Está en la página 1de 9

UNIVERSIDAD POLITÉCNICA SALESIANA SEDE CUENCA

FACULTAD DE INGENIERÍAS

Escuela de Ingeniería de Sistemas

Tesis previa a la obtención del Título de:

Ingeniero en Sistemas

Análisis y Diseño de Políticas de Seguridad aplicables en PYMES Caso de estudio: Cooperativa de Ahorro y Crédito “Jardín Azuayo”

AUTORES:

Marco Antonio Bermeo Álvarez

Juan Carlos Chaca Alvarado

DIRECTORA:

Ing. Bertha Tacuri Capelo

Cuenca, Febrero de 2007

1

Los conceptos desarrollados, análisis realizados y las conclusiones del presente trabajo son de exclusiva responsabilidad de los autores.

Marco Antonio Bermeo Á.

2

Cuenca, 15, de Febrero de 2007

Juan Carlos Chaca A.

DEDICATORIA

D EDICATORIA Dedico este trabajo a mí familia, y a mí mismo por el esfuerzo de

Dedico este trabajo a mí familia, y a mí mismo por el esfuerzo de haber vuelto a estudiar de nuevo a pesar de estar en condiciones no tan favorables. Al final se dio.

Marco.

Dedico este trabajo íntegramente a mi familia, especialmente a mis viejos, por haber confiado en mí, y haberme apoyado en los buenos y en los malos momentos.

3

Juan Carlos.

AGRADECIMIENTOS

A GRADECIMIENTOS Queremos expresar nuestro agradecimiento a nuestra familia por su apoyo incondicional durante todos

Queremos expresar nuestro agradecimiento a nuestra familia por su apoyo incondicional durante todos estos años de estudio.

De igual manera queremos agradecer a las siguientes personas:

Ing. Bertha Tacuri, tutora de nuestra tesis, Ing. Guillermo Marro, profesor del módulo de Seguridad Informática y de igual manera, un agradecimiento especial al Ing. Carlos Gilberto Delgado Beltrán, quien nos brindó su apoyo durante el desarrollo de nuestro tema.

Asimismo nuestro agradecimiento a:

Eco. Juan Carlos Urgilés, Gerente de la Cooperativa de Ahorro y Crédito “Jardín Azuayo” y al Sr. José David Ávila e Ing. Guillermo Cabrera, encargados del área de Comunicaciones del Dpto. de Sistemas, por ayudarnos en la realización de nuestro trabajo práctico

4

Análisis y Diseño de Políticas de Seguridad aplicables en PYMES – Caso de estudio:

Cooperativa de Ahorro y Crédito “Jardín Azuayo”

5

ÍNDICE DE CONTENIDOS

ÍNDICE DE CONTENIDOS

6

CAPÍTULO 1

10

INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA

11

SEGURIDAD INFORMÁTICA

13

SEGURIDAD FÍSICA Y SEGURIDAD LÓGICA EN LAS TECNOLOGÍAS DE LA INFORMACIÓN

14

Seguridad Física en las TI

14

Seguridad Lógica en las TI

14

Alcance

15

PREMISAS BÁSICAS DE SEGURIDAD

16

Confidencialidad

16

Integridad

17

Disponibilidad

17

POLÍTICAS Y MECANISMOS DE SEGURIDAD INFORMÁTICA

20

Política de Seguridad

20

Mecanismo de seguridad

20

Documentación formal de la seguridad informática

22

BREVE HISTORIA DE LOS CONTROLES DE INFORMACIÓN

23

CAPÍTULO 2

25

SEGURIDAD FÍSICA

26

AMENAZAS CONTRA LA SEGURIDAD FÍSICA

26

Naturales

26

Artificiales

27

RIESGOS Y CONTROLES EN LA SEGURIDAD FÍSICA

28

Riesgos

28

Controles de seguridad de acceso

29

RECOMENDACIONES

31

SEGURIDAD LÓGICA

32

FUNDAMENTOS

32

Riesgos, Amenazas y Ataques

32

Amenazas: Taxonomías

32

Sistema Seguro

33

Clasificación de Mecanismos

33

Hipótesis de Confianza

34

Confianza en Todas las Etapas

34

PRINCIPIOS UNIVERSALES DE LA SEGURIDAD

36

CICLO DE LA SEGURIDAD

38

MODELADO DE ADVERSARIOS

39

MODELOS DE CONTROL DE ACCESO (AAA)

40

Autenticación

40

Autorización

47

Accounting

53

PARADIGMAS DE ATAQUES INFORMÁTICOS

55

Ataques: Tendencias

56

Denegación de Servicios (Denial of Service –DoS)

56

Intrusión

57

Intrusión: Rootkits

57

Man in the Middle – MITM (Hombre en la mitad)

58

Buffer Overflow (BOF)

59

Format Strings

59

Malware

60

6

Phishing (Pesca)

65

Hoaxes (Bromas)

68

Inyecciones de SQL (SQL Injections)

68

Cross Site Scripting (XSS)

70

Spoofing (engaño)

72

Correo No Solicitado (SPAM)

72

Esteganografía

73

Canales Encubiertos (Covert Channels)

74

Ingeniería Social

75

INFRAESTRUCTURA DE DEFENSA

76

Evolución en Modelos de Seguridad

76

Dispositivos de Defensa

78

CAPÍTULO 3

91

GUÍA PARA LA ELABORACIÓN Y CREACIÓN DE POLÍTICAS DE SEGURIDAD

92

GUÍA PARA LA ELABORACIÓN DE POLÍTICAS DE SEGURIDAD

92

Por qué tener políticas

92

Definición de Política

94

Política

95

Estándar

95

Mejor Práctica

95

Guía

96

Procedimiento

96

Elementos claves de una política

98

Etapas en el desarrollo de una política

99

Fase de Desarrollo – Creación

100

Fase de Desarrollo – Revisión

101

Fase de Desarrollo – Aprobación

102

Fase de Implementación – Comunicación

102

Fase de Implementación – Cumplimiento

103

Fase de Implementación – Excepciones

103

Fase de Mantenimiento – Concienciación

104

Fase de Mantenimiento – Monitoreo

104

Fase de Mantenimiento – Garantía de cumplimiento

105

Fase de Mantenimiento – Mantenimiento

105

Fase de Mantenimiento – Retiro

106

Prácticas recomendadas para escribir una política

107

Aspectos importantes para definir responsabilidades en el desarrollo de políticas

108

Separación de tareas

109

Eficiencia

109

Alcance del control

110

Autoridad

110

Conocimiento

110

Aplicabilidad

111

Responsabilidades en el modelo de ciclo de vida de la política

111

CREACIÓN DE POLÍTICAS DE SEGURIDAD

119

Políticas de seguridad para ambientes físicos

119

El edificio

119

Los suministros de energía del edificio

119

Los enlaces de comunicaciones del edificio

121

Los accesos físicos al edificio

123

El acceso al centro de computación

124

La seguridad contra incendios y otros desastres

125

Planes de evacuación del personal

126

Seguridad física de los respaldos

126

Sistemas de redundancia de servidores y almacenamiento de datos

127

Control de marcado de edificios y Warchalking

128

El entorno físico del hardware

129

Comunicaciones: Interconexión de redes y sistemas

130

Acceso físico al hardware

132

7

Localización física del hardware

134

Control de acceso al hardware. Control de acceso del personal

134

Sistemas de control del hardware y su integridad

136

Planes de evacuación de hardware y equipos

137

El entorno de trabajo del personal y su interacción con el hardware

138

Planificación de espacio para hardware y dispositivos. Montaje en racks

140

Control de la temperatura y la humedad del entorno. Monitorización

141

Máquinas y dispositivos de escritorio

142

Servidores y dispositivos concentradores, enrutadores y pasarelas

142

Cableado eléctrico

143

Cableado telefónico

144

Cableado de redes

144

Llaves, cerraduras y armarios

145

Cámaras de seguridad y su monitorización

146

Control de ventanas y visibilidad desde el exterior

147

Control de desechos y basura

147

Políticas de seguridad para ambientes lógicos

148

Seguridad de la red

149

Chequeo del tráfico de la red

150

Monitoreo de los volúmenes de correo

150

Monitoreo de conexiones activas

150

Verificación de las máquinas de los usuarios

151

Monitoreo de los puertos en la red

151

Seguridad del sistema

151

Modificación de archivos

152

Resguardo de copias de seguridad

152

Seguridad del usuario

152

Alta de cuenta de usuario

153

Baja de cuenta de usuario

154

Programas de seguridad

155

Programa para determinar buenas contraseñas

155

Sistema de verificación de accesos

156

Cómo dar a publicidad las nuevas normas de seguridad

156

Recomendaciones para establecer el nivel mínimo de seguridad necesario para una PYMES 157

Estructura de seguridad en niveles

157

Identificación de amenazas – ataques tanto de INSIDERS como OUTSIDERS

158

Infraestructura de defensa básica propuesta

159

CONCLUSIONES

161

CAPÍTULO 4

163

CASO DE ESTUDIO: COOPERATIVA DE AHORRO Y CRÉDITO “JARDÍN AZUAYO” 164

OBJETIVO GENERAL

164

ANTECEDENTES

165

Breve historia de la Cooperativa de Ahorro y Crédito “Jardín Azuayo”

165

Misión

166

Visión

166

Estructura Organizacional

167

ALCANCE

168

EVALUACIÓN DE RIESGOS

169

Etapa 1 – Evaluación de riesgos

169

1. Identificación de activos de la empresa

169

2. Tasación de activos. Filtración de los activos más importantes

171

3. Identificación de amenazas que pueden afectar a la empresa

173

4. Posibilidad de ocurrencia de amenazas

185

5. Identificación de vulnerabilidades

197

6. Posible explotación de vulnerabilidades

206

7. Estimación del valor de los activos en riesgo

219

8. Posibilidad de ocurrencia del riesgo

220

9. Valor del riesgo de los activos

234

POLÍTICAS DE SEGURIDAD PARA LA COOPERATIVA DE AHORRO Y CRÉDITO “JARDÍN AZUAYO

235

8

Etapa 2 – Políticas de seguridad, conclusiones y recomendaciones

235

1. Elaboración de políticas de seguridad, estableciendo un nivel mínimo de seguridad 235

Nivel de Datos

235

Nivel de Aplicación

236

Nivel de Host

236

Nivel de Red

237

Nivel de Perímetro

237

Nivel de Seguridad Física

238

Directivas, Procedimientos y Concienciación

238

CONCLUSIONES Y RECOMENDACIONES

240

Etapa 3 – Conclusiones y recomendaciones

240

1. Conclusiones

240

2. Recomendaciones

241

BIBLIOGRAFÍA

242

9