1.

SERVICIOS WEB

Se define a los servicios web como sistemas software diseados para soportar una
interaccin interoperable mquina a mquina sobre una red. Los servicios web suelen
ser APIs web que pueden ser accedidas dentro de una red (internet) y son ejecutados
en el sistema que los aloja.
En un servicio Web es importante mencionar los elementos que intervienen en el uso e
implementacin, estos son:
Agente: es una aplicacin escrita usando algn lenguaje de programacin ejecutada
bajo una plataforma especfica.
Servicio: es una idea o concepto que debe ser implementado por algn agente.
Proveedor: es la entidad, persona u organizacin que desarrolla un agente capaz de
soportar un determinado servicio.
Cliente: es la entidad, persona u organizacin que realiza la consulta o peticin a la
entidad proveedora.
Descripcin: del Servicio son todos los elementos de un servicio: el formato de los
mensajes, los tipos de datos, los protocolos de transporte a travs de los cuales el
servicio est disponible y los distintos formatos de serializacin.
Semntica: de un Servicio Web se refiere a qu se espera que haga el Servicio Web
cuando le enviamos una peticin.

Los Servicios Web se construyen a partir de piezas dispares, desarrolladas por distintos
fabricantes y tecnologas que estn funcionando de manera autnoma. Los organismos
ms importantes de estandarizacin son:

ANSI
IEEE
ISO
W3C
OASIS
Los estndares tratan de describir y definir todo lo referente a los servicios, desde
cmo se escriben o se localizan hasta cmo se representa la informacin, pasando por
la forma mediante la cual se deben comunicar.

2. VENTAJAS Y DESVENTAJAS DE LOS SERVICIOS WEB

Entre las ventajas podemos destacar:
Estandarizacin
Fcil implementacin
Integracin
Interoperabilidad
Desventajas
Bajo nivel de desarrollo
Rendimiento
Inseguridad
Interdependencia
Seguridad
Las decisiones de seguridad siempre deben ser hechas con una comprensin de las
amenazas que enfrenta el sistema que est siendo protegido.

Entre las principales amenazas mencionaremos:

Alteracin de mensajes: Un agresor inserta remueve o modifica la informacin con un
mensaje que engaa al destinatario. Afecta a la integridad del mensaje.

Perdida de confidencialidad: La informacin dentro de un mensaje es divulgada a un
individuo no autorizado.

Suplantacin de identidad: Un agresor construye y enva un mensaje con credenciales
falsificadas de una entidad autorizada, suplantando su identidad.

Reclamos falsificados: Un agresor construye un mensaje con una credencial falsa que
parece valida al destinatario.

Repeticin de mensajes: Un agresor reenva un mensaje previamente enviado.
Mensajes falsificados: Mensajes ficticios que un agresor intenta recibir para entregar,
son enviados de un remitente valido.

La prioridad de estas amenazas puede variar dependiendo de las necesidades y
propsito de las organizaciones. Algunas veces, los mensajes no necesitan mantenerse
confidenciales as que la perdida de confidencialidad no sera un aspecto a considerar


3. DIRECTIVAS DE SEGURIDAD
Las directivas definen las reglas que determinan la forma en que se protege una
aplicacin, el modo en que se administra, as como la forma en que los distintos
componentes de una aplicacin se comunican entre s con los servicios externos, estas
directivas afectan al diseo de la capa de servicio.

El conocimiento de las directivas de cada componente, permite definir las zonas en las
que ste se ejecutar y constituye un aspecto fundamental a la hora de determinar
dnde se implementarn los componentes. La directiva de seguridad se ocupa de la
autenticacin, autorizacin, comunicacin segura, auditora y administracin de
perfiles, tal como muestra la figura:


Fig.1 Directivas de seguridad de una red

3.1. AUTENTICACION

La autenticacin se define como identificacin segura, que bsicamente quiere decir
que dispone de un mecanismo para identificar con seguridad a los usuarios que se
adecuan a los requisitos de seguridad de su aplicacin

3.2. AUTORIZACION

Se ocupa de la identificacin de las acciones permitidas para cada usuario de seguridad
autenticado. En otras palabras quin puede hacer qu.

3.3. COMUNICACION SEGURA

Las comunicaciones seguras implican proteger las transferencias de datos entre
componentes y servicios remotos. Dentro de esto se puede considerar:

Asegurar el canal
Asegurar los datos
Administracin de perfiles
Auditoria

4. Informacin
Es un conjunto organizado de datos en cualquier forma texto, grficos, cartogrficos,
etc. Que puede estar almacenada en cualquier medio, ya sea magntico, en papel, en
pantallas de computadoras, etc. La informacin constituye un mensaje sobre un
determinado ente o fenmeno.
4.1. Seguridad de la Informacin: Se refiere a un conjunto independiente de
recursos de informacin organizados para la recopilacin, procesamiento,
mantenimiento, transmisin y difusin de informacin segn determinados
procedimientos, tanto automatizados como manuales. Se entiende como seguridad de
la informacin a la preservacin de las siguientes caractersticas:[1]

Confidencialidad: Se garantiza que la informacin sea accesible slo a aquellas
personas autorizadas a tener acceso a la misma.
Integridad: Se salvaguarda la exactitud y totalidad de la informacin y los mtodos
de procesamiento.
Disponibilidad: Se garantiza que los usuarios autorizados tengan acceso a la
informacin y a los recursos relacionados con la misma, toda vez que lo requieran.
Autenticidad: Consiste en asegurar la validez de la informacin en tiempo, forma y
distribucin. Asimismo, se garantiza el origen de la informacin, validando el
emisor para evitar suplantacin de identidades
Auditabilidad: Define que todos los eventos de un sistema pueden ser registrados
para su control posterior.
Proteccin a la duplicacin: Consiste en asegurar que una transaccin slo se
realiza una vez, a menos que se especifique lo contrario.
No repudio: Se refiere a evitar que una entidad que haya enviado o recibido
informacin alegue ante terceros que no la envi o recibi.
Legalidad: referido al cumplimiento de las leyes, normas, reglamentaciones o
disposiciones a las que est sujeto el Organismo.
Confiabilidad de la Informacin: Que la informacin generada sea adecuada para
sustentar la toma de decisiones y la ejecucin de las misiones y funciones.

5. Poltica de Seguridad

Se define como el conjunto de requisitos definidos por los responsables directos o
indirectos de un sistema que indica en trminos generales qu est y qu no est
permitido, en el rea de seguridad durante la operacin general de dicho sistema.
El objetivo principal de una poltica de seguridad es el de informar al mayor nivel de
detalle a los usuarios, empleados y gerentes de las normas y mecanismos que deben
cumplir y utilizar para proteger los componentes de los sistemas de la organizacin.
Se debe tener en cuenta que las polticas pueden especificarse como un conjunto de
leyes, reglas y prcticas que: gestionan, protegen y distribuyen informacin sensible o
de alto riesgo en una organizacin ya sea pblica o privada.[3]

5.1. Elementos de una Poltica de Seguridad Informtica
Para la creacin de las Polticas de Seguridad Informtica se deben considerados los
siguientes elementos [4]:
Objetivos de la poltica y descripcin clara de los elementos involucrados en su
definicin.
Alcance de las polticas, incluyendo facilidades, sistemas y personal sobre la cual se
va a aplicar.
Responsabilidades por cada uno de los servicios y recursos informticos aplicado a
todos los niveles de la organizacin.
Requerimientos mnimos para configuracin de la seguridad de los sistemas que
abarca el alcance de la poltica.
Definicin de violaciones y sanciones por no cumplir con las polticas establecidas.
Responsabilidades de los usuarios con respecto a la informacin a la que tiene
acceso.

5.2. Mtodos para desarrollar una poltica de seguridad

Para desarrollar una poltica de seguridad, se deben seguir 5 fases interrelacionadas.
[5]

Anlisis y valoracin de riesgos
Construccin de la poltica
Implantacin de la poltica
Mantenimiento de la poltica
Implicacin de todo el componente humano
En este estudio se realiza las dos primeras fases de las 5 citadas.
Anlisis y valoracin de riesgos.- La primera fase a realizar consiste en un exhaustivo
anlisis de los riesgos de seguridad para identificar el estado en que se encuentra la
seguridad dentro de la organizacin y proponer contramedidas como salvaguardas,
medidas de seguridad o controles para que se puedan cumplir los objetivos de negocio
establecidos.
El objetivo primario de esta fase es determinar las amenazas a las que se es susceptible
la informacin de nuestra organizacin. Hecho esto se deben estimar los riesgos
asociados a cada uno de ellas. El riesgo a que ocurra una amenaza se refiere al impacto
de esta ocurrencia en los objetivos del negocio.
La fase de anlisis y valoracin de riesgos puede subdividirse en dos etapas la
identificacin y priorizacin de amenazas y el establecimiento de salvaguardas.
6. Sistema de gestin de seguridad de la informacin [6]
La organizacin debe establecer, implementar, operar, monitorear, mantener y
mejorar continuamente un SGSI documentado dentro del contexto de las actividades
comerciales generales de la organizacin y los riesgos que enfrentan.
6.1. Establecer el SGSI
La organizacin debe hacer lo siguiente:
a) Definir el alcance y los limites del SGSI en trminos de las caractersticas del
negocio, la organizacin, su ubicacin, los activos.

b) Definir una poltica SGSI en trminos de las caractersticas del negocio, la
organizacin, su ubicacin, activos, tecnologa.

c) Definir el enfoque de la evaluacin de riesgo de la organizacin.

1) Identificar una metodologa de clculo de riesgo adecuado para el SGSI y los
requerimientos identificativos de seguridad, legales y reguladores de la
informacin comercial
2) Desarrollar los criterios para aceptar los riesgos e identificar niveles de
riesgo aceptables.

d) Identificar riesgos

1) Identificar los activos dentro del alcance del SGSI y los propietarios de estos
activos.
2) Identificar las amenazas para aquellos activos
3) Identificar las vulnerabilidades que podran ser explotadas por las
amenazas.
4) Identificar los impactos que pueden tener las prdidas de confiabilidad,
integridad y disponibilidad sobre los activos

e) Analizar y evaluar el riesgo

1) Calcular el impacto comercial sobre la organizacin que podra resultar de
una falla de la seguridad, comando en cuenta las consecuencias de una
perdida de confiabilidad, integridad y disponibilidad sobre los activos
2) Calcular la probabilidad realista de que ocurra dicha falla a la luz de las
amenazas y vulnerabilidades prevalecientes y los impactos asociados con
estos activos, y los controles implementados actualmente

f) Identificar y evaluar las opciones para el tratamiento de los riesgos
Las opciones posibles incluyen:

1) Aplicar los controles apropiados;
2) Aceptar los riesgos consiente y objetivamente, siempre que satisfagan
claramente las polticas y el criterio de aceptacin del riesgo de la
organizacin
3) Evitar riesgos; y
4) Transferir los riesgos comerciales asociados a otras entidades, por ejemplo,
aseguradoras

g) Seleccionar los objetivos de control y controles para el tratamiento de los
riesgos
h) Obtener la autorizacin de la gerencia para implementar y operar el SGSI
i) Preparar un enunciado de aplicabilidad







Desarrollo
Para la realizacin de las polticas de seguridad, nosotros escojimos como entidad la
UTPL, debido a informacin que se nos fue facilitada acerca de esta institucin.

1. Arquitectura de la RED
La UTPL en la actualidad tiene un set de servicios levantados donde se incluye varias
herramientas y plataformas que soportan la implantacin SOA para la creacin de
servicios web y seguridad de los mismos. Es posible que coexistan estas plataformas
dentro del entorno de desarrollo de servicios Universitarios pero la clave es lograr la
coexistencia dentro de un ambiente orientado a servicios.
Una arquitectura SOA (Arquitectura orientada a servicios), establece un marco de
diseo para la integracin de aplicaciones independientes de manera que desde la red
pueda accederse a sus funcionalidades, las cuales se ofrecen como servicios. La forma
ms habitual de implementarla es mediante Servicios Web, una tecnologa basada en
estndares e independiente de la plataforma, Los elementos clave de una SOA son los
mensajes intercambiados entre agentes que actan solicitando los servicios o
hacindose proveedores de los mismos, compartiendo los mecanismos de transporte
que permiten el flujo de los mensajes con una descripcin pblica de esos elementos,
etc.
El protocolo SOAP es considerado en 50% de los desarrolladores de a universidad,
mientras los protocolos XML-RPC, JAX-RPC, HTTP-POST se toman en cuenta en un
12,5% la desventaja que presenta es normativas propietarias y son XML embebido u
otras alternativas ligadas a la plataforma que hacen uso de libreras y recursos propios
de cada tecnologa.
SOAP proporciona un mecanismo estndar para empaquetar mensajes compartidos
por varias aplicaciones. Este protocolo define una envoltura simple de XML para la
informacin que se transfiere y un conjunto de normas para traducir los tipos de datos
de plataformas especficas al XML. Su diseo lo hace adecuado para una amplia
variedad de aplicaciones de mensajera lo que ha contribuido a su creciente
popularidad. Entre las ventajas de SOAP tenemos:

No est asociado con ningn lenguaje.
No est asociado con ningn protocolo especfico.
Aprovecha los estndares existentes en la web (XML, HTTP y SMTP).
Permite la interoperabilidad entre mltiples entornos.
El estndar XML (lenguaje de marcas extendidas), que es un metalenguaje que define
la sintaxis utilizada para definir otros lenguajes de etiquetas estructurados. En los
servicios web es el formato estndar para el intercambio de mensajes.
Entre sus caractersticas principales tenemos: Permite la comunicacin entre distintas
plataformas de software y hardware. Simplicidad de sintaxis ya que es muy fcil de
escribir etiquetas XML y la representacin de los datos es comprensible por cualquier
ser humano
Topologa bsica
A continuacin se podr observar la topologa bsica de la UTPL, excluyendo algunos
servicios y recalcando otros, en base a la informacin obtenida.
En la figura xx se puede apreciar que la UTPL cuenta con dos ISP, un principal y un
backup, llegando a un firewall, que permite el acceso a la DMZ externa donde todos los
usuarios con acceso a internet pueden comunicarse, ya sea que este terminal se
encuentre dentro o fuera del campus universitario, accediendo a aplicaciones tales
como Eva, biblioteca.

EVA
Biblioteca
SGA
DNS
externo
Swwitch-core
ISP
(P)
ISP
(B)
Wifi Balcon secretarias Financiera
Fire-wall
CISCO-ASA
DMZ
Interna
VLANS
Financiero
(BANN)
NSGA
Base de
datos
aplicaciones


Posteriormente va a un swicth de core de donde se subdivide en diferentes vlans
disponibles en la universidad cerca de 30. Solo los usuarios permitidos podrn
comunicarse con la DMZ interna, por un proceso de autenticacin y adems siempre
que estos usuarios se encuentre dentro de la intranet de la universidad, por lo que no
ser visible para las dems personas que no estn autorizadas o que se encuentren
fuera del campus universitario.

Debido a polticas mismas de la institucin no nos es posible conocer los equipos y por
ende las capacidades de los mimos, pero se detallara algunas caractersticas de ciertos
componentes, que deberan tener dentro de la red.
Por ejemplo el firewall CISCO-ASA debe darnos una proteccin integral contra las
amenazas y malware basadas en la web segura, adems la capacidad de poder trabajar
de manera ininterrumpida, usa el reconocimiento de dispositivos, la reputacin de la
red de origen, el valor de destino y la identidad del usuario para impulsar las
decisiones sobre mitigacin
El switch core debe tener gran capacidad y ancho de banda que permita un gran
nmero de conexiones por segundo y por ende mltiples sesiones adems con
mltiples puertos los que permitirn la expansin en caso de ser necesaria, lo que se lo
realiza atreves de un router o un switch. Adems tiene que soportar comunicaciones
ininterrumpidas y con fuentes de alimentacin intercambiables, adems Ventiladores
para disipar calor y mdulos de red.

2. Servicios UTPL
Nuestra universidad cuenta con un gran nmero de servicios pero en este caso solo
hablaremos de 3 debido a la importancia que estos tienen dentro de la universidad.
EVA
El entorno virtual de aprendizaje proporciona a la comunidad universitaria los
siguientes servicios web, como son, biblioteca, dspace (repositorio digital UTPL) y
celsisus biblioteca electrnica. Todos estos servicios se desarrollaron utilizando el
lenguaje de programacin PHP y un servidor apache, y se utiliza una base de datos de
MySQL esta es una base de datos abierta, adems utilizada por muchos sitios web de
gran escala y populares como facebook, twiter.
Esta homogeneidad, referida a la plataforma de desarrollo utilizada, es posible gracias
a las polticas fijadas en este departamento sobre el desarrollo de los servicios web.











Base De Datos de la aplicacin (Carga y calificacin de evaluaciones)
Es un servicio web que permite el acceso a un repositorio (base de datos) para
proveer datos, y los desarrollados para ambientes de colaboracin en lnea, donde
puede haber concurrencia. Organizando la informacin dependiendo de sus atributos.
Las operaciones las realizan sobre una base de datos son llamados procedimientos en
cuyo caso pueden ser: consulta o modificacin. Como ejemplos tenemos:
Herramientas de colaboracin, Grupos de discusin en lnea, Sistemas de autora
distribuida, Bibliotecas en lnea, etc.
Para acceder a todos estos datos se usa un programa servidor que permite consultar la
base de datos mediante un lenguaje llamado SQL. El SQL permite aadir datos a la
base de datos, modificarlos, eliminarlos o hacer consultas para extraer informacin
cliente
Servidor
Web
Lenguaje PHP
Base de datos (SQL)

Infraestructura de red
En esta rea haremos referencia acerca de las vlans disponibles en el campus, que
permiten el acceso a los usuarios de la universidad, se subdivide en tres grupos
principales
Campus UTPL: Es una red de conexin a internet, esta red es disponible para todos los
usuarios pero para poder general trafico se tiene que pasar por el proceso de
autentificacin del usuario. Debido a la cantidad de estudiantes en la universidad su
ancho de banda resulta insuficiente, para satisfacer a todos los usuarios.
Profesionales UTPL: Esta red permite acceder a los docentes de la universidad a
internet va inalmbrica, de igual manera se tiene que realizar la autenticacin de los
usuarios, al ser menor cantidad de docentes esta red es mas rapida que la red campus
UTPL.
Invitados UTPL: Esta red es utilizada por los profesionales invitados, tales como
conferencistas, posee las mismas caractersticas respecto a la autentificacin y resulta
ser la que menor trafico genera de todas las redes disponibles

3. Anlisis de riesgos

a. Anlisis de activos informticos

En la figura 3 se realiza el anlisis de activos de la UTPL, los activos informticos ms
importantes se colocan en la elipse ms interna y viceversa. La relacin de
dependencia entre los activos se muestra a travs de las flechas.










Backups
Servidor de
base de datos
Servidor de
Aplicaciones
Arquitectura
de Red
Financiero
NSGA
















Figura 3. Anlisis de activos

Para la tasacin de activos, se manejara una escala cualitativa que vara entre:

Alta => A
Media => M
Baja => B

Se toman en cuenta tres caractersticas de la seguridad, confidencialidad,
disponibilidad e integridad.

Activo Caractersticas de seguridad Total
Confidencialida
d
Disponibilida
d
Integrida
d
Servidor de base de Datos B B A B
Backup A A A A
Financiero A A A A
Arquitectura de red B B A B
NSGA A B A A
Servidor de aplicaciones B B A A
DNS A A A A
Firewall A A A A
EVA A B A A
SGA A B A A
Biblioteca A M M M
b. Anlisis de amenazas

Los activos ms importantes y que tienen un considerable grado de vulnerabilidad son:

Servidor de aplicaciones. Carga y calificacin de evaluaciones
Infraestructura de red
EVA

Las polticas de seguridad sern dirigidas para estos servicios

A continuacin se listan las amenazas para los activos mencionados.

Amenazas detectadas para el Servidor de aplicaciones. Carga y calificacin de
evaluaciones

1. Acceso no autorizado al servidor (daos en la informacin)
2. Manejo de contraseas negligente
3. Denegacin de servicios
4. Entrada de personas no autorizada a las habitaciones de los servidores
5. Falta de cuidado en el manejo de la informacin confidencial
6. Daos a la infraestructura de red
7. Robo de informacin
8. Robo
9. Riesgo de dao por parte del personal de servicios auxiliares (mantenimiento y
limpieza)
10. Falta de espacio de almacenamiento
11. Malware: virus, gusanos, backdoors, troyanos,bombas lgicas
12. No-cumplimiento con las medidas de seguridad

Amenazas detectadas para la arquitectura de red

1. Ancho de banda insuficiente
2. Gran nmero de puntos de red activos
3. Corte de luz, UPS con poca capacidad.
4. Daos a la infraestructura de red
5. Documentacin insuficiente o faltante, funciones no documentadas
6. Entrada de personas no autorizada a las habitaciones de los servidores
7. Omisin de las medidas de seguridad del sistema
8. Riesgo de dao por parte del personal de servicios auxiliares (mantenimiento y
limpieza)
9. Robo
10. Spoofing
11. Sniffing
12. Denegacin de servicios debido al uso descontrolado de recursos
13. Malware: virus, gusanos, backdoors, troyanos, bombas lgicas

Amenazas detectadas Servidor de aplicaciones.

1. Software sin licencia
2. Documentacin insuficiente
3. Entrada de personas no autorizada a las habitaciones de los servidores
4. Ingeniera social - Ingeniera social inversa
5. Mal uso de derechos de administrador
6. Omisin de las medidas de seguridad del sistema
7. Riesgo por el personal de servicios auxiliares (mantenimiento y limpieza)
8. Robo
9. Robo de informacin
10. Software desactualizado
11. Sniffing
12. Rootkits
13. Malware: virus, gusanos, backdoors, troyanos, bombas lgicas.

c. Identificacin de vulnerabilidades

Una vez determinadas las amenazas para los servicios analizados se procede a
determinar las vulnerabilidades frente a dichas amenazas.

Vulnerabilidades del EVA

Amenaza Vulnerabilidades
Acceso no autorizado al
servidor (daos en la
informacin)

Robo de informacin
Modificacin de la informacin
Manejo de contraseas
negligente
Contraseas fciles de craquear
Permitir la repeticin de contraseas
Divulgacin de contraseas
Falta de cuidado en el
manejo de la informacin
confidencial

Divulgacin de datos
Robo o modificacin de la informacin
No cumplimiento de las
medidas de seguridad del
sistema
Robo o modificacin de la informacin
sabotaje interno
Robo Perdida de equipamiento
Robo de informacin Divulgacin de informacin
Exalumnos con cuentas activas.
Malware: virus, gusanos,
backdoors, troyanos,
bombas lgicas
Inestabilidad y mal funcionamiento del sistema
No se cuenta con actualizaciones del antivirus
Vulnerabilidades de la arquitectura de red
Amenazas Vulnerabilidades
Conexiones todava activas Posibles intrusiones a la LAN
Intrusin de usuarios no autorizados al sistema
Entrada de personas no
autorizada a las habitaciones
de los servidores

Robo de equipos o respaldos
Prdida de informacin
Omisin de las medidas de
seguridad del sistema

Robo o modificacin de la informacin, sabotaje
interno
Riesgo por el personal de
servicios auxiliares
(mantenimiento y limpieza)

Daos en cables o equipos
Interrupcin del servicio de red

Robo Prdida de equipamiento
Prdida de informacin
Falta de personal de seguridad
Malware: virus, gusanos,
troyanos, bombas lgicas.
Inestabilidad y mal funcionamiento del sistema
No se cuenta con actualizaciones del software
antivirus
Daos a la infraestructura de
red

Falta normas que regulen el acceso a los dispositivos
de red
Falta de dispositivos de seguridad: sensores de
humo, fuego, etc.
Falta de control para evitar el ingreso de dispositivos
de almacenamiento de datos
Vulneravilidades del servidor de aplicaciones
Amenazas Vulneravilidades
Aplicaciones sin licencia Multas y problemas con software legal Mal
funcionamiento de los sistemas
Entrada de personas no
autorizada a las habitaciones
de los servidores

Robo de equipos o insumos
Divulgacin de datos
Prdida de informacin
No cumplimiento con las
medidas de seguridad del
sistema
Robo o modificacin de la informacin, sabotaje
interno
Riesgo por el personal de
servicios auxiliares
(mantenimiento y limpieza)
Daos en cables o equipos
Interrupcin del sistema online

Robo Prdida de equipamiento
Prdida de informacin
Malware: Virus, gusanos,
troyanos, bombas logicas
Inestabilidad y mal funcionamiento del sistema
No se cuenta con actualizaciones del software
antivirus
Daos a la infraestructura de
red

Falta normas que regulen el acceso a los dispositivos
de red
Falta de dispositivos de seguridad: sensores de
humo, fuego, etc.
Falta de control para evitar el ingreso de dispositivos
de almacenamiento de datos

d. Probabilidad de ocurrencia

Representa la probabilidad de que ocurran las vulnerabilidades mencionadas, en una
escala cualitativa que vara entre:

Alta =>A
Media => M
Baja => B
Probabilidad de ocurrencia de las amenazas existentes en el EVA
Amenaza Vulnerabilidades Prob.
Acceso no autorizado
a datos( Borrado,
modificacin. etc)
Robo de informacin

M
Modificacin de la informacin B
Manejo de
contraseas
negligente
Permitir la repeticin de contraseas M
Contraseas dbiles y fciles de craquear A
Divulgacin de contraseas A
Uso indebido de derechos de usuario M
Entrada sin
autorizacin a
habitaciones
Robo de equipos o insumos B
Divulgacin de datos M
Perdida de informacin M
Falta de cuidado en el
manejo de
informacin, por
ejemplo: contraseas
Divulgacin de datos M
Robo o modificacin de la informacin M
Robo o modificacin de la informacin, M
Sabotaje interno M
Riesgo por el personal
de limpieza o personal
externo
Daos en cables o equipos A
Interrupcin del sistema online A
Errores de transmisin o interrupcin del servicio
de red
A
Prdida de tiempo de los usuarios A
Robo Perdida de equipamiento B
Prdida de informacin M
Falta de personal de seguridad M
Robo de informacin Divulgacin de informacin M
Falta de caducidad de las cuentas de usuario no
activos
B
Malware: virus,
gusanos, troyanos,
bombas lgicas
Inestabilidad y mal funcionamiento del sistema

M
No se cuenta con actualizaciones del antivirus B
Daos a las
instalaciones
Falta de directivas de seguridad del acceso fsico A
Falta de dispositivos de seguridad: sensores de
humo, fuego, etc.
M
Falta de personal de seguridad A
Falta de procedimientos de acceso a las
instalaciones
A
Falta de limitacin de los dispositivos de entrada
de Datos
A
Falta de simulacros

A
Arquitectura de red
Amenazas Vulnerabilidades PROB
Conexiones todava
activas
Posibles intrusiones y robo o divulgacin de
informacin
M
Dificultad en la administracin y en el
Mantenimiento
M
Intrusin de usuarios no autorizados al sistema M
Entrada sin
autorizacin a
habitaciones
Robo de equipos o respaldos M
Divulgacin de datos A
Prdida de informacin B
No cumplimiento con
las medidas de
seguridad del sistema
Medidas correctivas tomadas por la gerencia,
segn la gravedad del incidente
M
Robo o modificacin de la informacin, sabotaje
interno
B
Riesgo por el personal
de limpieza o por los
estudiantes
Daos en cables o equipos M
Interrupcin del sistema online M
Errores de transmisin o interrupcin del servicio
de red
B
Prdida de tiempo de los usuarios M
Robo Prdida de equipamiento B
Prdida de informacin B
Falta de personal de seguridad B
Malware: virus,
gusanos`, troyanos,
bombas lgicas.
Inestabilidad y mal funcionamiento del sistema B
No se cuenta con actualizaciones del software
antivirus
B
Daos a las
instalaciones
Falta de directivas de seguridad del acceso fsico

A
Falta de dispositivos de seguridad: sensores de
humo, fuego, etc.
M
Falta de personal de seguridad A
Falta de procedimientos de acceso a las
instalaciones
B
Falta de limitacin de acceso a cables de red,
bocas, repetidores y terminadores
A
Servidor DNS
Amenazas Vulneravilidades PROB
Aplicaciones sin
licencia
Multas y problemas con software legal Mal
funcionamiento de los sistemas
B
No cumplimiento con
las medidas de
seguridad del sistema
Medidas correctivas tomadas por la gerencia,
segn la gravedad del incidente
A
Robo o modificacin de la informacin, sabotaje
interno
M
Robo Prdida de equipamiento B
Prdida de informacin B
Falta de personal de seguridad A
Malware: Virus,
gusanos, troyanos,
bombas logicas
Inestabilidad y mal funcionamiento del sistema M
No se cuenta con actualizaciones del software
antivirus
B
4. Elaboracin de Polticas de Seguridad Informtica
La aplicacin de las polticas de seguridad informtica, en La UTPL, debe ser
responsabilidad de todo el personal y de los profesionales en formacin, de esta forma
es posible proteger de forma adecuada el uso de los datos, la informacin y los
recursos informticos asociados.
OBJETIVO:
Elaborar Polticas de Seguridad Informticas para cuidar la informacin y proteger los
equipos informticos pertenecientes a la Universidad. Estas polticas estn enfocadas a
tres reas de la red: EVA, servidor de aplicaciones y arquitectura de red.
ALCANCE:
Las polticas debes ser aplicadas por todas las persona vinculadas directa o
indirectamente a la Universidad y que hagan uso de los servicios de red que preste la
misma.
4.1. Polticas de Seguridad para la arquitectura de red
Alcance
Estas polticas se aplican a todo el personal de la UTPL encargado del manejo y
administracin de la infraestructura de red de la Universidad
Objetivos
Establecer las normas que debe cumplir el permetro donde se encuentran ubicados
los diferentes dispositivos que conforman la red.
Proteger la informacin que se maneja en la universidad frente a las amenazas
internas.
Garantizar las caractersticas de confidencialidad, integridad, disponibilidad, legalidad,
confiabilidad y no repudio de la informacin.
Establecer los reglamentos de acceso y manipulacin de la informacin.
Instalaciones Elctricas:
La red elctrica debe estar conectado a un generador de propiedad de la UTPL con la
finalidad de tener un plan de contingencia en el caso de cortes de energa elctrica.
Todas las conexiones elctricas tendrn la descarga a tierra respectiva.
Deben usarse UPS para los equipos estratgicos (principalmente servidores) que se
encuentran instalados en la universidad.
Acondicionamiento Fsico y Ambiental:
Cuarto de Telecomunicaciones:
En el cuarto de telecomunicaciones debe existir los siguientes sistemas de seguridad:
Controles de acceso
Deteccin de incendio
Controles de humedad y temperatura
Tener una salida de emergencia.
Debe estar destinado nicamente para este fin.


Administracin de configuraciones de red
Debe existir documentacin acerca de las configuracin de enrutadores, switches,
firewall, sistema de deteccin de intrusos y otros dispositivos de seguridad de red
Todo equipo de red debe ser revisado, registrado y aprobado antes de conectarse a
cualquier nodo de la red de comunicaciones.

4.2. Polticas de seguridad para el EVA y el servidor de aplicaciones
Polticas de Seguridad para Cuentas de Usuario
Alcance
Esta poltica se aplica a todo el personal de la UTPL que tiene a cargo una o mas
cuentas de usuario en cualquier departamento de la institucin.
Objetivo
Definir pautas para la asignacin de nombres de cuentas en el sistema.
Establecer normas para el tratamiento de usuarios temporales (invitados)
Creacin de Cuentas

Los privilegios otorgados a cada empleado ser basado en su nivel jerrquico y
su necesidad de tener acceso a la informacin.

Todos los usuarios de la red deben tener asociado un perfil de uso de los
recursos de la informacin.
Nombres de Cuentas
Los nombres de las cuentas de usuarios estn formados por la inicial de sus
nombres ms su primer apellido. Ejemplo: Jos Daniel Balczar => jdbalcazar
Los nombres de las cuentas de usuario no tienen una relacin con el puesto
que ocupan en la universidad.
Los nombres de cuentas que no se encuentren en uso sern desactivados del
sistema.
Suspensin de Cuentas de usuario
Ante el mal uso de una cuenta de usuario ser sancionado el titular.
Las cuentas de los estudiantes graduados sern eliminadas del sistema.
Polticas de Seguridad de Respaldo y Recuperacin
Alcance
Esta poltica de seguridad informtica es aplicable para todo el personal de La
Universidad, y especficamente para el departamento encargado de asegurar la
informacin a travs de los respaldos de la misma.
Objetivos
Crear polticas que permitan asegurar la informacin y tener acceso a ella en cualquier
momento.
Respaldo y Recuperacin
Los empleados no deben copiar a una unidad extrable, el software o los datos
residentes en los servidores de la universidad.
Las copias de seguridad del sistema se las realizar de una forma peridica.
La informacin de la universidad clasificada o de uso restringido, debe
guardarse y transmitirse en forma cifrada, utilizando herramientas de
encriptacin robustas.

Polticas de Seguridad para Internet
Alcance
Esta poltica es aplicable a todos los usuarios de la universidad que tengan acceso a
Internet, debido a que el acceso a los servicios de Internet expone a virus informticos
a la universidad y puede provocar prdidas de software.
Objetivo
Prevenir el acceso no-autorizado de usuarios a los recursos propios de la red privada y
evitar el envi de informacin confidencial desde la red interna.
Polticas
Las estaciones de trabajo de la universidad deben estar protegidas por
software antivirus con capacidad de actualizacin automtica
El departamento de seguridad informtica podr hacer seguimiento al trfico
de la red cuando lo crea conveniente.
Se debe mantener una base de datos actualizada con las alertas de seguridad
reportadas por organismos competentes.
No instalar copias de software pirata, ya que pueden contener virus.
Instalar un Firewall o cualquier sistema seguro para controlar los puertos del
sistema.
No se debe confiar en los archivos gratuitos que se descargan de sitios web
desconocidos, ya que son una potencial va de propagacin de virus.
No contestar los mensajes SPAM, ya que al hacerlo se re-confirmar su
direccin IP, ni prestar atencin a los mensajes con falsos contenidos.
No se deben descargar archivos con ttulos atractivos.

Estndares para fijar contraseas y claves de acceso
Alcance
Estos estndares son aplicables a todo el personal y profesionales en formacion de la
universidad
Objetivos
Crear pautas para la creacin y proteccin de contraseas.
Establecer robustez en las contraseas del sistema.

Polticas
Una contrasea vlida deber consistir de una combinacin de letras, nmeros
o caracteres especiales, con un mnimo de 10 caracteres.
La contrasea debe tener al menos un carcter especial.
Es recomendable alternar aleatoriamente maysculas y minsculas.
Las contraseas se cambiarn peridicamente.
Evitar utilizar secuencias bsicas de teclado.
No enviar nunca la contrasea por correo electrnico o en un sms.
No se debe facilitar ni mencionar en una conversacin o comunicacin de
cualquier tipo las contraseas personales.


Conclusiones:

Del trabajo realizado se puede llegar a la conclusin que a pesar que la universidad
dispone de

Actualmente se vive en una poca en la que la informacin y los datos poseen
una importancia decisiva en la gran mayora de compaas, convirtindose as
en su activo ms importante. Es por ello la importancia de que la UTPL
establezca un sistema de gestin de la seguridad de la informacin, para poder
asegurar, de manera aceptable, la informacin que se maneja en la universidad
Una vez identificados los riesgos, se procede a desarrollar los controles para el
SGSI, la norma ISO 27001 describe la metodologa para establecer estos
controles.
No existe un sistema completamente seguro, sin embargo, la implementacin
de polticas de seguridad adecuadas disminuyen considerablemente el riesgo a
ser vctimas de un ataque
Para garantizar que la seguridad de la informacin sea gestionada
correctamente dentro de la universidad (o dentro de cualquier organizacin),
se debe hacer uso de polticas de seguridad que deben ser conocidas por toda
la organizacin.
Las polticas de seguridad estn influenciadas por las necesidades, objetivos,
requerimientos de seguridad, procesos empleados y la estructura de la UTPL.

ISO/IEC 27001 es la nica norma internacional certificable que define los
requisitos para un SGSI. Las ventajas descritas de esta norma inducen a su
aplicacin basada en los principios fundamentales anteriormente detallados. La
NC cubana slo realiza una evaluacin de los SGSI bajo esta norma. Para para
su certificacin es necesaria la intervencin de alguna entidad certificadora
autorizada internacionalmente.


Csirt
Falta de polticas
Mejorar futuro




[1] Universidad Distrital Francisco Hose de Caldas Seguridad de la informacin .
Versin : 0.0.0.11
[3] Herrera Galvn Diego. Jaramillo Hurtado Danilo. Seguridad de la informacin.
Departamento de Ciencias de la Computacin y Electrnica. Ediloja Ca. Ltda. Octubre
del 2013
[4] Seguridad informtica
http://auditoriadesistemas.galeon.com/productos2227783.html
[5] Areitio, J.B. (2008). Seguridad de la Informacin. Madrid: Paraninfo.

http://resources.sei.cmu.edu/library/asset-view.cfm?assetid=8443