2013

EVALUACIN DE LA SEGURIDAD

INSTITUTO TECNOLOGICO DE PACHUCA

DIAGNOSTICO DE SEGURIDAD INFORMATICA

Contenido
Fundamentos Tericos ..........................................................................................................................................................................2
Glosario: ............................................................................................................................................................................................4
1 Recursos y Datos Crticos del Negocio...............................................................................................................................................6
Situacin Actual .................................................................................................................................................................................6
Encuestas .............................................................................................................................................................................................7
Graficas ...............................................................................................................................................................................................12
Hardware y Software ...........................................................................................................................................................................16
Software: .........................................................................................................................................................................................17
Criterio de Valoracin de Activos .....................................................................................................................................................18
Identificacin y clases de activos .....................................................................................................................................................18
Resultado de la encuesta gestin de archivos .................................................................................................................................21
2 Seguridad Fsica y Soporte a Operaciones ......................................................................................................................................22
Adquisicin, desarrollo y mantenimiento de los sistemas .................................................................................................................22
Gestin de comunicaciones y operaciones ......................................................................................................................................23
Estructura Organizacional ................................................................................................................................................................24
Situacin Actual ...............................................................................................................................................................................25
Seguridad e integracin de la informacin. .....................................................................................................................................26
ESTADO ACTUAL DE LA EMPRESA: ...............................................................................................................................................27
Evidencia Fotogrfica ..........................................................................................................................................................................29
RECOMENDACIONES: ......................................................................................................................................................................33
CONCLUSIONES PERSONALES: ......................................................................................................... Error! Marcador no definido.

DIAGNOSTICO DE SEGURIDAD INFORMATICA

Fundamentos Tericos
INTRODUCCION

La seguridad informtica es una herramienta til encargada de salvaguardar la informacin privilegiada de las sucursales
o tiendas OXXO y as de esa manera asegurar la integridad de su informacin, ya que se analiz las vulnerabilidades de
la empresa en una de sus sucursales que se encuentra ubicada en la colonia santa julia Pachuca hidalgo y se evaluaron
ciertos criterios de su seguridad tanto fsica como en tecnologas de la informacin, as mismo se pudo visualizar que el
personal con el que se cuenta dentro de dicha sucursal no cuenta con los conocimientos necesarios y adecuados en
cuestin de seguridad informtica ya que se realzaron dichas encuestas al personal que se encuentra laborando dentro
de la misma empresa y los resultados fueron de alguna manera los no esperados en cuestin de seguridad.

Por otra parte un integrante del cuerpo de trabajo de sucursal OXXO Santa Julia de nombre Armando Ziga Vzquez
nos platic sobre cmo opera la empresa y ciertos procesos crticos que pueden correr el riesgo de ataques contra la
propia empresa, en primer punto se coment la falta de conocimiento informtico cuando se realiza el corte de caja y el
faltante que arroja el resultado de una mala administracin como una errnea seguridad, nos comentaba que el personal
de seguridad privada cuando visita su sucursal a recoger el monto total se realizaba la contabilidad del dinero ah mismo
en las cajas del personal del OXXO a la vista del pblico y la tienda sigue operando a puertas abiertas mientras se
contabiliza el dinero de las cajas.

De igual manera dentro de la tienda el empleado o personal de piso nos mostr sus cmaras de seguridad con las que
cuentan para cualquier tipo de crimen que pueda presentarse y nos platic un poco sobre la administracin de la tienda
ya que ellos no tienen directamente nada que ver con el manejo del dinero que se cuenta en la sucursal.

DIAGNOSTICO DE SEGURIDAD INFORMATICA

En otro punto la tienda como tal, cuenta con un personal encargado de dicha tienda que tiene la responsabilidad de que
la tienda OXXO valla elevando sus ventas para poder as obtener ciertas ganancias, y no tener fallas que puedan
repercutir en su trabajo.

Por otra parte el personal con el que cuenta cada sucursal es de 3 empleados tales como Un encargado de caja, el
segundo un encargado de piso, y el tercero el propio supervisor.

De igual forma al realizar dicho anlisis el personal encargado de caja nos coment que su sistema es integro, quiere
decir que dentro del sistema operativo con el que cuenta se encuentra su sistema de ventas , cuentan con una clave de
acceso al sistema y un ID para realizar una venta, y dicha ID es una clave personal de cada empleado para la realizacin
de las ventas y se cuestion al personal si esa clave de punto de venta tenia cambios peridicamente para no correr
algn tipo de anomala y crimen y as de esa manera no poner en riesgo la informacin, el resultado fue que no podan
ellos cambiar sus claves de ventas, hasta que la propia empresa pudiese autorizarlo.

Para concluir el anlisis se verifico que el personal de dicha tienda no contaba con internet abierto, quiere decir que ellos
no podan accesar a internet no tienen el acceso de internet y solo ocupan internet propio de la empresa (integro) para
operar su propio sistema con el que cuentan y si por cierta razn el equipo con el que cuentan mostraba errores o fallas
en el equipo o del sistema, ellos mismo tiene la responsabilidad de comunicarse al Call Center para reportar las fallas y
Call Center realizaba el mantenimiento o repacion del sistema desde su central manipulando las mquinas de la sucursal
por internet va satelital.

DIAGNOSTICO DE SEGURIDAD INFORMATICA

Glosario:
Seguridad: Cotidianamente se puede referir a la seguridad como la ausencia de riesgo o tambin a la confianza en algn
o alguien, sin embargo la seguridad se puede tomar en diversos sentidos segn el are o campo a referirse.

Seguridad informtica: La seguridad informtica es una disciplina que se relaciona a diversas tcnicas, aplicaciones y
dispositivos encargados de asegurar la integridad y privacidad de la informacin de un sistema informtico y sus usuarios.

Certificado digital: Un certificado digital es un documento digital mediante el cual un tercero confiable da autoridad de
certificacin garantizando la vinculacin entre la identidad de un sujeto o entidad y su clave pblica, as mismo Un
Certificado Digital tiene dos llaves que son usadas durante el cifrado.

Hacker: Un hacker es alguien o mejor dicho es una persona o usuario que descubre las debilidades de una computadora
o de una red informtica, aunque el trmino puede aplicarse tambin a alguien con un conocimiento avanzado de
computadoras y trminos de informtica que pueden estar motivados por una multitud de razones, incluyendo fines de
lucro, protesta o por el desafo de las computadoras.

Tokens: Es un dispositivo para facilitar el proceso de autentificacin y almacena claves criptogrficas.

Amenazas: Las amenazas son los problemas ms vulnerables que ingresan a nuestra computadora con el hecho de
afectarlo, desde virus hasta el propio internet en la actualidad es una amenaza.

DIAGNOSTICO DE SEGURIDAD INFORMATICA

Firewall: Es una aplicacin o programa que bloquea la salida y la entrada de informacin a la Pc, bsicamente se refiere
al tipo de anlisis que los paquetes se marcan con un determinado conjunto de banderas y puede presenciarse como un
trfico normal en la red.

DIAGNOSTICO DE SEGURIDAD INFORMATICA

1 Recursos y Datos Crticos del Negocio

Situacin Actual
La situacin actual en la que se encuentra la empresa OXXO es una situacin en la que no tienen o no cuentan con un
buen aspecto en cuestiones de seguridad ya que se encontraron diferentes vulnerabilidades dentro de la sucursal
ubicada en Av. El palmar #328 col: el palmar ya que en esta proyecto se evaluara y examinar de forma apropiada sus
vulnerabilidades es cuestin de seguridad y llevndose a cabo mediantes las fuentes de informacin apropiadas. Ya que
los empleados que se encuentran operando en dicha sucursal no estn altamente capacitados en cuestiones de
seguridad y muestran ciertos desconocimientos de ciertos puntos crticos de seguridad.

DIAGNOSTICO DE SEGURIDAD INFORMATICA

Encuestas

DIAGNOSTICO DE SEGURIDAD INFORMATICA

DIAGNOSTICO DE SEGURIDAD INFORMATICA

DIAGNOSTICO DE SEGURIDAD INFORMATICA

10

DIAGNOSTICO DE SEGURIDAD INFORMATICA

11

DIAGNOSTICO DE SEGURIDAD INFORMATICA

Graficas

En esta grafica de describe el nivel general de percepcin que tienen los empleados
de la tienda OXXO con respecto a la informacin cuestionada en la encuestas.

12

DIAGNOSTICO DE SEGURIDAD INFORMATICA

Aqu se muestra si los empleados conocen si

disponen de conexin a internet, quienes o
como.

Aqu se muestra si los empleados conocen

sobre las herramientas de seguridad en la
tienda.

13

DIAGNOSTICO DE SEGURIDAD INFORMATICA

Aqu se muestra si los empleados tienen

conocimiento con respecto a las copias de
seguridad de su base de datos.

Aqu se muestra si los empleados tienen

conocimiento sobre quien se encarga de sus
sistemas de seguridad.

14

DIAGNOSTICO DE SEGURIDAD INFORMATICA

Aqu se muestra si los empleados conocen

sobre la existencia de un plan de
contingencias para la tienda.

Aqu se muestra si los empleados saben si

reciben cursos sobre sobre seguridad.

15

DIAGNOSTICO DE SEGURIDAD INFORMATICA

Hardware y Software
Equipo

Tipo

Computo

Escritorio

Cantidad
2

Especificaciones
Marca: IBM
Modelo:
Procesador: Intel Core 2
DUO
CPU
T7400
@
2.16GHz 2.17GHZ
Memoria RAM: 1.99 GB
Sistema Operativo: Windows
XP
Disco Duro: 80 GB
Pantalla: 14.1

16

DIAGNOSTICO DE SEGURIDAD INFORMATICA

Software:
Tipo

Cantidad

Especificaciones

Sistema operativo

Windows XP profesional
versin 2002 Service Pack
3

SGBD

Desarrollado
por
empresa basado en
My SQL

17

la

DIAGNOSTICO DE SEGURIDAD INFORMATICA

Criterio de Valoracin de Activos

La cadena Oxxo maneja un sistema de comisionistas, y no es una franquicia como comnmente se piensa, para ser parte
de este sistema de comisiones hay que ser lder de tienda, tener un grupo de trabajo y solo se pide cubrir un perfil,
realizar una capacitacin y aprobar un examen. Cabe destacar que este sistema y sus requisitos varan dependiendo de
cada ciudad, inclusive hay ciudades que manejan directamente empleados de Oxxo.
De igual manera maneja sus bases de datos sus ventas sus contactos con los proveedores.

Identificacin y clases de activos

El anlisis de riesgos realizados en el entorno tecnolgico pretende el conocimiento de las configuraciones y de las
disposiciones topolgicas de los activos de tecnologas que componen toda la infraestructura de respaldo de la
informacin para la comunicacin, el procesamiento, el trnsito y el almacenamiento.

Los activos son de tipo afectacin-equipo y sin dejar de considerar tambin las sensibilidades de las informaciones que
son manipuladas para ciertos empleados..

Los usuarios que las utilizan

La infraestructura que les ofrece respaldo

Se debe conocer que se quiere proteger, donde y como asegurando que con los costos en las que se incurren se
obtengan beneficios afectivos para esto se deber identificar los recursos llamase hardware, software, informacin,
accesorios y personal con que se cuenta y las amenazas a las que se est expuesto.

18

DIAGNOSTICO DE SEGURIDAD INFORMATICA

Tipo de riesgo-factor

Escala-valor

Robo de hardware

Alto

Robo de informacin

Alto

Vandalismo

Alto

Fallas en los equipos

Medio

Equivocaciones

Medio

19

DIAGNOSTICO DE SEGURIDAD INFORMATICA

Accesos No autorizados

Medio

Fraude

Medio

Virus informtico

Muy bajo

20

DIAGNOSTICO DE SEGURIDAD INFORMATICA

Resultado de la encuesta gestin de archivos

CREE QUE ES SEGURO?
Si la seguridad del sistema con el que se opera en la tienda es seguro se pueden hacer consultas para el personal que
labora la tienda para llevar un buen control de esta
Todos los proveedores cuentan con un nmero nico para que no haya errores de ejecucin en cuanto al recibimiento de
productos.

EL SISTEMA ES FLEXIBLE?
No el sistema con el que se cuenta no es flexible tiene muchos candados que solo los gerentes o asesores cuentan con
claves para poder manipularlo entonces a los que laboran diario en la tienda solo podemos maniobrar altas y bajas de
productos pero no podemos hacer cambios en las operaciones lgicas de la tienda

SU SISTEMA PUEDE MEJORAR EN CUANTO A SU SEGURIDAD?

Claro que si existen muchas reglas de seguridad que se siguen dentro de la operacin de las cajas y el dinero que es
muy importante dentro de la tienda
Hay una clave de acceso para poder empezar a cobrar en las cajas que todos lo cajeros saben entonces esto hace que si
alguien externo desea empezar el da en la caja no podr abrirla

21

DIAGNOSTICO DE SEGURIDAD INFORMATICA

2 Seguridad Fsica y Soporte a Operaciones

Adquisicin, desarrollo y mantenimiento de los sistemas
El sistema trabaja un control general de rea y los empleados del negocio son los que agiliza la comunicacin entre ellos
y se sabe si la funcin que desempean est bien realizada debido al monitoreo constante de la seguridad que pueda
obtener dentro de sus equipos donde utilizan sus estadsticas de logros de ventas y crecimiento para un mejor servicio de
su negocio a los clientes.
Mantenimiento del software..
Una vez que se ha generado el cdigo, comienzan las pruebas del programa. El proceso de pruebas se centra en los
procesos lgicos internos del software, asegurando que todas las sentencias se han comprobado, y en los procesos
externos funcionales; es decir, realizar las pruebas para la deteccin de errores y asegurar que la entrada definida
produce resultados reales de acuerdo con los resultados requeridos.
El software indudablemente sufrir cambios (una excepcin posible es el software empotrado). Y se producirn cambios
porque se han encontrado errores, porque el software debe adaptarse para acoplarse a los cambios de su entorno
externo (por ejemplo: se requiere un cambio debido a un sistema operativo o dispositivo perifrico nuevo), o porque se le
requiere mejoras funcionales o de rendimiento en cuestiones de la seguridad y el soporte y mantenimiento del software
vuelve a aplicar a cada una de las fases precedentes a un programa ya existente y no a uno nuevo.

22

DIAGNOSTICO DE SEGURIDAD INFORMATICA

Gestin de comunicaciones y operaciones

Esta rea establece, ejecuta y monitorea los procesos y procedimientos a seguir de sus propias tiendas, con el fin de una
mejora en el servicio y sobretodo una amplia seguridad de dicha sucursal.
La parte de Sistemas se encarga de proveer soluciones de tecnologa de acuerdo con las necesidades de la compaa en
cuestiones de su seguridad ya que se ha evaluado y analizado las vulnerabilidades que presentan en la compaa.

23

DIAGNOSTICO DE SEGURIDAD INFORMATICA

Estructura Organizacional

Director general

Gerente
comercial

Contador

Gerente de Produccin

Empleado

Empleado

Empleado

24

Empleado

DIAGNOSTICO DE SEGURIDAD INFORMATICA

Situacin Actual
El estado de seguridad de la tienda OXXO Santa Julia es bueno en cuanto a la fsica puesto que cumple con todos los
requisitos necesarios que satisface las necesidades que tiene la tienda para proteger la integridad de todos los productos
que vende.

La seguridad fsica tambin es buena en cuanto al resguardo de los equipos con que se cuentan estn ocultos a la vista
de los clientes y se cuenta con un sistema de cmaras de circuito cerrado el cual tiene una central que estn siendo
monitoreada las 24 horas del das los 365 das del ao.

Condicin actual de las aplicaciones en.

Software

Descripcin

Sistemas operativos

Windows XP Service PACK 3

Gestin de base de datos

Desarrollo propio de la empresa basado en

My SQL, con actualizaciones anuales.

Suites ofimticas

No cuenta con paquetera de oficina

Antivirus

No cuenta con sistema antivirus

Cortafuegos

No cuenta con cortafuegos

25

DIAGNOSTICO DE SEGURIDAD INFORMATICA

Seguridad e integracin de la informacin.

Situacin encontrada

Impacto

En la sucursal al igual que todas las dems existe la

poltica de no introducir memorias USB y cualquier
otro medio de almacenamiento masivo portable.

Alto

El equipo solo est disponible para hacer uso del

sistema de ventas.

El Sistema de Gestin no cuenta con una proteccin

de acceso, este solo se puede limitar por medio del
sistema de login del sistema operativo.

Alto

La base de datos se encuentra en las mismas

instalaciones, dentro de uno de los 2 equipos con
los que cuenta la sucursal.

Alto

La sucursal no cuenta con salida a internet, solo se

pueden comunicar entre las dos computadoras para
la sincronizacin de la base de datos por medio de
una red interna.

Alto

26

DIAGNOSTICO DE SEGURIDAD INFORMATICA

ESTADO ACTUAL DE LA EMPRESA:

El estado de seguridad de la tienda OXXO Santa Julia es aceptable en cuanto a la fsica puesto que cumple con todos
los requisitos necesarios para satisfacer las necesidades que tiene la tienda para proteger la integridad de todos los
productos que vende.

La seguridad fsica tambin es buena en cuanto al resguardo de los equipos con que se cuentan estn ocultos a la vista
de los clientes y se cuenta con un sistema de cmaras de circuito cerrado el cual tiene una central que estn siendo
monitoreada las 24 horas del das los 365 das del ao.

EN CUANTO AL SISTEMA
CREE QUE ES SEGURO?
Si la seguridad del sistema con el que se opera en la tienda es seguro se pueden hacer consultas para el personal que
labora la tienda para llevar un buen control de esta
Todos los proveedores cuentan con un nmero nico para que no haya errores de ejecucin en cuanto al recibimiento de
productos.

EL SISTEMA ES FLEXIBLE?
No el sistema con el que se cuenta no es flexible tiene muchos candados que solo los gerentes o asesores cuentan con
claves para poder manipularlo entonces a los que laboran diario en la tienda solo podemos maniobrar altas y bajas de
productos pero no podemos hacer cambios en las operaciones lgicas de la tienda

SU SISTEMA PUEDE MEJORAR EN CUANTO A SU SEGURIDAD?

27

DIAGNOSTICO DE SEGURIDAD INFORMATICA

Claro que si existen muchas reglas de seguridad que se siguen dentro de la operacin de las cajas y el dinero que es
muy importante dentro de la tienda
Hay una clave de acceso para poder empezar a cobrar en las cajas que todos lo cajeros saben entonces esto hace que
si alguien externo desea empezar el da en la caja no podr abrirla
Y ah es cuando se puede mejorar pues puede haber usuarios y cada quien puede tener su clave de acceso para evitar
malos entendidos en cuanto a el dinero o algunas perdidas de producto

28

DIAGNOSTICO DE SEGURIDAD INFORMATICA

Evidencia Fotogrfica

Figura 1. Cmara de seguridad

Figura 2. Especificaciones del sistema

29

DIAGNOSTICO DE SEGURIDAD INFORMATICA

Figura 3; Gabinete

Figura 4; Routers y dispositivos de red

Figura 3.1; Gabinete 2

30

DIAGNOSTICO DE SEGURIDAD INFORMATICA

Figura 5. Monitor

Figura 6. Cmara y monitor de seguridad

31

DIAGNOSTICO DE SEGURIDAD INFORMATICA

Figura 7. Dispositivos de red

Figura 8. Dispositivos de red y cmara de seguridad

32

DIAGNOSTICO DE SEGURIDAD INFORMATICA

RECOMENDACIONES:

En base al anlisis se puede dar estas recomendaciones aunque la seguridad que maneja la tienda oxxo Santa Julia
visitada es buena para las operaciones que realiza nosotros sugerimos lo siguiente:

Un sistema de registro que cuente con un id de empleado y un NIP personalizado que pueda cambiarse cada mes

Cuanto al sistema de venta se tendra que elaborar un sistema de registro para poder abrir las cajas y atender a los
clientes, para cada uno de los cajeros

Un identificador tctil que reconozco al usuario en turno para evitar fraudes o malos manejos a la hora del comienzo de
su turno y al final del mismo.

Contraseas independientes para cada uno de los equipos del sistema de ventas.

En el primer trmino se recomend que hay que ser cuidadosos con la informacin que se maneja dentro de la sucursal y
las computadoras, ya que los usuarios tienen que acostumbrarse a utilizar contraseas.

33

DIAGNOSTICO DE SEGURIDAD INFORMATICA

Restringir la informacin y el acceso a slo a personas no conocidas de la corporacin y hacer lo mnimo que se pide al
realizar ciertas transferencias de pago.

La capacitacin al personal en cuestin de seguridad informtica ya que se cuenta con personal muy escaso de
conocimientos de seguridad y no cuentan con el suficiente conocimiento del caso, para poder evitar as ciertos riesgos en
sus tiendas.

Se recomienda, que los datos pueden almacenarse en una base de datos segura o buscar servicios de terceros que
puedan hacer un balance de carga de los servidores.

Adems, se recomienda actualizar el software que est utilizando la empresa para todas sus sucursales y los sistemas
operativos que se manejen.

Usa antivirus y aplicaciones anti-malware tal vez esto pueda generar ciertos costos para la empresa y pueda utilizar
recursos en el sistema pero pensando en los riesgos que puedan a darse, sera un poco ms efectivo que los equipos
contaran con un buen antivirus y as evitar ciertos problemas y sin en cambio saldra ms contraproducente que ni una
maquina no tuviera ningn antivirus de proteccin por lo menos.

Que se pueda Activar un Firewall de su propio sistema y puede ser configurado totalmente para que la molestia de
cualquier tipo de riesgo, les resulte reconfortante a nivel de proteccin, ya que puedan modificar el sistema de
prioridades, agregar excepciones y, si estn en Windows que es el sistema operativo con el que trabajan sus equipos,
puedan utilizar aplicaciones alternativas que te den ms posibilidades an.

34