1.

SERVICIOS WEB

Se define a los servicios web como “sistemas software diseñados para soportar una
interacción interoperable máquina a máquina sobre una red”. Los servicios web suelen
ser APIs web que pueden ser accedidas dentro de una red (internet) y son ejecutados
en el sistema que los aloja.
En un servicio Web es importante mencionar los elementos que intervienen en el uso e
implementación, estos son:
Agente: es una aplicación escrita usando algún lenguaje de programación ejecutada
bajo una plataforma específica.
Servicio: es una idea o concepto que debe ser implementado por algún agente.
Proveedor: es la entidad, persona u organización que desarrolla un agente capaz de
soportar un determinado servicio.
Cliente: es la entidad, persona u organización que realiza la consulta o petición a la
entidad proveedora.
Descripción: del Servicio son todos los elementos de un servicio: el formato de los
mensajes, los tipos de datos, los protocolos de transporte a través de los cuales el
servicio está disponible y los distintos formatos de serialización.
Semántica: de un Servicio Web se refiere a qué se espera que haga el Servicio Web
cuando le enviamos una petición.

Los Servicios Web se construyen a partir de piezas dispares, desarrolladas por distintos
fabricantes y tecnologías que están funcionando de manera autónoma. Los organismos
más importantes de estandarización son:

 ANSI
 IEEE
 ISO
 W3C
 OASIS
Los estándares tratan de describir y definir todo lo referente a los servicios, desde
cómo se escriben o se localizan hasta cómo se representa la información, pasando por
la forma mediante la cual se deben comunicar.

2. VENTAJAS Y DESVENTAJAS DE LOS SERVICIOS WEB

Entre las ventajas podemos destacar:
 Estandarización
 Fácil implementación
 Integración
 Interoperabilidad
 Desventajas
 Bajo nivel de desarrollo
 Rendimiento
 Inseguridad
 Interdependencia
 Seguridad
Las decisiones de seguridad siempre deben ser hechas con una comprensión de las
amenazas que enfrenta el sistema que está siendo protegido.

Entre las principales amenazas mencionaremos:

Alteración de mensajes: Un agresor inserta remueve o modifica la información con un
mensaje que engaña al destinatario. Afecta a la integridad del mensaje.

Perdida de confidencialidad: La información dentro de un mensaje es divulgada a un
individuo no autorizado.

Suplantación de identidad: Un agresor construye y envía un mensaje con credenciales
falsificadas de una entidad autorizada, suplantando su identidad.

Reclamos falsificados: Un agresor construye un mensaje con una credencial falsa que
parece valida al destinatario.

Repetición de mensajes: Un agresor reenvía un mensaje previamente enviado.
Mensajes falsificados: Mensajes ficticios que un agresor intenta recibir para entregar,
son enviados de un remitente valido.

La prioridad de estas amenazas puede variar dependiendo de las necesidades y
propósito de las organizaciones. Algunas veces, los mensajes no necesitan mantenerse
confidenciales así que la perdida de confidencialidad no sería un aspecto a considerar


3. DIRECTIVAS DE SEGURIDAD
Las directivas definen las reglas que determinan la forma en que se protege una
aplicación, el modo en que se administra, así como la forma en que los distintos
componentes de una aplicación se comunican entre sí con los servicios externos, estas
directivas afectan al diseño de la capa de servicio.

El conocimiento de las directivas de cada componente, permite definir las zonas en las
que éste se ejecutará y constituye un aspecto fundamental a la hora de determinar
dónde se implementarán los componentes. La directiva de seguridad se ocupa de la
autenticación, autorización, comunicación segura, auditoría y administración de
perfiles, tal como muestra la figura:


Fig.1 Directivas de seguridad de una red

3.1. AUTENTICACION

La autenticación se define como identificación segura, que básicamente quiere decir
que dispone de un mecanismo para identificar con seguridad a los usuarios que se
adecuan a los requisitos de seguridad de su aplicación

3.2. AUTORIZACION

Se ocupa de la identificación de las acciones permitidas para cada usuario de seguridad
autenticado. En otras palabras quién puede hacer qué.

3.3. COMUNICACION SEGURA

Las comunicaciones seguras implican proteger las transferencias de datos entre
componentes y servicios remotos. Dentro de esto se puede considerar:

 Asegurar el canal
 Asegurar los datos
 Administración de perfiles
 Auditoria

4. Información
Es un conjunto organizado de datos en cualquier forma texto, gráficos, cartográficos,
etc. Que puede estar almacenada en cualquier medio, ya sea magnético, en papel, en
pantallas de computadoras, etc. La información constituye un mensaje sobre un
determinado ente o fenómeno.
4.1. Seguridad de la Información: Se refiere a un conjunto independiente de
recursos de información organizados para la recopilación, procesamiento,
mantenimiento, transmisión y difusión de información según determinados
procedimientos, tanto automatizados como manuales. Se entiende como seguridad de
la información a la preservación de las siguientes características:[1]

 Confidencialidad: Se garantiza que la información sea accesible sólo a aquellas
personas autorizadas a tener acceso a la misma.
 Integridad: Se salvaguarda la exactitud y totalidad de la información y los métodos
de procesamiento.
 Disponibilidad: Se garantiza que los usuarios autorizados tengan acceso a la
información y a los recursos relacionados con la misma, toda vez que lo requieran.
 Autenticidad: Consiste en asegurar la validez de la información en tiempo, forma y
distribución. Asimismo, se garantiza el origen de la información, validando el
emisor para evitar suplantación de identidades
 Auditabilidad: Define que todos los eventos de un sistema pueden ser registrados
para su control posterior.
 Protección a la duplicación: Consiste en asegurar que una transacción sólo se
realiza una vez, a menos que se especifique lo contrario.
 No repudio: Se refiere a evitar que una entidad que haya enviado o recibido
información alegue ante terceros que no la envió o recibió.
 Legalidad: referido al cumplimiento de las leyes, normas, reglamentaciones o
disposiciones a las que está sujeto el Organismo.
 Confiabilidad de la Información: Que la información generada sea adecuada para
sustentar la toma de decisiones y la ejecución de las misiones y funciones.

5. Política de Seguridad

Se define como el conjunto de requisitos definidos por los responsables directos o
indirectos de un sistema que indica en términos generales qué está y qué no está
permitido, en el área de seguridad durante la operación general de dicho sistema.
El objetivo principal de una política de seguridad es el de informar al mayor nivel de
detalle a los usuarios, empleados y gerentes de las normas y mecanismos que deben
cumplir y utilizar para proteger los componentes de los sistemas de la organización.
Se debe tener en cuenta que las políticas pueden especificarse como un conjunto de
leyes, reglas y prácticas que: gestionan, protegen y distribuyen información sensible o
de alto riesgo en una organización ya sea pública o privada.[3]

5.1. Elementos de una Política de Seguridad Informática
Para la creación de las Políticas de Seguridad Informática se deben considerados los
siguientes elementos [4]:
 Objetivos de la política y descripción clara de los elementos involucrados en su
definición.
 Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual se
va a aplicar.
 Responsabilidades por cada uno de los servicios y recursos informáticos aplicado a
todos los niveles de la organización.
 Requerimientos mínimos para configuración de la seguridad de los sistemas que
abarca el alcance de la política.
 Definición de violaciones y sanciones por no cumplir con las políticas establecidas.
 Responsabilidades de los usuarios con respecto a la información a la que tiene
acceso.

5.2. Métodos para desarrollar una política de seguridad

Para desarrollar una política de seguridad, se deben seguir 5 fases interrelacionadas.
[5]

 Análisis y valoración de riesgos
 Construcción de la política
 Implantación de la política
 Mantenimiento de la política
 Implicación de todo el componente humano
En este estudio se realiza las dos primeras fases de las 5 citadas.
Análisis y valoración de riesgos.- La primera fase a realizar consiste en un exhaustivo
análisis de los riesgos de seguridad para identificar el estado en que se encuentra la
seguridad dentro de la organización y proponer contramedidas como salvaguardas,
medidas de seguridad o controles para que se puedan cumplir los objetivos de negocio
establecidos.
El objetivo primario de esta fase es determinar las amenazas a las que se es susceptible
la información de nuestra organización. Hecho esto se deben estimar los riesgos
asociados a cada uno de ellas. El riesgo a que ocurra una amenaza se refiere al impacto
de esta ocurrencia en los objetivos del negocio.
La fase de análisis y valoración de riesgos puede subdividirse en dos etapas la
identificación y priorización de amenazas y el establecimiento de salvaguardas.
6. Sistema de gestión de seguridad de la información [6]
La organización debe establecer, implementar, operar, monitorear, mantener y
mejorar continuamente un SGSI documentado dentro del contexto de las actividades
comerciales generales de la organización y los riesgos que enfrentan.
6.1. Establecer el SGSI
La organización debe hacer lo siguiente:
a) Definir el alcance y los limites del SGSI en términos de las características del
negocio, la organización, su ubicación, los activos.

b) Definir una política SGSI en términos de las características del negocio, la
organización, su ubicación, activos, tecnología.

c) Definir el enfoque de la evaluación de riesgo de la organización.

1) Identificar una metodología de cálculo de riesgo adecuado para el SGSI y los
requerimientos identificativos de seguridad, legales y reguladores de la
información comercial
2) Desarrollar los criterios para aceptar los riesgos e identificar niveles de
riesgo aceptables.

d) Identificar riesgos

1) Identificar los activos dentro del alcance del SGSI y los propietarios de estos
activos.
2) Identificar las amenazas para aquellos activos
3) Identificar las vulnerabilidades que podrían ser explotadas por las
amenazas.
4) Identificar los impactos que pueden tener las pérdidas de confiabilidad,
integridad y disponibilidad sobre los activos

e) Analizar y evaluar el riesgo

1) Calcular el impacto comercial sobre la organización que podría resultar de
una falla de la seguridad, comando en cuenta las consecuencias de una
perdida de confiabilidad, integridad y disponibilidad sobre los activos
2) Calcular la probabilidad realista de que ocurra dicha falla a la luz de las
amenazas y vulnerabilidades prevalecientes y los impactos asociados con
estos activos, y los controles implementados actualmente

f) Identificar y evaluar las opciones para el tratamiento de los riesgos
Las opciones posibles incluyen:

1) Aplicar los controles apropiados;
2) Aceptar los riesgos consiente y objetivamente, siempre que satisfagan
claramente las políticas y el criterio de aceptación del riesgo de la
organización
3) Evitar riesgos; y
4) Transferir los riesgos comerciales asociados a otras entidades, por ejemplo,
aseguradoras

g) Seleccionar los objetivos de control y controles para el tratamiento de los
riesgos
h) Obtener la autorización de la gerencia para implementar y operar el SGSI
i) Preparar un enunciado de aplicabilidad







Desarrollo
Para la realización de las políticas de seguridad, nosotros escojimos como entidad la
UTPL, debido a información que se nos fue facilitada acerca de esta institución.

1. Arquitectura de la RED
La UTPL en la actualidad tiene un set de servicios levantados donde se incluye varias
herramientas y plataformas que soportan la implantación SOA para la creación de
servicios web y seguridad de los mismos. Es posible que coexistan estas plataformas
dentro del entorno de desarrollo de servicios Universitarios pero la clave es lograr la
coexistencia dentro de un ambiente orientado a servicios.
Una arquitectura SOA (Arquitectura orientada a servicios), establece un marco de
diseño para la integración de aplicaciones independientes de manera que desde la red
pueda accederse a sus funcionalidades, las cuales se ofrecen como servicios. La forma
más habitual de implementarla es mediante Servicios Web, una tecnología basada en
estándares e independiente de la plataforma, Los elementos clave de una SOA son los
mensajes intercambiados entre agentes que actúan solicitando los servicios o
haciéndose proveedores de los mismos, compartiendo los mecanismos de transporte
que permiten el flujo de los mensajes con una descripción pública de esos elementos,
etc.
El protocolo SOAP es considerado en 50% de los desarrolladores de a universidad,
mientras los protocolos XML-RPC, JAX-RPC, HTTP-POST se toman en cuenta en un
12,5% la desventaja que presenta es normativas propietarias y son XML embebido u
otras alternativas ligadas a la plataforma que hacen uso de librerías y recursos propios
de cada tecnología.
SOAP proporciona un mecanismo estándar para empaquetar mensajes compartidos
por varias aplicaciones. Este protocolo define una envoltura simple de XML para la
información que se transfiere y un conjunto de normas para traducir los tipos de datos
de plataformas específicas al XML. Su diseño lo hace adecuado para una amplia
variedad de aplicaciones de mensajería lo que ha contribuido a su creciente
popularidad. Entre las ventajas de SOAP tenemos:

 No está asociado con ningún lenguaje.
 No está asociado con ningún protocolo específico.
 Aprovecha los estándares existentes en la web (XML, HTTP y SMTP).
 Permite la interoperabilidad entre múltiples entornos.
El estándar XML (lenguaje de marcas extendidas), que es un metalenguaje que define
la sintaxis utilizada para definir otros lenguajes de etiquetas estructurados. En los
servicios web es el formato estándar para el intercambio de mensajes.
Entre sus características principales tenemos: Permite la comunicación entre distintas
plataformas de software y hardware. Simplicidad de sintaxis ya que es muy fácil de
escribir etiquetas XML y la representación de los datos es comprensible por cualquier
ser humano
Topología básica
A continuación se podrá observar la topología básica de la UTPL, excluyendo algunos
servicios y recalcando otros, en base a la información obtenida.
En la figura xx se puede apreciar que la UTPL cuenta con dos ISP, un principal y un
backup, llegando a un firewall, que permite el acceso a la DMZ externa donde todos los
usuarios con acceso a internet pueden comunicarse, ya sea que este terminal se
encuentre dentro o fuera del campus universitario, accediendo a aplicaciones tales
como Eva, biblioteca.

EVA
Biblioteca
SGA
DNS
externo
Swwitch-core
ISP
(P)
ISP
(B)
Wifi Balcon secretarias Financiera
Fire-wall
CISCO-ASA
DMZ
Interna
VLANS
Financiero
(BANN)
NSGA
Base de
datos
aplicaciones


Posteriormente va a un swicth de core de donde se subdivide en diferentes vlans
disponibles en la universidad cerca de 30. Solo los usuarios permitidos podrán
comunicarse con la DMZ interna, por un proceso de autenticación y además siempre
que estos usuarios se encuentre dentro de la intranet de la universidad, por lo que no
será visible para las demás personas que no estén autorizadas o que se encuentren
fuera del campus universitario.

Debido a políticas mismas de la institución no nos es posible conocer los equipos y por
ende las capacidades de los mimos, pero se detallara algunas características de ciertos
componentes, que deberían tener dentro de la red.
Por ejemplo el firewall CISCO-ASA debe darnos una protección integral contra las
amenazas y malware basadas en la web segura, además la capacidad de poder trabajar
de manera ininterrumpida, usa el reconocimiento de dispositivos, la reputación de la
red de origen, el valor de destino y la identidad del usuario para impulsar las
decisiones sobre mitigación
El switch core debe tener gran capacidad y ancho de banda que permita un gran
número de conexiones por segundo y por ende múltiples sesiones además con
múltiples puertos los que permitirán la expansión en caso de ser necesaria, lo que se lo
realiza atreves de un router o un switch. Además tiene que soportar comunicaciones
ininterrumpidas y con fuentes de alimentación intercambiables, además Ventiladores
para disipar calor y módulos de red.

2. Servicios UTPL
Nuestra universidad cuenta con un gran número de servicios pero en este caso solo
hablaremos de 3 debido a la importancia que estos tienen dentro de la universidad.
EVA
El entorno virtual de aprendizaje proporciona a la comunidad universitaria los
siguientes servicios web, como son, biblioteca, dspace (repositorio digital UTPL) y
celsisus biblioteca electrónica. Todos estos servicios se desarrollaron utilizando el
lenguaje de programación PHP y un servidor apache, y se utiliza una base de datos de
MySQL esta es una base de datos abierta, además utilizada por muchos sitios web de
gran escala y populares como facebook, twiter.
Esta homogeneidad, referida a la plataforma de desarrollo utilizada, es posible gracias
a las políticas fijadas en este departamento sobre el desarrollo de los servicios web.











Base De Datos de la aplicación (Carga y calificación de evaluaciones)
Es un servicio web que permite el acceso a un repositorio (base de datos) para
proveer datos, y los desarrollados para ambientes de colaboración en línea, donde
puede haber concurrencia. Organizando la información dependiendo de sus atributos.
Las operaciones las realizan sobre una base de datos son llamados procedimientos en
cuyo caso pueden ser: consulta o modificación. Como ejemplos tenemos:
Herramientas de colaboración, Grupos de discusión en línea, Sistemas de autoría
distribuida, Bibliotecas en línea, etc.
Para acceder a todos estos datos se usa un programa servidor que permite consultar la
base de datos mediante un lenguaje llamado SQL. El SQL permite añadir datos a la
base de datos, modificarlos, eliminarlos o hacer consultas para extraer información
cliente
Servidor
Web
Lenguaje PHP
Base de datos (SQL)

Infraestructura de red
En esta área haremos referencia acerca de las vlans disponibles en el campus, que
permiten el acceso a los usuarios de la universidad, se subdivide en tres grupos
principales
Campus UTPL: Es una red de conexión a internet, esta red es disponible para todos los
usuarios pero para poder general trafico se tiene que pasar por el proceso de
autentificación del usuario. Debido a la cantidad de estudiantes en la universidad su
ancho de banda resulta insuficiente, para satisfacer a todos los usuarios.
Profesionales UTPL: Esta red permite acceder a los docentes de la universidad a
internet vía inalámbrica, de igual manera se tiene que realizar la autenticación de los
usuarios, al ser menor cantidad de docentes esta red es mas rapida que la red campus
UTPL.
Invitados UTPL: Esta red es utilizada por los profesionales invitados, tales como
conferencistas, posee las mismas características respecto a la autentificación y resulta
ser la que menor trafico genera de todas las redes disponibles

3. Análisis de riesgos

a. Análisis de activos informáticos

En la figura 3 se realiza el análisis de activos de la UTPL, los activos informáticos más
importantes se colocan en la elipse más interna y viceversa. La relación de
dependencia entre los activos se muestra a través de las flechas.










Backups
Servidor de
base de datos
Servidor de
Aplicaciones
Arquitectura
de Red
Financiero
NSGA
















Figura 3. Análisis de activos

Para la tasación de activos, se manejara una escala cualitativa que varía entre:

 Alta => A
 Media => M
 Baja => B

Se toman en cuenta tres características de la seguridad, confidencialidad,
disponibilidad e integridad.

Activo Características de seguridad Total
Confidencialida
d
Disponibilida
d
Integrida
d
Servidor de base de Datos B B A B
Backup A A A A
Financiero A A A A
Arquitectura de red B B A B
NSGA A B A A
Servidor de aplicaciones B B A A
DNS A A A A
Firewall A A A A
EVA A B A A
SGA A B A A
Biblioteca A M M M
b. Análisis de amenazas

Los activos más importantes y que tienen un considerable grado de vulnerabilidad son:

 Servidor de aplicaciones. Carga y calificación de evaluaciones
 Infraestructura de red
 EVA

Las políticas de seguridad serán dirigidas para estos servicios

A continuación se listan las amenazas para los activos mencionados.

Amenazas detectadas para el Servidor de aplicaciones. Carga y calificación de
evaluaciones

1. Acceso no autorizado al servidor (daños en la información)
2. Manejo de contraseñas negligente
3. Denegación de servicios
4. Entrada de personas no autorizada a las habitaciones de los servidores
5. Falta de cuidado en el manejo de la información confidencial
6. Daños a la infraestructura de red
7. Robo de información
8. Robo
9. Riesgo de daño por parte del personal de servicios auxiliares (mantenimiento y
limpieza)
10. Falta de espacio de almacenamiento
11. Malware: virus, gusanos, backdoors, troyanos,bombas lógicas
12. No-cumplimiento con las medidas de seguridad

Amenazas detectadas para la arquitectura de red

1. Ancho de banda insuficiente
2. Gran número de puntos de red activos
3. Corte de luz, UPS con poca capacidad.
4. Daños a la infraestructura de red
5. Documentación insuficiente o faltante, funciones no documentadas
6. Entrada de personas no autorizada a las habitaciones de los servidores
7. Omisión de las medidas de seguridad del sistema
8. Riesgo de daño por parte del personal de servicios auxiliares (mantenimiento y
limpieza)
9. Robo
10. Spoofing
11. Sniffing
12. Denegación de servicios debido al uso descontrolado de recursos
13. Malware: virus, gusanos, backdoors, troyanos, bombas lógicas

Amenazas detectadas Servidor de aplicaciones.

1. Software sin licencia
2. Documentación insuficiente
3. Entrada de personas no autorizada a las habitaciones de los servidores
4. Ingeniería social - Ingeniería social inversa
5. Mal uso de derechos de administrador
6. Omisión de las medidas de seguridad del sistema
7. Riesgo por el personal de servicios auxiliares (mantenimiento y limpieza)
8. Robo
9. Robo de información
10. Software desactualizado
11. Sniffing
12. Rootkits
13. Malware: virus, gusanos, backdoors, troyanos, bombas lógicas.

c. Identificación de vulnerabilidades

Una vez determinadas las amenazas para los servicios analizados se procede a
determinar las vulnerabilidades frente a dichas amenazas.

Vulnerabilidades del EVA

Amenaza Vulnerabilidades
Acceso no autorizado al
servidor (daños en la
información)

 Robo de información
 Modificación de la información
Manejo de contraseñas
negligente
 Contraseñas fáciles de craquear
 Permitir la repetición de contraseñas
 Divulgación de contraseñas
Falta de cuidado en el
manejo de la información
confidencial

 Divulgación de datos
 Robo o modificación de la información
No cumplimiento de las
medidas de seguridad del
sistema
 Robo o modificación de la información
 sabotaje interno
Robo  Perdida de equipamiento
Robo de información  Divulgación de información
 Exalumnos con cuentas activas.
Malware: virus, gusanos,
backdoors, troyanos,
bombas lógicas
 Inestabilidad y mal funcionamiento del sistema
 No se cuenta con actualizaciones del antivirus
Vulnerabilidades de la arquitectura de red
Amenazas Vulnerabilidades
Conexiones todavía activas  Posibles intrusiones a la LAN
 Intrusión de usuarios no autorizados al sistema
Entrada de personas no
autorizada a las habitaciones
de los servidores

 Robo de equipos o respaldos
 Pérdida de información
Omisión de las medidas de
seguridad del sistema

 Robo o modificación de la información, sabotaje
interno
Riesgo por el personal de
servicios auxiliares
(mantenimiento y limpieza)

 Daños en cables o equipos
 Interrupción del servicio de red

Robo  Pérdida de equipamiento
 Pérdida de información
 Falta de personal de seguridad
Malware: virus, gusanos,
troyanos, bombas lógicas.
 Inestabilidad y mal funcionamiento del sistema
 No se cuenta con actualizaciones del software
antivirus
Daños a la infraestructura de
red

Falta normas que regulen el acceso a los dispositivos
de red
Falta de dispositivos de seguridad: sensores de
humo, fuego, etc.
Falta de control para evitar el ingreso de dispositivos
de almacenamiento de datos
Vulneravilidades del servidor de aplicaciones
Amenazas Vulneravilidades
Aplicaciones sin licencia  Multas y problemas con software legal Mal
funcionamiento de los sistemas
Entrada de personas no
autorizada a las habitaciones
de los servidores

 Robo de equipos o insumos
 Divulgación de datos
 Pérdida de información
No cumplimiento con las
medidas de seguridad del
sistema
 Robo o modificación de la información, sabotaje
interno
Riesgo por el personal de
servicios auxiliares
(mantenimiento y limpieza)
 Daños en cables o equipos
 Interrupción del sistema online

Robo  Pérdida de equipamiento
 Pérdida de información
Malware: Virus, gusanos,
troyanos, bombas logicas
 Inestabilidad y mal funcionamiento del sistema
 No se cuenta con actualizaciones del software
antivirus
Daños a la infraestructura de
red

 Falta normas que regulen el acceso a los dispositivos
de red
 Falta de dispositivos de seguridad: sensores de
humo, fuego, etc.
 Falta de control para evitar el ingreso de dispositivos
de almacenamiento de datos

d. Probabilidad de ocurrencia

Representa la probabilidad de que ocurran las vulnerabilidades mencionadas, en una
escala cualitativa que varía entre:

 Alta =>A
 Media => M
 Baja => B
Probabilidad de ocurrencia de las amenazas existentes en el EVA
Amenaza Vulnerabilidades Prob.
Acceso no autorizado
a datos( Borrado,
modificación. etc)
 Robo de información

M
 Modificación de la información B
Manejo de
contraseñas
negligente
 Permitir la repetición de contraseñas M
 Contraseñas débiles y fáciles de craquear A
 Divulgación de contraseñas A
 Uso indebido de derechos de usuario M
Entrada sin
autorización a
habitaciones
 Robo de equipos o insumos B
 Divulgación de datos M
 Perdida de información M
Falta de cuidado en el
manejo de
información, por
ejemplo: contraseñas
 Divulgación de datos M
 Robo o modificación de la información M
 Robo o modificación de la información, M
 Sabotaje interno M
Riesgo por el personal
de limpieza o personal
externo
 Daños en cables o equipos A
 Interrupción del sistema online A
 Errores de transmisión o interrupción del servicio
de red
A
 Pérdida de tiempo de los usuarios A
Robo  Perdida de equipamiento B
 Pérdida de información M
 Falta de personal de seguridad M
Robo de información  Divulgación de información M
 Falta de caducidad de las cuentas de usuario no
activos
B
Malware: virus,
gusanos, troyanos,
bombas lógicas
 Inestabilidad y mal funcionamiento del sistema

M
 No se cuenta con actualizaciones del antivirus B
Daños a las
instalaciones
 Falta de directivas de seguridad del acceso físico A
 Falta de dispositivos de seguridad: sensores de
humo, fuego, etc.
M
 Falta de personal de seguridad A
 Falta de procedimientos de acceso a las
instalaciones
A
 Falta de limitación de los dispositivos de entrada
de Datos
A
 Falta de simulacros

A
Arquitectura de red
Amenazas Vulnerabilidades PROB
Conexiones todavía
activas
 Posibles intrusiones y robo o divulgación de
información
M
 Dificultad en la administración y en el
Mantenimiento
M
 Intrusión de usuarios no autorizados al sistema M
Entrada sin
autorización a
habitaciones
 Robo de equipos o respaldos M
 Divulgación de datos A
 Pérdida de información B
No cumplimiento con
las medidas de
seguridad del sistema
 Medidas correctivas tomadas por la gerencia,
según la gravedad del incidente
M
 Robo o modificación de la información, sabotaje
interno
B
Riesgo por el personal
de limpieza o por los
estudiantes
 Daños en cables o equipos M
 Interrupción del sistema online M
 Errores de transmisión o interrupción del servicio
de red
B
 Pérdida de tiempo de los usuarios M
Robo  Pérdida de equipamiento B
 Pérdida de información B
 Falta de personal de seguridad B
Malware: virus,
gusanos`, troyanos,
bombas lógicas.
 Inestabilidad y mal funcionamiento del sistema B
 No se cuenta con actualizaciones del software
antivirus
B
Daños a las
instalaciones
 Falta de directivas de seguridad del acceso físico

A
 Falta de dispositivos de seguridad: sensores de
humo, fuego, etc.
M
 Falta de personal de seguridad A
 Falta de procedimientos de acceso a las
instalaciones
B
 Falta de limitación de acceso a cables de red,
bocas, repetidores y terminadores
A
Servidor DNS
Amenazas Vulneravilidades PROB
Aplicaciones sin
licencia
 Multas y problemas con software legal Mal
funcionamiento de los sistemas
B
No cumplimiento con
las medidas de
seguridad del sistema
 Medidas correctivas tomadas por la gerencia,
según la gravedad del incidente
A
 Robo o modificación de la información, sabotaje
interno
M
Robo  Pérdida de equipamiento B
 Pérdida de información B
 Falta de personal de seguridad A
Malware: Virus,
gusanos, troyanos,
bombas logicas
 Inestabilidad y mal funcionamiento del sistema M
 No se cuenta con actualizaciones del software
antivirus
B
4. Elaboración de Políticas de Seguridad Informática
La aplicación de las políticas de seguridad informática, en La UTPL, debe ser
responsabilidad de todo el personal y de los profesionales en formación, de esta forma
es posible proteger de forma adecuada el uso de los datos, la información y los
recursos informáticos asociados.
OBJETIVO:
Elaborar Políticas de Seguridad Informáticas para cuidar la información y proteger los
equipos informáticos pertenecientes a la Universidad. Estas políticas están enfocadas a
tres áreas de la red: EVA, servidor de aplicaciones y arquitectura de red.
ALCANCE:
Las políticas debes ser aplicadas por todas las persona vinculadas directa o
indirectamente a la Universidad y que hagan uso de los servicios de red que preste la
misma.
4.1. Políticas de Seguridad para la arquitectura de red
Alcance
Estas políticas se aplican a todo el personal de la UTPL encargado del manejo y
administración de la infraestructura de red de la Universidad
Objetivos
 Establecer las normas que debe cumplir el perímetro donde se encuentran ubicados
los diferentes dispositivos que conforman la red.
 Proteger la información que se maneja en la universidad frente a las amenazas
internas.
 Garantizar las características de confidencialidad, integridad, disponibilidad, legalidad,
confiabilidad y no repudio de la información.
 Establecer los reglamentos de acceso y manipulación de la información.
Instalaciones Eléctricas:
 La red eléctrica debe estar conectado a un generador de propiedad de la UTPL con la
finalidad de tener un plan de contingencia en el caso de cortes de energía eléctrica.
 Todas las conexiones eléctricas tendrán la descarga a tierra respectiva.
 Deben usarse UPS para los equipos estratégicos (principalmente servidores) que se
encuentran instalados en la universidad.
Acondicionamiento Físico y Ambiental:
Cuarto de Telecomunicaciones:
En el cuarto de telecomunicaciones debe existir los siguientes sistemas de seguridad:
 Controles de acceso
 Detección de incendio
 Controles de humedad y temperatura
 Tener una salida de emergencia.
 Debe estar destinado únicamente para este fin.


Administración de configuraciones de red
 Debe existir documentación acerca de las configuración de enrutadores, switches,
firewall, sistema de detección de intrusos y otros dispositivos de seguridad de red
 Todo equipo de red debe ser revisado, registrado y aprobado antes de conectarse a
cualquier nodo de la red de comunicaciones.

4.2. Políticas de seguridad para el EVA y el servidor de aplicaciones
Políticas de Seguridad para Cuentas de Usuario
Alcance
Esta política se aplica a todo el personal de la UTPL que tiene a cargo una o mas
cuentas de usuario en cualquier departamento de la institución.
Objetivo
 Definir pautas para la asignación de nombres de cuentas en el sistema.
 Establecer normas para el tratamiento de usuarios temporales (invitados)
Creación de Cuentas

 Los privilegios otorgados a cada empleado será basado en su nivel jerárquico y
su necesidad de tener acceso a la información.

 Todos los usuarios de la red deben tener asociado un perfil de uso de los
recursos de la información.
Nombres de Cuentas
 Los nombres de las cuentas de usuarios están formados por la inicial de sus
nombres más su primer apellido. Ejemplo: José Daniel Balcázar => jdbalcazar
 Los nombres de las cuentas de usuario no tienen una relación con el puesto
que ocupan en la universidad.
 Los nombres de cuentas que no se encuentren en uso serán desactivados del
sistema.
Suspensión de Cuentas de usuario
 Ante el mal uso de una cuenta de usuario será sancionado el titular.
 Las cuentas de los estudiantes graduados serán eliminadas del sistema.
Políticas de Seguridad de Respaldo y Recuperación
Alcance
Esta política de seguridad informática es aplicable para todo el personal de La
Universidad, y específicamente para el departamento encargado de asegurar la
información a través de los respaldos de la misma.
Objetivos
Crear políticas que permitan asegurar la información y tener acceso a ella en cualquier
momento.
Respaldo y Recuperación
 Los empleados no deben copiar a una unidad extraíble, el software o los datos
residentes en los servidores de la universidad.
 Las copias de seguridad del sistema se las realizará de una forma periódica.
 La información de la universidad clasificada o de uso restringido, debe
guardarse y transmitirse en forma cifrada, utilizando herramientas de
encriptación robustas.

Políticas de Seguridad para Internet
Alcance
Esta política es aplicable a todos los usuarios de la universidad que tengan acceso a
Internet, debido a que el acceso a los servicios de Internet expone a virus informáticos
a la universidad y puede provocar pérdidas de software.
Objetivo
Prevenir el acceso no-autorizado de usuarios a los recursos propios de la red privada y
evitar el envió de información confidencial desde la red interna.
Políticas
 Las estaciones de trabajo de la universidad deben estar protegidas por
software antivirus con capacidad de actualización automática
 El departamento de seguridad informática podrá hacer seguimiento al tráfico
de la red cuando lo crea conveniente.
 Se debe mantener una base de datos actualizada con las alertas de seguridad
reportadas por organismos competentes.
 No instalar copias de software pirata, ya que pueden contener virus.
 Instalar un Firewall o cualquier sistema seguro para controlar los puertos del
sistema.
 No se debe confiar en los archivos gratuitos que se descargan de sitios web
desconocidos, ya que son una potencial vía de propagación de virus.
 No contestar los mensajes SPAM, ya que al hacerlo se re-confirmará su
dirección IP, ni prestar atención a los mensajes con falsos contenidos.
 No se deben descargar archivos con títulos atractivos.

Estándares para fijar contraseñas y claves de acceso
Alcance
Estos estándares son aplicables a todo el personal y profesionales en formacion de la
universidad
Objetivos
 Crear pautas para la creación y protección de contraseñas.
 Establecer robustez en las contraseñas del sistema.

Políticas
 Una contraseña válida deberá consistir de una combinación de letras, números
o caracteres especiales, con un mínimo de 10 caracteres.
 La contraseña debe tener al menos un carácter especial.
 Es recomendable alternar aleatoriamente mayúsculas y minúsculas.
 Las contraseñas se cambiarán periódicamente.
 Evitar utilizar secuencias básicas de teclado.
 No enviar nunca la contraseña por correo electrónico o en un sms.
 No se debe facilitar ni mencionar en una conversación o comunicación de
cualquier tipo las contraseñas personales.


Conclusiones:

Del trabajo realizado se puede llegar a la conclusión que a pesar que la universidad
dispone de

 Actualmente se vive en una época en la que la información y los datos poseen
una importancia decisiva en la gran mayoría de compañías, convirtiéndose así
en su activo más importante. Es por ello la importancia de que la UTPL
establezca un sistema de gestión de la seguridad de la información, para poder
asegurar, de manera aceptable, la información que se maneja en la universidad
 Una vez identificados los riesgos, se procede a desarrollar los controles para el
SGSI, la norma ISO 27001 describe la metodología para establecer estos
controles.
 No existe un sistema completamente seguro, sin embargo, la implementación
de políticas de seguridad adecuadas disminuyen considerablemente el riesgo a
ser víctimas de un ataque
 Para garantizar que la seguridad de la información sea gestionada
correctamente dentro de la universidad (o dentro de cualquier organización),
se debe hacer uso de políticas de seguridad que deben ser conocidas por toda
la organización.
 Las políticas de seguridad están influenciadas por las necesidades, objetivos,
requerimientos de seguridad, procesos empleados y la estructura de la UTPL.

 ISO/IEC 27001 es la única norma internacional certificable que define los
requisitos para un SGSI. Las ventajas descritas de esta norma inducen a su
aplicación basada en los principios fundamentales anteriormente detallados. La
NC cubana sólo realiza una evaluación de los SGSI bajo esta norma. Para para
su certificación es necesaria la intervención de alguna entidad certificadora
autorizada internacionalmente.


Csirt
Falta de políticas
Mejorar futuro




[1] Universidad Distrital Francisco Hose de Caldas Seguridad de la información .
Versión : 0.0.0.11
[3] Herrera Galván Diego. Jaramillo Hurtado Danilo. Seguridad de la información.
Departamento de Ciencias de la Computación y Electrónica. Ediloja Cía. Ltda. Octubre
del 2013
[4] Seguridad informática
http://auditoriadesistemas.galeon.com/productos2227783.html
[5] Areitio, J.B. (2008). Seguridad de la Información. Madrid: Paraninfo.

http://resources.sei.cmu.edu/library/asset-view.cfm?assetid=8443

Sign up to vote on this title
UsefulNot useful