UNIVERSIDAD TECNICA ESTATAL DE QUEVEDO

UNIDAD DE ESTUDIOS A DISTANCIA

INGENIERIA EN SISTEMAS
PROYECTO INTEGRADOR MODULO 8
TEMA:
Anlisis De A Vulnerabilidad Y Confiabilidad Del Sistema
Informtico Del Distrito 12d03 Quevedo - Mocache.

AUTORES:
Duran Jumbo Paul Leonardo
Vinces Anchundia Jos Alfredo
Muoz Valero Freddy Fortunato
Murillo Moreno Jos Luis

TUTOR:
Abg. MIRIAM CARDENAS

QUEVEDO ECUADOR
NOVIEMBRE 2016
 Introduccin
En el mundo interconectado actual, con computadoras accesibles y potentes
conexiones a Internet de alta velocidad con una oferta diversa de dispositivos
mviles, los usuarios de computadoras participan de experiencias en lnea
enriquecidas en torno al comercio electrnico, comunicaciones y
entretenimiento. Sin embargo, con esta nueva interactividad surge una
importante responsabilidad (de los gobiernos, la industria y los grupos de
defensa al consumidor) para garantizar que los usuarios de computadoras
confen que su informacin personal se encuentra segura y se mantiene
privada. (Charney, Scott, 2007)

En declaraciones realizadas por Bill Gates (2007), afirm que es necesario

poner en funcionamiento algunas normas bsicas para garantizar que la
informacin personal est segura, que la privacidad de las personas se
encuentre protegida contra daos e indic el compromiso de la compaa para
desarrollar herramientas, aplicaciones y servicios para que Internet sea un
recurso profuso con el cual comunicarse, jugar, comprar y realizar negocios.
Microsoft cree que para brindar una experiencia en lnea consistente y segura,
la tecnologa, el cumplimiento y la colaboracin en la industria deben contar
con el respaldo de una poltica pblica efectiva. Esto incluye una fuerte
legislacin que prohba el engao, faculte a los usuarios brindndoles control
sobre su informacin personal y proteja el comercio electrnico.

Segn Charney Scott Vicepresidente corporativo de Trustworthy Computing

de Microsoft y Peter Cullen, jefe de Estrategia Privada de Microsoft, explican de
qu forma en que es posible trabajar en conjunto para mejorar la seguridad en
lnea y la confianza del usuario y eliminar al correo basura, la falsificacin de
sitios y a los estafadores del negocio. Coinciden en diagnosticar que el
problema de la seguridad informtica se resuelve con leyes federales y
acuerdos internacionales. (Charney, 2007)
 El presente proyecto est sustentado en la identificacin de las
vulnerabilidades y posibles amenazas del sistema informtico del Distrito de
Educacin Quevedo Mocache, aplicando la norma ISO27002; y que nos
permita garantizar la confidencialidad, integridad y disponibilidad de la
informacin. Estos temas esenciales que dan informacin precisa sobre la
problemtica de la informacin y sus efectos en los docentes, directivos,
principalmente en los padres de familia de las instituciones pblicas ya que son
ellos los que han palpado las falencias de este sistema informtico, por ello se
debe dar a conocer detalles y ejemplos de las vulnerabilidades encontradas
dentro del mismo para ofrecer posibles soluciones y evitar futuros errores de
sistema.
PROBLEMATIZACIN

Diagnstico

Desde que ha existido el ser humano este ya tena la necesidad de buscar

solucin a los problemas, hasta entonces ha pasado mucho tiempo y gracias al
razonamiento de las personas se ha conseguido grandes logros en el campo
informtico y en otras reas.

Con el pasar del tiempo todas las empresas u organizaciones la utilizan,

grandes, medianas, pequeas y microempresas con el fin de dar a conocer su
imagen como empresa y el producto o servicio que ofrece para satisfacer las
necesidades de aquellos utilizando recursos necesarios para llegar a los
usuarios determinados de cualquier institucin de estado y otras entidades
pblicas o privadas, esto hace que tengan un mejor beneficio y logros cuando
se brinda un buen servicio, este tiene una favorable aceptacin del cliente.

El distrito 12D03 Mocache- Quevedo, es un ministerio con una plataforma

establecida para el control acadmico de todas las Unidades Educativas del
sector pblico del Ecuador, esta plataforma es utilizada por todos los docentes
y administradores del ministerio. Cabe destacar que esta plataforma ha tenido
muchas falencias de las que los Padres de familia los mismos que han tenido
varias quejas y denuncias como son las modificaciones de notas o cambios de
listas de estudiantes de aos anteriores que se muestran en el periodo actual,
otra de las fallas que nos muestra el sistema es que la matriz principal de los
datos no es actualizada de manera constante, causando molestias entre los
usuarios.

El objetivo de este proyecto a travs de los anlisis realizados ser

demostrar la vulnerabilidad de este sistema informtico o plataforma de control
acadmico evaluando la Integridad, confiabilidad de la informacin, sus
falencias y posibles amenazas, para de esta manera aportar a las posibles
soluciones que permita elaborar un plan de Disponibilidad de la informacin
asegurando que los usuarios autorizados puedan acceder a ella cuando la
necesiten obteniendo informacin de primera instancia y de manera segura.
Formulacin del Problema

Cmo identificar las vulnerabilidades y las posibles amenazas que tiene el

sistema informtico del Distrito de Educacin Quevedo Mocache, aplicando la
norma ISO27002; que garantiza la confidencialidad, integridad y disponibilidad de
la informacin?

Sistematizacin del Problema

Existe informacin necesaria para verificar la confidencialidad de la

informacin asegurando que el acceso a ella esta adecuadamente
autorizado?
Cules seran las amenazas que tiene el sistema informtico
Cmo se puede evaluar la Integridad de la informacin y sus mtodos
de procesos?
De qu manera se debe elaborar un plan de disponibilidad de la
informacin asegurando que los usuarios autorizados puedan acceder a
ella cuando la necesiten?
Objetivos

Objetivo general

Identificar las vulnerabilidades y las posibles amenazas que tiene el

sistema informtico del Distrito de Educacin Quevedo Mocache,
aplicando la norma ISO27002; que nos garantiza la confidencialidad,
integridad y disponibilidad de la informacin.

Objetivos especficos

Verificar la confidencialidad de la informacin asegurando que el acceso

a ella esta adecuadamente autorizado.
Enunciar las amenazas que tiene el sistema informtico evitando asi
riesgo de seguridad en los datos.
Elaborar un plan de disponibilidad de la informacin asegurando que los
usuarios autorizados puedan acceder a ella cuando la necesiten.
 Marco Terico

Qu es seguridad informtica?
Para tener a una educada definicin de seguridad informtica se debe

conocer los conceptos de informtica y seguridad de manera respectiva:

Introduccin a la Seguridad

Cuando se piensa en seguridad, se emprende por tomar en cuenta las

cosas personales. Todos tienen objetos que realmente les interesan, unos que

seran irremplazables y otros que tienen un gran valor impresionable. Todos

tienen cosas que no quieren que otras individuas se enteren, incluso algunas

sin las cuales tampoco podran vivir.

Podra ser en su vivienda, vehculo, unidad educativa u oficina, en un

bolso, cartera o en muchos lugares. Piense en todo lo que podra ocurrirle a
sus pertenencias. Puede ser asaltado o encontrarse en un desastre natural
por ejemplo un incendio, un terremoto o una inundacin. De cualquier
m a n e r a esa proteger sus posesiones, sin importar de donde proviene la
amenaza. (Wiley, 2012).

De igual forma la seguridad en informtica, es el arte de proteccin

del bien invaluable ms significativo de una organizacin como lo es la
informacin que requiere ser protegida mediante controles que mitiguen
los riesgos que se encuentren en la investigacin pertinente.

Se presenta referencia a varios conceptos que ayudarn a entender

el tema planteado y determinar las partes de su estudio.
Definicin de seguridad
La seguridad informtica es la ausencia de amenazas y vulnerabilidades de

un sistema informtico el cual es muy difcil de sostener, las sociedades

actuales son sociedades de riesgo. El componente riesgo es permanente y da

carcter propio de los estados y sociedades nacionales, como tal la seguridad

no puede ser entendida como ausencia de amenazas.

Segn la Real Academia Espaola, seguridad es cualidad de seguro y

seguro es libre y exento de todo peligro.

Segn (NOMBELA, 1997) dijo seguridad es todo aquello que permite

defenderse de una amenaza.

Para nosotros la seguridad es la eliminacin de riesgos o ataques ante lo

que puede pasar, la seguridad total no existe, debemos hablar de seguridad

razonable poniendo en nfasis las diferentes precauciones para evitar posibles

infiltraciones.
Definicin de informtica
La informtica es la ciencia encargada de realizar operaciones matemticas

de manera cada vez ms rpida y fcil con ayuda de aparatos y mquinas las

operaciones podan realizarse de forma ms eficiente, rpida y automtica.

Segn la definicin de la Real Academia Espaola, la palabra informtica

significa Conjunto de conocimientos cientficos y tcnicas que hacen posible el

tratamiento automtico de la informacin por medio de ordenadores.

Objetivo de la seguridad informtica

La seguridad informtica tiene como principal objetivo proteger el activo ms

importante que tiene la empresa que es su informacin de los riesgos a los que

est expuesta.

Para que la informacin sea considerada confiable para la organizacin ya

que sus estrategias de negocio dependern del almacenamiento,

procesamiento y presentacin de la misma, esta deber cubrir los tres

fundamentos bsicos de seguridad para la informacin que son:

Confidencialidad. Se define como la capacidad de proporcionar acceso

a usuarios autorizados, y negarlo a no autorizados.

Integridad. Se define como la capacidad de garantizar que una

informacin o mensaje no han sido manipulados.

Disponibilidad. Se define como la capacidad de acceder a informacin o

utilizar un servicio siempre que lo necesitemos.

La seguridad informtica se preocupa de que la informacin manejada por

un computador no sea daada o alterada, que est disponible y en condiciones

de ser procesada en cualquier momento y se mantenga confidencial. (PEREZ

GOMEZ, 1988)

Riesgos
 Los riesgos se pueden definir como aquellas eventualidades que

imposibilitan el cumplimiento de un objetivo y segn la Organizacin

Internacional por la Normalizacin (ISO) define riesgo tecnolgico como La

probabilidad de que una amenaza se materialice, utilizando vulnerabilidades

existentes de un activo o un grupo de activos, generndole prdidas o daos

A raz de esta definicin podemos concluir que cualquier problema que afecte

al total funcionamiento de un sistema informtico dentro de una empresa o

institucin es considerado un riesgo o amenaza para la entidad. (Pinto, 2005)

Vulnerabilidades de un sistema informtico

En un sistema informtico lo que queremos proteger son sus activos, es decir,

los recursos que forman parte del sistema y que podemos agrupar en:

Hardware: elementos fsicos del sistema informtico, tales como

procesadores, electrnica y cableado de red, medios de
almacenamiento (cabinas, discos, cintas, DVDs,...).

Software: elementos lgicos o programas que se ejecutan sobre el

hardware, tanto si es el propio sistema operativo como las aplicaciones.

Datos: comprenden la informacin lgica que procesa el software

haciendo uso del hardware. En general sern informaciones
estructuradas en bases de datos o paquetes de informacin que viajan
por la red.

Otros: fungibles, personas, infraestructuras,.. aquellos que se 'usan y

gastan' como puede ser la tinta y papel en las impresoras, los soportes
tipo DVD o incluso cintas si las copias se hacen en ese medio, etc.

Los ms crticos son los datos, el hardware y el software.

Los datos que estn almacenados en el hardware y que son procesados por
las aplicaciones software:
Vulnerabilidad: definicin y clasificacin

Definimos Vulnerabilidad como debilidad de cualquier tipo que compromete la

seguridad del sistema informtico.

Las vulnerabilidades de los sistemas informticos las podemos agrupar en

funcin de:

Diseo

Debilidad en el diseo de protocolos utilizados en las redes.

Polticas de seguridad deficientes e inexistentes.

Implementacin

Errores de programacin.
Existencia de puertas traseras en los sistemas informticos.
Descuido de los fabricantes.

Uso

Mala configuracin de los sistemas informticos.

Desconocimiento y falta de sensibilizacin de los usuarios y de los
responsables de informtica.
Disponibilidad de herramientas que facilitan los ataques.
Limitacin gubernamental de tecnologas de seguridad.

Vulnerabilidad del da cero

Se incluyen en este grupo aquellas vulnerabilidades para las cuales no

existe una solucin conocida, pero se sabe cmo explotarla.

Vulnerabilidades conocidas

Vulnerabilidad de desbordamiento de buffer.

 Si un programa no controla la cantidad de datos que se copian en buffer,
puede llegar un momento en que se sobrepase la capacidad del buffer y los
bytes que sobran se almacenan en zonas de memoria adyacentes.

En esta situacin se puede aprovechar para ejecutar cdigo que nos de

privilegios de administrador.

Vulnerabilidad de condicin de carrera (race condition).

Si varios procesos acceden al mismo tiempo a un recurso compartido puede

producirse este tipo de vulnerabilidad. Es el caso tpico de una variable, que
cambia su estado y puede obtener de esta forma un valor no esperado.

Vulnerabilidad de Cross Site Scripting (XSS).

Es una vulnerabilidad de las aplicaciones web, que permite inyectar cdigo

VBSript o JavaScript en pginas web vistas por el usuario. El phishing es una
aplicacin de esta vulnerabilidad. En el phishing la vctima cree que est
accediendo a una URL (la ve en la barra de direcciones), pero en realidad est
accediendo a otro sitio diferente. Si el usuario introduce sus credenciales en
este sitio se las est enviando al atacante.

Vulnerabilidad de denegacin del servicio.

La denegacin de servicio hace que un servicio o recurso no est disponible

para los usuarios. Suele provocar la prdida de la conectividad de la red por el
consumo del ancho de banda de la red de la vctima o sobrecarga de los
recursos informticos del sistema de la vctima.

Vulnerabilidad de ventanas engaosas (Window Spoofing).

Las ventanas engaosas son las que dicen que eres el ganador de tal o cual
cosa, lo cual es mentira y lo nico que quieren es que el usuario de
informacin. Hay otro tipo de ventanas que si las sigues obtienen datos del
ordenador para luego realizar un ataque. (Pinto, 2005)
Polticas de seguridad

Cmo proteger el sistema informtico

Se debe realizar un anlisis de las posibles amenazas que puede sufrir el

sistema informtico, una estimacin de las prdidas que esas amenazas
podran suponer y un estudio de las probabilidades de que ocurran.

A partir de este anlisis habr que disear una poltica de seguridad en la

que se establezcan las responsabilidades y reglas a seguir para evitar esas
amenazas o minimizar los efectos si se llegan a producir.

Definimos Poltica de seguridad como un documento sencillo que define las

directrices organizativas en materia de seguridad (Villaln).

La poltica de seguridad se implementa mediante una serie de mecanismos

de seguridad que constituyen las herramientas para la proteccin del sistema.
Estos mecanismos normalmente se apoyan en normativas que cubren reas
ms especficas. (Elvira Mifsud, 2012)

Esquemticamente:
Los mecanismos de seguridad se dividen en tres grupos:

Prevencin:

Evitan desviaciones respecto a la poltica de seguridad.

Ejemplo: utilizar el cifrado en la transmisin de la informacin evita que un

posible atacante capture (y entienda) informacin en un sistema de red.

Deteccin:

Detectan las desviaciones si se producen, violaciones o intentos de violacin

de la seguridad del sistema.

Ejemplo: la herramienta Tripwire para la seguridad de los archivos.

Recuperacin:

Se aplican cuando se ha detectado una violacin de la seguridad del sistema

para recuperar su normal funcionamiento.

Ejemplo: las copias de seguridad.

Dentro del grupo de mecanismos de prevencin tenemos:

Mecanismos de identificacin e autenticacin

Permiten identificar de forma nica 'entidades' del sistema. El proceso

siguiente es la autenticacin, es decir, comprobar que la entidad es quien dice
ser.

Pasados estos dos filtros, la entidad puede acceder a un objeto del sistema.

En concreto los sistemas de identificacin y autenticacin de los usuarios

son los mecanismos ms utilizados.

Mecanismos de control de acceso

 Los objetos del sistema deben estar protegidos mediante mecanismos de
control de acceso que establecen los tipos de acceso al objeto por parte de
cualquier entidad del sistema.

Mecanismos de separacin

Si el sistema dispone de diferentes niveles de seguridad se deben

implementar mecanismos que permitan separar los objetos dentro de cada
nivel.

Los mecanismos de separacin, en funcin de cmo separan los objetos, se

dividen en los grupos siguientes: separacin fsica, temporal, lgica,
criptogrfica y fragmentacin.

Mecanismos de seguridad en las comunicaciones

La proteccin de la informacin (integridad y privacidad) cuando viaja por la

red es especialmente importante. Clsicamente se utilizan protocolos seguros,
tipo SSH o Kerberos, que cifran el trfico por la red.

Clasificacin de las amenazas

De forma general podemos agrupar las amenazas en:

Amenazas fsicas
Amenazas lgicas

Estas amenazas, tanto fsicas como lgicas, son materializadas bsicamente

por:

las personas
programas especficos
catstrofes naturales

Podemos tener otros criterios de agrupacin de las amenazas, como son:

Origen de las amenazas

 Amenazas naturales: inundacin, incendio, tormenta, fallo elctrico,
explosin, etc...
Amenazas de agentes externos: virus informticos, ataques de una
organizacin criminal, sabotajes terroristas, disturbios y conflictos
sociales, intrusos en la red, robos, estafas, etc...
Amenazas de agentes internos: empleados descuidados con una
formacin inadecuada o descontentos, errores en la utilizacin de las
herramientas y recursos del sistema, etc...

Intencionalidad de las amenazas

Accidentes: averas del hardware y fallos del software, incendio,

inundacin, etc...
Errores: errores de utilizacin, de explotacin, de ejecucin de
procedimientos, etc...

Actuaciones malintencionadas: robos, fraudes, sabotajes, intentos de intrusin,

etc...
Conclusiones

La aplicacin de la metodologa del ndice de vulnerabilidad del sistema

informtico, es inviable si no se dispone de una herramienta de almacenamiento,
anlisis y gestin de un volumen enorme de informacin.

El Sistema de Informacin para lo cual se debera aplicar la norma ISO27002; ha

resultado ser una excelente herramienta para garantiza la confidencialidad,
integridad y disponibilidad de la informacin.

Con todo parte del estudio puede realizarse mediante herramientas ms

amigables y popularizadas como, por ejemplo.

Determinar cul es el sistema que est ms estrechamente ligado al activo

crtico, para poder identificar el sistema de inters.

Recomendaciones

Controlar y monitorear las actividades sugeridas del proyecto, con el fin de eliminar
vulnerabilidades encontradas y reducir la probabilidad de ocurrencia de los peligros a
futuro.

Crear programas de capacitacin tcnicos para el personal de . e informativos

para el resto del personal, en temas relacionados con seguridad de la informacin.

Realizar evaluaciones peridicas de seguridad a la ya sea al docente interno o

externo. Estas evaluaciones peridicas ayudarn a mejorar la seguridad de los
recursos de TI y de la informacin.

Revisar peridicamente los reglamentos y procedimientos, debido a que la

tecnologa tiene avances constantemente y por ende aparecen riesgos que deben ser
mitigados para impedir inconvenientes futuros.
ENCUESTA DIRIGIDA A LOS empleados o personal administrativos del
DISTRITO 12D03

1. Conoce usted el sistema informtico del distrito

Si
No
2. Cree usted que el sistema informtico tiene vulnerabilidad al
momento de usar
Si
No
3. Considera que el sistema informtico debe ser probado antes de
usar
Si
No
4. Esta de acuerdo que los usuarios usen un sistema con
vulnerabilidades al momento de ingresar sus datos.
Si
No
5. Cree usted que los datos de los usuarios deben ser ms
confidenciales con el sistema informtico del distrito
Si
No
Bibliografa
Charney, S. (12 de abril de 2007). Microsoft TechNet (La seguridad Informatica es un problema
internacional. Recuperado el 19 de 11 de 2016, de
https://www.microsoft.com/latam/technet/articulos/tn/2007/abr-19.mspx

Charney, Scott. (12 de abril de 2007). Microsoft TechNet (La seguridad Informatica es un
problema internacional. Recuperado el 19 de 11 de 2016, de
https://www.microsoft.com/latam/technet/articulos/tn/2007/abr-19.mspx

Elvira Mifsud. (26 de 03 de 2012). Observatorio Tecnologico. Recuperado el 3 de 12 de 2016,

de
http://recursostic.educacion.es/observatorio/web/es/component/content/article/104
0-introduccion-a-la-seguridad-informatica?start=3

NOMBELA, J. J. (1997). Seguridad informtica. Madrid: Paraninfo.

PEREZ GOMEZ, J. M. (1988). La auditora de los sistemas de informacin , en: Centro Regional
del IBI para la En seanza de la Informtica (CREI), ACTAS, I Congreso Iberoamericano
de Informtica y Auditora. Madrid.

Pinto, M. G. (2005). Diseo de un sistema estrategico de seguridad informatica. Guayaquil.