red empresarial, es decir, implementar todas las medidas posibles para evitar amenazas, manteniendo la seguridad de los sistemas y aplicaciones a travs del conocimiento de la informacin que circula por ella Prevenir la difusin, modificacin, borrado o destruccin de cualquier medio magntico en el cual haya sido previamente almacenado informacin, mediante medidas que aseguren su

almacenamiento seguro y uso incorrecto de los mismos. Mantenimiento de logs en todos los aplicativos que organizacin posea para as poder controlar accesos y evitar que cualquier intruso borre sus huellas. No permitir el intercambio de informacin sea o no en lnea,
7

ISO SOLUCIONES TCNICAS Y ORGANIZATIVAS A LOS CONTROLES DE ISO/IEC 27002 http://www.iso27000.es/download/ControlesISO27002-2005.pdf

14

recalquemos que la informacin es el bien ms preciado de una organizacin; por esto el intercambio de informacin debe ser llevado a cabo mediante reglas y usuarios establecidos.

1.2.1.7

Control de Accesos

En esta parte se hace referencia a que cada usuario tenga sus claves de acceso que permitan acezar solo a los recursos que son designados para l, esto debe ser controlado peridicamente para evitar fugas de informacin, y que ciertos usuarios tengan acceso a informacin la cual no sea relevante para la tarea que estn realizando esto a travs de una Poltica de Control de accesos documentada, peridicamente revisada y basada en los niveles de seguridad que determine el nivel de riesgo de cada activo.8

1.2.1.8

Adquisicin, Desarrollo y Mantenimiento de Sistemas de informacin

Plantea la necesidad de realizar un anlisis de los requerimientos que deben exigirse a los sistemas de informacin, desde el punto de vista de la seguridad para cumplir con las necesidades del negocio de cada empresa en particular, para poder garantizar que la seguridad sea una parte integral de los sistemas.

As como tambin incluir dentro de los procesos, las etapas en cuanto a desarrollo se refiere (Anlisis, Diseo, Implementacin y Pruebas), documentar lo necesario y poder tener revisiones peridicas de las tareas a realizarse y poder cumplir con todo lo pedido o pactado con terceros.

1.2.1.9

Gestin de Incidentes en la Seguridad de la Informacin

Nos va a permitir tener una metodologa eficiente para definir la generacin, monitorizacin y seguimientos de reportes los cuales deben reflejar todos los eventos de seguridad suscitados as como las debilidades en los sistemas, la mejor opcin es implementar herramientas de deteccin de vulnerabilidades. Se debe establecer tambin un procedimiento que describa claramente: pasos, acciones, responsabilidades, funciones y medidas concretas.
8

CALDER Alan, 2009, Implementig information Security Based on ISO 27001/ISO 270002 Tercera Edicin, Ontario - Canada.

15

Para lo cual se necesitara exista la preparacin adecuada del personal, por lo tanto es necesario difundirlo, practicarlo y simularlo.

1.2.1.10 Gestin de Continuidad de Negocio Tiene como objetivo contemplar todas las medidas necesarias para Reaccionar a la interrupcin de actividades del negocio y proteger sus procesos crticos frente a desastres o grandes fallos de los sistemas de informacin. Para que No sufran interrupciones sobre la actividad que realiza la empresa. Lo primero que considera este grupo es que la seguridad de la informacin se encuentre incluida en la administracin de la continuidad de negocio.9

1.2.1.11 Marco legal y Buenas Prcticas Se dice que este ltimo grupo de controles es el ms dbil de la norma debido a que est limitado a las leyes de cada empresa o cada pas. Lo primero a considerar es la identificacin de la legislacin aplicable a la empresa, definiendo explcitamente y documentando todo lo que guarde relacin con estos aspectos. Otro componente es lo relacionado con los derechos de propiedad Intelectual, debiendo generar procedimientos que aseguren el cumplimiento de las regulaciones; as como el hecho de obtener software legal e implementarlo con las respectivas licencias. Este grupo trata adems de las Buenas prcticas, ya que de que sirve implantar una normal basada en polticas, controles, procedimientos, etc., si luego el personal involucrado no da cumplimiento a las medidas y en definitiva, la implementacin falla. Por esto otro punto importante en esta norma es el hecho de realizar auditoras y tener herramientas de auditora las cuales permitan dictar si la norma y procedimientos encadenados se estn cumpliendo a cabalidad o si la misma tiene debilidades.

1.3

Auditoria Informtica

La Auditora Informtica permite poder detectar la inexistencia de un control, o corroborar su correcto o deficiente funcionamiento, as como la verdadera utilidad del mismo,
9

ISO An Introduction to ISO 27001, ISO 27002 http://www.27000.org/

16

recomendando el perfeccionamiento necesario al sistema de control interno sobre la base de la relacin costo beneficio de este sistema para el servicio informtico a la entidad. 10

La auditora tiene los siguientes objetivos: El anlisis de la eficiencia de los Sistemas Informticos. La verificacin del cumplimiento de la Normativa en este mbito. La revisin de la eficaz gestin de los recursos informticos.

1.3.1

Tipos de Auditora Informtica Evaluacin del sistema de control interno por parte de la auditora interna o evaluacin de la auditora interna por parte de la auditora externa.

Auditora de cumplimiento de polticas, estndares y procedimientos de la propia entidad, de normas legales aplicables, de acuerdos inter-empresas Auditora de seguridad (fsica y/o lgica) Auditora operativa, que para algunos es lo mismo que auditora de gestin.

1.3.2

Tipos de Amenazas Informticas

Bsicamente, podemos agrupar las amenazas en cuatro grandes categoras, que a la vez pueden ser amenazas internas o externas:

1.3.2.1 Factores Humanos Son la principal fuente de amenaza para un sistema, por lo que es donde ms se invierte en recursos para controlar y contrarrestar sus efectos. Estn principalmente compuesto por malintencionados o incumplimiento en las medidas de seguridad pueden subdividirse en:
10

Curiosos Intrusos Remunerados Personal entrenado Terroristas Robo

SPAFFORD, Gene. 2006, "Manual de seguridad en redes". Editorial ARCERT, Argentina.

17

Sabotaje Ingeniera social

1.3.2.2 Hardware Amenaza por fallas fsicas dentro de los dispositivos de cmputo que forman parte de la organizacin, pueden ser por defecto de fabricacin o mal mantenimiento, se subdivide en11: Mal diseo. Errores en la fabricacin. Suministro de energa. Desgaste. Descuido y mal uso. uso y descuido en el

1.3.2.3 Red de Datos Se presentan cuando la red de comunicacin no est disponible para su uso, esto puede ser provocado por un ataque deliberado por parte de un intruso o un error fsico o lgico del mismo sistema. Las dos principales amenazas que se presentan en una red de datos son la no disponibilidad de la red, y la extraccin lgica de informacin a travs de est. Depende principalmente de la topologa seleccionada, el sistema operativo, adems de un mal cumplimiento de las normas en la instalacin en la red.

1.3.2.4 Software Este tipo de amenaza incluye posibles fallos dentro del software de un sistema operativo, pueden provocar una amenaza directa contra un sistema. De estas se subdividen las siguientes amenazas:
11

Software en desarrollo. Software de aplicacin. Cdigo malicioso.

HOUGET Miguel, 2008, Administracin de Sistemas Operativos en Red, Editorial UOC, Primera edici n, Barcelona Espaa.

18

Errores en programacin.

1.3.2.5 Desastres Naturales Eventos que tienen su origen en fuerzas de la naturaleza, estos desastres no solo afectan a la informacin contenida en los sistemas, sino tambin representan una amenaza a la integridad el sistema completo (infraestructura, Instalacin, componentes, equipos, etc.). estn inundaciones, terremotos, incendios, huracanes, tormentas elctricas, etc. Entre estos

1.4

Plan de Contingencia Informtico

El Plan de Contingencia informtico es un documento que rene conjunto de procedimientos alternativos para facilitar el normal funcionamiento de las Tecnologas de Informacin y de Comunicaciones, cuando alguno de sus servicios se ha afectado negativamente por causa de algn incidente interno o externo a la organizacin12.

1.4.1

Acciones a ser Consideradas:

El Plan de Contingencia permite minimizar las consecuencias en caso de incidente con el fin de reanudar las operaciones en el menor tiempo posible en forma eficiente y oportuna. Antes, como un plan de respaldo o de prevencin para mitigar los incidentes. Durante, como un plan de emergencia y/o ejecucin en el momento de presentarse el incidente. Despus, como un plan de recuperacin una vez superado el incidente para regresar al estado previo a la contingencia.

1.4.2

Plan de Prevencin

Es el conjunto de acciones, decisiones y comprobaciones orientadas a prevenir la presencia de un evento con el propsito de disminuir y mitigar la probabilidad de ocurrencia del mismo en los factores identificados en el presente plan. El plan de prevencin es la parte principal del Plan de Contingencia porque permite aminorar y atenuar la probabilidad de ocurrencia de un estado de contingencia.
12

UTPL, Auditoria Informtica, http://www.utpl.edu.ec/ecc/wiki/index.php/Auditoria_Inform%C3%A1tica

19

1.4.3

Plan de Ejecucin13

Es el conjunto detallado de acciones a realizar en el momento que se presenta el incidente de contingencia y que activa un mecanismo alterno que permitir reemplazar la actividad

normal cuando este no se encuentra disponible. Las acciones descritas dentro del plan de ejecucin deben ser completamente claras y definidas de forma tal que sean de conocimiento y entendimiento inequvoco del personal involucrado en atender la contingencia.

1.4.4

Plan de Recuperacin

Es el conjunto de acciones que tienen por objetivo restablecer oportunamente la capacidad de las operaciones, procesos y recursos del servicio que fueron afectados por un evento de contingencia. Todo Plan de Contingencia informtico debe tener un carcter recursivo que permita retroalimentar y mejorar continuamente los planes en cada una de las etapas descritas, logrando as tener un documento dinmico.

1.5

Red

Una red es un sistema de transmisin de datos que permite el intercambio de informacin entre ordenadores. Una red es un conjunto de dispositivos interconectados entre s. Las redes en general, consisten en "compartir recursos".14

1.5.1

Redes Informticas

La llamada "autopista de la informacin" es, realmente, un conjunto de miles de redes informticas unidas entre s Compartiendo sus recursos e informacin y estando conscientes una de otra. Tambin se puede definir una red informtica como un sistema de comunicacin que conecta ordenadores y otros equipos informticos entre s, con la finalidad de compartir informacin y recursos.A travs de la comparticin de informacin y recursos en una red, los usuarios de los sistemas informticos de una organizacin podrn hacer un mejor uso de los mismos, mejorando de este modo el rendimiento global de la organizacin.

13

BON Jan, 2008, Fundamentos de la Gestin de Servicios de IT basada en ITIL, Editorial Van Haren, Tercera Edicin, Amersfoort Holanda. 14 BARCEL Jos, 2008, Protocolos y Aplicaciones de Internet, Editorial UOC, Primera edicin, Barcelona Espaa.

20

1.5.2

Caractersticas de las Redes Informticas Una red cubre un rea limitada, est circunscrita a un rea limitada. Comparte uno varios medios de transmisin comunes. Alta velocidad de transferencia, Esta se incrementa cada da ms, por el uso de tecnologas cada vez ms sofisticadas.

Flexibilidad, un concepto cada vez ms importante, y debe ser entendido, por la capacidad de las redes para adaptarse a las necesidades de los usuarios. Confiabilidad, trmino discutido que plantea el grado de seguridad de los datos, expresado por las facilidades y medios de que disponen las redes. Seguridad, en la infraestructura de red y de sus componentes dentro de los ambientes e instalaciones. Operatividad, soportada sobre principio de fcil instalacin y manipulacin de los componentes de la red informtica.15

1.5.3

Tipos de Redes Informticas

Una red puede recibir distintos calificativos de clasificacin en base a distintas taxonomas como el alcance, tipo de conexin, tecnologa, entre otras. Pero las principales son: Red de rea personal, o PAN (Personal Area Network), es una red de ordenadores usada para la comunicacin entre los dispositivos de la computadora cerca de una persona. Red de rea local, o LAN (Local Area Network), es una red que se limita a un rea especial relativamente pequea tal como un cuarto, un solo edificio, una nave, o un avin. Las redes de rea local a veces se llaman una sola red de localizacin. No utilizan medios o redes de interconexin pblicos. Redes de rea amplia, o WAN (Wide Area Network), son redes informticas que se extienden sobre un rea geogrfica extensa utilizando medios como: satlites, cables interocenicos, Internet, fibras pticas pblicas, etc.

15

GARCIA Alonso, 2011, Sistemas Informticos y Redes, Editorial Paraninfo, Primera Edicin, MadridEspaa

21

1.5.4

Topologas de las Redes Informticas

La topologa de una red es el arreglo fsico o lgico en el cual los dispositivos o nodos de una red como computadoras, impresoras, servidores, hubs, switches, enrutadores, se

interconectan entre s sobre un medio de comunicacin, Entre las principales topologas estn: Anillo, en la que cada estacin est conectada a la siguiente y la ltima est conectada a la primera. Estrella, las estaciones estn conectadas directamente a un punto central y todas las comunicaciones se han de hacer necesariamente a travs de ste. Malla, cada nodo est conectado a todos los otros. rbol, los nodos estn colocados en forma de rbol. Desde una visin topolgica, la conexin en rbol es parecida a una serie de redes en estrella interconectadas salvo en que no tiene un nodo central.

1.6

Protocolo

Es un conjunto definido de reglas y convenciones a ser adoptado cuando se desea obtener una interaccin entre dos o ms entidades.

1.6.1

Protocolo de Comunicacin de Red

Existen diversos protocolos, estndares y modelos que determinan el funcionamiento general de las redes, Destacan el modelo OSI y el TCP/IP. Cada modelo estructura el funcionamiento de una red de manera distinta. El modelo OSI cuenta con siete capas muy definidas y con funciones diferenciadas y el TCP/IP con cuatro capas diferenciadas pero que combinan las funciones existentes en las siete capas del modelo OSI. Los protocolos estn repartidos por las diferentes capas pero no estn definidos como parte del modelo en s sino como entidades diferentes de normativas internacionales, de modo que el modelo OSI no puede ser considerado una arquitectura de red.16

16

GUTIRREZ Jaime, 2003, Protocolos criptogrficos y seguridad en redes Editorial Universidad de Cantabria, Primera Edicin, Santander-Espaa

22

1.6.1.1 Protocolo TCP/IP TCP son las siglas de "Transmission Control Protocol", mientras que IP significa "Internetwork Protocol". Esta es una arquitectura de red cuya operacin, est basada por supuesto en la conmutacin de paquetes, pero no est compuesta por slo dos protocolos, se trata de todo un conjunto "suite" de protocolos que estn ligados y que constituyen la base del funcionamiento de Internet.

Concretamente, IP es un estndar que subyace en todas las comunicaciones de la red. Incluye todas las especificaciones necesarias para hacer inteligible a cualquier mquina la informacin contenida en cada datagrama (paquete) transmitido. Entre otras, el tamao normalizado de las cabeceras, remitente, cdigos de control de integridad, etc. Uno de sus elementos ms destacados, lo constituye un sistema universal y unificado para establecer las "Direcciones" de las computadoras de la red. A esto se le denomina Direccin IP ("Internet Protocol Address").17

En principio IP es el encargado de que la transmisin de los datos sea posible de una computadora a otra, mientras que TCP es el encargado de juntar los paquetes, pedir los que faltan (en su caso) y finalmente ordenarlos, puesto que la Red no garantiza la llegada de todos los paquetes ni tampoco que su llegada sea en orden.

En realidad, TCP se encarga de "negociar" con el equipo remoto determinados parmetros que determinan algunos detalles del modo en que se realizar la transmisin (por ejemplo el tamao de los paquetes). Una comunicacin en Internet es siempre un activo dilogo entre mquinas, incluso cuando aparentemente slo se est "recibiendo" informacin, por ejemplo al descargar un archivo. En trminos generales, el software TCP/IP est organizado en cuatro capas conceptuales.

17

LITTLEJOHN Debra, 2002 Troubleshooting Windows 2000 TCP/IP Editorial Syngress, Primera Edicin, EEUU

23

Fig. 2 Esquema de la Arquitectura TCP/IP

1.6.1.1.1 Capa de Aplicacin Es el nivel ms alto, los usuarios llaman a una aplicacin que acceda servicios disponibles a travs de la red de redes TCP/IP. Una aplicacin interacta con uno de los protocolos de nivel de transporte para enviar o recibir datos. Cada programa de aplicacin selecciona el tipo de transporte necesario, el cual puede ser una secuencia de mensajes individuales o un flujo continuo de octetos. El programa de aplicacin pasa los datos en la forma requerida hacia el nivel de transporte para su entrega.18

1.6.1.1.2 Capa de Transporte La principal tarea de la capa de transporte es proporcionar la comunicacin entre un programa de aplicacin y otro. Este tipo de comunicacin se conoce frecuentemente como comunicacin punto a punto. La capa de transporte regula el flujo de informacin. Puede tambin proporcionar un transporte confiable, asegurando que los datos lleguen sin errores y en secuencia. Para hacer esto, el software de protocolo de transporte tiene el lado de recepcin enviando acuses de recibo de retorno y la parte de envo retransmitiendo los paquetes perdidos. El software de transporte divide el flujo de datos que se est enviando en pequeos fragmentos (por lo general conocidos como paquetes) y pasa cada paquete, con una
18

LITTLEJOHN Debra, 2002 Troubleshooting Windows 2000 TCP/IP Editorial Syngress, Primera Edicin, EEUU.

24

direccin de destino, hacia la siguiente capa de transmisin. Aun cuando en el esquema anterior se utiliza un solo bloque para representar la capa de aplicacin, una computadora de propsito general puede tener varios programas de aplicacin acezando a la red de redes al mismo tiempo. La capa de transporte debe aceptar datos desde varios programas de usuario y enviarlos a la capa del siguiente nivel.

Para hacer esto, se aade informacin adicional a cada paquete, incluyendo cdigos que identifican qu programa de aplicacin enva y qu programa debe recibir, as como una suma de verificacin para verificar que el paquete ha llegado intacto y utiliza el cdigo de destino para identificar el programa de aplicacin en el que se debe entregar.

1.6.1.1.3 Capa Internet La capa Internet maneja la comunicacin de una mquina a otra. Esta contiene al protocolo IP y se encarga de aceptar una solicitud para enviar un paquete desde la capa de transporte, junto con una identificacin de la mquina, hacia la que se debe enviar el paquete. La capa Internet tambin maneja la entrada de datagramas, verifica su validez y utiliza un algoritmo de ruteo para decidir si el datagrama debe procesarse de manera local o debe ser transmitido. Para el caso de los datagramas diseccionados hacia la mquina local, el software de la capa de red de redes borra el encabezado del datagrama y selecciona, de entre varios protocolos de transporte, un protocolo con el que manejar el paquete. Por ltimo, la capa Internet enva los mensajes ICMP de error y control necesarios y maneja todos los mensajes ICMP entrantes.19

1.6.1.1.4 Capa de Interfaz de Red Es la capa inferior de la jerarqua de protocolos de TCP/IP y es equivalente a la capa 1 y 2 del modelo OSI (con algunas funciones de la capa 3). Hay muchos protocolos de acceso a la red (uno por cada estndar fsico de red) y su funcin principal es encapsular Datagramas en Frames y mapear direcciones IP a direcciones fsicas.

19

LITTLEJOHN Debra, 2001 Cisco Networking Academy Program: Computer Networking Essentials Editorial Cisco Press, Primera Edicin, EEUU

25

1.6.1.2 Protocolo de Referencia OSI El modelo OSI (Open Systems Interconnection) fue creado por la ISO y se encarga de la conexin entre sistemas abiertos, esto es, sistemas abiertos a la comunicacin con otros sistemas. Los principios en los que bas su creacin eran: una mayor definicin de las funciones de cada capa, evitar agrupar funciones diferentes en la misma capa y una mayor simplificacin en el funcionamiento del modelo en general, Este modelo divide las funciones de red en siete capas diferenciadas:

Aplicacin. Presentacin. Sesin. Red. Transporte. Enlace. Fsica.

1.6.1.3 Protocolo IP 1.6.1.3.1 Protocolo Internet versin 4: IPv4 El protocolo IP (Internet Protocol) es la pieza fundamental en la que se sustenta el sistema TCP/IP20, por tanto todo el funcionamiento de Internet. La unidad de datos del protocolo IP es el datagrama, cuyo tamao mximo es de 65535 bytes (64K). El protocolo IP facilita un sistema sin conexin (connection less) y no fiable (unreliable) de entrega de datagramas entre dos ordenadores cualesquiera conectados a Internet.

IP da un servicio de entrega basado en el mejor intento (best effort). Esto implica que cuando hay algn funcionamiento anmalo de Internet, como podra ser un router colapsado, se contempla un sistema muy simple de tratamiento de errores. Este mecanismo de control de errores viene regulado por el protocolo ICMP (Internet Control Message Protocol).
20

STALLINGS William, 2004 Comunicaciones y Redes de Computadoras, 7ma Edicin, Prentice-Hall, Primera Edicin, EEUU

26

En nuestro caso, el router colapsado descartara el datagrama y enviara un mensaje de error ICMP al ordenador de origen sin encargarse de la retransmisin del datagrama, lo que no implica fiabilidad. Adems, no mantiene ningn tipo de informacin referente al estado de las conexiones. Cada datagrama es encaminado de forma independiente, lo que le convierte en un protocolo sin conexin21.

Debido a estas particulares caractersticas, puede pasar que se pierdan datagramas y/o que estos no lleguen en orden. De esta manera, cualquier fiabilidad que se necesite, deber ser realizada por las capas superiores (TCP).

La estructura de un datagrama IP est dividida en bloques de 32 bits (4 bytes). El datagrama IP se transmite enviando primero el bit 0, luego el bit 1, 2, 3... y as sucesivamente hasta finalizar el datagrama. Este orden se denomina network byte order. Es muy importante conocer este orden de transmisin de la informacin, puesto que los diferentes ordenadores tienen diferentes sistemas de almacenamiento de bits en memoria.

Fig. 3: Estructura del datagrama IPv4 1.6.1.3.2 Protocolo Internet versin 6: IPv6 IPv6 (Internet Protocol Versin 6) o IPng (Next Generation Internet Protocol) es una nueva versin del protocolo IP, Ha sido diseada por el IETF (Internet Engineering Task Force)
21

COMER Douglas, 2006 Principles, Protocols and Architecture, Internetworking with TCP/IP, 4ta Edicin, Prentice-Hall, EEUU.

27

para reemplazar en forma gradual a la versin actual, el IPv4. En esta versin se mantuvieron las funciones del IPv4 que son utilizadas, las que no son utilizadas o se usan con poca frecuencia, se quitaron o se hicieron opcionales, agregndose nuevas caractersticas 22.

El motivo bsico para crear un nuevo protocolo fue la falta de direcciones. IPv4 tiene un espacio de direcciones de 32 bits, en cambio IPv6 ofrece un espacio de 128 bits. El reducido espacio de direcciones de IPv4, junto al hecho de falta de coordinacin para su asignacin durante la dcada de los 80, sin ningn tipo de optimizacin, dejando incluso espacios de direcciones discontinuos, generan en la actualidad, dificultades no previstas en aquel momento. Otros de los problemas de IPv4 es la gran dimensin de las tablas de ruteo en el backbone de Internet, que lo hace ineficaz y perjudica los tiempos de respuesta.

Debido a la multitud de nuevas aplicaciones en las que IPv4 es utilizado, ha sido necesario agregar nuevas funcionalidad al protocolo bsico, aspectos que no fueron contemplados en el anlisis inicial de IPv4, lo que genera complicaciones en su escalabilidad para nuevos requerimientos y en el uso simultneo de dos o ms de dichas funcionalidades.

Fig. 4: Formato de la Cabecera Bsica IPv6

22

RAU, Red Acadmica Uruguaya Introduccin al IPv6, http://www. rau.edu.uy/ipv6/queesipv6.htm

28

1.6.1.3.2.1 Caractersticas principales23 Mayor espacio de direcciones. El tamao de las direcciones IP cambia de 32 bits a 128 bits, para soportar ms niveles de jerarquas de direccionamiento y ms nodos direccionables. Simplificacin del formato del Header. Algunos campos del header IPv4 se quitan o se hacen opcionales. Paquetes IP eficientes y extensibles, sin que haya fragmentacin en los routers, alineados a 64 bits y con una cabecera de longitud fija, ms simple, que agiliza su procesado por parte del router. Posibilidad de paquetes con carga til (datos) de ms de 65.355 bytes. Seguridad en el ncleo del protocolo (IPsec). El soporte de IPsec es un requerimiento del protocolo IPv6. Capacidad de etiquetas de flujo. Puede ser usada por un nodo origen para etiquetar paquetes pertenecientes a un flujo (flow) de trfico particular, que requieren manejo especial por los routers IPv6, tal como calidad de servicio no por defecto o servicios de tiempo real. Por ejemplo video conferencia. Autoconfiguracin: la autoconfiguracin de direcciones es ms simple.

Especialmente en direcciones Aggregatable Global Unicast, los 64 bits superiores son seteados por un mensaje desde el router (Router Advertisement) y los 64 bits ms bajos son seteados con la direccin MAC (en formato EUI-64). En este caso, el largo del prefijo de la subred es 64, por lo que no hay que preocuparse ms por la mscara de red. Adems el largo del prefijo no depende en el nmero de los hosts por lo tanto la asignacin es ms simple.
23

Renumeracin y "multihoming": facilitando el cambio de proveedor de servicios. Caractersticas de movilidad, la posibilidad de que un nodo mantenga la misma direccin IP, a pesar de su movilidad. Ruteo ms eficiente en el backbone de la red, debido a la jerarqua de direccionamiento basada en aggregation. Calidad de servicio (QoS) y clase de servicio (CoS).

COMER Douglas, 2001, Principles, protocols, and architecture, PrimeraEdicin, Prentice -Hall, India.

29

Capacidades de autenticacin y privacidad.

1.7 1.7.1

Tecnologas de Seguridad Redes de rea Local Virtual: VLANs

Una VLAN se encuentra conformada por un conjunto de dispositivos de red interconectados (hubs, bridges, switches o estaciones de trabajo) la definimos como una subred definida por software y es considerada como un dominio de Broadcast que pueden estar en el mismo medio fsico o bien puede estar sus integrantes ubicados en distintos sectores de la corporacin24.

Fig. 5:

Ejemplo de VLAN

La tecnologa de las VLANs se basa en el empleo de Switches, en lugar de hubs, de tal manera que esto permite un control ms inteligente del trfico de la red, ya que este dispositivo trabaja a nivel de la capa 2 del modelo OSI y es capaz de aislar el trfico, para que de esta manera la eficiencia de la red entera se incremente. Por otro lado, al distribuir a los usuarios de un mismo grupo lgico a travs de diferentes segmentos, se logra el incremento del ancho de banda en dicho grupo de usuarios.

24

LITTLEJOHN Debra, 2001 Cisco Networking Academy Program: Computer Networking Essentials Editorial CiscoPress, EEUU

30

1.7.2

Filtrado IP

El filtrado de IP es simplemente un mecanismo que decide qu tipos de datagramas de IP sern procesados normalmente y cules sern descartados. Por descartados se entiende que el datagrama se elimina y se ignora completamente, como si nunca se hubiera recibido. Usted puede aplicar muchos criterios, y en diferentes ordenamientos, para determinar qu datagramas desea filtrar; algunos ejemplos de stos son25: Tipo de protocolo: TCP, UDP, ICMP, etc. Nmero de conector (para TCP/UDP). Tipo de datagrama: SYN/ACK, datos, peticin de eco de ICMP, etc. Direccin de origen del datagrama: de donde proviene. Direccin de destino del datagrama: a donde se dirige.

Llegado este punto, resulta muy importante comprender que el filtrado de IP es una utilidad en la capa de red. Esto significa que este mecanismo no entiende nada acerca de la aplicacin que utiliza las conexiones de red, slo sabe acerca de las conexiones mismas. Existe un gran nmero de programas servidores intermediarios. Algunos son software libre y muchos otros son productos comerciales.

1.7.3

Traduccin de Direcciones de Red: NAT

La "Traduccin de Direcciones de Red", Network Address Translation (NAT), es un mtodo mediante el que las direcciones IP son mapeadas desde un dominio de direcciones a otro, proporcionando encaminamiento transparente a las mquinas finales. Existen muchas variantes de traduccin de direcciones que se prestan a distintas aplicaciones. Sin embargo todas las variantes de dispositivos NAT debera compartir las siguientes caractersticas: Asignacin transparente de direcciones.

25

STALLINGS William, 2003, Fundamentos de seguridad en redes: aplicaciones y estndares Editorial Pearson Educacin, Segunda Edicin, Espaa

31

Encaminamiento transparente mediante la traduccin de direcciones (aqu el encaminamiento se refiere al reenvo de paquetes, no al intercambio de informacin de encaminamiento).

Traduccin de la carga til de los paquetes de error ICMP.

1.7.4

Cortafuegos

Un cortafuegos, es un elemento de hardware o software utilizado en una red de computadoras para controlar las comunicaciones, permitindolas o prohibindolas segn las polticas de red que haya definido la organizacin responsable de la red. Su modo de funcionar es indicado por la recomendacin RFC 2979, que define las caractersticas de comportamiento y requerimientos de interoperabilidad. La ubicacin habitual de un cortafuegos es el punto de conexin de la red interna de la organizacin con la red exterior, que normalmente es Internet; de este modo se protege la red interna de intentos de acceso no autorizados desde Internet, que puedan aprovechar vulnerabilidades de los sistemas de la red interna26.

Tambin es frecuente conectar al cortafuego una tercera red, llamada zona desmilitarizada o DMZ, en la que se ubican los servidores de la organizacin que deben permanecer accesibles desde la red exterior.

Fig. 6: Cortafuegos en una Red de Datos

26

STALLINGS William, 2003, Fundamentos de seguridad en redes: aplicaciones y estndares Editorial Pearson Educacin, Segunda Edicin, Espaa

32

1.7.5

Redes Privadas Virtuales: VPNs

La VPN es una red IP privada y segura que pasa sobre otra red IP no segura normalmente Internet. Una VPN garantiza las siguientes condiciones: Confidencialidad, Autenticidad e Integridad. Para cumplir estas condiciones los paquetes IP que se desean transmitir: Se cifran para garantizar la confidencialidad y se firman para garantizar la autenticidad e integridad. El paquete resultante se encapsula en un nuevo paquete IP y se enva a travs de la red insegura al otro extremo de la VPN.

Existen dos escenarios tpicos de VPNs: Interconexin de redes privadas a travs de Internet y Road Warriors (trabajadores remotos).

Fig. 7: Redes Privadas Virtuales

1.7.6

Mtodos de Autenticacin

Autenticacin es el acto de establecimiento o confirmacin de algo (o alguien) como autntico, es decir que reclama hecho por, o sobre la cosa son verdadero. La autenticacin de un objeto puede significar (pensar) la confirmacin de su procedencia, mientras que el de una persona es autenticar que esa persona es quien dice ser realmente.
33

Los mtodos de

autenticacin se suelen dividir en tres grandes categoras en funcin de lo que utilizan para la verificacin de identidad: algo que el usuario sabe, algo que ste posee, y una caracterstica fsica del usuario o un acto involuntario del mismo. Sistemas basados en algo conocido: Contraseas Sistemas basados en algo posedo: Tarjetas Inteligentes Sistemas de Autenticacin Biomtrica Criptografa

1.8 1.8.1

Conceptos Bsicos De Informtica Sistemas Operativos

Un Sistema Operativo es el software encargado de ejercer el control y coordinar el uso del hardware entre diferentes programas de aplicacin y los diferentes usuarios. Es un administrador de los recursos de hardware del sistema.27

En una definicin informal es un sistema que consiste en ofrecer una distribucin ordenada y controlada de los procesadores, memorias y dispositivos de E/S entre los diversos programas que compiten por ellos. A pesar de que todos nosotros usamos sistemas operativos casi a

diario, es difcil definir qu es un sistema operativo. En parte, esto se debe a que los sistemas operativos realizan dos funciones diferentes, proveer una mquina virtual, es decir, un ambiente en el cual el usuario pueda ejecutar programas de manera conveniente, protegindolo de los detalles y complejidades del hardware para administrar eficientemente los recursos del computador.

1.8.2

Informacin

La informacin est constituida por un grupo de datos ya supervisados y ordenados, que sirven para construir un mensaje basado en un cierto fenmeno o ente. La informacin permite resolver problemas y tomar decisiones, ya que su aprovechamiento racional es la base del conocimiento.28
27

STALLINGS William , 2011, Operating Systems: Internals and Design Principles Sptima Edicin, Prentice Hall, EEUU 28 AREITIO Javier, 2008, Seguridad de la informacin, Editorial Paraninfo, Primera Edicin, Madrid -Espaa.

34

Por lo tanto, otra perspectiva nos indica que la informacin es un recurso que otorga significado o sentido a la realidad, ya que mediante cdigos y conjuntos de datos, da origen a los modelos de pensamiento humano. Existen diversas especies que se comunican a travs de la transmisin de informacin para su supervivencia; la diferencia para los seres humanos radica en la capacidad que tiene el hombre para armar cdigos y smbolos con significados complejos, que conforman el lenguaje comn para la convivencia en sociedad.

La informacin se reconoce como: Crtica, indispensable para garantizar la continuidad operativa de la organizacin. Valiosa, es un activo corporativo que tiene valor en s mismo. Sensitiva, debe ser conocida por las personas que necesitan los datos.

1.8.3

Dato

Es el elemento primario de la informacin conformado por smbolos (letras, nmeros, dibujos, seas, gestos) que reunidos pueden cobrar significacin. Solo o aislado el dato no posee relevancia, pero una vez procesado puede brindar soluciones, conclusiones, etc.

1.8.4

Intranet

Las intranets son redes privadas que se han creado utilizando, las normas y protocolos de Internet. Aportan la interfaz de exploracin del World Wide Web (www) a

la informacin y servicios almacenados en una red de rea local (LAN) corporativa. Las intranets son atractivas por que disminuyen el costo de mantenimiento de una red interna y, al mismo tiempo, aumenta la productividad, ya que ofrece a los usuarios acceso ms eficaz a la informacin y a los servicios que necesitan.

La Intranet est basada en los estndares y protocolos abiertos desarrollados en Internet. Estos estndares abiertos soportan aplicaciones y servicios como correo electrnico (email), trabajo en grupo (workgroup), servicio de directorio, seguridad, acceso a bases de

35

datos, comparticin de informacin y administracin de sistema. La Intranet se beneficia del esfuerzo de la industria entera y no de un solo fabricante.

1.8.5

Router

Es un dispositivo que proporciona conectividad a nivel de red o nivel tres en el modelo OSI. Su funcin principal consiste en enviar o encaminar paquetes de datos de una red a otra, es decir, interconectar subredes, entendiendo por subred un conjunto de mquinas IP que se pueden comunicar sin la intervencin de un router (mediante bridges), y que por tanto tienen prefijos de red distintos.29

1.8.6

Switch

Es dispositivo de caractersticas digitales que se necesita para interconectar redes de ordenadores, el switch opera en el nivel del cruzamiento o combinacin de datos y tiene como finalidad principal garantizar la interconexin de un mnimo de dos segmentos de red, similar a la funcin de un puente (bridge).

Este dispositivo de red se encarga de transmitir los datos de un segmento a otro de acuerdo a la direccin MAC que tengan como destino las tramas de esta estructura. Su tarea hace foco en la conexin de diferentes redes y sus correspondientes fusiones. El switch, por su utilidad, acta como un filtro y optimiza el rendimiento de las redes de rea local (conocidas como LAN por Local Area Network).

1.9

Planificacin

La Planificacin es la primera funcin de la administracin, y consiste en determinar las metas u objetivos a cumplir. La planificacin incluye seleccionar misiones y objetivos como las acciones para alcanzarlos; requiere tomar decisiones; es decir, seleccionar entre diversos cursos de accin futuros. As la planificacin provee un objetivos preseleccionados. enfoque racional para lograr

29

LITTLEJOHN Debra, 2001 Cisco Networking Academy Program: Computer Networking Essentials Editorial Cisco Press, EEUU

36

1.9.1

Importancia de la Planificacin

La Planificacin es econmica, al concentrar las acciones en un sentido definido. Otro elemento por el cual es importante planear, es que se evitan o aminoran riesgos innecesarios. Una siguiente razn es que permite el control de la empresa. Finalmente facilita adems la coordinacin de las distintas funciones de la empresa.30

1.9.2

Principios

Para que la planificacin sea efectiva, de acuerdo a los mismos conceptos anteriores, es preciso tener en consideracin los siguientes principios: Flexibilidad.- La inflexibilidad de los planes atenta con su efectividad, ya que si el plan es esttico y no se adapta a los cambios, la planificacin se rigidiza, pierde validez y se hace inoperante. Compromiso.- Los planes deben ser motivadores para lograr el compromiso de todos los que intervienen en el proceso y as favorecer su cumplimiento. Contribucin.- Los planes deben estar debidamente integrados y encaminados hacia un propsito central.

La planificacin falla por sus propios errores, por un exceso de planificacin y/o por una incertidumbre incontrolable del entorno.

1.9.3

Limitaciones

Aun cuando el planeamiento es esencial para conseguir eficiencia en la accin posterior, tiene dificultades y limitaciones que son tiles conocer y considerar. Una de las crticas que corrientemente se hace a la planificacin, es su poca exactitud en relacin con los resultados obtenidos. Ante esta observacin, cabe llamar la atencin en que la mayor o menor exactitud del plan depender de los datos considerados para formularlo. En la medida que stos sean reales o bien estimados, mejor ser el resultado logrado. Cuando se planifica no se pretende adivinar el futuro; el proceso en s contempla ciertos mrgenes de error. Lo que realmente

30

GESTIN 2000, 2008 Lo Que se Aprende en los Mejores MBA, Editorial Gestin 2000, Segunda Edicin, Espaa.

37

interesa es que dichos mrgenes se reduzcan a niveles tolerables y las diferencias que surjan no sean significativas. La importancia de la planificacin, reside en la prediccin de las variables pertinentes para alcanzarlo. Otra crtica que se formula a la planificacin, la constituye las dificultades propias que plantea la actividad de planificar, esto es efectivo, sobre todo cuando no se dispone de antecedente estadstico en que basar el plan.
1.10 Planificacin Estratgica31

La Planificacin estratgica es una herramienta que permite a las organizaciones prepararse para enfrentar las situaciones que se presentan en el futuro, ayudando con ello a orientar sus esfuerzos hacia metas realistas de desempeo, por lo cual es necesario conocer y aplicar los elementos que intervienen en el proceso de planeacin, por ello la planificacin estratgica tiene como finalidad orientar a la empresa a lograr oportunidades atractivas para su crecimiento y rentabilidad econmica y de esta manera tener una organizacin solida capaz de afrontar las eventualidades que se presenten. En resumen, es una planeacin a largo plazo, que tiene como enfoque principal a la organizacin como un todo, ya que incluye a todas las reas que componen a la organizacin

1.10.1 Ventajas de la Planificacin Estratgica

Las principales ventajas son las siguientes: Reducir los recursos que se requieren para obtener un nivel ptimo de rendimiento. Aumentar el rendimiento con los recursos disponibles de la organizacin. Obtener un equilibrio entre los costos y los resultados32. Reduce los riesgos, y aprovecha al mximo las oportunidades que se presenten. Eleva el nivel de xito organizacional.

31 32

GIMBERT Xavier, 2010, Pensar Estratgicamente, Editorial Planeta, Primera Edicin, Espaa. GMEZ, Guillermo, 1994 Planificacin y organizacin estratgica empresarial, Mc Graw Hill, Primera edicin, Mxico.

38

1.11 Anlisis FODA

Este anlisis permite representar la interaccin que existe entre las caractersticas particulares de la empresa y el entorno en el cual compite. El anlisis FODA tiene mltiples aplicaciones y puede ser usado por todos los niveles de la corporacin y en diferentes unidades de anlisis tales como producto, mercado, producto-mercado, lnea de productos, corporacin, empresa, divisin, unidad estratgica de negocios.

El anlisis FODA debe estar enfocado nicamente a los factores claves para el xito de la organizacin. Tambin debe resaltar las fortalezas y las debilidades de manera objetiva y realista con la competencia y con las oportunidades y amenazas claves del entorno.

1.11.1 Estructura Organizacional

La estructura organizacional, es el marco en el que se desenvuelve la organizacin, de acuerdo con el cual las tareas son divididas, agrupadas, coordinadas y controladas, para el logro de objetivos. Desde un punto de vista ms amplio, comprende tanto la estructura formal (que incluye todo lo que est previsto en la organizacin), como la estructura informal (que surge de la interaccin entre los miembros de la organizacin y con el medio externo a ella) dando lugar a la estructura real de la organizacin.

1.11.1.1 Estructura Formal Est conformada por las partes que integran a la organizacin y las relaciones que las vinculan, incluyendo las funciones, actividades, relaciones de autoridad y de dependencia, responsabilidades, objetivos, manuales y procedimientos, descripciones de puestos de trabajo, asignacin de recursos, y todo aquello que est previamente definido de alguna manera.33

Puede tener forma escrita y pblica o no, pero siempre se refiere a procesos, tareas y comunicaciones que habrn de tener lugar entre sus miembros. Por lo tanto, un plan, un

33

LOPZ Victor, 2008, Gestin Eficaz de los Procesos Productivos, Editorial Edirectivos, Primera Edicin, Espaa.

39

programa, un presupuesto, un instructivo, las interrelaciones previstas entre el personal, forman parte de la estructura formal. Es habitual que se considere equivocadamente a un organigrama como la estructura de una organizacin, pero en realidad, si bien muestra la distribucin de actividades, relaciones de dependencia, lneas de comunicacin previstas, asignacin de responsabilidades, etc., no es ms que un modelo de representacin simplificado de la estructura organizacional formal. No obstante es de gran utilidad para lograr una rpida visualizacin de algunos aspectos formales sumamente importantes.

1.11.1.2 Estructura Informal Es la que se conforma a partir de las relaciones entre las personas que comparten uno o varios procesos de trabajos dentro de la organizacin. En este sentido, la estructura informal comprende aspectos referidos, o que tienen que ver, con valores, intereses, sentimientos, afectos, liderazgo y toda la gama de relaciones humanas que no pueden ser determinadas previamente, simplemente son producto de la interaccin humana y del juego de personalidades, grupos, etc. Lo informal est caracterizado por una actividad colectiva que no est orientada especficamente hacia los objetivos, pero que es necesaria para alcanzarlos. La suma de la estructura formal y la informal da como resultado la estructura total, que es la real.

1.12 Operatividad

Entendemos por operatividad, en el campo de las relaciones humanas, la relacin entre dos o ms personas, que dedican parte de su tiempo y capacidades a realizar un objetivo comn, previamente determinado. La operatividad se da dentro del estadio evolutivo de la civilizacin y de la cultura, la operatividad es esencialmente previsin y convenio, el riesgo de la operatividad es cosificar al individuo.

Por el contrario, como resultado positivo, la operatividad ha permitido el crecimiento de la especie humana, la prolongacin de la existencia, el confort en que vivimos y los

impresionantes avances de la civilizacin.

40

1.12.1 Gestin Operativa34

Se entiende por gestin operativa al proceso que realiza el directivo hacia el interior de su organizacin para aumentar su capacidad de conseguir los propsitos de sus polticas. Involucra los cambios en la estructura de la organizacin y en el sistema de roles y funciones, la eleccin de personal directivo y asesor de mediano nivel, los procesos de capacitacin del personal de planta permanente, la mejora continua del funcionamiento de la organizacin con su actual tecnologa y la introduccin de innovaciones tcnicas y estratgicas acordes con los proyectos en curso. Sus principales tareas son:

1.12.1.1 Anlisis De Los Servicios Fundamentalmente se refiere al anlisis de la concordancia de los servicios ofrecidos o que se piensa ofrecer con los requerimientos de los ciudadanos. Tambin se refiere al cumplimiento de las especificaciones tcnicas propias de cada producto o servicio, y a las pruebas de su correcto funcionamiento.

1.12.1.2 Anlisis De Los Procesos Se refiere a los procesos tcnicos y administrativos, y a su encuadre legal, que se utilizan o van a utilizarse para la realizacin de proyectos, prestacin de servicios, etc., tanto en lo referente a la relacin con el pblico destinatario como a la relacin con otras organizaciones de la administracin pblica.

1.12.1.3 Revisin De Los Modos De Disear Y Dirigir El enfoque estratgico de la administracin pblica entraa, a diferencia del enfoque burocrtico, un permanente proceso de bsqueda de procedimientos ms eficientes para la realizacin de proyectos y la prestacin de servicios, tratando de lograr resultados acordes con los requerimientos de la gente sin malgastar los recursos pblicos disponibles.

34

WHEELEN Thomas, 2007, Administracin Estratgica y Polticas de Negocio, Pearson Educatin, Dcima Edicin, DF Mexico.

41

1.12.2 La funcin de la Gestin Operativa

La tarea esencial de la gestin operativa es el despliegue de recursos y capacidades para obtener resultados concretos. Requiere objetivos acertados (acordes con los requerimientos sociales), capacidad de conseguir recursos y lograr implantar sistemas, procedimientos y personal en forma acorde con lo que se quiere conseguir. Segn una visin estratgica de la gestin operativa, los jefes son responsables del uso que hacen del poder y del dinero, en una actuacin que debe ser imparcial, creando organizaciones adaptables, flexibles, controlables y eficientes.35

La visin convencional de la produccin de una organizacin privada se la considera un caso especial, de creacin de valor en condiciones de pocos cambios y conflictos, con innovaciones mnimas, manteniendo a la capacidad operativa contenida dentro del sistema de la organizacin misma. La visin estratgica aparece como realmente necesaria cuando hay muchos cambios y conflictos y, por ende, necesidad de innovar para asumir los nuevos desafos con posibilidades de xito.

1.12.3 Las Tcnicas De La Gestin Operativa

El cambio de la estrategia organizativa requiere acciones especficas, de diverso tipo: Anunciar nuevos propsitos. Conseguir apoyo externo. Reorganizar las operaciones. Redistribuir las responsabilidades.

Muchos cambios operativos estratgicos no surgen de los sistemas formales de planificacin y de presupuesto, sino de coyunturas propicias, en las que los representantes y sus supervisores, con participacin o no de los medios de comunicacin social, se interesan por una organizacin de la administracin pblica. No solo hay que aprender a planificar sino tambin a aprovechar circunstancias imprevistas.

35

MINTZBERG Henry, 2001, Diseo De Organizaciones Eficientes, Editorial Ateneo, Primera Edicin, Argentina.

42

Para clarificar objetivos, y para que stos sean realmente tiles en la prctica, en un mundo catico como el actual, es mejor esbozar directrices amplias y flexibles, antes que desarrollar una plan estratgico excesivamente detallado, pero al mismo tiempo esas directrices deben ser suficientemente concretas como para ayudar a alcanzar el valor esperado.36

Tambin hay que tener en cuenta los cambios positivos que pueden ocurrir una vez iniciado el proceso realizador, porque acciones acertadas modifican el contexto y posibilitan nuevos cursos de accin, lo que ocasionalmente puede llevar a que se produzca algo extraordinario: un cambio real y de fondo en la estrategia de la organizacin. En los apartados que siguen se tratarn algunas orientaciones sobre lo que los directivos pblicos pueden hacer para mejorar la actuacin operativa de sus organizaciones.

1.13 Conclusiones Parciales Del Capitulo

Hoy en da podemos notar que la seguridad informtica es un aspecto muy relevante en las organizaciones, ya que sin este tipo de controles estaran propensas a cualquier delito informtico que pudiere afectar a la gestin operativa de la organizacin.

La utilizacin de las recomendaciones de la norma ISO 27002 es de gran ayuda para orientar a la solucin de la problemtica que se presenta en la organizacin, debido a que son medidas que abordan todos los aspectos del sistema, con el fin de obtener una respuesta de cmo se estn ejecutando, y asegurar un buen funcionamiento.

Gracias a los conceptos vertidos se tiene un mejor conocimientos de cules son los mtodos, las amenazas, los tipos de controles que se deben utilizar para poder realizar un plan de seguridad informtico, para poder asegurar la gestin operativa de una organizacin

36

MANTILLA Samuel, 2009, Auditora Del Control Interno, Primera Edicin, Editorial ECOE, Colombia.

43

CAPITULO II MARCO METODOLGICO

2.1

La Empresa

La empresa TELPROYEC CIA. LTDA es una organizacin que est dedicada a la planificacin, organizacin, implementacin, ejecucin y supervisin de proyectos de telecomunicacin, infraestructura, informtica, comunicacin y afines a las actividades citadas. Su domicilio se encuentra en la ciudad de Quito en la calle la Pinta 236 y Rbida en el edificio Alcatel-Lucent, cuenta con una sucursal en la ciudad de Guayaquil en la torre B del centro comercial Mall del Sol ubicado en la avenida de las Amricas y Luis Orrantia, tambin cuenta con personal distribuido en diferentes provincias del pas como Manab, Santo Domingo, Esmeraldas, Chimborazo, Loja, Santa Elena.

La empresa fue fundada el 28 de mayo del 2008, siendo su gerente desde sus inicios el Doctor Cristbal Mantilla Armendriz, La caracterstica principal de la empresa es ofrecer un desarrollo profesional a los proyectos, gracias al personal que esta altsimamente calificado para ejecutar dichas tareas de manera profesional y responsable.
2.2

Diseo Metodolgico. denominada cuali-

La modalidad investigativa que se ha utilizado en esta tesis es la cuantitativa.

La investigacin cualitativa es el procedimiento metodolgico que se

caracteriza por utilizar palabras, textos, discursos, dibujos, grficos e imgenes para comprender la vida social por medio de significados y desde una perspectiva holstica, pues se trata de entender el conjunto de cualidades interrelacionadas que caracterizan a un determinado fenmeno y se la aplico para determinar los objetos cualitativos del problema como el mal servicio, eficiencia y ms.

La investigacin cuantitativa se caracteriza por

recoger, procesar y analizar datos

cuantitativos o numricos sobre variables previamente determinadas. Esto ya hace darle una
44

connotacin que va ms all de un mero listado de datos organizados como resultado; pues estos datos que se muestran en el informe final, estn en total consonancia con las variables que se declararon desde el principio y los resultados obtenidos van a brindar una realidad especfica a la que estos estn sujetos. Dicha metodologa se la aplico para determinar estadsticamente los sntomas de la problemtica.

Los tipos de investigacin aplicados son:

Bibliogrfica: este tipo de investigacin se la desarrolla en base a la recopilacin de la informacin de fuentes primarias, se la utilizo para desarrollar el marco terico

De Campo: se la lleva a cabo en base a encuestas o entrevistas y se la aplico para desarrollar el marco metodolgico

La poblacin involucrada en la problemtica descrita en el inicio de este trabajo investigativo est estructurada de la siguiente forma:

FUNCIN GERENTE CLIENTES (EXTERNOS) EMPLEADOS (INTERNOS) TOTAL

NUMERO 1 120 250 371

Se define como la muestra a un porcentaje de la poblacin a investigar, se la calcul en base a la siguiente frmula: = P P 1 E2 + 1

45

371 371 1 0.052 + 1 371 1.925

La muestra quedo estructurada de la siguiente forma:

FUNCIN GERENTE CLIENTES (EXTERNOS) EMPLEADOS (INTERNOS) TOTAL

NUMERO 1 60 132 193

Las tcnicas de investigacin aplicadas fueron: Entrevista al gerente y encuesta tanto a los clientes como a los empleados.

Los instrumentos utilizados fueron: Cuestionarios especficos para Clientes (Ver Anexo A). Cuestionarios especficos para Empleados (Ver Anexo B). Gua de entrevista para el Gerente (Ver Anexo C).

Luego de realizada la investigacin de campo se procedi a tabular sus resultados los cuales se detallan a continuacin.

46

RESULTADO DE LA ENCUESTA A EMPLEADOS

PREGUNTA N 1 QU TIPOS DE CAPACITACIONES CONSIDERA UD., QUE LE HACEN FALTA COMO EMPLEADO DE LA EMPRESA TELPROYEC CIA. LTDA., EN INGENIERA SOCIAL PARA MEJORAR SUS ACTIVIDADES LABORALES? RESPUESTA Acceso a sistemas computacionales Conocimiento sobre la victima Educacin y entrenamiento en el uso de polticas de seguridad. Ingeniera social Otros TOTALES FRECUENCIA 11 3 42 76 0 132 PORCENTAJE 8 2 32 58 0 132

GRFICO N 1
Qu tipos de capacitaciones considera Ud. que le hacen falta como empleado de la empresa TELPROYEC CIA. LTDA., en Ingeniera Social para mejorar sus actividades laborales?
0% 8% 32% 58% Acceso a sistemas computacionales Conocimiento sobre la victima Educacin y entrenamiento en el uso de polticas de seguridad. Ingeniera social Otros

2%

El 58% de los encuestados considera que el tipo de capacitaciones que hace falta como empleado de la empresa TELPROYEC CIA. LTDA. es de ingeniera social, mientras que un 32% manifiesta que requieren capacitaciones en educacin y entrenamiento en el uso de polticas de seguridad.
47

PREGUNTA N 2 POR QU FACTORES CONSIDERA UD. QUE EXISTE INSEGURIDAD EN LA BASE DE DATOS Y EN EL SERVIDOR QUE MANEJA LA EMPRESA TELPROYEC CIA. LTDA.? RESPUESTA Versiones anteriores o desactualizadas de sus software Servidores con claves con fallas Falta de seguridad en los sistemas Otros TOTALES FRECUENCIA 61 28 43 0 132 PORCENTAJE 46 21 33 0 100

GRFICO N 2
Por qu factores considera Ud. que existe inseguridad en la base de datos y en el servidor que maneja la empresa TELPROYEC CIA. LTDA.?
Versiones anteriores o desactualizadas de sus software 46% Servidores con claves con fallas Falta de seguridad en los sistemas Otros

0% 33%

21%

Entre los mayores factores que los encuestados considerna que existe inseguridad en la base de datos y en el servidor que manjea la empresa estuvieron las opciones Versiones anteriores o desactualizadas de sus software con un 46% y falta de seguridad en los sistemas con 33%.

48

PREGUNTA N 3 CMO EMPLEADO DE LA EMPRESA TELPROYEC CIA. LTDA., COMO CONSIDERA UD. EL HECHO DE QUE LA EMPRESA DE ACCESO LIBRE A REAS DELICADAS A TODO SU PERSONAL, NO EXISTIENDO UN CONTROL DE ESTE Y QUE LAS COMPUTADORAS NO TENGAN CLAVE DE ACCESO? RESPUESTA Muy Bueno Bueno Malo TOTALES FRECUENCIA 0 3 129 132 PORCENTAJE 0 2 98 100

GRFICO N 3
Cmo empleado de la empresa TELPROYEC CIA. LTDA., como considera Ud. el hecho de que la empresa de acceso libre a reas delicadas a todo su personal, no existiendo un control de este y que las computadoras no tengan clave de acceso?
2% 0% Muy Bueno

Bueno 98%

Malo

Para el 98% de los empleados encuestados considera que es malo el hecho de que la empresa de acceso libre a reas delicadas de la misma y el que las computadoras no tengan clave de acceso, ante lo cual sus propietarios y/o administradores de la empresa deberan tomar medidas.
49

PREGUNTA N 4 ANTE LA FALTA DE CONTROL INTERNO DE USO DE LA RED WIRELESS, EN LA EMPRESA EXISTE PERDIDA DE INFORMACIN DE PROYECTOS? RESPUESTA SI NO TOTALES FRECUENCIA 111 21 132 PORCENTAJE 84 16 100

GRFICO N 4
Ante la falta de control interno de uso de la red wireless, en la empresa existe perdida de informacin de proyectos?

16% SI

NO 84%

Los encuestados opinaron en un 84% que si existe perdida de informacin en la empresa ante la falta de control interno de uso de la red wireless; y solo un 16% considero que no existe dicha perdida.

50

PREGUNTA N 5 EXISTE EN LA EMPRESA UN CONTROL DE INVENTARIOS DE LOS EQUIPOS DE HARDWARE ASIGNADOS AL PERSONAL?

RESPUESTA SI NO TOTALES

FRECUENCIA 0 132 132

PORCENTAJE 0 100 100

GRFICO N 5 Existe en la empresa un control de inventarios de los equipos de hardware asignados al personal?
0%

SI

100%

NO

Ante esta pregunta de que si existe en la empresa un control de inventarios de los que equipos que se le asigna a cada personal se tuvo como resultado que el 100% manifest que no existe dicho control.

51

PREGUNTA N 6 CONSIDERA UD. QUE LA EMPRESA TELPROYEC CIA. LTDA. REQUIERE DE UN PLAN DE SEGURIDAD INFORMTICA QUE LE PERMITA PROTEGER LA INFORMACIN Y LOS ACTIVOS DE LA ORGANIZACIN, A FIN DE QUE LOS PROCESOS SEAN EJECUTADOS DE MANERA EFICIENTE? RESPUESTA SI NO TOTALES FRECUENCIA 129 3 132 PORCENTAJE 98 2 100

GRFICO N 6
Considera Ud. que la empresa TELPROYEC CIA. LTDA. requiere de un plan de seguridad informtica que le permita proteger la informacin y los activos de la organizacin, a fin de que los procesos sean ejecutados de manera eficiente?
2%

SI

NO 98%

El 98% de los empleados encuetados opinaron que si consideran que la empresa requiere de un plan de seguridad informtica, a fin de que este le permita proteger la informacin y sobre todo los activos que tiene y maneja la organizacin.

52

PREGUNTA N 7 CREE UD. QUE EL MEJORAR LA GESTIN OPERATIVA DE LA EMPRESA TELPROYEC CIA. LTDA., HAR QUE LOS PROCESOS EJECUTADOS POR ESTA SEAN MS EFICIENTES Y LOGREN LA SATISFACCIN DE LOS CLIENTES

RESPUESTA SI NO TOTALES

FRECUENCIA 132 0 132

PORCENTAJE 100 0 100

GRFICO N 7
Cree Ud. que el mejorar la gestin operativa de la empresa TELPROYEC CIA. LTDA., har que los procesos ejecutados por esta sean ms eficientes y logren la satisfaccin de los clientes?
0% SI

NO 100%

En referencia a la ltima pregunta de la encuesta realizada a los empelados de la empresa, ellos opinaron en su totalidad, es decir en un 100% que si creen que mejorar la gestin operativa de la empresa har que los proyectos que ejecutan sean ms eficientes y logren la satisfaccin de los clientes.

53

RESULTADO DE LA ENCUESTA A CLIENTES

PREGUNTA N 1 CONSIDERA UD. IMPORTANTE QUE SE CAPACITE AL PERSONAL DE LA EMPRESA TELPROYEC CIA. LTDA, A FIN DE MEJORAR LA GESTIN OPERATIVA QUE REALIZA ESTA EMPRESA? RESPUESTA SI NO TOTALES FRECUENCIA 60 0 60 PORCENTAJE 100 0 100

GRFICO N 8
Considera Ud. importante que se capacite al personal de la empresa TELPROYEC CIA. LTDA, a fin de mejorar la gestin operativa que realiza esta empresa?
0%

SI

NO 100%

Conforme a la primera pregunta de la encuesta realizada a los clientes de la empresa TELPROYEC CIA. LTDA que deseaba conocer si consideraban importante que se capacite al personal de la misma a fin de mejorar la gestin operativa que realiza, el 100% manifest que si lo es.

54

PREGUNTA N 2 POR QU FACTORES CONSIDERA UD. QUE NO DEBE EXISTIR INSEGURIDAD EN LA BASE DE DATOS Y EN EL SERVIDOR QUE MANEJA LA EMPRESA TELPROYEC CIA. LTDA.?

RESPUESTA A fin de ejecutar procesos ms eficientes Lograr mayor satisfaccin en los Clientes Otros TOTALES

FRECUENCIA 38 22 0 60

PORCENTAJE 63 37 0 100

GRFICO N 9
Por qu factores considera Ud. que no debe existir inseguridad en la base de datos y en el servidor que maneja la empresa TELPROYEC CIA. LTDA.?
0% 37% 63%

A fin de ejecutar procesos ms eficientes

Lograr mayor satisfaccin en los Clientes

Otros

Esta pregunta deseaba saber los factores que segn los clientes consideraban no deben de existir inseguridad en la base de datos y en el servidor que maneja la empresa, ante lo cual el 63% manifest a fin de ejecutar procesos ms eficientes, mientras que un 37% dijo como manera de lograr mayor satisfaccin en los clientes.

55

PREGUNTA N 3 CMO CONSIDERA UD. LA IDEA DE QUE LOS JEFES DE EMPRESAS LIMITEN EL ACCESO QUE BRINDAN A SUS EMPLEADOS A REAS PROTEGIDAS Y AL USO DE LAS DIVERSAS CLAVES QUE TIENEN SUS EQUIPOS?

RESPUESTA Excelente Muy bueno Bueno Regular Malo TOTALES

FRECUENCIA 16 34 10 0 0 60

PORCENTAJE 27 56 17 0 0 100

GRFICO N 10
Cmo considera Ud. la idea de que los jefes de empresas limiten el acceso que brindan a sus empleados a reas protegidas y al uso de las diversas claves que tienen sus equipos?
Excelente 56% Muy bueno Bueno 27% 17% Regular Malo 0% 0%

Para el 56% de los encuestados es muy buena la idea de que los jefes de empresas de manera general limiten el acceso que brindan a sus empleados a reas protegidas y al uso de diversas claves que tienen sus equipos

56

PREGUNTA N 4 QU TAN NECESARIO CONSIDERA UD. EL HECHO DE QUE LOS JEFES DE EMPRESAS REALICEN UN CONTROL DE INVENTARIOS DE LOS EQUIPOS DE HARDWARE QUE ASIGNAN A SU PERSONAL? RESPUESTA Mucho Poco Nada TOTALES FRECUENCIA 58 2 0 60 PORCENTAJE 97 3 0 100

GRFICO N 11
Qu tan necesario considera Ud. el hecho de que los jefes de empresas realicen un control de inventarios de los equipos de hardware que asignan a su personal?
3% 0% Mucho

Poco 97%

Nada

Ante esta pregunta el 97% de los clientes encuestados opinaron que es mucho lo realmente necesario el hecho de que los jefes de empresas realicen un control de inventarios de los equipos de hardware que le asignan a su personal, esto como forma de llevar un control completo de este.

57

PREGUNTA N 5 CMO CONSIDERA UD. LA IDEA DE QUE LA EMPRESA TELPROYEC CIA. LTDA. APLIQUE UN PLAN DE SEGURIDAD INFORMTICA QUE LE PERMITA PROTEGER LA INFORMACIN Y LOS ACTIVOS DE LA ORGANIZACIN, A FIN DE QUE LOS PROCESOS SEAN EJECUTADOS DE MANERA EFICIENTE? RESPUESTA Excelente Muy Bueno Bueno Regular Malo TOTALES FRECUENCIA 11 32 15 2 0 60 PORCENTAJE 18 54 25 3 0 100

GRFICO N 12
Cmo considera Ud. la idea de que la empresa TELPROYEC CIA. LTDA. aplique un plan de seguridad informtica que le permita proteger la informacin y los activos de la organizacin, a fin de que los procesos sean ejecutados de manera eficiente?
3% 0% 25% 18% Excelente Muy Bueno Bueno Regular 54% Malo

En referencia a esta pregunta el 54% de los encuestados manifest que es muy bueno la idea de que la empresa aplique un plan de seguridad informtica que le permita proteger la informacin y los activos que tienen como organizacin.

58

PREGUNTA N 6 CREE UD. QUE EL MEJORAR LA GESTIN OPERATIVA DE LA EMPRESA TELPROYEC CIA. LTDA., HAR QUE LOS PROCESOS EJECUTADOS POR ESTA SEAN MS EFICIENTES Y LOGREN LA SATISFACCIN DE LOS CLIENTES?

RESPUESTA SI NO TOTALES

FRECUENCIA 60 0 60

PORCENTAJE 100 0 100

GRFICO N 13
Cree Ud. que el mejorar la gestin operativa de la empresa TELPROYEC CIA. LTDA., har que los procesos ejecutados por esta sean ms eficientes y logren la satisfaccin de los clientes?
0% SI

NO 100%

La ltima pregunta de la encuesta aplicada a los clientes de la empresa en mencin deseaba conocer si ellos crean que el mejorar la gestin operativa de la empresa hara que los procesos ejecutados por esta sean ms eficientes y logren la satisfaccin del cliente, en donde el 100% dijo que s.

59

RESULTADOS DE LA ENTREVISTA DIRIGIDA AL GERENTE DE LA EMPRESA TELPROYEC CIA. LTDA.

1. CON QUE FRECUENCIA CAPACITA A SU PERSONAL? QU TIPOS DE CAPACITACIONES LES BRINDA Y CUALES CONSIDERA LES HACE FALTA? El tipo de capacitacin que se brinda a los empelados es una induccin bsica a todo el personal que ingresa sobre aspectos generales de los trminos informticos que maneja la empresa.

2. CONSIDERA UD. QUE EXISTE FALTA DE CONTROL INTERNO DE USO DE LA RED WIRELESS, EN LA EMPRESA, CONLLEVANDO PERDIDA DE INFORMACIN DE PROYECTOS? POR QU? QU PUEDEN O VAN A HACER? Si existe falta de control interno en todas las reas de la empresa, ante ello se prev implementar un control automatizado para realizar todo el control dentro de la empresa de manera eficiente y eficaz, cuidando as la informacin y equipos que esta empresa maneja.

3. CREE UD. QUE COMO JEFE DEBE O NO LIMITARSE EN LA EMPRESA EL ACCESO QUE DAN A SUS EMPLEADOS A REAS PROTEGIDAS Y AL USO DE LAS DIVERSAS CLAVES QUE TIENEN SUS EQUIPOS? POR QU? Si debe de limitarse dichos accesos, esto debido a que es importante llevar un adecuado control de los procesos informticos que maneja la empresa a fin de darle seguridad y confiabilidad a los clientes que tiene la empresa. As como por seguridad de los propietarios.

60

4. POR QU MOTIVOS EN LA EMPRESA NO SE REALIZA UN CONTROL DE INVENTARIOS DE LOS EQUIPOS DE HARDWARE QUE ASIGNAN A SU PERSONAL? Los motivos principales por los cuales la empresa no realiza un control de inventarios de los equipos de hardware que asigna a su personal fueron la despreocupacin por parte de las autoridades, debido al crecimiento no exponencial no planeado de la empresa.

5. DE QU FACTORES CONSIDERA UD. QUE CARECE LA GESTIN OPERATIVA QUE LLEVA A CABO LA EMPRESA TELPROYEC CIA. LTDA., A FIN DE QUE LOS PROCESOS SATISFAGAN A LOS CLIENTES? Entre los factores de los cuales carece la gestin operativa que lleva a cabo la empresa estn; la implementacin de controles, tanto lgicos como fsicos, para fiscalizar aspectos administrativos, y de esta manera mejorar la gestin operativa que realiza la empresa.

6. CONSIDERA UD. QUE LA EMPRESA TELPROYEC CIA. LTDA. REQUIERE DE UN PLAN DE SEGURIDAD INFORMTICA QUE LE PERMITA PROTEGER LA INFORMACIN Y LOS ACTIVOS DE LA ORGANIZACIN, A FIN DE QUE LOS PROCESOS SEAN EJECUTADOS DE MANERA EFICIENTE? Si, es importante que aplique un plan de seguridad informtica, a fin de que proteja la informacin y los activos que maneja la organizacin.

61

ANLISIS DE LA ENTREVISTA

Para el gerente de la empresa TELPROYEC CIA. LTDA., si existe falta de control interno en todas las reas de la organizacin, ante ello considera necesario se implemente un control automatizado que realice la inspeccin dentro de la empresa de manera completa, cuidando as la informacin y equipos que esta empresa maneja, y logrando as el crecimiento empresarial. Para ello es importante que se limite el acceso de los empleados a ciertas reas como forma de proteger la informacin. Se evidencia que la empresa carece de gestin operativa como la implementacin de controles, tanto lgicos como fsicos, para fiscalizar aspectos administrativos, y de esta manera mejorar la gestin operativa que realiza la empresa.

2.3

Propuesta del Investigador

En base al diagnstico previo realizado se puede deducir que la solucin a la problemtica planteada en la introduccin consiste en desarrollar un Plan de Seguridad Informtica para que mediante su aplicacin se pueda mejorar la gestin operativa de la empresa TELPROYEC CIA. LTDA.

La Solucin estar estructurada de la siguiente manera:

DESCRIPCIN PUNTUAL DE LOS NODOS CRTICOS DISEO DE LAS ESTRATEGIAS DEL PLAN RESPECTIVO RESUMEN DE ESTRATEGIAS Y CRONOGRAMA DE APLICACION
Fig. 8 Aspectos de solucin.

62

En el anlisis inicial se evaluaran todas las deficiencias relacionadas con la seguridad informtica as como la gestin general de procesos. Esta evaluacin tiene que ver con los nodos crticos del proceso informtico en estudio, aqu tambin se reconocen las secuencia de los diferentes procesos que tiene la empresa as como todo el equipamiento y el personal que est relacionado con los mismos.

1- Anlisis de la Seguridad Lgica. Identificacin de Usuarios. Autenticacin. Passwords. Segregacin de funciones.

2- Anlisis de la Seguridad de las Comunicaciones. Topologa de red. Conexiones externas. Configuracin lgica de la red. Mail. Antivirus Firewall. Ataques de red

3- Anlisis de la Seguridad de las Aplicaciones. Software. Seguridad en Bases de Datos. Control de Aplicaciones en PCs Control de Datos en la Aplicaciones.

63

4- Anlisis de la Seguridad Fsica. Equipamiento. Control de acceso al centro de cmputo. Control de Acceso a equipos. Dispositivos de Soporte. Estructura del edificio. Cableado estructurado.

5- Anlisis de la Administracin del CPD. Capacitacin Backup. Documentacin

En base al conocimiento anterior generado se deducen las actividades a desarrollar para solucionar la problemtica relacionada con el Plan de Seguridad Informtica, todas esas actividades planteadas se organizaran adecuadamente de tal manera que se conviertan en un conjunto de polticas de Seguridad Informtica a llevar a cabo. Como es conocido todo plan tiene que estar organizado en el transcurso del tiempo y con un presupuesto estimado para su ejecucin, entonces en la parte final de la propuesta se tendr dicho resumen.

64

2.4

Conclusiones Parciales del Capitulo

Se puede ratificar gracias a las encuestas que no existe una capacitacin formal al personal que labora en la empresa sobre temas de seguridad informtica que permitiran tener una mejor reaccin ante temas como los ataques de ingeniera social que son muy comunes en la actualidad.

No existe ningn tipo de control para el acceso o restriccin fsica que evite el ingreso de personas no autorizadas a lugares delicados, como son el cuarto de equipos donde se encuentran los servidores y otros como los equipos de networking.

Las encuestas tambin lograron confirmar el hecho de que la falta de seguridades en la red wireless ocasiona una fuga de datos que conlleva a perdida de informacin de proyectos en los que se encuentren trabajando el personal, ya que cualquier persona que se encuentre en el rango de conexin de la red inalmbrica pueda conectarse sin mayores problemas.

No existe un control de equipos asignados al personal que labora en la institucin, lo cual causa la perdida de equipos de propiedad de la empresa, ya que es inexistente un respaldo de a quien se le asigno dicho hardware para sus labores meramente profesionales.

Las encuestas lograron ratificar que un Plan de Seguridad Informtica podra hacer que los procesos sean ms eficientes para poder lograr la satisfaccin tanto de clientes como empleados mejorando de esta manera la Gestin Operativa de la empresa TELPROYEC CIA. LTDA.

65

CAPITULO III DESARROLLO DE LA PROPUESTA

3.1.

Tema:

Plan de Seguridad Informtica para Mejorar la Gestin Operativa de la Empresa TELPROYEC CIA. LTDA.

3.2.

Objetivo General

Disear las diferentes estrategias que conformaran el Plan de Seguridad Informtica.

3.3. Objetivos Especficos: Disear la Seguridad Lgica. Definir la Seguridad en las Comunicaciones. Estructurar la Seguridad de las Aplicaciones. Desarrollar estrategias para la Seguridad Fsica. Analizar la Administracin del Centro de Cmputos.

3.4

Introduccin

El avance tecnolgico genero nuevas formas de comunicacin entre las personas y en las empresas, la informtica ha propiciado el desarrollo de redes como elementos generales de la comunicacin. En el siglo XXI uno de los activos ms preciados de las empresas es la informacin, es por ello que todos los procesos que se hagan para mantenerla segura son importantes. En otras palabras la seguridad de la informacin es un requerimiento primordial para el buen funcionamiento institucional o empresarial.

Las empresas pueden llegar a ser exitosas y triunfar, o morir solo por el simple hecho de la informacin que manejan, lo que ha llevado a esta a ser considerada como el activo ms valioso de toda empresa u organizacin aun cuando no exista un medio para cuantificar dicho valor.
66

Tanto desde el interior como del exterior de la organizacin pueden ocurrir ataques que comprometan la informacin ya sea que est ocurriendo un robo o el simple hecho de un uso no autorizado. Debido a esto deben existir controles que permitan de alguna manera realizar actividades de deteccin y prevencin de cualquier tipo de problema que ocurriere con los recursos informticos.

3.5

Descripcin General de la Propuesta

Como se mencion anteriormente el objetivo de esta tesis consiste en Desarrollar un plan de seguridad informtica para que mediante su aplicacin se pueda mejorar la gestin operativa de la empresa TELPROYEC CIA LTDA. Mediante la descripcin de polticas las que estn basadas en un anlisis previo que se efectu en la organizacin con el fin de alcanzar niveles de seguridad aceptables con el fin de mejorar la Gestin Operativa de la Empresa.

A continuacin se describen las etapas en las cuales est dividido el Plan De Seguridad Informtica.
3.5.1

Anlisis Previo

A continuacin se describen los datos y la informacin recogida durante las observaciones a los procesos realizados en la empresa TELPROYEC CIA. LTDA., poniendo ms nfasis en cada uno de los controles que se van a implementar Seguridad Lgica. Seguridad en las Comunicaciones. Seguridad de las Aplicaciones. Seguridad Fsica. Administracin del Centro de Cmputos.

67

3.5.1.1 Seguridad Lgica Durante esta parte del anlisis se observo todo lo relacionado a los controles que existen con respecto al acceso de los usuarios a las diferentes plataformas de procesamiento informtico que existen y los datos que son gestionados a travs de las mismas, con el objeto de poder enfocarse en las irregularidades que se encuentren y que obstaculicen la confidencialidad y disponibilidad de la informacin.

3.5.1.1.1 Identificacin de Usuarios 3.5.1.1.1.1.Ingreso de Usuario Cuando ingresa un nuevo empleado, el rea de Talento Humano es la encargada de recolectar toda la informacin del empleado con el fin de de ingresar sus datos a la empresa y tener una constancia escrita y/o ingresada en el sistema. Si el usuario desea acceso a los recursos informticos, el rea de sistemas debe enviar una solicitud de la informacin a recursos humanos ya que dicho departamento es el encargado de recolectar la informacin de los empleados. La informacin que si ingresa cuando el departamento de sistemas genera un user es la siguiente:

ID de usuario, Corresponde al nmero de carpeta, aunque se pudo observar que muchas veces es un nmero aleatorio que no tiene ninguna concordancia con algo lgico.

Password, Corresponde al mismo campo que el Id de usuario, y se le indica al usuario que debe realizar el cambio de dicho password. Nombre y apellido completo, Es obtenido del departamento de Talento Humano. Sucursal. Se especifica el lugar de trabajo del empleador. Grupo de Trabajo, Dependiendo del rea en la cual trabajar el empleado se le asignaran permisos a su cuenta con el grupo de usuario al que corresponde, pero se pudo observar que algunos usuarios tienen este valor en blanco permitiendo de esta manera que el usuario pueda tener acceso a todos las opciones del sistema.

Expiracin del Password, este campo rara vez se completa permitiendo que los usuarios nunca cambien la clave.
68

Contador de Intentos Fallidos, si esta activado este campo y el usuario ingresa 3 veces mal su clave ocurrir que su cuenta se bloqueara y deber solicitar al departamento de sistemas el levantamiento de su bloqueo.

3.5.1.1.1.2.Baja de Usuarios En la empresa no existe un procedimiento formalizado que indique como dar de baja una cuenta, lo que ocurre normalmente es que el departamento de Talento Humano enva un correo al departamento de sistemas informando que un empleado a salido de la empresa, muchas veces se hace caso omiso del correo por el ritmo de trabajo que se lleva, cuando si es realizado el procedimiento por el departamento de sistemas lo que realizan corresponde a la actualizacin de la fecha de anulacin de la cuenta y de esta manera la cuenta no es eliminado si no que es deshabilitada para que el Id de Usuario no vuelva a ser ingresado nuevamente.

3.5.1.1.1.3.Mantenimiento de las Cuentas de Usuarios No se lleva ningn tipo de mantenimiento a las cuentas de usuario existentes, tampoco se lleva control de los permisos que han sido asignados a las cuentas.

3.5.1.1.1.4.Permisos En la empresa los permisos que son asignados al personal no dependen de un perfil de usuario especifico, sino mas bien en un perfil general que se le asigna a un grupo, estos grupos comparten las mismas reas de la empresa debido a lo cual dependiendo a que departamento pertenece el usuarios se le asignara el perfil de grupo que corresponda. Cuando los empleados son contratados el rea de Talento Humano indica a qu grupo pertenecer y el departamento de sistemas se encargara de asignar a dicho usuario el grupo correspondiente.

El sistema informtico de la empresa est conformado por diferentes tipos de mdulos cada uno de los cuales realiza una tarea diferente, en si cada modulo es un programa para una tarea especfica, es por eso que cada usuario tiene acceso a los aplicativos que va a utilizar,

69

los accesos directos a dichas aplicaciones las genera el administrador de sistemas a mano una vez que el empleado ingreso a la empresa.

Los empleados en la empresa conforme pasa el tiempo y segn sus capacidades son promovidos a puestos de mayor jerarqua y por ende tienen mayor responsabilidad por lo que se le asignan mas mdulos para que realice su trabajo, pero existe un observacin muchos usuarios tienen acceso a mdulos que no necesitan, como sucede al personal de proyectos que tienen acceso al modulo de inventarios, debido a lo cual sobran funcionalidades que podran incurrir en un agujero de seguridad.

3.5.1.1.1.5.

Inactividad

No se tiene ningn tipo de control cuando un usuario logeado no tiene actividad en largos periodos de tiempo sin ejecutar ningn tipo de accin en el sistema, a los empleados solo se les ha indicado verbalmente que no dejen sus equipos solos y logeados

Si un empleado sale de Vacaciones, pide licencia o por algn motivo no registra actividad en el sistema, su usuario no pasa a estado de inactividad por falta de uso.

3.5.1.1.1.6.

Cuentas de Usuario

El personal del departamento de ventas ingresan al modulo de consultas todos con la misma combinacin de User/Password, valga la redundancia, este modulo permite realizar

diferentes tipos de consultas a la base de datos como lista de precios, stock, planes de venta, entre otros, todos ellos acceden desde sus oficinas pero no se les tiene permitido realizar ninguna modificacin a la informacin Las cuentas de invitados en los computadores personales de los usuarios permanecen siempre activas sin que ellos las utilicen ya que no se las eliminan al adquirir los equipos, solo se genera la cuenta del empleado y se la adiciona al computador.

70

Un usuario puede estar logeado en varias ubicaciones y poder abrir todas las opciones y mdulos de su perfil de grupo de manera simultnea, ya que no existe un control de las sesiones que son abiertas por los empleados

En la empresa existen 3 personas del departamento de sistemas con perfil de administrador, cada uno tiene una clave personal para su cuenta, pero como son conocidos y para facilitar el trabajo, cada uno de ellos conocen las claves del otro, tambin se han permitido poder logearse desde cualquier punto de red en la empresa lo cual es muy riesgoso ya que podra por olvido u otra circunstancia dejar logeado el usuario con el perfil de administrador con los peligros que esto genera. Existe una empresa externa que ofreca servicios de mantenimiento al sistema, para poder trabajar de manera remota el administrador les suministro una cuenta con perfil de administrador, pero despus de haber terminado el contrato con ellos la cuenta nunca fue inhabilitada por lo que es un riesgo potencial ya que el personal externo en teora aun puede tener acceso al servidor de la empresa

3.5.1.1.2. Autenticacin La pantalla de acceso al sistema muestra las siguientes opciones: Nombre de usuario (a completar por el usuario). Password (a completar por el usuario). Opcin para cambiar el password.

Cuando el usuario est ingresando el password en el cuadro de texto aparecen asteriscos en lugar de la informacin que se est escribiendo, luego de logearse aparece el nombre del usuario en la pantalla

Los datos de las cuentas de usuarios estn almacenados en un archivo de texto plano que se encuentra alojado en una carpeta sin ningn tipo de encriptacin o cifrado en el servidor de aplicaciones que corre bajo el sistema operativo Linux, este archivo es utilizado por el AcuServer el cual permite un acceso a los datos indexados del sistema, cabe recalcar que los

71

datos de las cuentas de usuario viajan en la red en texto plano y que el uso de cualquier sniffer podra interceptar el paquete en donde estn los datos de autenticacin.

La empresa no hace uso de las firmas digitales ya que la informacin importante no es enviada por medios electrnicos. En cuanto a las configuraciones de los computadores, no tienen ninguna clave de acceso para configurar la BIOS, lo que podra causar que cualquier empleado cambie las opciones de configuracin del equipo pudiendo causar daos al hardware 3.5.1.1.3. Passwords 3.5.1.1.3.1.Generacin No existe una norma o estndar establecido para la generacin de password, la nica restriccin que hay es que sea de 10 caracteres, es por eso que cuando un empleado ingresa a la empresa su password va a ser igual al nombre de la cuenta, y lo que se pide es que lo cambie, pero no existe un control de que si lo realizo o no, en las observaciones que se realizaron en el anlisis tambin se pudo comprobar que el password de acceso a los usuarios root de los servidores Linux es el mismo para todos

3.5.1.1.3.2.

Cambios

En la pantalla de login existe una opcin para realizar el cambio de usuario, pero por lo general los usuarios nunca lo hacen permaneciendo invariables por largos periodos de tiempo ya que tienen una expiracin de un ao.

Cuando se realiza un cambio de password no se controla si el password ingresado es igual al anterior. De la misma manera si un usuario olvida su clave o se bloquea su cuenta porque ingreso datos incorrectos y acude al administrador para que le resetee su clave no se controla que el password ingresado sea diferente a los anteriores

72

3.5.1.1.4. Segregacin de Funciones No existe un control de los trabajos que son asignados al personal de sistemas, todos hacen de todo, no hay una separacin de tareas, tampoco existe una rotacin del talento humano presente en la empresa, es por eso que cuando alguien se va de vacaciones muchas veces no se sabe que hacia esa persona ocasionando demoras y dependencia de dicho recurso.

3.5.1.2.

Seguridad de las Comunicaciones

En esta parte del trabajo se analiz y se evalu aspectos relacionados a la seguridad en las comunicaciones como son los datos transmitidos, los dispositivos que son usados, entre otros, comprobando el cumplimiento de las normas de seguridad de la informacin. 3.5.1.2.1. Topologa de Red 3.5.1.2.1.1.Componentes de Red La empresa est compuesta por el siguiente tipo de equipamiento: 250 PCs distribuidas entre las 2 sucursales, con aproximadamente 150 de ellas en la casa central 3 Servidores Hewlett Packard, uno para aplicaciones y 2 para Internet. 1 Enlaces de fibra ptica entre Guayaquil y Quito. Cables UTP categora 5E. Router Wireless para el rea de invitados en la sucursal de Guayaquil. Conexin de 10 Mbps, con salida a Internet tanto para quito como para Guayaquil. Un switch CISCO Catalyst serie 4000 en Quito. Patch Panel conectado al switch central con 64 puertos. 10switches CISCO Catalist 2960 de 24puertos, 5 en Guayaquil y 5 en Quito.

3.5.1.2.1.2.

Descripcin de la Red

Existe un enlace de fibra para unir las localidades de Quito y Guayaquil, la empresa que provee el servicio en CNT E.P. y tiene una capacidad de 2.5 megas Las conexiones internas de las empresas estn realizadas con cableado UTP CAT 5E.

73

Los Switch propiedad de la empresa son equipos de grandes funcionalidades que permiten trabajar con caractersticas como VLAN, QoS, TRUNKING pero actualmente no tienen configurado ninguna de estas.

Red Wireless: en la ciudad de Guayaquil se tiene una conexin inalmbrica para que los invitados puedan hacer uso del internet, dicho equipo no necesita ninguna clave de acceso para navegar, y los archivos compartidos de los dems departamentos se pueden ver en la red de invitados.

Usuarios Remotos: La empresa adems de las sucursales de Quito y Guayaquil tienen tcnicos que trabajan en diferentes provincias, ellos hacen uso del correo electrnico para poderse comunicar.

3.5.1.2.2. Conexiones Externas 3.5.1.2.2.1.Sucursal Guayaquil La comunicacin con la sucursal mayor est operada por un enlace de fibra ptica ofrecido por el proveedor de servicios CNT E.P. dicho enlace es utilizado mayormente para acceder al servidor de aplicaciones que se encuentra localizado en la ciudad de Quito, dicho enlace no es redundante y si existe un falla con el proveedor generara que la sucursal de Guayaquil quede sin operar el sistema.

3.5.1.2.2.2.

Servidor de Internet

Para la conexin a Internet se utiliza un servidor Proxy de Linux llamado Squid, ubicado en el servidor de Internet que est en cada una de las localidades. Su salida al exterior es a travs de una conexin de F.O. de 10 Mbps, suministrada por un ISP. Este Proxy se configur de manera estndar, de forma que muchos usuarios tienen acceso a pginas ajenas al trabajo. El nico control que se aplico fue seleccionar las direcciones IP de algunas de las mquinas que pueden salir al exterior, de esta manera se controlo un poco el acceso a Internet, no se tiene una conexin de respaldo para salir al internet en caso de algn problema.

74

3.5.1.2.2.3.

Servidor Hosting

Sobre este servidor no existe ninguna medida de seguridad ni poltica ya que fue elegido segn el mejor precio ofrecido por un proveedor, pero hasta la fecha no se ha presentado ningn tipo de problema.

3.5.1.2.3. Configuracin Lgica de la Red 3.5.1.2.3.1.Interoperabilidad Windows Linux Los recursos que se encuentran en el servidor Linux son accesibles a travs de todos los equipos de la red mediante el uso de una aplicacin denominada samba, la cual permite acceder a una carpeta especfica en una porcin del disco en el servidor con el fin de que los usuarios puedan hacer uso de los recursos compartidos. La aplicacin tiene la capacidad de administrar los perfiles de usuario, realizar autenticacin y muchas otras opciones de seguridad que permitiran establecer un nivel predeterminado de acceso a cada uno de los recursos. No todas las utilidades son usadas en la institucin, por lo general el samba solo es utilizado como una herramienta que permite la comunicacin entre los distintos sistemas operativos.

3.5.1.2.3.2.

Recursos Compartidos

La red en la empresa est configurada de tal manera que los usuarios no puedan ver toda la red en su totalidad, sino solo la parte a la cual pertenecen, pero no existe ningn tipo de control para que ellos compartan una carpeta con alguien de otra rea, dicho control solo esta implementado con las carpetas del servidor las cuales no son visibles a los dems usuarios ya que no est disponible a travs del explorador de Windows gracias a una configuracin en la aplicacin denomina samba. Ninguno de los equipos comparte los recursos, a excepcin de los siguientes: Tanto en el servidor de internet de Quito como de Guayaquil existe una carpeta en donde se encuentran las actualizaciones de los antivirus, as como los instaladores ms usados y una pequea aplicacin que permite que la hora en todos los PC este sincronizada.

75

En el servidor de aplicaciones existe una carpeta compartida en la que todos los integrantes del departamento de proyectos guardan los trabajos para que estos sean accesibles cuando la persona que duea del proyecto se ausente por cualquier motivo, dicha carpeta permite que el archivo siempre este accesible para todo el departamento.

3.5.1.2.4. Mail Cada uno de los empleados tiene una cuenta de correo con salida a dominios externos para comunicarse entre las diferentes reas y con los clientes si se diera el caso.

3.5.1.2.4.1.Herramientas Como se mencion en el punto anterior la empresa cuenta con un sistema de correo interno/externo la cual est alojada en el servidor de internet de cada localidad y permite la comunicacin entre las diferentes reas, inclusive a otros correos de otras empresas, el dominio utilizado es @telproyec.com.

En las computadoras de los usuarios el correo es gestionado a travs de Microsoft Outlook, y en el servidor se usa el SendMail con configuraciones tanto POP3 y SMTP, dicho servidor fue configurado por el personal de sistemas y gestionado por el Jefe de Sistemas de la empresa.

La aplicacin Outlook es configurada con las opciones de POP3 y SMTP apuntando al servidor de internet donde se encuentra instalado el SendMail, los usuarios solo pueden modifica aspectos bsicos como su firma en el correo y opciones referentes al correo basura.

3.5.1.2.4.2.

Creacin de Usuario de Mail

Al ingresar un empleado a la empresa al momento de la creacin del usuario de acceso se crea el usuario para que haga uso del mail. El formato con que se crea el usuario es el primer nombre junto con el primer apellido separado por un punto de la siguiente manera gabriel.garcia@telproyec.com, y su clave corresponder a la misma de su cuenta de usuario.

76

3.5.1.2.4.3.

Recepcin y Envo de Mails

Con una frecuencia de diez minutos la aplicacin SendMail, la cual es la encargada de gestionar los correos de la empresa verifica en las casillas del servidor de hosting si existe un correo nuevo, de ser afirmativa la respuesta es bajado al servidor de internet, para que el Outlook de la PC a la cual va el correo lo descargue, y una vez que el correo es bajado se borra del servidor para solo quedar en el destino.

En el caso que se necesite enviar un correo la aplicacin har uso de las configuraciones SMTP instaladas en el SendMail y realizara dos cosas: si el destino es dentro de la empresa simplemente realiza el reenvo a la cuenta correspondiente, pero si el destino es un dominio externo se enviara al ISP que es un servidor SMTP mas grande el cual a su vez se encargara de enviar al destino. No existe un control de los correos enviados ni de su contenido debido a lo cual el correo de la empresa puede ser usado para cualquier fin.

3.5.1.2.4.4.

Cuotas de Disco

Cuando se crea un Usuario en el SendMail automticamente la aplicacin le asigna a la cuenta una capacidad de 10Mb la cual ser el tamao de su buffer, es decir que no podr recibir ms de esa cantidad en varios o en un solo correo, para los mensajes enviados no se asigna ningn valor ya que esos no quedan almacenados ms que en el buzn de salida de la aplicacin de escritorio. La cantidad de megas que puede recibir una cuenta es modificable y actualmente existe dicho cambio en la cuenta del gerente y jefes de rea que tienen ese valor modificado a 30Mb debido a la cantidad de correos que reciben diariamente.

3.5.1.2.4.5.

Opciones Seguras de Configuracin

Copia Oculta (CCO) Este campo por lo general se utiliza cuando se envan correos con copia al gerente o jefes de rea. Antivirus El antivirus que se encuentra en el servidor de internet se encargar de realizar una revisin de todos los correos entrantes y salientes con el fin de encontrar algn virus, si lo encuentra el correo es eliminado y se genera una respuesta automtica indicando la eliminacin de dicho mensaje.

77

Chat, File Sharing, y Redes Sociales no hay una prohibicin de chatear ni de utilizar programas de descargas, la nica observacin verbal que se les dio a los empleados es no usar facebook o similares, pero no existe un control lgico para evitar los programas indicados.

Prioridades No existe prioridad al momento de enviar un correo. Copia de seguridad No existe la cultura de sacar backup tanto de los correos alojados en el SendMail como tampoco en la aplicacin de escritorio Outlook. Privacidad Firma digital Encriptacin de mails No hay implementado en la empresa el uso de firmas digitales, ni de cifrado de correos con informacin relevante, simplemente un correo se enva sin ningn tipo de seguridad.

3.5.1.2.5. Antivirus En la empresa no se han presentado problemas importantes por el motivo de PCs con virus, lo nico sucedido fue la infeccin de varias con el gusano Conficker.C, pero este no afecto a los servidores, lo que causo fue un aumento inesperado del trfico en la red que congestiono las lneas, pero pudieron erradicarse con el uso del antivirus Norton.

3.5.1.2.5.1.Herramientas La empresa hace uso de una versin corporativa del antivirus Norton, la cual existe una versin para el servidor de internet y otra para los computadores personales de los empleados

3.5.1.2.5.2.

Escaneo de Virus

No existe un cronograma de escaneos de virus en las maquinas, tampoco existe personal asignado a dicha tarea, el antivirus trabaja de forma automtica y solo se atiende un requerimiento cuando es solicitado al departamento de sistemas

3.5.1.2.6. Firewall 3.5.1.2.6.1.Configuracin de Servicios del Firewall El firewall existente en la empresa es un servicio que se encuentra integrado en el kernel de Linux el cual fue configurado de manera que se prohben todos los servicios y solo se

78

habilitan los que se necesitan en lo que se conoce como negacin preestablecida en resumen se discriminan tres clases de paquetes: Los que ingresan. Los que salen. Los que se encuentran en trnsito.

Con esto lo que no se especifique explcitamente est prohibido, es decir que no tienen permitido el acceso los paquetes que ingresan ni los que estn en trnsito, solo los que salen pueden hacerlo sin problema, entre las reglas ms importantes tenemos las siguientes: Se aplica NAT los paquetes que van o vienen de la red interna colocndole la IP del servidor para evitar que sea conocida la IP del origen, y cuando el paquete vuelve se realiza la accin contraria Todo lo que tenga como destino los puertos 8080, 80, 8088, (HTTP), se redirecciona al proxy. Lo que respecta a los puertos de salida no hay ninguna restriccin. Esta permitido los Loop Back en la red. Se permite la sincronizacin horaria y por ende el puerto de entrada que utiliza (Servicios de Date y Time). El puerto de ingreso 22 (SSH) est habilitado. Los paquetes en trnsito son aceptados solo si provienen de la red interna. A todos los puertos altos (Mayores al 1023) se les permite el acceso ya que de estos vienen todas las conexiones TCP/IP de cualquier cliente. Est prohibido el acceso a todos los puertos bajos (Menores a 1023), a excepcin de los explcitamente permitidos como el 22 que pertenece a SSH.

Los siguientes servicios o se encuentran bloqueados explcitamente, pero es posible acceder a ellos a travs de SSH: No se han deshabilitados servicios como los de Login y los de Shell lo que quiere decir que se puede acceder a servicios remotos como son RLOGIN, REXED entre otros.
79

Se encuentra habilitado el servicio TALK (chat entre maquinas). Se encuentra habilitado el servicio FINGER (informacin de los datos del usuario logeado a la maquina). Se encuentra habilitado el servicio SYSTAT (datos del estado del sistema).

Hay servicios que estn habilitados permanente pero no son de necesidad en la red como por ejemplo el FTP que lo usan los usuarios externos para actualizar y subir informacin de manera mensual. En el servidor se usa una poltica denominada on demand que permite activar ciertos puertos cuando son necesarios para un determinado proceso o tarea, el mantenimiento de los sistemas lo realiza una empresa externa la cual accede al servidor a travs de una conexin cifrada SSH que es mucho ms segura que usar telnet donde la informacin viaja en la red en texto plano el cual es de fcil interceptacin con el simple uso de un sniffer

3.5.1.2.6.2.

Testeo de la red

En la empresa no existe una poltica de ethical hacking para probar la confiabilidad de los servicios de la red, es mas no existe ninguna persona a cargo de verificar que las funcionalidades de seguridad en la red estn trabajando de manera correcta, solo se revisan las estaciones de trabajo cuando algn usuario presenta algn tipo de queja, o cuando existe algn problema en el servidor; el firewall monitorea los intentos de ingreso he informa mediante logs y mails por cada evento suscitado, pero no genera ningn tipo de alarma o warning ante un supuesto ataque.

3.5.1.2.6.3.

Fallas en Servidores

Si se llegara a presentar un problema en el servidor de internet, queda prohibido por el jefe de Sistemas que el servidor de aplicaciones tome el reemplazo, ya que por cuestiones de seguridad se prefiere esperar y dejar sin internet la empresa hasta que el servidor sea reparado, a arriesgar el servidor de aplicaciones y toda la informacin contenida en este. En caso que el firewall del kernel de Linux llegara a fallar se prev que sea una falla segura ya

80

que los controles aun funcionaran a bajo nivel, pero dejara sin acceso tanto al interior como al exterior de la empresa

3.5.1.2.6.4.

Parches de Seguridad en Linux

Las versiones de kernel en los servidores no son tan actuales y no se han parchado ciertos agujeros de seguridad por despreocupacin de la gente de sistemas, esto puede incurrir en serios problemas ya que los atacantes pueden aprovechar un agujero de seguridad para poder tomar control del servidor y hacer literalmente cualquier cosa, adicionalmente no existe documentacin de los cambios hechos en el servidor con respecto a la versin de los parches aplicados (si fuere el caso).

3.5.1.2.7. Ataques de Red La empresa no ha invertido mucho en seguridad ya que no tienen herramientas destinadas exclusivamente a prevenir los ataques de red, tampoco existe las denominadas zonas desmilitarizadas debido al consto que esto implicara , ya que solo se tienen 3 servidores, todo eso en principio no se ha realizado ya que hasta el momento no han tenido mayores problemas de seguridad.

3.5.1.2.7.1.Sistema de Deteccin de Intrusos (IDS) La empresa no cuenta con Sistema de Deteccin de Intrusos, ya sea este basado en hardware o en software, lo mas cercado es el firewall en el cual no se ha presentado ningn intento de intrusin a la fecha(o no se han percatado de que haya sucedido).

3.5.1.2.7.2.

Negacin de Servicio (DOS)

No existen controles que permitan detectar y actuar ante la ocurrencia de un ataque denominado DoS (Denail of service), tampoco existe un manual de cmo actuar ante la ocurrencia de dicho evento, lo nico con lo que se cuenta en con el kernel de Linux que permite reconocer ciertos tipos de DoS como TCP SYN Flood, Ping of Death, entre otros, pero para el momentos que el ataque sea detectado puede ser muy tarde ya que estaran

81

congestionados todos los canales de acceso por la naturaleza misma de cmo se desarrolla este tipo de afectacin

3.5.1.2.7.3.

Sniffing y Spoofing

La empresa hace uso de la tecnologa CISCO en sus Switches, y a mas de eso la red se encuentra segmentada en diferentes reas, lo que permite evitar que el paquete viaje a travs de toda la red limitando un poco la posibilidad de sniffing ya que los paquetes circulan solo por las reas que tienen como destino en su direccin MAC

La informacin que circula entre las sucursales por el enlace alquilado a la CNT E.P. viaja encriptado lo que hace ms difcil que ocurra ese tipo de ataque en ese tramo. No existe ningn tipo de herramienta en la empresa para evitar la suplantacin de identidad o spoofing simplemente lo que se hace es prohibir el acceso externo de la manera configurada en el firewall.

3.5.1.2.7.4.

Ataque a los Password

Los password en Linux se guardan en una ruta especfica, pero en el servidor de la empresa en dicha direccin solo existe un archivo donde se almacena los nombres y algunos otros datos del usuario, dicho archivo se encuentra en texto plano y adems puede ser accesible ya que no cuenta con ningn tipo de encriptacin.

El archivo en el cual estn los password es un directorio a el cual solo puede acceder el usuario root, dicho archivo es de tipo shadow y usa una encriptacin en un solo sentido, es decir que no se descifra al momento de logeo, lo que se hace es cifrar la contrasea introducida por el usuario y se comparan con el dato almacenado que est cifrado.

82

3.5.1.3.

Seguridad en las Aplicaciones

En esta parte del proyecto se realizo un anlisis de todo lo correspondiente a las seguridades en las aplicaciones utilizadas por la empresa, as mismo la consistencia en sus datos de entrada y de salida, y la documentacin necesaria para su funcionamiento de acuerdo a los estndares internacionales.

3.5.1.3.1. Software En la empresa existen tres servidores de las mismas caractersticas que poseen un sistema operativo basado en Linux denominado Centos, dicho sistema fue recomendado cuando la empresa fue fundada en el 2008 por los consultores tomando en cuenta los siguientes aspectos en la relacin coste/beneficio: Bajo costo de adquisicin. Confiabilidad. Compatibilidad con Windows Funcionalidades de auditora y control de accesos. Por la posibilidad de conseguir actualizaciones. Parches de Seguridad Constantes. Aplicaciones Gratis.

La gran mayora de los computadores de mesa en la empresa tienen Windows XP SP3 mientras que todas las porttiles estn provistas de Windows 7 Home Premium.

3.5.1.3.2. Seguridad en las Bases de Datos En la empresa se utiliza el SGBD de MySQL para el mantenimiento, manejo y la administracin de las Bases de datos, est presente un tipo de control que permite restringir el acceso a los datos crticos de la institucin, pero no existe una organizacin formal de esta informacin. Los nicos autorizados a manejar la base de datos y la informacin que se encuentra dentro de estas son el DBA y el jefe de Sistemas.

83

La base de datos de la institucin y las aplicaciones relacionadas a esta disponen de los recursos suficientes ya que aproximadamente solo se est usando un 35% de la capacidad total de almacenamiento, as mismo cuando se borra algn registro de la base de datos, en realidad no se borra si no que se marca como eliminado, de esta manera siempre se tiene acceso a la informacin as est este Eliminada. 3.5.1.3.3. Control de Aplicaciones en PCs Las computadoras en la empresa no tienen de ningn manual bsico de configuracin o de instalacin de programas, si mismo no existe documentacin sobre los cambios que se le realizan al computador, simplemente a cada mquina se le instala el antivirus, el Microsoft office, y el modulo del sistema que necesite el empleado segn su perfil de trabajo.

Si una PC presenta algn tipo de fallo lo que se realiza es usar herramientas de restauracin para evitar perder tiempo innecesario, as mismo no se realizan actualizaciones a los software que estn instalados y se tiene desactivadas las actualizaciones automticas para evitar el consumo de ancho de banda, el departamento de sistemas permita la actualizacin de un programa solo si es necesario debido a algn mal funcionamiento que se est presentando, o por existencia de algn nuevo requerimiento.

Las versiones que se actualizan son las que corresponden a los mdulos del sistema propio de la empresa cuando existe algn nuevo requerimiento de algn rea, estas versiones se actualizan directamente desde el servidor para evitar realizar un cambio en cada PC de manera manual, una vez realizado el cambio se lo documento y se guarda dicha informacin.

En teora solo los administradores pueden instalar programas en las PC, pero cualquier usuario puede bajar un programa e instalarlo sin mayor problema ya que no existe ninguna restriccin lgica, ni poltica que permita controlar las licencias y bloquear la instalacin de programas sin previa autorizacin. .

84

3.5.1.3.4. Control de Datos en las Aplicaciones Cuando es desarrollada una aplicacin, en la empresa se validan que los datos salida sean correctos induciendo ciertos valores de entrada mediante tcnicas que aseguran su integridad exactitud y validez, Para los datos de salida existen algunas restricciones como:

El clipboard est deshabilitado. Los reportes confidenciales no pueden ser impresos en la impresora principal. La barra de tareas se deshabilita para que los datos no puedan ser modificados. El clic derecho del ratn, tambin es deshabilitado.

En el servidor hay una aplicacin Freeware que permite que todos los PC tengan la misma hora para de esta manera tener un control sobre los Logs que se generan durante el uso del programa

3.5.1.3.5. Ciclo de Vida La empresa tiene un grupo de programadores encargados de dar mantenimiento al sistema desarrollado y realizar los mdulos que se necesiten, el desarrollo no sigue una metodologa estandarizada, pero casi siempre se usan los mismo nombres de variables, tablas, y dems parmetros durante el desarrollo, por lo general durante el desarrollo no se da prioridad a los requisitos de seguridad debido a la urgencia de los sistemas y al proceso de reingeniera que conlleva dicha tarea

Anlisis: Ya que el anlisis conlleva a una reingeniera, no se realizo un levantamiento formal de informacin, los programadores tenan una nocin de cules eran las necesidades de los usuarios y conforme a eso se fue desplegando el desarrollo del sistema, cada vez que faltaba conocimiento de un determinado proceso se consultaba a los usuarios para poder entender el funcionamiento y finalizar el modulo que se estaba desarrollando.

85

Desarrollo: Los sistemas desarrollados en la empresa son con Visual Basic 6.0 ya que se tomo como base un software ya existente el cual fue comprado y modificado para los requerimientos actuales de la empresa.

Prueba: Para realizar las pruebas a los sistemas se utilizan valores de entrada en las tablas del sistema, cuando se realiza una modificacin se toman los mismos valores de dichas tablas para comprobar que los resultados obtenidos sean los mismo que se mostraron antes de la modificacin al sistemas, despus de esto se realizan pruebas de integracin de mdulos ya sean estos existentes o nuevos con el fin de los resultados obtenidos sean satisfactorios, la informacin correspondiente a las pruebas se documenta y se guarda para posterior comparacin.

Instalacin y modificaciones: Cuando la aplicacin es instalada permanece as hasta que el gerente de un rea correspondiente solicita cierto tipo de modificacin, vale recalcar que la solicitud muchas veces es verbal y no consta ninguna formalidad escrita. Antes de realizar las modificaciones se realiza un anlisis de riesgo para ver qu impacto podra causar dicha modificacin con la finalidad de decidir si se la realiza o no. Una vez que el cambio fue realizado no se documenta, ni tampoco se lleva un control de la versin de la aplicacin, ya que con cada cambio que se le realice es una versin diferente.

Documentacin: No existe informacin formal de los mdulos desarrollados, lo que hay son carpetas con diagramas y documentacin escrita a mano pertenecientes a cada programa implementado, el personal de sistemas se ha puesto como meta desarrollar los manuales correspondientes a cada modulo con el fin de que la informacin este ms accesible y mejor presentada.

Terceros: No existe participacin de terceros en el desarrollo y modificacin de los mdulos del sistema.

86

3.5.1.4. Seguridad Fsica En esta parte del proyecto se realizo un anlisis de las seguridades fsicas y todo lo relacionado a este como accesos al centro de computo, dispositivos, medios de almacenamiento y el sistema informtico de la empresa con el fin de que cumplan la medidas de seguridad necesarias en lo que corresponde al mantenimiento, infraestructura fsica y la seguridad de la organizacin.

3.5.1.4.1. Equipamiento 3.5.1.4.1.1.Caractersticas de los servidores En la empresa existen tres servidores iguales con las siguientes caractersticas: Servidores HP ProLiant ML110, comprados en el ao 2009. Uno de ellos es el servidor de aplicaciones y datos, y el otro es servidor de Internet. Cada uno contiene: Intel Xeon E3-1220 (4 ncleos, 3,10 GHz, 8 MB , 80 W). Fuentes (redundantes). 2 Placas de red (redundantes). 4 GB de memoria RAM. (2) SATA LFF de 1 TB. Sistema UPS de suministro alternativo de energa. Generador de energa elctrica.

3.5.1.4.1.2.Caractersticas de los PCs La empresa en su totalidad posee alrededor de 220 PCs, de las cuales 140 estn en la casa central y el resto en la sucursal de Guayaquil. El 100% de estas PCs son marca HP debido a su gran performance y garanta.

3.5.1.4.2. Control de Acceso Fsico al Centro de Computo Cuando se realizo la instalacin del centro de computo no se tomo en cuenta la relacin coste/beneficio en el tema de seguridad, actualmente en la empresa existe un circuito cerrado de cmaras pero estas no son exclusivas del centro si no que abarcan algunas reas de la

87

empresa, actualmente ninguna cmara est apuntando a la puerta de acceso al centro de computo, o una cmara dentro de este.

La empresa tiene contratado un servicio de guardiana privada, en horas de oficina el personal de seguridad se encuentra tanto dentro como fuera de la institucin pero en horas de la noche solo en los exteriores por el motivo que se activa la alarma dentro de la empresa. No existen seguridades lgicas en las puertas de acceso como tarjetas magnticas o llaves cifradas, lo que hay son llaves fsicas para el acceso a el centro de computo que se encuentra en la misma rea de administrativo, es decir que el personal de sistemas debe primero entrar en administrativo y de ah pasar al centro de computo.

Las dems reas no tienen permiso de ingreso al departamento, cuando alguien por cualquier motivo desea ingresar debe hacerse anuncia tocando el intercomunicador que est en la puerta de acceso al centro una vez que est autorizado se le permite el acceso al mismo, Cualquier persona ajena a la que se le haiga permitido el acceso es escoltada por un personal de sistemas durante todo el tiempo que este en el rea de trabajo.

3.5.1.4.3. Control de Acceso a equipos Todas las maquinas estn provistas de puertos USB y de unidades de CD, aunque la gran mayora del personal no las necesite ya que est prohibido el uso de cualquier medio de almacenamiento flash con el fin de evitar la propagacin de virus y el robo de informacin

A ms de la prohibicin verbal que existe del no uso de dichos medios de almacenamiento, no hay ninguna configuracin lgica en el equipo que permita deshabilitar dichos puertos, no se ha tomado preocupacin sobre dicho aspecto ya que nunca ha existido robo de informacin, pero es un riesgo latente que debe ser tomado en cuenta para evitar daos al equipo y a la empresa.

Los rack donde se encuentran ubicados los switch de cada sucursal se encuentran cerrados bajo llave para evitar que el personal de limpieza o cualquier otra persona ajena al

88

departamento manipule los equipos, las llaves de acceso se encuentran en la oficina central en el departamento de sistemas pero bajo ninguna seguridad, estn colgadas en un llavero en la pared.

No existe un inventario de los equipos asignados al personal, as mismo no se tiene control de los perifricos conectados en las PC, ya que simplemente se instala un equipo y no se le da seguimiento hasta que se reporta un dao, el personal de sistemas esta actualmente levantando un inventario de los equipos cuando baja un poco el ritmo de trabajo, ya que no hay una persona dedicada ntegramente a dicha tarea.

3.5.1.4.4. Dispositivos de Soporte La empresa en la matriz tiene los siguientes equipos de soporte: Aire acondicionado: El centro de cmputo est equipado con un sistema de A/A industrial que permite que el rea este siempre en una temperatura de 17 a 20 grados centgrados, con el fin que el equipamiento este siempre en condiciones optimas. Extintor: Una empresa externa es encargada del aprovisionamiento y mantenimiento de dichos equipos, adems ellos fueron los encargados de ubicarlos en las reas ms delicadas, el centro de cmputo cuenta con uno pequeo. Alarmas contra intrusos: La empresa cuenta con un sistema de alarma que la cubre ntegramente, este sistema solo es activado en las noches cuando todo el personal se ha retirado. Generador de energa: en la empresa cuentan con dos generadores (uno en cada sucursal) debido a los frecuentes cortes de luz que ocurren en nuestro pas en pocas de escases de lluvias. Necesita de un breve tiempo de puesta en marcha. UPS: En el centro de cmputos hay dos UPS marca Power One que pueden mantener los servidores y ciertas Maquinas en la empresa hasta por dos horas. Descarga a tierra: Existe un sistema de aterramiento tipo malla que tiene su punto de origen en dos grandes barras de tierra con agujeros donde se conectan todos los equipos para prevenir las descargas.

89

Luz de emergencia: En el rea del centro de cmputo existe una luz de emergencia la cual est en constante carga, y al momento de un corte siempre se activa. Piso aislante: La empresa no cuenta con un piso aislante debido al costo que genera dicha instalacin, por eso se invirti en un mejor sistema de tierra para desfogar todas las descargas.

3.5.1.4.5. Estructura del edificio La edificacin actual en el edificio matriz est ubicada en el tercer piso de un edificio que no es propio, debido a lo cual se tuvo que adecuar ciertos aspectos tcnicos para que pudiera operar de forma optima, se invirti en la colocacin de rejas soldadas y vidrios espejados con el fin de asegurar el rea y tambin que no sea posible ver a travs del vidrio.

Para el equipamiento de centro de computo se realizo un anlisis coste/beneficio con el fin de invertir en lo que era realmente necesario para que los equipos que se instalen pudieran aplicar las garantas mnimas (puesta a tierra, esttica, voltaje adecuado, temperatura optima entre otros), es por eso que no se invirti en la puesta de un piso falso ya que esto incurrira en un gasto bastante alto para la empresa que recin estaba empezando. . 3.5.1.4.6. Cableado Estructurado. El cableado estructurado de la empresa fue tercerizado, la organizacin encargada de hacerlo brindo una garanta escrita del trabajo realizado, adicionalmente en el diseo se tomo en cuenta posibles daos as como tambin la influencia de los campos magnticos sobre los medios fsicos de cobre.

El cableado pasa a travs de un techo falso implementado el cual permite una fcil accesibilidad ya que simplemente se sacan los paneles que lo componen, despus los cables se extienden hasta las columnas del edificio por donde bajan por unos paneles metlicos hasta que llegan al suelo, dichos paneles no presentan las facilidades cuando se requiere hacer algn tipo de modificacin ya que el espacio es muy reducido para tanto cable, pero resultaron econmicos por eso fueron adquiridos, adicionalmente la empresa que instalo el

90

cableado dejo adicionales para futuras expansiones, los cuales estn solo conectados del lado del switch, del otro extremo est el cable sin el conector RJ45.

Durante todo el trayecto del cableado, se observo y aplico el estndar de distancia mnima entre cables para de esta manera no generar interferencias o cortes. Todo el cableado esta dentro de los rangos de distancia normales, ningn cable fue extendido mas de 90Mts, y adicionalmente existe disponibilidad para aplicaciones futuras, en cada puesto de trabajo hay una toma que contiene un puerto de red, y un puerto telefnico.

3.5.1.4.6.1.Ancho de Banda de la Red El ancho de banda contratado para el servicio de internet es de 10Mbps en cada sucursal mientras el enlace entre Guayaquil y Quito es de 2.5Mbps, y por ltimo el cableado de la red interna UTP 5E otorga 100MB.

3.5.1.4.6.2.Falla en la Red Por norma en la empresa cuando existe una falla de energa los computadores que estn provistos de UPS deben apagarse de forma segura, de igual manera si el corte a supera el tiempo de una hora los servidores debern apagarse de forma segura, todo esto con el fin de evitar corrupcin en los datos por cortes de energa

3.5.1.5.

Administracin del CPD

En esta parte del proyecto se evalu todo lo referente a la administracin del departamento de sistemas (centro de procesamiento de datos) para ver si tiene una correcta administracin y organizacin, con el fin de que opere ptimamente y posibilite un buen ambiente de trabajo es por eso que se verifico la asignacin de tareas y responsabilidades que lo conforman.

3.5.1.5.1.

Administracin del CPD

3.5.1.5.1.1. Responsabilidad del Equipo de Sistemas

No existe una organizacin del personal en lo referente a asignacin de tareas, tambin es inexistente alguien que verifique las seguridades del CDP, solo est el jefe de sistemas que al principio de cada semana elaboro un cronograma de las cosas que se tienen previstas hacer y
91

asigna a un empleado el cual ser responsable del seguimiento del trabajo que se le haiga asignado.

Adicionalmente al administrador, existen cuatro personas encargadas del desarrollo de sistemas, y uno que hace de soporte tcnico. Una vez al mes el Jefe de Sistemas emite un reporte a gerencia en donde se encuentran todas las novedades suscitadas durante ese periodo, los reportes se lo realizan de manera informativa ya que no existe pedido de ningn directivo.

3.5.1.5.1.2.

Planes de Sistemas

No existe ningn plan a largo plazo, lo que se hace es que al principio de cada semana se elaborar el cronograma de trabajos a realizar, no hay una planificacin formal solo la distribucin semanal de tareas.

No existen normas o procedimientos que definan una base para la planificacin, actualmente se le est dando prioridad a la reingeniera del sistema que es de carcter prioritario, despus de esto las tareas se van poniendo en cola dependiendo de la complejidad que estas tengan.

3.5.1.5.1.3.

Permisos de los Encargados de los Centros de Cmputo

Cuando se contrata algn nuevo personal para que labore en el rea del centro de computo se le hablita una cuenta pero no con perfil de administrador, simplemente de visualizacin de datos y conforme va avanzando en la induccin que se le realiza, se le van asignado ms responsabilidades y desbloqueando mas funciones de su perfil, la persona que se encarga de la modificacin del perfil de usuario es el administrador del centro de computo.

3.5.1.5.1.4.

Importancia de la Seguridad

Los empleados de gerencia y jefes de rea tienen plenos conocimientos de la importancia de la seguridad informtica, ya que ellos fueron los que propusieron junto con el jefe de sistemas las normas que actualmente estn implementadas, muchos empleados conocen las normas pero pocos la aplican por creer que no son importantes.

92

3.5.1.5.1.5.

Mantenimiento

Solicitud de Mantenimiento: Cuando los usuarios tienen algn requerimiento o se les ha presentado algn problema en su estacin de trabajo, ellos llaman al centro de cmputo para informar lo sucedido y solicitar asistencia tcnica si fuere necesario, no existe ninguna constancia escrita sobre lo sucedido, simplemente se realiza la llamada y se atiende en problema.

Mantenimiento preventivo: Actualmente no existen recursos disponibles para el mantenimiento preventivo, ya que incurre en la contratacin de nuevo personal, y el recurso disponible est trabajando en las tareas de reingeniera.

3.5.1.5.1.6.

Interaccin con el Usuario

Publicidad de normas: Cuando se desea publicar un aviso de parte del gerente, alguna norma de utilizacin de algn perifrico, o algo de conocimiento inmediato se utiliza un broadcast de correo para que llegue a todas las cuentas de usuario con el fin de que todos tengan conocimiento sobre el tema que se desea hacer conocer.

Boletn informativo: De la misma manera en la empresa existe un boletn informativo que no tiene una frecuencia de publicacin, simplemente se enva cuando se desea recordar a los usuario temas de conocimiento general en la organizacin.

Buzn de sugerencias: en la empresa no existe un buzn de sugerencias donde el usuario pueda expresarse libremente con el fin de dar a conocer sus opiniones sobre cualquier tema en general.

3.5.1.5.1.7.

Instaladores

Los instaladores de las distintas versiones de sistemas operativos, programas y dems recursos se encuentran en sus CDs originales, lo que se ha hecho es subir una parte de los programas ms utilizados al servidor con el fin de que sean fcilmente accesibles, y los programas ms pesados como son los sistemas operativos se encuentran el departamento de Sistemas en CDs que son copias de los originales con el fin de no estropear los discos.

93

3.5.1.5.1.8.

Licencias

En la empresa se guarda un registro de todas las licencias que se dispones por cada programa o equipo, es por eso que se tienen los siguientes tipos de licencias: Windows XP Profesional SP3. Windows 7 Home Premium. Microsoft Office. Norton Antivirus Corporativo. Otros.

El resto de las aplicaciones son libres como el Linux.

3.5.1.5.2. Capacitacin La capacitacin al personal de la empresa fue desplegada por departamentos y conforme fueron implementados los diferentes tipos de mdulos, cuando se presenta a un nuevo empleado en la empresa se lo instruye como fueron instruidos los dems empleados, si el grupo es grande se lo realiza en la sala de reuniones y la charla la da el jefe de sistemas acompaado de dos desarrolladores que hayan participado en la elaboracin del modulo, si el grupo que se va a capacitar es pequeo se lo realiza en el centro de computo, por lo general en estas charlas se les habla sobre:

La importancia de no usar Password fciles. La no divulgacin de sus credenciales. Nunca escribir su contrasea. Una buena administracin de sus claves aumenta la seguridad del sistema Nunca modificar las configuraciones del PC No abrir mail de desconocidos ni los adjuntos que trae

Una vez que los usuarios han sido instruidos se los acompaa por un periodo determinado de tiempo con el fin de verificar que estn realizado de manera correcta el uso del sistema en el cual fueron capacitados, fuera de esto no existe ningn constreimiento por escrito de que se
94

permita que los usuarios sean auditados ni de alguna declaracin de que conozcan del buen uso del sistema y sus mdulos.

Actualmente por temas de ataques de ingeniera social se tienen previstas capacitaciones pero no ha sido posible debido a falta de tiempo y personal que de la charla

3.5.1.5.3. Backup 3.5.1.5.3.1.Backup de Datos en el Servidor Cada vez que en el servidor se lleva a cabo cualquier tipo de cambio o actualizacin por mnima que esta sea, se guarda tanto la configuracin anterior como la actual, pero no se deja ninguna documentacin o constancia de lo que fue realizado ni en qu fecha se llevo a cabo el trabajo.

En la empresa no existe un procedimiento formalizado que indique la forma y con qu frecuencia se deben sacar respaldos de la base de datos.

Al final del da se lleva a cabo un proceso que no est automatizado en donde los usuarios, y el personal del departamento de sistemas copian sus archivos a una carpeta compartida en el servidor de aplicaciones con el fin de tener in respaldo, para despus de esto copiar dicha carpeta con toda esa informacin a un disco duro externo, proceso es incremental es decir que cada da hay ms informacin debido a lo cual la informacin actualmente debe ser zipeada para evitar que el proceso dure un largo periodo de tiempo.

Al ser un proceso incremental se sobrescriben todos los archivos de una carpeta debido a lo cual no es posible recuperar alguna versin anterior de algn modulo que se haya desarrollado, los fines de semana cierto personal labora en la empresa pero sus backup no son actualizados hasta el da lunes que labora el personal del rea de sistemas.

Por lo general la persona que realiza los backup siempre es la misma pero no existe una designacin formal, aunque casi siempre los hace el encargado del departamento, tampoco

95

existe una poltica de designacin de algn responsable, mas aun cuan hay que realizar una restauracin en base a la informacin que esta almacenada en los Backup.

No hay una norma establecida de cmo realizar la restauracin sobre un Backup, simplemente se realizaron dos pruebas que fueron satisfactorias cuando se inicio el proceso de respaldar en un disco duro externo, la nica novedad que existi fue un problema con el correo electrnico, pero el respaldo si se encontraba almacenado en la unidad externa por lo que no genero mayor retraso en el funcionamiento de la empresa.

3.5.1.5.3.2.

Backup de Datos en las PC

La informacin del usuario es de carcter personal debido a lo cual no es de importancia para la empresa, cabe indicar que el personal ha sido instruido con la finalidad de que guarden todos sus datos en la carpeta mis documentos, con el fin de que ellos puedan almacenarlos en un disco duro externo bajo previa autorizacin del jefe de sistemas. Varios usuarios en la empresa pueden almacenar sus documentos en el servidor ya que estos son de mucha importancia, el funcionamiento de este tipo de backup fue realizado a travs de un archivo .bat que ejecuta una copia de una carpeta alojada en la unidad C:\.

3.5.1.5.3.3.

Backup de la Pgina Web

No existe un portal web.

3.5.1.5.3.4.

Backup de Logs

No existe un backup de los log que son generados tanto por el Linux y dems aplicaciones, solo se realiza una depuracin de los mismos al final de cada mes.

3.5.1.5.3.5.

Proteccin del Backup

Los archivos de respaldo que se encuentran en la unidad externa no estn cifrados, lo cual es un potencial problema, ya que se encuentra hay toda la informacin de la empresa como bases de datos, programas, informacin de los proyectos, en fin la informacin es el activo ms importante de toda empresa

96

3.5.1.5.3.6.

Documentacin del Backup

No existen documentos histricos ni ninguna otra documentacin de los respaldos que se realizan, simplemente se hace el backup de la informacin importante.

3.5.1.5.4. Documentacin 3.5.1.5.4.1.Documentacin del Centro de Computo El centro de cmputo posee documentacin de lo siguiente: Tipo de Maquinas y qu licencia de Software posee. Planning Ip. Planos del cableado estructurado realizado en la empresa. Grficos de la ubicacin fsica de los equipos de red Documentacin fsica del los mdulos desarrollados

No hay un respaldo de la documentacin ya que son carpetas que se van actualizando conforme pasa el tiempo.

3.5.1.5.4.2.

Manuales

No hay ningn plan de contingencia a seguir, ni un plan de continuidad. No hay desarrollado ningn plan de seguridad ni procedimientos formales. Se comenz a desarrollar un manual de usuario del sistema pero se complet solo un 30% del mismo, y ahora ha quedado desactualizado.

Adems se desarrollaron los manuales para las reas de Proyectos y Ventas, aunque stos tambin estn desactualizados. Est en los planes del administrador del centro de cmputos desarrollar manuales de usuario explicando, para cada mdulo del sistema (o rea de la organizacin), el funcionamiento del mismo.

97

3.5.1.5.4.3.

Documentacin del Desarrollo

De cada modulo existe una carpeta con toda la informacin que se ha ido generando con su desarrollo, este conocimiento fue generado mientras los mdulos se iban desarrollando, pero una vez que se termino dicha tarea la informacin no fue actualizada, es decir que durante las etapas de actualizacin y mantenimiento no se transcribe ninguna informacin de constancia en papel.

3.5.2.

Diseo de las Estrategias

Una vez realizado el anlisis de los procesos que intervienen en el rea informtica y su relacin con los dems departamentos se puede empezar a escribir las Polticas de Seguridad que conforman el Plan de Seguridad Informtica.

El propsito de establecer este Plan de Seguridad Informtica para la empresa TELPROYEC CIA. LTDA. Es proteger la informacin y los activos de la organizacin, tratando de conseguir que los datos sean confidenciales, ntegros y fiables; adems se debe indicar cules son las responsabilidades que debe tener cada empleado en la organizacin.

Las polticas desarrolladas nacen como la herramienta para que los miembros de la empresa sean consientes de la importancia de proteger la informacin y los datos crticos, de tal forma que permitan a la empresa cumplir con su misin. Para poder proponer una poltica de seguridad informtica se necesita un compromiso de parte de la empresa con la finalidad de que esta sea implementada para poder hallar las fallas y deficiencias en el sistema.

Este documento se aplicar para todos los empleados de La Empresa TELPROYEC CIA. LTDA., tambin indicara la forma en la que debern actuar proveedores y dems personal relacionado al entorno informtico. Esta polticas implementadas deben entrar en una revisin constante con la finalidad de actualizarlas con forme cambia el entorno en el cual se est trabajando, tambin deben permitir la capacidad de ser auditadas por si este fuera el caso.

98

La Polticas de este Plan de Seguridad Informtica se encuentra dividido en los siguientes campos de accin: Seguridad Lgica. Seguridad en las Comunicaciones. Seguridad de las Aplicaciones. Seguridad Fsica. Administracin del Centro de Cmputos.

3.5.2.1.Seguridad Lgica 3.5.2.1.1. Identificacin de IDs El control de acceso a los datos deber estar regulado con una herramienta que permita la mantener la seguridad de la informacin Debe existir una poltica formal en lo referente al control de acceso a los datos donde se tome en cuenta como mnimo: o Que tan sensibles son los datos y su confidencialidad. o Los procedimientos para otorgar las claves para el ingreso a los sistemas. o Que estndar se va a usar para la autenticacin de los usuarios. Cuando sea necesario ingresar un nuevo usuario al sistemas debe haber un procedimiento por escrito que indique los siguientes datos (Ver Anexo D). o ID del usuario el cual debe ser nico. o Password, Debe ser ingresado por el usuario. o Nombre y apellido completo. o Sucursal de la empresa Lugar donde desempeara sus funciones. o Grupo de usuarios Perfil de sistema que ser asignado. o Fecha de expiracin Validez mxima de la cuenta. o Fecha de anulacin fecha en la que la cuenta es anulada. o Contador de intentos fallidos.

Con el fin de cada usuario realice sus labores, el perfil debe presentar las facilidades de acceso a lo que requiera la cuenta.
99

Se debe crear una lista de acceso que permita ver qu persona modifico un determinado registro y si tena permiso de hacerlo, con el fin de auditar las cuentas. El acceso al sistema solo estar disponible en un determinado horario tomando en cuenta que: o Las personas del grupo laborar diurno no podrn acceder a sus cuentas en horarios no acordes con los de su trabajo. o Cuando una persona salga de Vacaciones y solicita una licencia la cuenta debe deshabilitarse durante el periodo en el que esta ausente. o En das feriados todas las cuentas deben deshabilitarse.

Lo usuarios solo podrn iniciar sesin desde sus propias estaciones de trabajo. El administrador solo deber iniciar sesin en el centro de cmputos y en una terminal dedicada solo a dicha funcin la cual debe estar disponible en cada localidad.

Se deber realizar una revisin mensual de todas las cuentas de usuario con la finalidad de observar si tienen los permisos correctos, el encargado de dicha labor es el Jefe de Sistemas.

Debe existir una coordinacin del personal de Talento con el de sistemas con el fin de informar todo cambio o nuevas contrataciones de personal. Cuando un usuario salga de la empresa y deba darse de baja deber existir un procedimiento o autorizacin escrita, para luego actualizar la fecha de expiracin de la cuenta con el fin de que no se elimine si no que arroje un histrico.

As mismo cuando un personal es cambiado de rea se le debe reasignar los permisos para que pueda cumplir con sus nuevas funciones. El sistema debe poder detectar una cuenta que este inactiva, y si lo est por ms de 5 minutos debe desloguearse el usuario y mostrar nuevamente la pantalla de login y/o el protector de pantalla.

El protector de pantalla con contrasea debe ser un estndar de configuracin en todos los equipos. Se debe determinar el tiempo en que una cuenta se considere inactiva, para proceder a inhabilitarla..
100

Debe existir una poltica que no permita hacer login en dos estaciones y a la vez abrir varios mdulos simultneamente. No deben existir perfiles de usuario genricos, todos los perfiles deben estar regulados segn el rea donde laborar el empleado. Se deber limitar la cantidad de usuarios con privilegios de administrador, el jefe de sistemas ser el nico autorizado a generar dicho perfil Debe existir un usuario root, el cual deber estar debidamente guardado en un sobre sellado con las medidas de seguridad pertinentes, con el fin de utilizarlo solo si llegara a ser necesario

El usuario para el mantenimiento del servidor deber ser un sper usuario con los privilegios del anterior, y adicionalmente un tercer usuario con los permisos para ejecutar las tareas cotidianas en el servidor.

Los administradores que se encarguen de dar mantenimiento a los servidores debern tener un usuario con los privilegios acordes a dicha tarea y sobre todo que se denomine al perfil mantenimiento

Con una frecuencia mensual el administrador deber chequear las acciones realizadas por las cuentas que tienen altos privilegios.

3.5.2.1.2. Autenticacin La pantalla para iniciar la sesin deber mostrar las siguientes opciones: o Nombre de usuario. o Password. o Opcin para cambio del Password. Cuando el usuario este ingresando su password, la misma no debe ser mostrada. Una vez que el login ha sido exitoso se mostrara en pantalla lo siguiente: o Nombre de usuario. o Datos de la ltima conexin (fecha y hora). o Numero de terminal de la que se logeo o Numero de intentos fallidos

101

Para administrar los datos existe una aplicacin a la cual solo se deber acceder desde una maquina del centro de computo Se debe cifrar lo siguiente: o Las ACL. o La combinacin de informacin user/password. o Los datos de autenticacin mientras viajan en la red.

3.5.2.1.3. Password Toda clave para una cuenta de usuario deber cumplir las siguientes caractersticas: o Ser alfanumrica. o Longitud entre 6 a 10 caracteres. La clave deber ponerse como expirada al momento de crear una cuenta para que el usuario este obligado a cambiarla. Cada 4 meses se deber hacer cambio de clave, dicho control se ejecutara poniendo ese tiempo de expiracin a las cuentas. Se deber ejecutar un control para validar que el password no sean palabras reservadas o el nombre de la empresa. Al errar por 5 veces en la introduccin de la contrasea se proceder a bloquear el perfil del usuario. El empleado tendr la libertad de modificar su clave las veces que el crea conveniente sin ningn tipo de solicitud. Se debe controlar que las claves ingresadas no sean iguales a las cinco ltimas. Toda clave ser vlida por cinco das mnimo, si fuera menor el tiempo no se permitir el cambio. Si se produce un bloqueo de la cuenta o un usuario olvida su clave, deber acudir y solicitar de forma escrita que su password sea reiniciado, en dicho proceso ni siquiera el administrador podr ver la clave del usuario.

102

3.5.2.1.4. Segregacin de Funciones Deber existir por escrito el rol de cada persona dentro del centro de cmputo con la finalidad de que cada uno conozca sus obligaciones como empleado. El organigrama de la empresa debe reestructurarse con la finalidad de que el rea de sistemas se encuentre en un lugar no dependiente de otros departamentos, solo bajo gerencia. Se deber implementar un plan de vacaciones anuales con la finalidad de programar los trabajos del departamento, tambin se deber rotar cada cierto tiempo las funciones de los empleado en el centro de computo para medir su rendimiento en otros campos

3.5.2.2.Seguridad en la Comunicaciones 3.5.2.2.1. Topologa de la Red Se debe mantener la integridad, exactitud, disponibilidad y confidencialidad de los datos transmitidos, ya sea a travs de los dispositivos de hardware, de los protocolos de transmisin, o de los controles aplicativos. Se deber realizar un diagrama topolgico de las redes, los nodos, y todo el equipamiento existente en la organizacin. Deben existir medios redundantes en la conexin entre sucursales

3.5.2.2.2. Conexiones Externas Debern existir medios de aseguramiento pertinentes para el acceso y control de los trabajos que se realizan en la empresa por personal forneo. La conexin a internet deber estar solo disponible para el personal que realmente lo necesite y bajo una autorizacin expresa de gerencia. A los usuarios que tengan acceso a internet se les deber dar una charla del uso del mismo con la finalidad de evitar ser blanco de hackers Se debe asegurar todas las entradas y salidas de la red mediante el uso de un firewall. Una vez que las conexiones hayan pasado el firewall debern pasar por un servidor proxy para tener un control sobre la red (Ver Anexo E).
103

Se debe prohibir la publicacin de la informacin (Correos, cuentas de usuario, claves, entre otros) de la empresa a travs del internet Cuando se establezca comunicacin con terceros a travs de internet, por fines de mantenimiento o similares deber por escrito estipularse como y que seguridad utilizar para la interconexin.

Toda informacin que se genere en la empresa es de propiedad de la misma, y que prohibida su uso sin previa autorizacin escrita. Los usuarios que acceden al internet deben ser monitoreados de forma constante, si se cree que se est incurriendo en una falla de seguridad, se debe auditar inmediatamente al usuario inmerso en la sospecha.

La gerencia ha autorizado explcitamente al departamento de sistemas que ante la menor sospecha de que se est mal utilizando un equipo, o se est mal utilizando la informacin con fines no laborable se proceda a tomar las acciones necesarias para controlar el problema

3.5.2.2.3. Configuracin Lgica de Red Mientras ms sean las conexiones al exterior ms alto es el riesgo externas; debido a lo cual las comunicaciones deben mantenerse en un mnimo posible. El direccionamiento IP interno de la empresa no debe ser visible desde el exterior. SE debe asegurar que la direccin IP de la empresa siempre este cambiando en el internet. Tanto los recursos lgicos como fsicos no deben ser visibles en la red Los recursos de los servidores sern visibles solo en los casos necesarios y con las medidas de seguridad correspondientes. Debe aplicarse restricciones a aplicaciones de chat, o de compartir archivos con el fin de evitar intrusiones a los equipos.

3.5.2.2.4. Mail Se debe implementar un procedimiento formal por escrito donde se indica la creacin o eliminacin de una cuenta de correo.
104

En todas las PC debe haber solo una aplicacin para la gestin del correo electrnico, la cual debe brindar seguridad y confiabilidad en el envo y recepcin del los mensajes.

La aplicacin de correo electrnico no debe ser usada para el envo de correo SPAM, ni tampoco del envo de HOAX. Todo Correo electrnico debe ser considerado un documento formal, y por lo tanto debe respetar el buen uso del lenguaje. El correo electrnico no debe usarse con fines delictivos o lucrativos. La informacin de carcter importante debe ser cifrada antes de ser enviada. Debe darse prioridad al correo importante sobre el normal, a mas de eso se debe controlar el buen uso de dicha opcin de envo. Todo el personal deber tener una capacidad fija de almacenamiento para los correos electrnicos

3.5.2.2.5. Antivirus Cada una de las PC en la empresa deben tener un programa de antivirus con su base de datos actualizada y que este ejecutndose plenamente. Los servidores deben de tener de una herramienta para deteccin de virus especializada. Se deber guardar los discos de rescate para las PC y servidores con el fin de realizar un escaneo a bajo nivel. Los antivirus debern configurarse para que se actualicen diariamente en la hora con menor trfico para no afectar en el rendimiento de la red. El Jefe de Sistemas deber asignar una persona que ser la encargada de efectuar escaneos peridicos con la finalidad de encontrar virus que pudieren estar afectando la performance del equipo. Cuando se llegue a detectar un equipo deber existir un procedimiento forma de accin

105

3.5.2.2.6. Firewall (Ver Anexo F) Solo los servicios que sean necesarios debern ser habilitados en el firewall, lo dems estar bloqueado en una postura denominada negacin preestablecida. Aquellos servicios que solo sean necesarios por un tiempo debern ser habilitados bajo la modalidad on demand, los dems servicios que sean riesgos pero tiene que estar encendidos debern de monitoreados de forma constante. Se deber habilitar un acceso seguro en al servidor FTP para la sucursal (Ver Anexo G). La persona encargada de dar mantenimiento al firewall deber llevar un seguimiento de todas las configuraciones realizadas, y tambin realizar pruebas peridicas de intrusin. Denegar paginas en horarios establecidos (Ver Anexo H) De existir una falla en el firewall esta deber ser de tipo segura, es decir que todos los accesos al servidor deben bloquearse.

3.5.2.2.7. Ataques de Red Cuando se deba enviar informacin a travs de redes externas la informacin debe viajar cifrada y en formato no legible. Debe existir un documento formal con procedimientos establecidos destinado a evitar los ataques de red. Se deber implementar in sistema de deteccin de intrusos (IDS) tipo hardware para evitar, detectar y actuar ante eventos de intrusin no detectados. (Ver Anexo I). La red debe estar en constante monitoreo mediante el uso de una herramienta que permita actuar ante ataque de denegacin de servicios (DoS) La red de la empresa deber estar segmentada de manera lgica y fsica con la finalidad de evitar el sniffing. El firewall deber estar configurado para evitar el spoofing, debido a lo cual se evitara el acceso desde el exterior a cualquier direccin IP que pertenezca a la red interna.

106

La informacin de las cuentas de usuario y los password no debern almacenarse en la carpeta por que por defecto debera estar, a ms de eso el archivo debe estar protegido con un cifrado en un solo sentido (one way) lgicos para evitar que la clave sea hackeada. y con estrictos controles

3.5.2.3.Seguridad en las Aplicaciones 3.5.2.3.1. Software Para los servidores el sistema operativo deber contar con las siguientes caractersticas: o Confiable. o Equilibrio en relacin coste/beneficio. o Compatible con los dems sistemas operativos de la empresa o Escalable a futuro. o Disponibilidad de actualizaciones. o Generacin de log. o Disponibilidad de documentacin. Con respecto a la seguridad deber presentar las siguientes caractersticas: o Identificacin y autenticacin. o Control de acceso. o Login. o Incorruptibilidad. o Fiabilidad. o Seguridad en la transmisin. o Backup de datos. o Encriptacin. o Funciones para preservar la integridad de datos. o Requerimientos sobre privacidad de datos.

107

3.5.2.3.2. Seguridad en Base de Datos Se deber realizar con chequeos con frecuencia a la base de datos de la empresa con finalidad de observar lo siguiente: o Si se hacen los backup y controles de seguridad. o Que todos los usuarios tengan asignada una contrasea o Revisar los perfiles que no han hecho uso de la base de datos por un largo periodo. o Que solo el administrador tiene los permisos de lectura y escritura sobre los registros de las base de datos o Verificar que la base de datos tengo los suficientes recursos disponibles para trabajar de manera optima. Todas las transacciones realizadas deben generar un registro, con el fin de que se pueda revertir en caso de presentarse un inconveniente, adems de esto los registros en la base de datos no se borraran, solo se marcaran como eliminados. Se deber clasificar los datos segn su importancia para dar mayor nfasis en los ms urgentes

3.5.2.3.3. Control de las Aplicaciones en las PC Deber existir una norma o estndar de configuracin de los computadores con todo lo necesario para que el usuario pueda trabajar. En base al estndar se identificara que mdulos usara el usuario basados en el perfil que tenga, adems con qu frecuencia se debern realizar las actualizaciones. No se actualizaran todas las aplicaciones, solo se realizara dicha tarea si existe algn problema con la aplicacin o si hay una orden superior para realizar el trabajo. Antes de realizar cualquier, cambio debe existir un procedimiento de rollback en el caso de que se presentara un problema con el trabajo realizado con el fin de dejar sin efecto los cambios.

108

Se deber documentar la instalacin, reparacin y mantenimiento de los computadores con el fin de tener un historial por cada PC para manejar datos estadsticos de todos los cambios realizados.

Cuando ingresa un nuevo empleado a la empresa se le notifica indicndole que tiene prohibido la instalacin de cualquier tipo de software en los equipos de la institucin Se deber realizar todos los meses una inspeccin en los equipos de los empleados para verificar que no existan instalados programas no autorizados.

3.5.2.3.4. Control de Datos en las Aplicaciones deben existir controles para validar la integridad de los datos en los procesos de entrada salida de informacin. Se deben restringir dependiendo del perfil de usuario los datos que son mostrados a la salida de un proceso. Las carpetas que contengas los archivos de las aplicaciones deben tener un control de acceso y el nico autorizado consultar esos archivos es el Jefe de Sistemas. Se debe utilizar la misma configuracin de hora en todos los equipos de la red

3.5.2.3.5. Ciclo de Vida El plan a sistemas a utilizar deber estar detallado, de manera que permita saber las asignaciones de recursos, el establecimiento de prioridades y responsabilidades, la administracin de tiempos y la utilizacin de mtricas de software. Esta norma deber estar siempre presente tanto en el desarrollo como en el mantenimiento del sistema. Antes de realizar cualquier tipo de cambio al sistema, se deber realizar un anlisis los posibles riesgos que conllevara. Cada vez que se realice un cambio este deber estar documentado. Por cada requerimiento de cambio al sistema deber haber una solicitud escrita donde quede reflejado el motivo y la solicitud del cambio, dentro de este se incluirn todos los requerimientos de seguridad necesarios, definidos por el Jefe de sistemas. La documentacin deber incluir los siguientes datos. (Ver Anexo J). o Sistema Afectado
109

o Fecha de la Modificacin. o Nombre del Desarrollador que realizo el cambio. o Nombre del empleado que solicito el cambio. o Descripcin general del requerimiento Con esta informacin se proceder a actualizar la documentacin para posterior tener una base de conocimiento para elaborar el manual del sistema Deben existir casos de pruebas para todos los programas que sean desarrollados en la empresa Antes de enviar a produccin un cambio este deber estar probado y aceptado por los usuarios que harn uso del modulo. Luego de hecho el cambio se deber aplicar la metodologa post-produccin con el fin de verificar que el cambio realizado cumpli con las expectativas de las personas que solicitaron el dicha modificacin al modulo. La seguridad de la informacin es un tema importante debido a lo cual se notificara a los empleados contratados, terceros y consultores. El jefe de sistemas junto con los jefes de las dems reas sern quienes: o Indiquen los requerimientos de seguridad. o Determinar las multas en caso que no se respete un contrato. o Disear las clausulas para la confidencialidad e la informacin.

Cuando se realice la contratacin de un tercero para un determinado trabajo, deber permitirse auditar a la empresa auditada si as lo eligiera el Jefe de Sistemas. Cuando se contrate a un tercero para el desarrollo de algn programa se deber entregar lo siguiente: o Archivo Ejecutable de la Aplicacin. o Cdigo fuente. o Documentacin del desarrollo. o Manuales de uso.

Antes de efectuar la compra se deber tener en cuenta los siguientes puntos: o Anlisis de coste/beneficio. o Adaptabilidad con los sistemas actuales.
110

o Compatibilidad con los sistemas operativos. o Tipos de seguridad que posea. o Servicio Post-Venta apropiado.

3.5.2.4.Seguridad Fsica 3.5.2.4.1. Equipamiento Se deber exigir un adecuado mantenimiento de todo el parque informtico que forma parte de la empresa.

3.5.2.4.2. Control de Acceso Fsico al Centro de Computo Para evitar el riesgo de accidente y actividades fraudulentas se deber llevar un estricto control de acceso al personal que ingresa al centro de computo Toda persona que ingrese a las reas delicadas, debe ser plenamente identificado al momento del ingreso. Cualquier persona ajena a la institucin que desee acceder al centro de computo, deber anunciarse, y un personal asignado por el jefe de sistemas ser el encargado de escoltarlo desde el ingreso al edificio, hasta que concluya la labor que este desempeando. Deben existir controles de monitoreo automticos o manuales en el ingreso al centro de computo. El rea del centro de cmputo en donde se encuentren los equipos ms delicados deber estar separada fsicamente del resto de equipos menos importantes. Todo el personal que trabaja en el departamento de sistemas deber permanecer en las oficinas solo en las horas laborables, si existiere un trabajo que amerite quedarse ms tiempo se deber establecer un procedimiento de autorizacin para el personal que deba permanecer fuera de su horario habitual de trabajo. Deber existir personal de seguridad tanto dentro como fuera de la empresa. Deben existir pruebas de acceso fsico con el personal de la empresa, tambin todas las reas deben estar provistas con extintores, luz de emergencia, detectores de humo, entre otros.
111

3.5.2.4.3. Control de Acceso a Equipos Deben desactivarse todos los puertos USB y lectores de CD, en los computadores que no las necesiten. El acceso al BIOS de cada computadora debe estar protegido mediante un password que solo lo debe conocer el personal de Sistemas. Debe instalarse una llave de bloqueo de hardware a todos los servidores. Todo dispositivo que no est en uso debe ser almacenado en el Departamento de Sistemas. Los rack donde se encuentran ubicados los switch deben tener seguridades fsicas para evitar la manipulacin de los mismos. El Jefe de Sistemas debe asignar a un personal el cual ser encargado de chequear lo siguiente: o El buen funcionamiento de todos los dispositivos instalados en las computadoras. o Comprobar que los nmeros de serie sean los mismos que cuando se realizo la instalacin del computador.

3.5.2.4.4. Dispositivos de Soporte La empresa deber tener los siguientes equipos para asegurar el ambiente de trabajo. (Ver Anexo K): o Acondicionador de Aire: Se recomienda que la temperatura en el centro de cmputo se encuentre entre los 17 a 21 grados centgrados. o Extintor: Debe cumplir con las normas para equipos electrnicos. o Alarmas contra intrusos: Debe ser activada en horarios no laborales, tambin debe poderse activar en el caso de una emergencia. o Generador de energa: Para asegurar la continuidad de las operaciones, debe existir un generador elctrico con la finalidad de ser activado de manera automtica ante un corte de energa

112

o UPS: Debe existir un UPS por cada servidor con la finalidad de que los equipos puedan ser apagados de manera segura. o Luz de emergencia: Ante un evento la luz de emergencia debe activarse de manera automtica. o Aterramiento: Debe existir un buen sistema de tierra en el centro de cmputo con la finalidad de que las descargas elctricas no produzcan daos en los equipos.

Cada Uno de estos elementos de seguridad deben ser evaluados constantemente por el personal de mantenimiento. Se debe instalar una llave principal para el corte de energa en la empresa. En caso de emergencias debe existir un procedimiento en el cual se indique la forma en la que se deber actuar, a ms de eso el Jefe de Sistemas debe asignar a un grupo de responsables de la revisin de procedimiento.

3.5.2.4.5. Estructura del Edificio En la parte alta del edificio se debe ubicar el centro de cmputo. Adicionalmente debe tener proteccin electromagntica, contra ruidos y seguridades fsicas. Se debe proteger con elementos para evitar la visin y con rejas al rea que comprende en centro de cmputos. En el diseo del centro de cmputo de la empresa se deber tomar muy en cuenta el crecimiento futuro. En la empresa los diferentes sectores deben estar separados por medios que no permitan la visin entre los mismos.

3.5.2.4.6. Cableado Estructurado Para garantizar un funcionamiento ptimo el cableado estructurado debe estar avalado por las normas tcnicas al momento de realizar la certificacin. Si se contrata la realizacin del Cableado, la contratista deber presentar garantas escritas del trabajo realizado.

113

Todas las instalaciones como canales, equipos, planos, debern estar debidamente documentados. Se debe tomar en cuenta las expansiones, debido a lo cual deber existir cableado adicional el cual estar sin los conectores RJ45 para evitar su uso hasta que fuere necesario.

Con una frecuencia bimensual

se deber con un equipo apropiado medir la

interferencia existente en los medio con la finalidad de asegurar su buen funcionamiento. El nivel de ancho de banda debe estar en constante revisin, con el objetivo de tomar acciones si llegara a un minino que ser determinado por el Jefe de Sistemas Si se llegara a producir un corte de energa, se debe apagar de manera segura los equipos que aun sigan encendidos por las capacidades del UPS.

3.5.2.5.Administracin del CPD 3.5.2.5.1. Administracin del CPD Se deber realizar una correcta administracin del departamento de sistemas para que se puedan desempear las labores de una manera armnica. El Jefe de Sistemas debe ser una persona con amplios conocimientos en todos los temas que desarrollan en rea, a mas de eso tiene que acreditar con ttulos que confirmen sus conocimiento, deber estar al tanto de planes de contingencia y de seguridad en la informacin, ya que ser obligacin y responsabilidad el mantener seguros los sistemas que operan. El jefe de sistemas debe asignar un encargado de la seguridad de los mismos, y que adicionalmente realice los controles necesarios Todas las actividades que se desarrollen en el rea de sistemas deben ser correctamente planificadas y se debe responsabilizar a un determinado personal. Se debe realizar un cronograma a corto plazo en el cual se debern asignar todas las prioridades, que recursos se necesitan, y quienes sern los involucrados y el cronograma deber estar fijado a un mximo de un ao

114

Se debe realizar un plan estratgico en donde se encuentren los principales proyectos de la empresa, el cronograma de ejecucin no deber ser mayor a 3 aos. Los objetivos de los dos planes deben ser concordantes con la realidad econmica y social de la empresa, tambin debern estar en constante actualizacin. Con una frecuencia trimestral se deber informar al gerente de la empresa las novedades presentadas y como se est avanzando el cumplimiento de las polticas. Se debe concientizar a los usuarios de los peligros informticos que existen y cmo prevenirlos, hacindoles conocer las medidas de seguridad que existen, dicha concientizacin se debe dar tanto al personal actual como al que va a ingresar a futuro, dichas charlas se debern dar una vez al ao.

Cuando los empleados necesiten de asistencia tcnica debern enviar un mail al departamento de sistemas con la finalidad de que se generen registros de trabajo para llevar estadsticas de las incidencias reportadas.

Debe existir un buzn de sugerencia en la empresa para que los empleados puedan exponer todas sus opiniones sobre un tema especfico. Se debe hacer una publicidad de las polticas para que estas sean de conocimiento de todo el personal de la empresa Cuando se necesite realizar una suspensin programada de algn servicio, el departamento de sistemas a travs de su principal deber informar con antelacin dicho evento indicando la fecha, hora y duracin del corte.

Se debe realizar un inventario de todos los equipos que tiene la empresa, el encargado ser el que indique el Jefe de Sistemas con la finalidad que cada cierto tiempo realice una actualizacin de la informacin

Debe existir un procedimiento para poder dar de baja los equipos de parque informtico de la empresa. Se debe evitar hacer uso de los medios originales de instalacin del software, para este propsito se debe hacer una copia del medio para resguardar el original. Se debe controlar que todo el software que exista en la empresa haiga sido adquirido a travs de medios oficiales.

115

3.5.2.5.2. Capacitacin Se debe capacitar constantemente al personal de sistemas en las reas que se estn desempeando en el ambiente laboral Los usuarios deben capacitarse para que puedan tener un buen desenvolvimiento en las labores diarias con los equipos informticos. Una copia de las polticas de seguridad debe ser entregado a cada empleado de la empresa, y el personal del rea de sistemas debe estar capacitado en la forma de aplicar las polticas descritas A todo empleado se le debe hacer firmar un documento de confidencialidad en el cual se comprometa a no divulgar ninguna clase de informacin de la empresa, a ms de eso dicho documento debe ser revisado y renovado ao a ao. Para mantener un desempeo eficaz de todos los empleados que labora en la empresa, se debe definir un calendario de capacitacin constante a todo el personal de la, sin importar a que rea corresponda.

3.5.2.5.3. Backup Debe definirse un procedimiento formal en el cual se especifica la frecuencia y en qu lugar deber estar resguardada la copia de seguridad de la informacin. Segn qu tan critica sea la informacin definir la frecuencia con la que deber respaldarse. La informacin que sea respaldada deber estar almacenada fuera de la empresa, en un lugar que tenga altas seguridades, a ms de eso se definir un encargado y un suplente para dicha labor, cuando el respaldo salga de la empresa deber ser posible monitorearlo durante todo su trayecto hasta que llegue al destino. A ms de la proteccin fsica que debe tener el respaldo, tambin deber tener seguridades lgicas para que la informacin sea ilegible. Debe asignarse un responsable de realizar las copias de seguridad, y un suplente, dicho personal ser designado por el Jefe de Sistemas. El procedimiento de generacin de backup deber estar automatizado con alguna herramienta de generacin de copias de respaldo de la Base de Datos.(Ver Anexo L)
116

Los medios en donde se almacenan las copias de seguridad deben estar en constante revisin para evitar un dao, tambin deber existir un procedimiento de recambio de partes por si la unidad de respaldo falla.

Se debe especificar cul ser el procedimiento a seguir en el caso de que se deba realizar una restauracin basados en una copia de seguridad. Cada vez que se aplique una nueva configuracin al servidor, se deber realizar una copia de las configuraciones anteriores y de las nuevas, con el fin de ejecutar un rollback si fuera esto necesario.

Queda terminantemente prohibido el usar los servidores como medios de almacenamiento.

3.5.2.5.4. Documentacin Toda la documentacin de la empresa con respecto al rea informtica deber ser documentada en un solo archivo fsico, y deber existir un encargado de dicha labor Diariamente debe realizar un registro de todas las actividades realizadas por el personal de centro de cmputo, que contengan detalles de los trabajos relevantes. Debe existir un registro de todos los eventos suscitados en la empresa en donde conste hora, fecha, evento, y persona asignada. Para desarrollar de manera eficiente el sistema, deber haber informacin sobre el ciclo de vida del software, la cual tiene que estar documentada para ser usada por el personal de sistemas cuando estn desarrollando los mdulos.

117

3.6.

Resumen de Estrategias

Las Polticas de Seguridad Informticas vertidas en este Plan de Seguridad fueron fruto de la utilizacin de las siguientes estrategias: 1- Anlisis de la Seguridad Lgica. Identificacin de Usuarios. Autenticacin. Password. Segregacin de funciones.

2- Anlisis de la Seguridad de las Comunicaciones. Topologa de red. Conexiones externas. Configuracin lgica de la red. Mail. Antivirus. Firewall. Ataques de red.

3- Anlisis de la Seguridad de las Aplicaciones. Software. Seguridad en Bases de Datos. Control de Aplicaciones en PCs. Control de Datos en la Aplicaciones. Ciclo de Vida.

4- Anlisis de la Seguridad Fsica. Equipamiento. Control de Acceso al Centro de Cmputo. Control de Acceso a Equipos. Dispositivos de Soporte.
118

Estructura del Edificio. Cableado Estructurado.

5- Anlisis de la Administracin del CPD. Capacitacin Backup. Documentacin

Para poder desarrollar todas las estrategias en un tiempo determinado se utilizo un cronograma basado en el modelo de GANTT, en el cual constan todos los procesos con su respectivo tiempo de avance.

119

Cada Estrategia que se efecto tiene un costo asociado, se tomo como base un sueldo de $1500 USD, u $8.50 USD la hora por la contratacin, fuera de los costos implcitos en que pudieran incurrir ciertas actividades, a continuacin se muestra el presupuesto del desarrollo:

ACTIVIDAD Seguridad Lgica Identificacin de IDs Autenticacin Password Segregacin de Funciones Imprevistos Seguridad en la Comunicaciones Topologa de Red BackUp Internet BackUp Enlace entre Sucursales Conexiones Externas Configuracin Lgica de la Red Mail Antivirus Firewall Ataques de Red Cisco Pix Serie 500 Instalacin y puesta en Marcha Cisco Pix Imprevistos Seguridad en la Aplicaciones Software Licencias Windows (127) Seguridad en Base de Datos Control de las Aplicaciones en PC Ciclo de Vida Imprevistos Seguridad Fsica Equipamiento Control de Acceso Fsico al C. de Computo Panel de control, 8 lectores

COSTO $ 272,00 $ 306,00 $ 306,00 $ 306,00 $ 200,00

COSTO DE LA ESTRATEGIA $ 1.390,00

$ 21.075,00 $ 204,00 $ 200,00 $ 150,00 $ 306,00 $ 306,00 $ 306,00 $ 306,00 $ 306,00 $ 306,00 $ 17.235,00 $ 1.250,00 $ 200,00 $ 17.045,00 $ 306,00 $ 15.621,00 $ 306,00 $ 306,00 $ 306,00 $ 200,00 $ 4.428,00 $ 306,00 $ 306,00 $ 847.83
120

Lector de proximidad (5) Lector combinado Biomtrico Punto de instalacin de lectores (6) Punto de instalacin del Panel de control Tarjetas de Proximidad (25) Dispositivos de Soporte Luz estroboscopia con sirena incluida (3) Detector de Humo (8) Detector trmico (1) Extintores PQS de 10 lbs (1) Extintores PQS de 20 lbs (2) Punto de instalacin de detectores (9) Punto de instalacin luces estroboscopia (3) Estructura del edificio Cableado estructurado Certificacin Puntos de Red (250) Imprevistos Administracin de CDP Capacitacin a Nuevo personal (50) Capacitacin Personal de Sistemas (6) BackUp Servidor NAS Imprevistos TOTAL

$ 979.20 $ 1,160.00 $ 180.00 $ 250.00 $ 237.50 $ 204,00 $ 286.80 $ 837.92 $ 110.83 $ 32.00 $ 88.00 $ 180.00 $ 60.00 $ 306,00 $ 306,00 $ 2.500,00 $ 500,00 $ 9.452,88 $ 1.230,00 $ 6.800,00 $ 306,00 $ 866,88 $ 250,00 $ 53.390,88

121

3.7.

Conclusiones Parciales del Capitulo

La Informacin en una empresa es el activo ms importante ya que es el que decide si la misma triunfo o quiebra, es por eso que las polticas vertidas en este Captulo son de suma importancia porque permitirn tener un control y asegurar la informacin de la manera ms correcta posible.

El tema de Seguridad de la Informacin dentro de la empresa TELPROYEC CIA. LTDA., tiene algunas falencias, ya que no se le ha dado la importancia que merece lo que pudiere causar a futuro muchos daos si no se utilizan las polticas que fueron elaboradas para la asegurar la informacin.

Para muchas empresas al igual que lo que se ha en TELPROYEC CIA. LTDA., la Seguridad de la Informacin est relacionada a realizar respaldos de la informacin y mantenerlos seguros; pero no se dan cuenta que la realidad es otra, ya que existen muchos puntos adicionales los cuales necesitan ser revisados ya que generan gran cantidad de riesgos y pueden llegar a ocasionar problemas graves para la organizacin sino se implementan los respectivos controles.

122

CONCLUSIONES
Durante el desarrollo del presente trabajo se pudo llegar a entender que la seguridad informtica es un conjunto de estrategias que combinadas con las normas y estndares correctos, estn destinados a que la informacin el cual es el activo intangible ms importante de una organizacin sea confidencial, ntegra y disponible para todos sus usuarios.

En la actualidad el Departamento de Sistemas no tiene procedimientos documentados, todo se realiza bajo ninguna supervisin y a libre conocimiento del personal; lo cual pone fcilmente en riesgo la seguridad de la informacin.

No existe ningn Plan de Seguridad Informtica que cubra todos los riesgos que existen, sin embargo se debe estar capacitado para reaccionar con rapidez e inteligencia ya que actualmente las amenazas cambian constantemente y se debe hallar la manera eficiente de controlarlas.

El tener un Plan de Seguridad Informtica es de gran importancia, pero el volverlo parte del entorno de trabajo cotidiano es lo esencial. Para que el plan sea efectivo la comunicacin con el usuario debe ser la clave ya que con esto se invita a crear una cultura de la seguridad.

El xito del Plan de Seguridad Informtica consiste en recordar que es un conjunto de documentos relacionados, con la finalidad de asegurar la informacin, y que si no se cumplen todas las polticas el control no estar completo.

Empezar a implantar las Polticas de Seguridad en una empresa es un gran desafo, pero sabemos adems que es imprescindible, ya que conforme avanza el tiempo ocurren toda clase de ataques en contra de organizaciones, los cuales pueden controlase con una determinada accin.
123

RECOMENDACIONES
Se recomienda cada ao a la empresa TELPROYEC CIA. LTDA., llevar a cabo un anlisis de cada una de las estrategias desarrolladas en el Captulo III para de esta manera verificar si existen Polticas que haya que modificar y/o crear en base al anlisis desarrollado. As mismo, preparar un informe que muestre el estado actual en cuanto a seguridad informtica y los avances que se han logrado, y que quede debidamente documentado con la finalidad de realizar un seguimiento de la evolucin que ha tenido la seguridad informtica en la Empresa TELPROYEC CIA. LTDA.

Se recomienda que el cumplimiento de las Polticas de Seguridad Informtica sea de carcter obligatorio para todo el personal que labora en la empresa, y que sea considerado como una clausula en los contratos de trabajo.

No se recomienda hacer ninguna excepcin al plan de seguridad informtica, pero si se llegara a realizar, deber ser en el menor nmero posible, y que adems solo sea para casos extremos, ya que las excepciones deben ser debidamente documentadas, sustentadas y aprobadas por el rea de sistemas, para que sea valido el motivo que justifica el no-cumplimiento.

La empresa TELPROYEC CIA. LTDA. debe ofrecer el soporte indispensable para la implementacin exitosa de este Plan de Seguridad; el cual siempre estar apegado a las buenas prcticas, y deber hacerse conocer de una manera sutil para que no sea tomado como una imposicin y que esto cause problemas al usuario.

124

BIBLIOGRAFA
1. ACISSI, 2011, Seguridad Informtica, Ediciones ENI, Primera edicin, Barcelona Espaa. 2. ALDEGANI, Gustavo, 1997 Seguridad Informtica. MP Ediciones. Argentina. 3. AREITIO Javier, 2008, Seguridad de la informacin, Editorial Paraninfo, Primera Edicin, Madrid-Espaa. 4. ATELIN Philippe, 2006, Redes Informticas, ediciones ENI, Primera Edicin, Barcelona-Espaa. 5. BAETA Jess, Seguridad Informtica en lnea :

http://es.scribd.com/doc/95069532/Seguridad-Informatica 6. BARCEL Jos, 2008, Protocolos y Aplicaciones de Internet, Editorial UOC, Primera edicin, Barcelona Espaa. 7. BON Jan, 2008, Fundamentos de la Gestin de Servicios de IT basada en ITIL, Editorial Van Haren, Tercera Edicin, Amersfoort Holanda. 8. CALDER Alan, 2009, Implementig information Security Based on ISO 27001/ISO 270002 Tercera Edicin, Ontario-Canada 9. CALDER Alan, 2009, Information Security Base on ISO 270001 / ISO 270002, Editorial Van Haren, Wilco Amersfoort 10. COMER Douglas, 2006 Principles, Protocols and Architecture, Internetworking with TCP/IP, 4ta Edicin, Prentice-Hall, EEUU. 11. GARCIA Alonso, 2011, Sistemas Informticos y Redes, Editorial Paraninfo, Primera Edicin, Madrid-Espaa 12. GESTIN 2000, 2008 Lo Que se Aprende en los Mejores MBA, Editorial Gestin 2000, Segunda Edicin, Espaa. 13. GIMBERT Xavier, 2010, Pensar Estratgicamente, Editorial Planeta, Primera Edicin, Espaa. 14. GOMEZ, Guillermo, 1994 Planificacin y organizacin estratgica empresarial, Mc Graw Hill, Primera edicin, Mxico. 15. GUTIRREZ Jaime, 2003, Protocolos criptogrficos y seguridad en redes Editorial Universidad de Cantabria, Primera Edicin, Santander-Espaa

16. HOUGET Miguel, 2008, Administracin de Sistemas Operativos en Red, Editorial UOC, Primera edicin, Barcelona Espaa. 17. ISO An Introduction to ISO 27001, ISO 27002 http://www.27000.org/ 18. ISO SOLUCIONES TCNICAS Y ORGANIZATIVAS A LOS CONTROLES DE ISO/IEC 27002 http://www.iso27000.es/download/ControlesISO27002-2005.pdf 19. ISO, ISO27000 http:/www.iso.org 20. LITTLEJOHN Debra, 2001 Cisco Networking Academy Program: Computer Networking Essentials Editorial CiscoPress, Primera Edicin, EEUU 21. LITTLEJOHN Debra, 2002 Troubleshooting Windows 2000 TCP/IP Editorial Syngress, Primera Edicin, EEUU. 22. LOPZ Victor, 2008, Gestin Eficaz de los Procesos Productivos, Editorial Edirectivos, Primera Edicin, Espaa. 23. MANTILLA Samuel, 2009, Auditora Del Control Interno, Primera Edicin, Editorial ECOE, Colombia. 24. MINTZBERG Henry, 2001, Diseo De Organizaciones Eficientes, Editorial Ateneo, Primera Edicin, Argentina. 25. RAU, Red Acadmica Uruguaya Introduccin al IPv6,

http://www.rau.edu.uy/ipv6/queesipv6.htm 26. SPAFFORD, Gene. 2006, "Manual de seguridad en redes". Editorial ArCERT, Argentina. 27. STALLINGS William , 2011, Operating Systems: Internals and Design Principles Sptima Edicin, Prentice Hall, EEUU 28. STALLINGS William, 2003, Fundamentos de seguridad en redes: aplicaciones y estndares Editorial Pearson Educacin, Segunda Edicin, Espaa 29. STALLINGS William, 2004 Comunicaciones y Redes de Computadoras, 7ma Edicin, Prentice-Hall, Primera Edicin, EEUU 30. UTPL, Auditoria Informtica,

http://www.utpl.edu.ec/ecc/wiki/index.php/Auditoria_Inform%C3%A1tica 31. WHEELEN Thomas, 2007, Administracin Estratgica y Polticas de Negocio, Pearson Educatin, Decima Edicin, DF Mxico.

ANEXOS

ANEXO A UNIVERSIDAD REGIONAL AUTNOMA DE LOS ANDES MAESTRA EN INFORMTICA EMPRESARIAL ENCUESTA DIRIGIDA A LOS EMPLEADOS DE LA EMPRESA TELPROYEC CIA. LTDA. Objetivo General: Desarrollar un plan de seguridad informtica para que mediante su aplicacin se pueda mejorar la gestin operativa de la empresa TELPROYEC CIA. LTDA.

1. Qu tipos de capacitaciones considera Ud. que le hacen falta como empleado de la empresa TELPROYEC CIA. LTDA., en Ingeniera Social para mejorar sus actividades laborales? ( ) Acceso a sistemas computacionales ( ) Conocimiento sobre la victima (contraseas habituales, lgicas tpicas, etc.) ( ) Educacin y entrenamiento en el uso de polticas de seguridad. ( ) Engaos computacionales ( ) Otros Cuales: ___________________________________________ 2. Por qu factores considera Ud. que existe inseguridad en la base de datos y en el servidor que maneja la empresa TELPROYEC CIA. LTDA.? ( ) Versiones anteriores o desactualizadas de sus software ( ) Servidores con claves con fallas ( ) Falta de seguridad en los sistemas ( ) Otros Cuales: ______________________________________________________ 3. Cmo empleado de la empresa TELPROYEC CIA. LTDA., como considera Ud. el hecho de que la empresa de acceso libre a reas delicadas a todo su personal, no existiendo un control de este y que las computadoras no tengan clave de acceso? ( ) Muy bueno ( ) Bueno ( ) Malo 4. Ante la falta de control interno de uso de la red wireless, en la empresa existe perdida de informacin de proyectos? Qu tanto afecta esto? ( ) Si ( ) No 5. Existe en la empresa un control de inventarios de los equipos de hardware asignados al personal? ( ) Si ( ) No 6. Considera Ud. que la empresa TELPROYEC CIA. LTDA. requiere de un plan de seguridad informtica que le permita proteger la informacin y los activos de la organizacin, a fin de que los procesos sean ejecutados de manera eficiente? ( ) Si Porque: _______________________________________________________ ( ) No Porque: _______________________________________________________ 7. Cree Ud. que el mejorar la gestin operativa de la empresa TELPROYEC CIA. LTDA., har que los procesos ejecutados por esta sean ms eficientes y logren la satisfaccin de los clientes? ( ) Si Porque: _______________________________________________________ ( ) No Porque: _______________________________________________________

ANEXO B UNIVERSIDAD REGIONAL AUTNOMA DE LOS ANDES MAESTRA EN INFORMTICA EMPRESARIAL ENCUESTA DIRIGIDA A LOS CLIENTES DE LA EMPRESA TELPROYEC CIA. LTDA.

Objetivo General: Desarrollar un plan de seguridad informtica para que mediante su aplicacin se pueda mejorar la gestin operativa de la empresa TELPROYEC CIA. LTDA.

1. Considera Ud. importante que se capacite al personal de la empresa TELPROYEC CIA. LTDA, a fin de mejorar la gestin operativa que realiza esta empresa? ( ) Si Porque:______________________________________________________ ( ) No Porque: _____________________________________________________ 2. Por qu factores considera Ud. que no debe existir inseguridad en la base de datos y en el servidor que maneja la empresa TELPROYEC CIA. LTDA.? ( ) A fin de ejecutar procesos ms eficientes ( ) Lograr mayor satisfaccin en los clientes ( ) Otros Cuales: ____________________________________________________ 3. Cmo considera Ud. la idea de que los jefes de empresas limiten el acceso que brindan a sus empleados a reas protegidas y al uso de las diversas claves que tienen sus equipos? ( ) Excelente ( ) Muy bueno ( ) Bueno ( ) Regular ( ) Malo 4. Qu tan necesario considera Ud. el hecho de que los jefes de empresas realicen un control de inventarios de los equipos de hardware que asignan a su personal? ( ) Mucho ( ) Poco ( ) Nada 5. Cmo considera Ud. la idea de que la empresa TELPROYEC CIA. LTDA. aplique un plan de seguridad informtica que le permita proteger la informacin y los activos de la organizacin, a fin de que los procesos sean ejecutados de manera eficiente? ( ) Excelente ( ) Muy bueno ( ) Bueno ( ) Regular ( ) Malo 6. Cree Ud. que el mejorar la gestin operativa de la empresa TELPROYEC CIA. LTDA., har que los procesos ejecutados por esta sean ms eficientes y logren la satisfaccin de los clientes? ( ) Si Porque: _______________________________________________________ ( ) No Porque: _______________________________________________________

ANEXO C UNIVERSIDAD REGIONAL AUTNOMA DE LOS ANDES MAESTRA EN INFORMTICA EMPRESARIAL ENTREVISTA DIRIGIDA AL GERENTE DE LA EMPRESA TELPROYEC CIA. LTDA.

Objetivo General: Desarrollar un plan de seguridad informtica para que mediante su aplicacin se pueda mejorar la gestin operativa de la empresa TELPROYEC CIA. LTDA. 1- Con que frecuencia capacita a su personal? Qu tipos de capacitaciones les brinda y cuales considera les hace falta? ______________________________________________________________________ ______________________________________________________________________ 2- Considera Ud. que existe falta de control interno de uso de la red wireless, en la empresa, conllevando perdida de informacin de proyectos? Por qu? Qu pueden o van a hacer? ______________________________________________________________________ ______________________________________________________________________ 3- Cree Ud. que como jefe debe o no limitarse en la empresa el acceso que dan a sus empleados a reas protegidas y al uso de las diversas claves que tienen sus equipos? Por qu? ______________________________________________________________________ ______________________________________________________________________ 4- Por qu motivos en la empresa no se realiza un control de inventarios de los equipos de hardware que asignan a su personal? ______________________________________________________________________ ______________________________________________________________________ 5- De qu factores considera Ud. que carece la gestin operativa que lleva a cabo la empresa TELPROYEC CIA. LTDA., a fin de que los procesos satisfagan a los clientes? ______________________________________________________________________ ______________________________________________________________________ 6- Considera Ud. que la empresa TELPROYEC CIA. LTDA. requiere de un plan de seguridad informtica que le permita proteger la informacin y los activos de la organizacin, a fin de que los procesos sean ejecutados de manera eficiente? ______________________________________________________________________ ______________________________________________________________________

ANEXO D UNIVERSIDAD REGIONAL AUTNOMA DE LOS ANDES MAESTRA EN INFORMTICA EMPRESARIAL FORMULARIO DE INGRESO DE EMPLEADOS DE LA EMPRESA TELPROYEC CIA. LTDA.

1. Identificacin del usuario _____________________________________________________________________

2. Nombre y apellido completo ______________________________________________________________________

3. Sucursal de la empresa donde trabaja. ______________________________________________________________________

4. Grupo de usuarios al que pertenece. _____________________________________________________________________

5. Fecha de expiracin del password. ( / / ) dd/mm/aaaa

6. Fecha de anulacin de la cuenta. ( / / ) dd/mm/aaaa 7. Grupo de usuarios al que pertenece. ______________________________________________________________________ 8. Contador de intentos fallidos ( ) SI ( ) NO

9. Autorizacin de imprimir. ( ) SI ( ) NO

ANEXO E UNIVERSIDAD REGIONAL AUTNOMA DE LOS ANDES MAESTRA EN INFORMTICA EMPRESARIAL CONFIGURACIN DE UN PROXY SQUID EN CENTOS PARA LA EMPRESA TELPROYEC CIA. LTDA. Como primer paso, ser instalar nuestro Squid con el comando yuminstallsquid

Luego de que termine de descargar e instalar, nos dirigimos a la ubicacin donde estn los archivos de configuracin del Squidcd etc/squid

Luego con nuestro editor, vamos a proceder a configurar el archivo principal del Squid el squid.conf, luego ubicamos en el archivo las siguientes lneas y las comentamos con el signo # al principio de cada lnea

Luego creamos una lista de acceso, para asignar las direcciones o el rango de direcciones a los cuales se les asignara nuestro Proxy y tambin creamos una lista de acceso para que podamos administrar nuestro Proxy por va Web usando solo el cliente que le asignamos

Luego, vamos a aplicar la lista de acceso para que nuestro cliente pueda acceder al fmgr que es como administramos nuestro servidor Proxy

Ahora habilitaremos los puertos de escucha del Squid el 3128 y el 8080

Ahora vamos a configurar el directorio y cantidad de memoria que le vamos a asignar al cachemanager que es donde se almacenaran las pginas web que visitemos temporalmente en nuestro servidor, para que los clientes no tengan que hacer una bsqueda por internet y as ahorrar algo de ancho de banda

Ahora configuraremos el idioma que mostrar a los usuarios cuando quieran visitar pginas las cuales bloquearemos visible_hostnamecentos

Ahora, vamos a crear las listas, para asignar las pginas permitidas y las pginas que queremos denegar a los usuarios, primero creamos un directorio para guardar nuestras listas, lo haremos en la siguiente ruta/etc/squid/listas, Luego, creamos los archivos que contienen las pginas o dominios completos que queremos permitir y denegar. [root@squid /]# touchpermitida [root@squid /]# touch porno [root@squid /]# touch facebook

En el archivo de facebook, simplemente ponemos facebook ya que bloquearemos todo el dominio

En la lista de porno, pondremos lo dominios que hacen parte de contenido adulto

Y en la lista de permitida, como su nombre lo indica, asignaremos los dominios permitidos a travs de nuestro servidor Proxy

Ahora, como paso a seguir, ser asignar las dichas listas en nuestro archivo de squid.conf para lo que es, permitir o denegar

Ahora, digmosle al archivo squid.conf que lista queremos permitir y cual la queremos denegar, primero declaramos la lista que queremos permitir, luego en una segunda lnea, aunque se vea algo tedioso, permitimos con allow y luego declaramos las listas que queremos denegar con el smbolo de !

Solo nos queda iniciar el servicio Squid y decirle que inicie cada vez que la mquina arranque, tambin iniciaremos el httpd para poder habilitar el cache manager

ANEXO F UNIVERSIDAD REGIONAL AUTNOMA DE LOS ANDES MAESTRA EN INFORMTICA EMPRESARIAL CONFIGURACIN FIREWALL IP TABLES PARA LA EMPRESA TELPROYEC :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :RH-Firewall-1-INPUT - [0:0] -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT #Acepta conexiones localmente y desde eth0 y eth1 -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -i eth0 -j ACCEPT -A RH-Firewall-1-INPUT -i eth1 -j ACCEPT # PROTECCION CONTRA PORT SCANNERS (nmap, etc...) -A RH-Firewall-1-INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -j REJECT --reject-with icmp-port-unreachable --syn -A RH-Firewall-1-INPUT -p udp -j REJECT --reject-with icmp-port-unreachable # PROTECCION CONTRA WORMS -A RH-Firewall-1-INPUT -p tcp --dport 135:139 -j REJECT -A RH-Firewall-1-INPUT -p udp --dport 135:139 -j REJECT # PROTECCION CONTRA SYN-FLOODS -A RH-Firewall-1-INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT # PROTECCION CONTRA PING DE LA MUERTE -A RH-Firewall-1-INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT -A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT -A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #Acepta conexiones http,https,ftp,smtp,ssh,proxy,pop,dns,webmin -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 20 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 25 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 8080 --state NEW -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 110 --state NEW -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 53 --state NEW -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m state -m udp --dport 53 --state NEW -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 10000 --state NEW -j ACCEPT -A RH-Firewall-1-INPUT -p udp -j ACCEPT --source-port 53 -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited COMMIT

ANEXO G UNIVERSIDAD REGIONAL AUTNOMA DE LOS ANDES MAESTRA EN INFORMTICA EMPRESARIAL HABILITACIN DEL SERVICIO FTP EN PROXY SQUID PARA LA EMPRESA TELPROYEC CIA. LTDA.

Algo que es muy importante de hacer a la hora de implementar un Proxy, es permitir las conexiones FTP a travs del Proxy, para lo cual creamos la ACL.

Permitimos la ACL

Se habilita la autenticacin por FTP

ANEXO H UNIVERSIDAD REGIONAL AUTNOMA DE LOS ANDES MAESTRA EN INFORMTICA EMPRESARIAL DENEGACIN DE UN SITIO POR HORARIO EN PROXY SQUID PARA LA EMPRESA TELPROYEC CIA. LTDA.

Vamos a hacer una denegacin de un sitio por horario, denegamos el acceso a la pgina tomada de ejemplo con la direccin www.acme.com de lunes a viernes, de 10: 35 a 10: 37, Donde:S - Domingo, M Lunes, T - Martes, W Mircoles, H - Jueves, F - Viernes, A Sbado

Asignemos la ACL

ANEXO I UNIVERSIDAD REGIONAL AUTNOMA DE LOS ANDES MAESTRA EN INFORMTICA EMPRESARIAL CONFIGURACIN DE UN IDS (CISCO PIX) PARA LA EMPRESA TELPROYEC CIA. LTDA. #ConfiguracinBasica pixfirewall> enable pixfirewall# configure terminal pixfirewall(config)# quit pixfirewall# disable pixfirewall>conf t pixfirewall(config)# hostname TelproyecR1 TelproyecR1(config)# password mal0r TelproyecR1(config)# enable password MUYmal0r TelproyecR1(config)# nameif ethernet2 dmz sec50 TelproyecR1(config)# show nameif nameif ethernet0 outside security0 nameif ethernet1 inside security100 nameif ethernet2 dmz security75 nameif ethernet3 dmz2 security50 TelproyecR1(config)# interface ethernet2 100full TelproyecR1(config)# ip address dmz 192.168.0.1 255.255.255.0 TelproyecR1# write net 10.0.0.10:archivo.conf Building configuration... TFTP write 'archivo.conf' at 10.0.0.10 on interface 1 [OK] #Aplicar NAT TelproyecR1(config)# static (dmz,outside) 200.0.0.20 192.168.2.45 TelproyecR1(config)# static (inside,dmz) 10.0.0.9 10.0.0.9 TelproyecR1(config)# nat (inside) 0 200.0.0.69 255.255.255.255 nat 0 200.0.0.69 will be non-translated TelproyecR1# show xlate 2 in use, 2 most used Global 200.0.0.20 Local 10.1.0.18 Global 200.0.0.21 Local 10.1.0.45 TelproyecR1# show xlate count 1 in use, 2 most used TelproyecR1(config)# clear xlate TelproyecR1(config)# clearxlate local 10.1.0.36 #Aplicar PAT TelproyecR1(config)# nat (inside) 1 10.0.0.0 255.255.255.0 TelproyecR1(config)# global (outside) 1 200.0.0.20 netmask 255.255.255.255 TelproyecR1(config)# nat (inside) 1 10.0.0.0 255.255.255.0

TelproyecR1(config)# global (outside) 1 interface TelproyecR1(config)# nat (inside) 1 10.1.0.0 255.255.0.0 TelproyecR1(config)# nat (inside) 1 10.2.0.0 255.255.0.0 TelproyecR1(config)# nat (dmz) 1 192.168.1.0 255.255.255.0 TelproyecR1(config)# global (dmz) 1 192.168.1.10 netmask 255.255.255.255 TelproyecR1(config)# global (outside) 1 interface TelproyecR1(config)# nat (inside) 2 10.40.0.0 255.255.0.0 TelproyecR1(config)# nat (inside) 2 10.41.0.0 255.255.0.0 TelproyecR1(config)# global (dmz) 2 192.168.1.11 netmask 255.255.255.255 #Armando el Ruteado TelproyecR1(config)# routedmz 192.168.1.0 255.255.255.0 192.168.1.1 TelproyecR1(config)# route outside 0.0.0.0 0.0.0.0 200.0.0.1 1 #Reglas de Filtrado TelproyecR1(config)# access-list ACLIN permit tcp any anyeq 80 TelproyecR1(config)# access-group ACLIN in interface inside TelproyecR1(config)# access-group ACLIN-2 out interface inside TelproyecR1(config)# access-list ACLDMZ deny tcp host 192.168.1.10 10.0.0.0 255.0.0.0 eq 80 TelproyecR1(config)# access-list ACLDMZ permit tcp host 192.168.1.10 any eq 80 TelproyecR1(config)# access-list ACLIN permit tcp host 10.0.0.11 host 200.32.102.217 eq www TelproyecR1(config)# access-list ACLIN permit tcp any host 200.32.102.217 range 9000 9100 TelproyecR1(config)# access-list ACLIN permit ip any any TelproyecR1(config)# no access-list ACLDMZ TelproyecR1(config)# access-list ACLDMZ deny ip host 192.168.1.10 10.0.0.0 255.255.255.0 TelproyecR1(config)# access-list ACLDMZ permit tcp host 192.168.1.10 any eq 21 TelproyecR1(config)# access-list ACLDMZ permit tcp host 192.168.1.10 any eq 80 TelproyecR1(config)# access-list ACLDMZ permit tcp host 192.168.1.10 any eq 443 TelproyecR1(config)# access-group ACLDMZ in interface dmz TelproyecR1(config)# access-list ACLDMZ-2 deny ip host 192.168.1.10 10.0.0.0 255.255.255.0 TelproyecR1(config)# access-list ACLDMZ-2 permit tcp host 192.168.1.10 any eq 21 TelproyecR1(config)# access-list ACLDMZ-2 permit tcp host 192.168.1.10 any eq 80 TelproyecR1(config)# access-list ACLDMZ-2 permit tcp host 192.168.1.10 any eq 443 TelproyecR1(config)# access-group ACLDMZ-2 in interface dmz #Restringir el Acceso TelproyecR1(config)# sh access-list ACLDMZ access-list ACLDMZ line 1 deny ip host 192.168.1.10 10.0.0.0 255.255.255.0 (hitcnt=0) access-list ACLDMZ line 2 permit tcp host 192.168.1.10 any eq 21 (hitcnt=10) access-list ACLDMZ line 3 permit tcp host 192.168.1.10 any eq 80 (hitcnt=233) access-list ACLDMZ line 4 permit tcp host 192.168.1.10 any eq 443 (hitcnt=53) access-list ACLDMZ line 5 deny ip any any (hitcnt=4567) TelproyecR1(config)# access-list ACLDMZ line 4 permit tcp host 192.168.1.10 any eq 8080 TelproyecR1(config)# sh access-list ACLDMZ

access-list ACLDMZ line 1 deny ip host 192.168.1.10 10.0.0.0 255.255.255.0 (hitcnt=0) access-list ACLDMZ line 2 permit tcp host 192.168.1.10 any eq 21 (hitcnt=10) access-list ACLDMZ line 3 permit tcp host 192.168.1.10 any eq 80 (hitcnt=233) access-list ACLDMZ line 4 permit tcp host 192.168.1.10 any eq 8080 (hitcnt=0) access-list ACLDMZ line 5 permit tcp host 192.168.1.10 any eq 443 (hitcnt=53) access-list ACLDMZ line 6 deny ip any any (hitcnt=4567) TelproyecR1(config)# ssh 10.1.1.1 255.255.255.0 inside TelproyecR1(config)# cazeroizersa TelproyecR1(config)# ca save all TelproyecR1(config)# domain-name telproyec.com TelproyecR1(config)# ca generate rsa key 1024 For >= 1024, key generation could take up to several minutes. Please wait. Keypair generation process begin. .Success. TelproyecR1(config)# ca save all #Privilegio de los usuarios TelproyecR1(config)# username ca0s password mal0r privilege 15 TelproyecR1(config)# username polos password notanmal0r privilege 10 TelproyecR1(config)# username qqmelo password notanmal0r privilege 10 TelproyecR1(config)# username power password notanmal0r privilege 10 TelproyecR1(config)# username shiff password notanmal0r privilege 10 TelproyecR1(config)# aaa authentication enable console LOCAL TelproyecR1(config)# aaa authorization command LOCAL TelproyecR1(config)# password mal0r TelproyecR1(config)# sh password passwd yyIpxPidJnOU0ArL encrypted TelproyecR1(config)# username ca0s password mal0r privilege 15 TelproyecR1(config)# sh username | grep ca0s username ca0s password tvd7CJ8b/mdmQssb encrypted privilege 15 #Configurando el SYSLOG TelproyecR1(config)# logging on TelproyecR1(config)# logging trap debugging TelproyecR1(config)# logging facility 22 TelproyecR1(config)# logging host inside 10.1.1.1

ANEXO J UNIVERSIDAD REGIONAL AUTNOMA DE LOS ANDES MAESTRA EN INFORMTICA EMPRESARIAL REGISTRO DE CAMBIOS EN MDULOS DEL SISTEMA DE LA EMPRESA TELPROYEC CIA. LTDA.

1. Sistema al que afecta ______________________________________________________________________

2. Fecha de la modificacin. ( / / ) dd/mm/aaaa

3. Desarrollador que realizo el cambio. ______________________________________________________________________

4. Descripcin global del cambio realizado. ______________________________________________________________________ ______________________________________________________________________ ______________________________________________________________________ ______________________________________________________________________ ______________________________________________________________________ ______________________________________________________________________ ______________________________________________________________________ ______________________________________________________________________ ______________________________________________________________________ ______________________________________________________________________ ______________________________________________________________________ ______________________________________________________________________ ______________________________________________________________________ _____________________________________________________________________ ______________________________________________________________________ ______________________________________________________________________ ______________________________________________________________________ ______________________________________________________________________

ANEXO K UNIVERSIDAD REGIONAL AUTNOMA DE LOS ANDES MAESTRA EN INFORMTICA EMPRESARIAL ESTADO VISUAL DE LOS DISPOSITIVOS DE SOPORTE DE LA EMPRESA TELPROYEC CIA. LTDA.

1. La temperatura del cuarto de equipos est entre 17 a 25 grados centgrados? (Ver termostato) ( ) SI ( ) NO OTRA________________________________________________________________ ______________________________________________________________________

2. Existe extintor en el cuarto de equipos, indicar la fecha de caducidad? ( ) SI ( ) NO OTRA________________________________________________________________ ______________________________________________________________________

3. Existe sistema de aterramiento en el cuarto de equipos? ( ) SI ( ) NO OTRA________________________________________________________________ ______________________________________________________________________

4. Verificar el estado del generador, induciendo a un corte de energa en el CPD (bajar breaker AC PRINCIPAL) ( ) Encendi ( ) No Encendi OTRA________________________________________________________________ ______________________________________________________________________

ANEXO L UNIVERSIDAD REGIONAL AUTNOMA DE LOS ANDES MAESTRA EN INFORMTICA EMPRESARIAL REALIZAR BACKUP EN MY SQL DE FORMA AUTOMTICA PARA LA EMPRESA TELPROYEC CIA. LTDA.

#!/usr/bin/perl use strict; print "Content-type: text/html\n\n"; print "Iniciando backup!\n\n"; print "Espere por favor...\n\n"; # CUENTA my $cuenta = "telproyec.com"; # USUARIO DE MYSQL my $usuario = "dbaadmin"; # PASSWORD DE MYSQL my $pass = "12345"; # IP INTERNA DE MYSQL my $ip = "192.168.1.15"; # BASE DE MYSQL my $base = "bdtelproyec"; my ($wkday,$month,$day,$time,$year) = split(/\s+/, localtime); my $fecha = "$day-$month-$year"; system("/usr/local/mysql/bin/mysqldump $base -u $usuario --password='$pass' -h $ip> /www/$cuenta/mysql_backup/$cuenta-$fecha.sql"); print "Backup Finalizado!!!\n\n";