UNIVERSIDAD POLITECNICA SALESIANA

SEDE CUENCA
FACULTAD DE INGENIERAS
CARRERA DE INGENIERA DE SISTEMAS



Trabajo final de grado previo a
la obtencin del Ttulo de
Ingeniero de Sistemas.

POLTICAS DE SEGURIDAD, PLAN DE CONTINGENCIA Y
DISEO DE RED PARA LA ILUSTRE MUNICIPALIDAD DE
PAUTE


Autoras:
Mara Elizabeth Mora Daz
Gloria Viviana Prez Guachichullca

Director:
Ing. Germn Parra Gonzles



Cuenca, Febrero 21 del 2008










Los conceptos desarrollados, anlisis, diseos realizados y las conclusiones del presente
trabajo, son de exclusiva responsabilidad de las autoras.



Cuenca, Febrero 21 del 2008





.
Ma. Elizabeth Mora D. Gloria V. Prez G.



















Certifico que bajo mi direccin el Trabajo final de Grado fue realizado por las alumnas:

Mara Elizabeth Mora Daz
Gloria Viviana Prez Guachichullca





Ing. Germn Parra
DIRECTOR DE TESIS


INDICE
Prefacio.1
Introduccin..2

CAPITULO I...3
INTRODUCCION A LAS POLITICAS DE SEGURIDAD...4
1.1 Conceptos bsicos de polticas de seguridad4
1.1.1 Informacin...4
1.1.2 Seguridad de la Informacin.4
1.1.3 Poltica de Seguridad5
1.1.3.1 Elementos de una Poltica de Seguridad Informtica...6
1.1.3.2 Parmetros para Establecer Polticas de Seguridad..6
1.1.3.3 Razones que impiden la aplicacin de las Polticas de Seg..7
1.2 Reconocimiento de la Institucin para la......8
1.2.1 Antecedentes.8
1.2.2. Organigrama de La Ilustre Municipalidad de Paute10
1.3 Debilidades..11
1.4 Anlisis de Riesgos de La Ilustre Municipalidad de Paute..13
1.4.1 Riesgos Humanos...13
1.4.2 Desastres Naturales....14
1.5. Polticas de Seguridad para La Ilustre Municipalidad de Paute..17
1.6 Elaboracin de Polticas de Seguridad Informticas..17
1.6.1 Polticas de Seguridad en las Instalaciones del Munici......17
1.6.2 Polticas de Seguridad para Cuentas de Usuario....20
1.6.3 Polticas de Seguridad para Computadores....21
1.6.4 Polticas de Seguridad de Respaldo y Recuperacin......22
1.6.5 Polticas de Seguridad para Internet...23
1.7. Estndares para fijar contraseas y claves de acceso......24

CAPITULO II...26
INTRODUCCION AL PLAN DE CONTINGENCIA..........27
2.1. Conceptos bsicos de Plan de Contingencia...27
2.1.1 Plan de Contingencia.27
2.1.2. Estadsticas Recientes.28
2.1.3. Metodologa para elaborar un Plan De Contingencia Informtico.29
2.2. Reconocimiento de la Institucin para la elaboracin................29
2.2.1. Evaluacin de Riesgos29
2.2.2. Amenazas....30
2.2.3. Ataques Internos..30
2.3. Plan de Contingencia para La Ilustre Municipalidad de Paute...31
2.3.1. Incendio...33
2.3.2. Corto Circuito o Sobrecarga de Energa.35
2.3.3. Ataques internos en La Ilustre Municipalidad de Paute..36
2.3.4. Robo37
2.3.5. Filtraciones de Agua...38
2.3.6. Errores de Hardware...40
2.3.7. Virus Informticos..40
2.4. Problemas de Conectividad de red.....41
2.5. Plan de Contingencia para cuidar la Integridad del Personal..42
2.5.1. Acciones antes de la contingencia...42
2.5.2. Acciones durante la contingencia....43
2.5.3. Acciones despus de la contingencia..43
2.5.4. Documentos necesarios previos a las contingencias...43
2.6. Pruebas y Mantenimientos..43

CAPITULO III......45
ANALISIS Y DISEO DE RED PARA LA ILUSTRE MUNIC......46
3.1. Conceptos de Redes46
3.1.1 Red de Computadoras.....46
3.1.2 Conceptos para Redes LAN....47
3.1.2.1 Red LAN.47
3.1.2.2 Objetivos del diseo LAN...47
3.1.3 Conceptos para Cableado Estructurado.....48
3.1.3.1 Cableado Estructurado48
3.1.3.2 Subsistemas de Cableado Estructurado...48
3.1.4 Normas para Cableado Estructurado..50
3.2. Anlisis de recursos actuales..53
3.2.1 Subsistemas de Cableado Estructurado en La Municipalidad53
3.2.2 Anlisis Fsico de la Red54
3.2.3. Diseo Fsico actual de la Red56
3.3 Planteamiento del Nuevo Esquema de Red....59
3.3.1 Anlisis de Requerimientos...59
3.4 Dispositivos y elementos a utilizar.61
3.5 Diseo de Vlans.64
3.6 Topologa....66
3.6.1. Topologa Fsica ....66
3.6.2. Topologa Lgica..67
3.7 Modelo de Diseo J errquico..69
3.8 Diseo Fsico de la Red..72
3.9 Diagrama de Cableado Vertical..75
3.10 Esquema de Direccionamiento Lgico...76
3.11 Costo de Materiales.80

CONCLUSIONES..82
RECOMENDACIONES.83
ANEXOS....84
Anexo 1...85
Anexo 2...86
Anexo 3...88
Anexo 4...90
Glosario...........92











PREFACIO

El presente documento describe de forma detallada el anlisis que se llevo a cabo para
elaborar las Polticas de Seguridad Informtica y un de Plan de Contingencia para la
Ilustre Municipalidad de Paute; As mismo, detalla el anlisis fsico de la red que existe
actualmente con un nuevo planteamiento para mejorar la seguridad de la misma.
Este documento est dirigido al Sr. Alcalde y a la alta administracin encargada de la
Seguridad informtica.

















INTRODUCCION

La informacin es un recurso que al igual que los otros activos, tienen mucho valor para
una Empresa, por lo tanto esta debe ser totalmente protegida. Implementar polticas de
seguridad informtica ayuda a evitar amenazas y riesgos que impiden la productividad
de la Organizacin, las polticas de seguridad informticas se crean con el fin de
garantizar la continuidad de los sistemas de informacin y cumplir con los objetivos
planteados por la Institucin.

Es importante recalcar que, los principios de la poltica de seguridad deben ser parte de
la cultura organizacional; todo esto con el objetivo de cumplir la confidencialidad,
integridad y disponibilidad de la informacin.

La elaboracin de un Plan de Contingencia, permitira suministrar el respaldo necesario
en caso de que la poltica falle, este se crea con el objetivo de restaurar el servicio
informtico en forma rpida, eficiente, con el menor costo y prdidas posibles. La
Ilustre Municipalidad de Paute, es una organizacin que requiere de una
implementacin de polticas de seguridad y un plan de contingencia que garantice la
seguridad de la informacin que ellos consideran confidencial para la misma.

La Ilustre Municipalidad de Paute, colaborar en la realizacin de nuestro proyecto,
teniendo en cuenta que tambin se realizar un anlisis fsico de la red actual y adems,
se plantear un nuevo diseo de red, basado en las normas de cableado estructurado,
esto con el propsito de compartir recursos y hacer que todos los programas, datos y
equipos estn disponibles para cualquiera usuario de la red que as lo solicite.

1. JUSTIFICACION
Lainformacinesunrecursoquealigualquelosotrosactivos,tienenmuchovalor
para una Empresa, por lo tanto esta debe ser totalmente protegida. Implementar
polticas de seguridad ayuda a evitar amenazas y riesgos que impiden la
productividad de la Organizacin, las polticas de seguridad informticas se crean
con el fin de garantizar la continuidad de los sistemas de informacin y cumplir
conlosobjetivosplanteadosporlaInstitucin.

Es importante recalcar que, los principios de la poltica de seguridad deben ser

parte de la cultura organizacional; todo esto con el objetivo de cumplir la
confidencialidad,integridadydisponibilidaddelainformacin.

La elaboracin de un Plan de Contingencia, permitira suministrar el respaldo

necesarioencasodequelapolticafalle,estesecreaconelobjetivoderestaurarel
servicio informtico en forma rpida, eficiente, con el menor costo y prdidas
posibles. La Ilustre Municipalidad de Paute, es una organizacin que requiere de
una implementacin de polticas de seguridad y un plan de contingencia que
garantice la seguridadde la informacin que ellos consideran confidencial para la
misma.

La Ilustre Municipalidad de Paute, colaborar en la realizacin de nuestro

proyecto,teniendoencuentaquetambinserealizarunanlisisdelaredactualy
ademsseplantearunnuevodiseodelared,basadoenlasnormasdecableado
estructurado, esto con el propsito de compartir recursos y hacer que todos los
programas, datos y equipos estn disponibles para cualquiera usuario de la red
queaslosolicite.

2. PLANTEAMIENTODELPROBLEMA
LaIlustreMunicipalidaddePauteesunaentidadpblicaquesecaracterizaporla
administracin de los recursos del Cantn, los datos e informacin ingresada
dentrodelMunicipiodebenestaracompaadosdemecanismosparagarantizarla
confidencialidad,integridadydisponibilidaddelosmismos,dichaentidadhavisto
la necesidad de implementar polticas de seguridad informticas que permitan
concientizar a cada uno de los miembros del municipio sobre la importancia y
sensibilidaddelainformacin.

Frenteacadaunadelaspolticascreadas,seelaborarunplandecontingenciaque
permita dar una respuesta oportuna, adecuada y coordinada a una situacin de
emergenciacausadaporfenmenosdestructivosdeorigennaturalohumano.

Para un correcto uso de las polticas de seguridad y una aplicacin correcta del
plandecontingencia,analizaraypropondrunnuevoesquemaderedqueayudea
compartir recursos y a comunicar de mejor manera a cada uno de los miembros
quelaboranensusdepartamentos.

3. OBJETIVOS
3.1.GENERALES:
Crear polticas de seguridad y plan de contingencia, que garanticen la
confidencialidad,integridadydisponibilidaddelainformacin.
Disear el nuevo esquema de red basado en estndares de cableado
estructurado.

3.2.ESPECIFICOS:
Definir parmetros para clasificar la informacin del Ilustre Municipio de
Paute.
Definir polticas de seguridad informtica en los niveles adecuados, que
garanticenlaseguridaddelainformacin.
Definirrestriccionesdeaccesotantofsicascomolgicas,alasinstalaciones
delMunicipio.
Crear un plan de contingencia que asegure la integridad de los datos y que
tengaunacapacidadderecuperacinrpida.
Crearunplanderecuperacinantedesastres.
Disear uncableado que seadapte a los estndares y a las necesidades del
usuario.
Crear un diseo de red que permita compartir recursos como programas,
datos y equipos, y hacer que estos estn disponibles para quien los
necesite.

4. MARCOTEORICO
4.1POLTICASDESEGURIDADINFORMATICAS

Informacin: Se refiere a toda comunicacin o representacin de

conocimiento como datos, en cualquier forma, con inclusin de formas textuales,
numricas,grficas,cartogrficas,narrativasoaudiovisuales,yencualquiermedio,
yaseamagntico,enpapel,enpantallasdecomputadoras,audiovisualuotro.

Seguridad de la Informacin: Se refiere a un conjunto independiente de

recursos de informacin organizados para la recopilacin, procesamiento,
mantenimiento, transmisin y difusin de informacin segn determinados
procedimientos,tantoautomatizadoscomomanuales.Seentiendecomoseguridad
delainformacinalapreservacindelassiguientescaractersticas:

Confidencialidad: Se garantiza que la informacin sea accesible slo a

aquellaspersonasautorizadasateneraccesoalamisma.
Integridad: Se salvaguarda la exactitud y totalidad de la informacin y los
mtodosdeprocesamiento.
Disponibilidad: Se garantiza que los usuarios autorizados tengan acceso a
la informacin y a los recursos relacionados con la misma, toda vez que lo
requieran.

Adicionalmente,debernconsiderarselosconceptosde:
Autenticidad:Buscaasegurarlavalidezdelainformacinentiempo,forma
y distribucin. Asimismo, se garantiza el origen de la informacin,
validandoelemisorparaevitarsuplantacindeidentidades.
Auditabilidad:Definequetodosloseventosdeunsistemadebenpoderser
registradosparasucontrolposterior.
Proteccin a la duplicacin: Consiste en asegurar que una transaccin
sloserealizaunavez,amenosqueseespecifiquelocontrario.
Norepudio:Serefiereaevitarqueunaentidadquehayaenviadoorecibido
informacinalegueantetercerosquenolaenviorecibi.
Legalidad:referidoalcumplimientodelasleyes,normas,reglamentaciones
odisposicionesalasqueestsujetoelOrganismo.
Confiabilidad de la Informacin: Que la informacin generada sea
adecuada para sustentar la toma de decisiones y la ejecucin de las
misionesyfunciones.

PolticadeSeguridad
1
:Sedefinecomoelconjuntoderequisitosdefinidospor
los responsables directos o indirectos de un sistema que indica en trminos
generales qu est y qu no est permitido, en el rea de seguridad durante la
operacingeneraldedichosistema.

El objetivo principal de una poltica de seguridad es el de informar a los usuarios

sus obligaciones para mantener la seguridad. Esta poltica debe especificar los
mecanismosatravsdeloscualesestasobligacionesdebensercumplidas.Intentar

1
Fuente:WIKIPEDIAPOLITICASDESEGURIDAD20030808
http://www.ibiblio.org/pub/linux/docs/LuCaS/ManualesLuCAS/docunixsec/unixsec
html/node333.html
usar una serie de herramientas de seguridad sin haber antes planificado una
polticadeseguridadnotienesentido.

Unadelasrazonesmsimportantesparaimplementarunapolticadeseguridades
asegurarse de que los esfuerzos gastados en seguridad hayan valido la pena. Esto
puedeparecerobvioperosepuedeestarfcilmenteerradoenrelacinaquetanto
esfuerzoesnecesario.

Paraimplementarpolticasdeseguridadsedebenseguirlossiguientespasos:
Identificarqueseesttratandodeproteger.
Determinarcmosonlasamenazas.
Implementar medidas que protegern el patrimonio de una manera
econmicamenteefectiva.
Revisar el proceso continuamente y hacer mejoras cada vez que una
debilidadseaencontrada.

PlandeContingencia: Esuninstrumentodegestinparaelbuengobiernodelas
Tecnologas de la Informacin y las Comunicaciones en el dominio del soporte y el
desempeo.
Dichoplancontienelasmedidastcnicas,humanasyorganizativasnecesariaspara
garantizar la continuidad del negocio y las operaciones de una compaa. Un plan
de contingencias es un caso particular de plan de continuidad aplicado al
departamento de informtica o tecnologas. Otros departamentos pueden tener
planesdecontinuidadquepersiguenelmismoobjetivodesdeotropuntodevista.
El plan de contingencias sigue el conocido ciclo de vida iterativo "plandocheck
act",esdecir,"planificaactacompruebacorrige
2
".Nacedeunanlisisderiesgos

2
Fuente:ErnestoRiveraPittiPlanesdeContingenciayRespaldo
http://72.14.205.104/search?q=cache:gCtzODhpdmQJ:www.iimv.org/actividades2/Tecnolog2004
/ErnestoPlanesContingencia.ppt+QUE+ES+UN+PLAN+DE+CONTINGENCIA&hl=es&ct=clnk&cd=9&
gl=ec

donde, entre otras amenazas, se identifican aquellas que afectan a la continuidad

del servicio. Sobre dicha base se seleccionan las contramedidas ms adecuadas
entre diferentes alternativas, siendo plasmadas en el plan de contingencias junto
conlosrecursosnecesariosparaponerloenmarcha.

El plan debe ser revisado peridicamente. Generalmente, la revisin ser

consecuencia de un nuevo anlisis de riesgos. En cualquier caso, el plan de
contingencia siempre es cuestionado cuando se materializa una amenaza,
actuandodelasiguientemanera:
Si la amenaza estaba prevista y las contramedidas fueron eficaces: se
corrigensolamenteaspectosmenoresdelplanparamejorarlaeficiencia.
Si la amenaza estaba prevista pero las contramedidas fueron ineficaces:
debeanalizarselacausadelfalloyproponernuevascontramedidas.
Si la amenaza no estaba prevista: debe promoverse un nuevo anlisis de
riesgos. Es posible que las contramedidas adoptadas fueran eficaces para
una amenaza no prevista. No obstante, esto no es excusa para evitar el
anlisisdeloocurrido.

4.2.REDES

Cableado Estructurado: Se define como el sistema colectivo de cables,

canalizaciones,conectores,etiquetas,espaciosydemsdispositivosquedebenser
instalados para establecer una infraestructura de telecomunicaciones genrica en
unedificioocampus.Lascaractersticaseinstalacindeestoselementossedeben
hacer en cumplimiento de estndares para que califiquen como cableado
estructurado. El apego de las instalaciones decableado estructurado a estndares
traeconsigolosbeneficiosdeindependenciadeproveedoryprotocolo,flexibilidad
deinstalacin,capacidaddecrecimientoyfacilidaddeadministracin.

El cableado estructurado consiste en el tendido de cables en el interior de un

edificio con el propsito de implantar una red de rea local
3
. Suele tratarse de
cable de par trenzado de cobre, para redes de tipo IEEE 802.3. No obstante,
tambinpuedetratarsedefibrapticaocablecoaxial.
Otrodelosbeneficiosdelcableadoestructuradoesquepermitelaadministracin
sencilla y sistemtica de las mudanzas y cambios de ubicacin de personas y
equipos, tales como el sistema de cableado de telecomunicaciones para edificios
que presenta como caracterstica saliente de ser general, es decir, soporta una
ampliagamadeproductosdetelecomunicacionessinnecesidaddesermodificado.
Utilizando este concepto, resulta posible disear el cableado de un edificio
independiente de los productos de telecomunicaciones que luego se utilizarn
sobre l. La norma garantiza que los sistemas que se ejecuten de acuerdo a ella
soportarn todas las aplicaciones de telecomunicaciones presentes y futuras por
unlapsodealmenosdiezaos.

Elementosprincipalesdeuncableadoestructurado:
CableadoHorizontal
Cableadodelbackbone
Cuartodetelecomunicaciones
Cuartodeentradadeservicios
Sistemadepuestaatierra
Atenuacin
Capacitancia
Impedanciaydistorsinporretardo

3
Fuente:WIKIPEDIACABLEADOESTRUCTURADO14dic 2007
http://es.wikipedia.org/wiki/Cableado_estructurado

5. ESQUEMADECONTENIDOS
CAPITULOI
INTRODUCCIONALASPOLITICASDESEGURIDAD
1.1 Conceptosbsicosdepolticasdeseguridad
1.2 Reconocimientodelaempresaparalaelaboracindelaspolticas.
1.3 PolticasdeseguridaddelaIlustreMunicipalidaddePaute.
1.4 Estndaresparafijarcontraseasyclavesdeacceso.

CAPITULOII
INTRODUCCIONALPLANDECONTINGENCIA
2.1 Conceptosbsicosdeplandecontingencia.
2.2 Reconocimientodelaempresaparalaelaboracindelplandecontingencia.
2.3 EvaluacionesdeRiesgos.
2.3.1 Riegosqueafectanalaseguridaddeledificio.
2.3.2 Riegosqueafectanalaintegridaddelosdatos.
2.4 PlandeContingenciaparaLaIlustreMunicipalidaddePaute.
CAPITULOIII
DISEODELAREDPARALAILUSTREMUNICIPALIDADDEPAUTE
3.3. ConceptosdeRedes.
3.4. Anlisisderecursosactuales.
3.4.1 AnlisisfsicodelaRed
3.5. PlanteamientodeNuevoEsquemadeRed.
3.6. DefinicindeRequerimientos
3.7. DiseolgicodeLaRed.
3.8. DiseodeVLANs.
3.9. DiseoFsicodelaRed.
3.10. EsquemaDeDireccionamientoLgico.
3.11. Recursos.
3.12. Presupuesto.

6. METODOLOGIA
La metodologa que utilizaremos para el desarrollo del tema, ser el mtodo
espiralyaquemedianteestemtodolosresultadosparcialesobtenidossepuedeir
complementando a nuestro proyecto, es decir al culminar la tarea de elaboracin
de polticas de seguridad informticas, podr ser entregada a La Ilustre
Municipalidad de Paute para que tomen los correctivos necesarios y
posteriormente continuar con la siguiente tarea, hay que tener en cuenta que en
nuestroproyectosoloserealizarhastalafasedediseo.
Para la elaboracin de las polticas de seguridad, planes de contingencia y diseo
delared,serealizarenlassiguientesfases:Planificacin,AnlisisyDiseo,hay
que tener en cuenta que mediante estas fases llegaremos a cumplir con los
objetivosplanteados.
6.1 FASEDEPLANIFICACIN:
Enestafasesetendrencuenta,cadaunadelastareasplanteadasparaun
mejor desempeo de nuestro tema, es decir se definir un cronograma de
trabajo,concadaunadelastareasarealizar,tomandoencuentalapersona
responsable, el tiempo y los recursos necesarios para el cumplimiento de
dichatarea.
6.2 FASEDEANLISIS:
Enestafaseserealizalarecopilacinyanlisisdelosrequerimientos,para
el cumplimiento de esta tarea se realizaran visitas regulares al Ilustre
Municipio de Paute tanto para recopilar informacin para el desarrollo de
polticas de seguridad y plan de contingencia como para el diseo fsico y
lgicodelared.
6.3 FASEDEDISEO
A partir de la informacin recopilada realizara el diseo tanto de las
polticasdeseguridad,plandecontingenciacomodiseodelared.

7. RECURSOS
7.1 Humanos:
ElizabethMora
GloriaPrez
PersonaldelIlustreMunicipiodePaute
7.2 Materiales:
Internet
MicrosoftOffice2007
HojasdePapel
Impresoras
2Computadores:

PORTTIL:
IntelPentiumdualcoreprocessorT2060(1.6Ghz,
533MhsFSB,1MBL2Cache)
15.4WXGAAcerCrystalBriteLCD(16ms)
IntelGraphicMediaAccelerator950
120GBHDD
DVDSuperMultidoublelayer
1GBDDR2
802.11b/gwirelessLAN

PC:
IntelPIV(3.2Ghz,1MBL2Cache)
Video:VIA/S3GUniChromeProIGP
250GBHDD
UnidaddeDVDWRITTER
512MBDDR400
MonitorSamsungde15

7.3 Econmicos:
7.3.1 GASTOSVARIOS
Nombre Cantidad
Valor
Unitario
Total
Internet 5Tarjetas $4.50 $22.50
PapelBondA4 2Paquetes $3.50 $7.00
Copias 200copias $0.01 $2.00
Empastado 4empastados $5.00 $20.00
Transporte 15 $0.50 $7.50
Alimentacin 30 $1,50 $45.00
UsodeEquipos $0,00
Software $0,00
TOTAL $104.00

7.3.2 COSTOMANODEOBRA

Nombre
Nmerode
das
Nmero
Dasx8
Horas
CostoHora Total
Elizabeth
Mora
24,5das
196 $2.50 $490
GloriaPrez 24,5das 196 $2.50 $490
TOTAL 392 $2.50 $980

TOTALDEGASTOS: $1.084,00