Trabajo Final

UNIVERSIDAD PERUANA DE CIENCIAS APLICADAS
FACULTAD DE INGENIERA
DIVISIN DE ESTUDIOS PROFESIONALES PARA EJECUTIVOS
CARRERA DE INGENIERA DE SISTEMAS
RIESGOS POR INTERNET.

TRABAJO PROFESIONAL PRESENTADO POR:
LUIS HIDER MANCO BERROCAL (U199910555)
JULIO CESAR VILCA AGUILAR (U201121382)
CSAR ANDR DEL RISCO VALDIVIESO (U201114970)
EVARISTO HUERTAS NAVARRO (U820895)
PARA EL CURSO DE SEGURIDAD Y AUDITORIA DE SISTEMAS
FACILITADOR:
YOLFER ROBERTO HERNANDEZ ROJAS
Lima, Junio de 2015
RESUMEN
Las organizaciones deben atender su negocio, siendo consciente del nivel de riesgo tanto de la
informacin como de sus activos. El objetivo primordial de la seguridad informtica es el de
garantizar que los recursos informticos de una empresa estn disponibles para cumplir su
propsito y que no se encuentren alterados por factores externos; ya que cuando se presentan
esos inconvenientes, se puede provocar la prdida o modificacin de la informacin, lo que
directamente puede representar un dao organizacional y econmico.
Por ello, en el presente trabajo se analiza la situacin de la seguridad en informtica en lo
referente a los riesgos en internet, evidenciando las amenazas a las que se encuentran expuestos
y dando a conocer las posibles consecuencias; para, de esta manera, demostrar la importancia de
contar con un apropiado esquema de seguridad que reduzca los niveles de vulnerabilidad y riesgo
existente.
En base al estudio y anlisis de diversas estadsticas, se demuestra que las organizaciones se
preocupan por salvaguardar sus activos, sin embargo no tienen los conocimientos ni la
experiencia necesaria para protegerlos adecuadamente, debido a que generalmente no cuentan
con una rea de seguridad que se encargue de comprobar que se sigan polticas y procedimientos
que aseguren y garanticen la seguridad de la informacin, prevea las posibles contingencias,
regule la gestin de la infraestructura y que en general se dedique a guiar el desarrollo y correcto
funcionamiento de la organizacin mediante las auditoras correspondientes.
Al mismo tiempo, se analizan las exposiciones lgicas, fsicas y ambientales ms comunes a las
que se encuentran vulnerables a las organizaciones y basado en las recomendaciones generales
y estadsticas sobre los controles ms utilizados y eficientes.
Tambin se promueve un cambio en cuanto a la administracin y manejo de informacin

implementando una nueva estructura en la organizacin, determinando los roles y las funciones
que deben cumplir el personal, proponiendo lineamientos para brindar una mejor proteccin y
manejo de los recursos, adems de la implementacin de los controles de seguridad ms
apropiados para este tipo de organizaciones.
NDICE
RESUMEN ................................................................................................................................ 2
INTRODUCCION ..................................................................................................................... 5
CAPITULO 8: CASO DE APLICACIN: UPC .................................................................. 7
8.1.
INTRODUCCION ..................................................................................................... 7
8.2.
UPC AS-IS ................................................................................................................ 7
8.2.1.
PROCESOS Y RECURSOS ............................................................................... 8
8.2.2.
AMENAZAS Y VULNERABILIDADES ........................................................ 18
8.2.3.
RIESGOS .......................................................................................................... 23
8.2.4.
MATRIZ DE RIESGOS .................................................................................... 26
8.2.5.
PRIORIZACION ............................................................................................... 27
8.2.6.
CONTROLES DE LA EMPRESA ................................................................... 29
8.3.
UPC TO-BE ............................................................................................................. 32
8.3.1.
POLITICAS DE SEGURIDAD ........................................................................ 32
8.3.2.
CONCIENTIZACION Y EDUCACION DEL PERSONAL............................ 33
8.3.3.
CONTROL DE DESARROLLO DE APLICACIONES WEB ........................ 33
8.3.4.
CORTES DE FLUIDO ELECTRICO ............................................................... 34
8.3.5.
ETHICAL HACKING ....................................................................................... 34
8.3.6.
CORRECTA EVALUACION DE LOS SISTEMAS ....................................... 36
8.4.
CONCLUSIONES ................................................................................................... 36
CONCLUSIONES .................................................................................................................. 38
GLOSARIO DE TERMINOS ................................................................................................. 40
SIGLARIO .............................................................................................................................. 45
BIBLIOGRAFIA ..................................................................................................................... 46
INTRODUCCIN
Con el incremento acelerado del uso de computadoras en las organizaciones para almacenar,
transferir y procesar informacin, se han convertido en un elemento indispensable para el
adecuado funcionamiento de las mismas. Como consecuencia, la informacin ha tomado un
valor importante que requiere de proteccin para garantizar el cumplimiento de los objetivos del
negocio.
Por tal motivo, los requerimientos en seguridad informtica son cada vez mayores, debido a que
se busca que los recursos informticos de una organizacin estn disponibles y que no se
encuentren afectados por personas o situaciones maliciosas. Por lo anterior, resulta importante
establecer polticas de seguridad que permitan implementar una serie de soluciones tecnologas,
as como el desarrollo de un plan de accin que nos ayude a actuar de forma rpida y eficaz en
el manejo de incidentes, recuperacin de informacin y la disminucin del impacto.
De igual manera es importante la aplicacin de mejores prcticas para crear una cultura de
seguridad adecuada sobre las necesidades e importancia del aseguramiento de la informacin, al
igual que de las diversas normas y estndares que se requieren para lograrlo. El presente proyecto
muestra una investigacin que tiene por objetivo dar a conocer la importancia de la seguridad
informtica en las organizaciones privadas.
Este trabajo consta de los siguientes captulos:
En el captulo 1 se presentan los aspectos tericos que dan a conocer de manera general y sencilla
los riesgos en internet.
En el captulo 2 se presenta el anlisis de los procesos y recursos que son afectados por los riesgos
en internet tanto en hardware como en software
En el captulo 3 se presentan las vulnerabilidades que se pueden detectar en la empresa en lo

referente a sitios web corporativos y sus posibles implicancias que esta conlleve..
En el captulo 4 se presentan las amenazas que provienen externa e interna de la red de una
empresa tanto software como hardware
En el captulo 5 se presentan los anlisis y las valoraciones de una matriz de riesgos provenientes
de las probabilidades de ataques y los impactos que ello conlleve.
En el captulo 6 se presentan los controles de seguridad que pueden ser implementados en la
empresa con sus respectivas normas e indicaciones que nos permitir salvaguardar y mitigar los
posibles fallos de seguridad existente
En el captulo 7 se presentan las evaluaciones de control mediante el cual se aplican
procedimientos que simulen ataques reales y las posibles vulnerabilidades y/o amenazas que se
puedan detectar.
En el captulo 8 se presentan las aplicaciones de todo lo referente a las amenazas,

vulnerabilidades, impacto, etc., sobre la empresa, Universidad Peruana de Ciencias Aplicadas,
en el cual se ver el AS-IS actual de la empresa y se implementara medidas TOBE para que se
pueda evitar intrusos en las aplicaciones y tener procedimiento adecuados a la hora de resguardar
la informacin y la red.
Con base a lo anterior y con las recomendaciones generales, se propone un esquema

organizacional y tcnica que contengan las recomendaciones especficas para que sean aplicadas
en la organizacin con finalidad de mitigar las posibles amenazas.
CAPITULO 8: CASO DE APLICACIN: UPC

8.1. INTRODUCCION
En el presente captulo se har un anlisis completo de la Universidad Peruana de Ciencias
Aplicadas, esta institucin del rubro educacin cuanta con varios procesos de negocio
vinculados con el uso de internet, los cuales se evaluaran a la luz de lo antes expuesto en este
documento.
Como primer paso se har un anlisis de la Universidad tal como est actualmente, para luego
abordar la propuesta de mejora que nos proyectara un estado futuro de esta Universidad.
8.2. UPC
La Universidad Peruana de Ciencias Aplicadas es una institucin educativa de carcter privado
e independiente con amplia experiencia en el campo de la educacin realizando la formacin de
sus alumnos como profesionales competentes y lderes ntegros. Esta formacin se fundamenta
en los principios filosficos de la universidad, de los cuales se desprenden metas que pasan a
constituirse en sus competencias generales. Estas son: orientacin al logro, comunicacin,
pensamiento crtico, ciudadana, creatividad, sentido tico y espritu empresarial.
En la actualidad cuenta con unidades de negocio o servicios brindados para los diferentes tipos
de clientes de la Institucin.
PREGRADO
POSTGRADO
EPE
La realizacin de formacin de las unidades de negocio se brinda en las diferentes sedes ubicadas
en los distritos de Santiago de Surco, Chorrillos, San Miguel, San Borja, San Isidro y San
Miguel.
La universidad cuenta con prestigio en el mercado gracias a la constante innovacin de

aseguramiento de los pilares de la calidad acadmica de la institucin: liderazgo en innovacin
e investigacin acadmica, innovacin pedaggica, cultura del Modelo Educativo y compromiso
con el alumno.
8.2.1. PROCESOS Y RECURSOS

INSTALACIONES
La Universidad consta de 4 campus:
Monterrico
Villa
San Isidro
San Miguel
En Monterrico y Villa se encuentra el DataCenter y en cada campus existen servidores con

los distintos sistemas que usa la empresa.
En cada campus, en lo que se refiere a la seguridad fsica
Refrigeracin optimizada para servidores
Seguridad al ingreso
Seguridad entre ambientes mediante tarjeta de proximidad HID
INFRAESTRUCTURA
SERVIDORES
o Campus Monterrico
Servidores Web
Servidores de bases de datos de la empresa
Servidor de Correos en Cloud con Office 365, este servidor est dedicado
exclusivamente para los trabajos de correos
Servidor de Central de Telefona IP Avaya, este servidor est dedicado

exclusivamente para los trabajos de telefona
Servidor CRM, en este servidor se encuentra el CRM de la empresa en

Microsoft Dynamics
Campus San Isidro

Servidores Web
Servidores de bases de datos de la empresa
Servidor de Central IP Avaya
Campus Villa
Servidores Web
Servidor Principal, en este servidor se encuentra las BD de datos de la

empresa
Servidor de Correos en Cloud con Office 365, este servidor est dedicado
exclusivamente para los trabajos de correos.
Servidor de Central IP Avaya
En cada campus existe:
Un switch Core con ACL (Lista de Control de Acceso, se usan para aplicar una poltica
de seguridad que permite o niega el acceso de cierta parte de la red a otra), que mediante
una VLAN separa los ambientes en Red Acadmica, Red Administrativa, WIFI.
Un IPS (Sistema de Prevencin de Intrusos), que toma accin contra virus, malwares,
phishing, sql injection, etc.
Antispam para correos.
Certificado SSL, con cifrado SHA 256
Los controles se guan bajo la norma ISO 27001 (norma internacional que describe
cmo gestionar la seguridad de una empresa).
Todos los campus estn unidos por un RPV de la empresa Claro
Los servidores de correo y web se encuentran en una DMZ.
Se cuenta con Firewall Fortigate, de la empresa Fortinet, que realiza anlisis peridicos
con su programa FortiAnalyzer, y brinda alertas y reportes sobre ataques detectados.
SOFTWARE
KASPERSKY:
UPC cuenta con el antivirus KASPERSKY, el cual le permite tener un anlisis de
vulnerabilidades y administracin de parches, adems de una administracin centralizada
de la seguridad. Como poltica, cada vez que se conecta un USB a alguna PC, se ejecuta el
antivirus, y solo se puede evitar el escaneo ingresando un password.
Este antivirus es
utilizado en apoyo del IPS.
ARANDA:
UPC cuenta ARANDA, el cual le permite tener un control de accesos a dispositivos: USB,
CDs y control de PC, con la finalidad de controlar los accesos a la red y prevenir de un
posible contagio a la red de la empresa.
SISTEMAS
PLATAFORMA TECNOLOGICA
Plataforma
Microsoft/HP
Principales productos de esa

Descripcin
plataforma
Office 365: Brinda soluciones Suite de Office 365. Ms
de correo, portal
servidores de
colaborativo, mensajera
autenticacin.
instantnea
Sistema Operativo: Windows

Server 2012
Hardware: 04 Servidores HP
(ADFS)
Microsoft /Oracle /HP
/Empaquetado
Sistema Operativo: Windows
Aplicacin de scrates,
Server 2012
Dynamics CRM,
Base de datos: Oracle
MicroStrategy.
Enterprise 11G R2
Servidor de aplicaciones:
Scrates
Hardware: 08 Servidores HP
10
APLICACIONES
Aplicacin
Funciones
Informacin
Scrates 1.0
Proporcionar accesos a los mdulos
Ms de 30 mdulos
disponibles para al alumno o profesor
desarrollados.
dependiendo del perfil de usuario con el
Actualmente lo conocen
que ingrese
ms de 28 personas y
Matrcula del alumno
existen 05 roles
Consulta de horarios.
(Analista programador,
Analista Soporte,
Analista Senior,
Coordinador y Gerente).
Se encuentra
desarrollado en Oracle
Forms con base de datos
Oracle.
Blackboard
Brindar al alumno un Aula Virtual
donde puede encontrar informacin de

sus cursos, notas, profesores, etc.
Ms de 5 mdulos
desarrollados.
relacionados a su mdulo matriculado.
ms de 5 personas y
existen 04 roles
Analista Soporte,
Analista Senior,
Coordinador).
PeopleSoft
Interactuar con las reas de finanzas y
contabilidad para revisin de

presupuestos y flujos de caja.
Ms de 5 mdulos
desarrollados.
ms de 5 personas y
existen 04 roles
Analista Soporte,
11
Coordinador y Jefe
Financiero).
Tiene una base de datos

Oracle.
Soporte proveedor
Externo (Servicios
Andinos)
Dynamics
CRM
Administracin de relaciones con los
clientes a nivel comercial.
Ms de 10 mdulos
desarrollados.
ms de 10 personas y
existen 05 roles
Analista Soporte,
Analista Senior,
Coordinador y Gerente).
Tiene una base de datos

SQL.
OFISIS
Administracin de los RRHH de la
organizacin (Planilla, vacaciones,

etc.).
Ms de 5 mdulos
desarrollados.
ms de 5 personas y
existen 04 roles
Analista Soporte,
Analista Senior y
Coordinador).
12
SPRING
Facturacin de la organizacin.
Ms de 3 mdulos
desarrollados.
ms de 5 personas y
existen 04 roles
Analista Soporte,
Analista Senior y
Coordinador).
SharePoint
Librera de documentos
Flujos de trabajo
Gestor de contenidos.
Ms de 2 mdulos
desarrollados.
ms de 8 personas y
existen 04 roles
Analista Soporte,
Analista Senior y
Coordinador).
ONBASE
Gestor de contenido documental
Ms de 4 mdulos
desarrollados.
ms de 4 personas y
existen 04 roles
Analista Soporte,
Analista Senior y
Coordinador).
13
Office 365
Gestor de Contenido
Correo electrnico
Mensajera y video conferencia
Ms de 3 soluciones
habilitadas.
ms de 10 personas y
existen 05 roles
Analista Soporte,
Analista de
Infraestructura, Analista
Senior y Coordinador).
14
RECURSOS HUMANOS
ORGANIGRAMA GENERAL
ORGANIGRAMA DE TI
Todas las reas usan internet de una u otra forma.
EXPLOTACION
PROCESOS CORE
Proceso
Descripcin
Matrcula
Proceso encargado de realizar la inscripcin del alumno en el

programa estudiantil deseado, siendo uno de los principales
procesos debido a partir de ello el alumno puede iniciar sus
actividades estudiantiles. Asimismo, este proceso tiene fecha y
periodos de funcionamiento ya establecidos en base al cronograma
de inicios de clases de cada programa estudiantil. Los roles
identificados en el proceso son: alumno, sistema y asesor de
matrcula.
15
Programacin de
El proceso de programacin de horarios consiste en generar los
Horarios
horarios de los cursos asociados a una seccin, profesor, alumnos

y sede. Este proceso sirve de soporte al proceso de matrcula y es
importante ya que impacta en el clculo de horas acadmicas y
sirve de entrada para otros procesos del negocio. Los roles del
proceso son: operador de sistemas, analista de proceso.
Admisin
El proceso de admisin permite el ingreso de los estudiantes a los

diferentes servicios que cuenta la institucin. Este proceso permite
conocer
el
potencial
acadmico
del
alumno
realizando
evaluaciones de conocimiento y entrevista personales.
Aprobacin de
El proceso de aprobacin de presupuesto, comprende todo el flujo
presupuesto
de presentacin y aprobacin de presupuesto para diversas

iniciativas de negocio propuestas por las diversas reas de la
organizacin ante el rea de planeamiento estratgico. Este proceso
se realiza en el tercer trimestre del ao previo del presupuesto a
evaluar. Los roles identificados en el proceso son: Presentador del
proyecto propuesto, evaluador del proyecto, jefe del rea de
planeamiento.
Ventas Directas
El proceso de ventas directas es el encargado de la generacin de

oportunidades comerciales dirigidas hacia posibles futuros
alumnos de alguno de los programas estudiantiles ofrecidos por
UPC. El servicio consta en que una operadora se comunica con el
posible cliente y empieza a ofrecerle alguno de los programas de
UPC, en base al inters del posible cliente se empieza a obtener y
registrar su informacin en el CRM, finalizando con una reunin
agendada con el personal de Admisin. Asimismo, este proceso se
encuentra funcionando todos los das laborables del ao con la
finalidad de generar un mnimo de oportunidades comerciales
necesarias para poder incrementar la posibilidad de concretar
oportunidades comerciales estudiantiles. Los roles identificados en
el proceso son: Posibles Alumnos, operadora del call center y
sistema CRM.
16
UNIDADES DE TI
Unidad
Descripcin
Administracin y
Brinda los permisos y accesos a los sistemas
Garantiza el funcionamiento correcto de los equipos y
Control de TI
Infraestructura y
Plataforma de TI
recursos centralizados (servidores, software e infraestructura

de conexin)
garantiza la disponibilidad diaria de los sistemas
gestiona las bases de datos
Define y mantiene los sistemas de telecomunicacin
Asegura el funcionamiento correcto de todas las medidas de

seguridad (encriptacin, cortafuegos, etc.)
Servicios de TI
Gestin y supervisin de los servicios que brinda la mesa de

ayuda
Certificacin y control de calidad de las aplicaciones y

desarrollos que sern puestos en produccin
Administracin de accesos y permisos a los diferentes

usuarios
Soluciones
Gestiona el Software y los equipos de la universidad
Se encarga del desarrollo, soporte y mantenimiento en
acadmicas TI
sistemas transaccionales acadmicos.
Desarrolla y mantiene las aplicaciones y bases de datos

internas necesarias para el funcionamiento de los sistemas
transaccionales acadmicos
Evaluacin, gestin e implementacin de aplicaciones

externas relacionadas a los servicios acadmicos
Soluciones de TI
Administrativas y
Garantiza la implementacin, mantenimiento, soporte y

desarrollo de los proyectos financieros y administrativos
Financieras
17
8.2.3. AMENAZAS Y VULNERABILIDADES
Recursos y Procesos
Vulnerabilidades
Amenazas
Instalaciones
Campus Monterrico
Uso de enchufes mltiples
Uso de artefactos como hervidoras o
Cada del Servicio

Elctrico
microondas en las oficinas.

El DataCenter no se encuentra en un
lugar adecuado
Campus San Isidro
Cada del Servicio

Elctrico

Campus Villa
Cada del Servicio

Elctrico

Campus San Miguel
Cada del Servicio

Elctrico

rea de Equipos
(Data Center)
No cuenta con control de acceso con
Personal de la
identificacin de perfiles y
organizacin no
autentificacin
autorizado.
No existe equipos adecuados contra

incendio
18
Infraestructura
Servidor Web
Varias aplicaciones se encuentran
Ataque de Hackers
alojadas en un servidor.
Ataque de Malwares
Proceso ineficiente de realizacin de

backups en algunos casos.
Cada de Red
Cada de Servicio
elctrico
Acceso a personal no
autorizado
Servidor de Base de
Datos
Proceso ineficiente de realizacin de

backups en algunos casos.
Ataque de Hackers
Ataque de Malwares
Cada de Red
Cada de Servicio
elctrico
autorizado
Servidor SharePoint
Ataque de Hackers
Ataque de Malwares
Cada de Red
Cada de Servicio
elctrico
autorizado
Servidor de Correo
Plan incompleto de contingencia para

cloud
Ataque de Hackers
Ataque de Malwares
Cada de Red
Cada de Servicio
elctrico
Spam con fines

publicitarios
19
Servidor de Central
Ataque de Hackers
Telefnica
Ataque de Malwares
Cada de Red
Cada de Servicio
elctrico
Cada del enlace

telefnico
Equipos porttiles
Personal que hace mal

uso de los equipos
(juegos, videos)
Equipos de escritorio
Personal que hace mal

uso de los equipos
(juegos, videos)
Software de
Seguridad ARANDA
Existen PCs. no gobernadas por el
software
Personal de la empresa
sin capacitacin
adecuada
Microsoft Windows
Sistema operativo no muy seguro
Server
Parches mal instalados o no
conocimiento en nuevas
actualizados
versiones
CRM
Personal de TI con bajo
Ataque de Hackers
Ataque de Malwares
Construccin de mdulos muy
Ataque de Hackers
personalizados
Ataque de Malwares
La no utilizacin de Microsoft
Dynamics CRM en forma nativa
20
Desarrollos Internos
No existe uniformidad en las
metodologas de desarrollo.
Personal de desarrollo y
TI poco capacitado
Sistemas sin evaluacin de pruebas

de stress
Validaciones realizadas solo en el

lado del cliente
Colocacin de data sensible en

archivos de configuracin
(Web.config)
Falta de documentacin de los

sistemas o muy poca documentacin
existente
RRHH
Personal de TI
No se promueven las polticas que
gestionan la interaccin con internet.
Personal de otras
Uso de contraseas endebles
Desconocimiento sobre riesgos de
reas
para promover polticas
internet
Gerencia sin influencia

No se promueven las polticas que

gestionan la interaccin con internet.
Uso de contraseas endebles

Explotacin
Proceso de Gestin de
Proceso documentado en forma
Estrategia de Servicio
parcial
TI

Polticas y procedimientos
desactualizados
Las estrategias no estn totalmente

alineadas con los objetivos
21
Cambios
parcial

desactualizados
Implementacin
parcial

desactualizados
Actualizaciones
realizadas evitando
algunos procedimientos
Proceso de gestin de
la Configuracin
parcial

desactualizados
Uso de versiones no
actualizadas en el
desarrollo de
aplicaciones
Proveedores
parcial
desactualizados

Mala Evaluacin de
proveedores
22
8.2.4.
RIESGOS
En este apartado, se realizar el anlisis de riesgo con respecto a la situacin actual de los recursos y procesos que se vienen usando en la
organizacin y que estn ligados a las actividades realizadas en el internet.
23
CUADRO DE PRINCIPALES RIESGOS

Nro
Descripcin
R1 Probabilidad de que deje de trabajar el servicio de conexin telefnica
R2 Probabilidad de cada del servicio de internet, originando prdidas en el negocio
Probabilidad de que se produzca una cada de la red, la comunicacin se caiga y afecte la
R3
operacin de la organizacin.
Probabilidad de que un software especializado en captura de datos ingrese a los equipos
R4 de la organizacin que no estn controlados por Aranda y logre extraer y exportar datos
con carcter confidencial.
Probabilidad que un evento fortuito genere problemas en la operacin de la instalacin de
R5
programas.
Probabilidad de que un personal no autorizado ingrese a las instalaciones aprovechando la
R6 forma endeble de los passwords y genere daos fsicos y/o lgicos a las instalaciones y a
la infraestructura tecnolgica (software y hardware).
Probabilidad de que un Hacker ataque a los recursos de hardware y software expuestos a
R7 internet y que puede generar daos fsicos y/o lgicos a la infraestructura tecnolgica o se
apropie de informacin confidencial.
Probabilidad de que un software malware se instale y ejecute en los computadores,
R8 servidores y otros dispositivos, generando daos a la infraestructura tecnolgica o se
apropie de informacin confidencial.
Probabilidad de que no se puedan enfrentar problemas en el software por no contar con
R9
documentacin adecuada.
Probabilidad de que el proveedor responda con tiempos demasiados largos y que
R10 comprometa la operatividad de recursos de infraestructura y con ello la operacin del
negocio.
Probabilidad de que la Gerencia de la organizacin, por dejadez u otros temas, no de
R11 importancia a la direccin y gestin en la ejecucin de los procesos dentro de la
organizacin generando impactos negativos para el negocio.
Probabilidad que una persona mal capacitada ponga en riesgo la eficiencia y eficacia de la
R12
ejecucin de las actividades generando impactos negativos al negocio.
Probabilidad que el servicio elctrico no funcione y cause problemas al negocio por falta
R13
de la misma.
Probabilidad de que un proceso no est regulado o no se apliquen correctamente sus
R14
polticas, debido a dejadez en el procedimiento.
Probabilidad de que una persona ingrese a un lugar que no le corresponde y genere
R15
problemas de operacin.
R16 Probabilidad que colapse el lugar asignado al DataCenter y genere riesgos en la operacin
Probabilidad de se presente una falla en la energa y no se cuente con fluido elctrico
R17 adecuado, debido a la falta de un generador o generadores de respaldo, y que pongan en
peligro las operaciones del negocio.
Probabilidad de colapso de la red de datos, debido a una falta de certificacin de red, y
R18
que ponga en peligro la operacin del negocio.
24
8.2.5.
MATRIZ DE RIESGOS
8.2.6.
PRIORIZACION
Considerando el cuadro de valoracin de del numeral anterior, se ha elaborado en un grfico

de distribucin que nos permite establecer los riesgos con mayores prioridades en base a los
siguientes criterios rangos:
0 <= X <= 2 Baja prioridad

2 < X <= 4 Mediana Prioridad
4 < X <= 6 Alta prioridad
Los controles que se desarrollarn se focalizan principalmente en los riesgos de alta y mediana
prioridad que se lista en la tabla final de priorizacin que se construy en base al grfico de
dispersin de riesgo.
27
8.2.7. CONTROLES DE LA EMPRESA

Gestiones en Infraestructura y Operaciones
La gestin de la estrategia de servicio de TI est alineada con los objetivos

estratgicos de la universidad. La gestin es realizada por el rea DINS.
Para la gestin del portafolio de servicios, en la universidad se lleva un inventario

de los servicios en funcionamiento y se monitorean peridicamente mediante
indicadores KPIS.
La gestin financiera es realizada por el rea de Finanzas. Adems, cada rea tiene
asignada una partida presupuestal y tambin por cada proyecto.
El diseo de servicio de TI se maneja a travs de comits entre responsables del

departamento de TI y del negocio para poder disear nuevos servicios de acuerdo a
las necesidades del negocio.
La gestin de proveedores en TI es realizada por el rea DINS.
La gestin de niveles de servicio se realiza tambin a travs de un comit, en la cual

se definen los tiempos de atencin y SLA para el caso de los servicios que se
encuentran bajo un outsourcing.
Para la gestin de la disponibilidad se realiza mediante un comit y reuniones

semanales y a las que pueden asistir usuarios del negocio y de TI.
Respecto a la gestin de la configuracin se realiza mediante un inventario de los

CI que cuenta la universidad, pero la actualizacin no es realizada de forma
peridica y cada unidad cuenta con su propia vista de informacin utilizando el
software ARANDA.
La gestin de cambios se maneja a travs de un comit de cambios que autoriza o

rechaza los cambios en por infraestructura y desarrollo.
La gestin de liberacin e implementacin es realizada mediante un equipo que

realiza los pases a produccin en los ambientes de desarrollo y certificacin. Las
solicitudes son canalizadas por la unidad de IT Service.
29
Informacin General sobre Seguridad

Accesos
Administracin y control de TI se encarga de la seguridad y los accesos de sistema

de informacin.
Infraestructura y Plataforma TI se encarga de la seguridad perimetral.
Confidencialidad
Se manejan perfiles de accesos, se cuenta con un controlador de Dominio.
Con respecto a la informacin del correo se cuenta con polticas de cambios de

clave, almacenamiento de los archivos OST.
Los accesos a los sistemas de informacin se dan con privilegios de administrador

( existen roles de usuarios)
Incidentes de Seguridad
Ataques a los sistemas web, pueden ser mediante SQL injection. Estos ataques se
dan por vulnerabilidades de mismos lenguaje.
Ataques a los extranet. En este caso existe lmite de tiempo de conexin.
Ataques internos (trfico de red inusual)
Respaldo y recuperacin
RESPALDO INCREMENTAL: Se respaldan los archivos modificados luego del

ltimo respaldo total. Esta poltica de respaldo disminuye el tiempo que emplea el
sistema en realizar el respaldo. Ante la restauracin del sistema se debe volcar
primero el respaldo total, y luego el ltimo respaldo incremental.
RECUPERACIN DE DATOS: Existe un procedimientos en el cual se solicita

al rea de infraestructura y plataforma TI la recuperacin de una determinada data
indicando datos como fecha, hora, aplicacin, servidor.
Auditora
Polticas de Seguridad a nivel institucional y evaluar si estn definidas y aplicadas

en los equipos de seguridad (firewalls, Routers, switches, Servidores de Dominio,
Filtros de Contenido, Wireless).
30
Verificacin que los equipos de seguridad estn configurados de tal forma que no
permitan transferencia de informacin que ponga en riesgo la red Interna, como ser
transferencias de Zonas DNS, publicacin de Direcciones IP, retransmisin de
paquetes a solicitud de ataques de HACKERS etc.
Control adecuado del hardware de los usuarios (perifricos).
Regulacin
Actualmente la UPC est regulada por la ley de proteccin de datos.
31
8.3. UPC TO-BE

En esta unidad, se presentaran una serie de recomendaciones para la empresa, en funcin del
diagnstico obtenido del anlisis de riesgos realizado en la primera parte de este captulo. A
continuacin se enumeraran los mismos:
8.3.1. POLITICAS DE SEGURIDAD
En la universidad existen polticas de seguridad, pero en algunos casos o no se cumplen o estn
mal diseadas. Tambin es posible que no se comuniquen en forma oportuna.
Por ejemplo, para el caso de la realizacin de backups, se han encontrado casos en los que
determinados sistemas tienen polticas de backup bien establecidas y cumplidas a cabalidad,
pero que no seran aplicadas a todos de la misma forma. Se solicit una actualizacin y se
realiz con xito, pero a los dos das, cuando se presentaron errores y se quiso revertir el
proceso, no se encontr el backup correspondiente, o sea que no se cumpli adecuadamente la
gestin de configuracin ni de cambios. Puede ser que aparentemente el sistema en cuestin
no tenga el cuidado requerido, pero en todo caso, en casos de actualizaciones, la poltica de los
backups es importante
En lo que se refiere a seguridad a determinadas zonas de la universidad, se ha detectado que

algunas personas se prestan sus tarjetas de proximidad para ingresar, a pesar de que no les
corresponde el ingreso. A pesar de que puede darse entre amigos, debera haber un mejor
control para evitar problemas.
En cuanto a la gerencia, si existe dejadez o falta de peso en ellas, pues se debe tambin hacerle
el debido seguimiento y control, para que esto no origine problemas futuros.
Peridicamente tambin se debe hacer una evaluacin de las polticas, para saber si siguen
siendo adecuadas o no en este caso, a los procesos de seguridad.
32
8.3.2.
CONCIENTIZACION Y EDUCACION DEL PERSONAL
Es sabido que los seres humanos son el eslabn ms dbil en cuanto a seguridad se refiere. Es
por esto que se debe tener especial cuidado en su educacin para la seguridad. En este caso, las
normas de seguridad y otros aspectos relacionados deben ser enviados peridicamente para que
el personal no se olvide de ellos, adems de sealarse las sanciones por su no cumplimiento.
Debera incluso haber una especie de evaluacin con puntaje y la entrega de una constancia de
que se ha realizado y aprobado dicha evaluacin, similar a como se evalan tambin los
conocimientos respecto a los sismos o a la seguridad fsica. Este resultado debera contribuir o
ser una parte de las consideraciones que se tienen en cuenta para los ascensos o mejoras
salariales. Al ser de conocimiento del personal, puede ser tomado como una motivacin.
La concientizacin del personal es importante porque, por ejemplo, en el caso de las

contraseas, a pesar de que la empresa tiene polticas respecto a su creacin y conformidad,
siempre se busca crear una contrasea fcil de recordar y por ello, generalmente, se crea una
con lo mnimo en requisitos solicitados. Entonces, si la persona tiene conocimiento de lo que
puede suceder, puede optar por hacer lo que se le recomienda.
8.3.3. CONTROL DE DESARROLLO DE APLICACIONES WEB

En la empresa existan dos reas encargadas del desarrollo de software o que establecan dicho
desarrollo con terceros (proveedores): DINS (Direccin de Inteligencia y Nuevas Soluciones)
y Sistemas. Sistemas se encargaba de la administracin de los sistemas core (Scrates,
blackboard, CRM, etc) y DINS, de la nueva tecnologa que poda aplicarse, as como tambin
del portal web y otras soluciones. Cada una tena sus propias polticas y metodologas de
trabajo, lo cual no era razonable si consideramos que las polticas deberan cumplirlas todos
los involucrados. Este ao se ha producido recin la fusin de ambas y ahora son una sola
direccin. Esto de todas maneras contribuir a una unicidad de criterios y metodologas, muy
conveniente para la universidad.
Las sugerencias a tener en cuenta son:
Documentar debidamente las aplicaciones. En estos momentos, existe poca documentacin

o poco hbito de hacerla, pues se prioriza que los proyectos se terminen lo antes posible y
la documentacin se dejaba para despus. En muchos casos dicha documentacin se
33
entregaba incompleta. Esto resulta contraproducente, pues afecta la realizacin de cambios

o actualizaciones, adems de que, en casos de ataque y dependiendo del tipo, afectara
enormemente desconocer la arquitectura del sistema para realizar su reparacin.
Tener una adecuada y nica metodologa para los proyectos de desarrollo. Por ejemplo,
actualmente no se tiene un sistema nico con el cual administrar los proyectos. Dicho
sistema debera ser conocido por todo el equipo y usarse siempre para lograr eficiencia y
eficacia.
Utilizar las Guas OWASP para el apoyo en el desarrollo de las aplicaciones web, con la
finalidad de tener en cuenta las mejores prcticas en codificacin de aplicaciones frente a
ataques.
8.3.4. CORTES DE FLUIDO ELECTRICO

Las cadas de fluido elctrico no son frecuentes, pero es algo que puede suceder. Se recomienda
contar con grupos electrgenos o generadores que puedan incluso funcionar como un backup
el uno del otro, pues se han dado casos en los que ha faltado fludo elctrico contando incluso
con un generador. Este generador debera tener tambin un adecuado cronograma de
mantenimiento, para que se pueda contar con l en todo momento.
8.3.5. ETHICAL HACKING
En la universidad, peridicamente se detectan ataques de hackers u otras amenazas. Es por esto
que sera importante establecer como poltica la realizacin de anlisis de vulnerabilidades y
amenazas usando el Ethical Hacking. Los beneficios que las organizaciones adquieren con la
realizacin de un Ethical Hacking son muchos, de manera muy general los ms importantes
son:
Ofrecer un panorama acerca de las vulnerabilidades halladas en los sistemas de

informacin, lo cual es de gran ayuda al momento de aplicar medidas correctivas.
Deja al descubierto configuraciones no adecuadas en las aplicaciones instaladas en los

sistemas (equipos de cmputo, switches, Routers, firewalls) que pudieran desencadenar
problemas de seguridad en las organizaciones.
Identificar sistemas que son vulnerables a causa de la falta de actualizaciones.

34
Disminuir tiempo y esfuerzos requeridos para afrontar situaciones adversas en la

organizacin.
Las pruebas de penetracin es un conjunto de metodologas y tcnicas para realizar un

diagnstico integral de las debilidades de los sistemas informticos de la organizacin. Estas
pruebas pueden ser:
Prueba externa: Permite evaluar el estado de la seguridad de una organizacin desde

Internet como si lo hiciera un intruso real.
Prueba interna: Permite evaluar el estado de la seguridad dentro de la organizacin.
Generalmente, este proceso se encarga a una empresa externa, por lo que es muy importante
tener en cuenta los aspectos legales en la realizacin de un Ethical hacking, los cuales deben
tenerse muy presentes tanto por las organizaciones que prestan el servicio como por quienes lo
contratan.
Estos aspectos se relacionan estrechamente con la confidencialidad, es decir, que a la

informacin que los encargados del proceso encuentren no se le d un mal manejo o uso ms
all de los fines previstos por las pruebas. Se deben indicar claramente en el contrato los
objetivos especficos de las pruebas de penetracin para evitar futuros malos entendidos.
En lo que respeta a la universidad, sta debe garantizar que la informacin que se provee a la
empresa encargada es fidedigna, para que los resultados sean congruentes y certeros. Sin
embargo, dada la naturaleza de las pruebas de penetracin es limitada la posibilidad de probar
toda la gama de tcnicas y mecanismos que los crackers o hackers pudieran emplear para
vulnerar un sistema informtico y en ocasiones se pueden obtener "falsos positivos", es decir,
resultados que indiquen una vulnerabilidad que realmente no es explotable.
Al ejecutar este proceso, se debe fidelizar a los empleados participantes de los procesos
evaluados, sobre todo si no conocen del tema, para que colaboren con el proceso en s. En
ocasiones, puede suceder que por el da a da, los empleados tengan muchas tareas urgentes
que realizar, y que demorarse en esto les parezca que atenta contra el cumplimiento oportuno
de sus procesos.
35
As tambin, es recomendable que la empresa enve a capacitacin sobre Ethical Hacking a

personal interno, pues, o bien ellos podrn hacer estos anlisis o sern los encargados de
trabajar a la par con la empresa auditora, para cerciorarse de que est realizando solo su trabajo
y no, por ejemplo, labores de espionaje.
8.3.6. CORRECTA EVALUACION DE LOS SISTEMAS

Al comprar un sistema enlatado, siempre se debe considerar que la empresa tiene que adecuar
sus procesos a l y no al revs. En el caso del CRM, se compr y, como para ciertos procesos
ya establecidos no funcionaba tal cual, se comenzaron a hacer modificaciones para que se
acomode a los procesos de UPC, lo cual origin que no se pueda usar CRM a toda su potencia,
o sea, que no se le pueda aprovechar al mximo. Lo que se recomienda es hacer un estudio
previo de lo que se necesita y, una vez realizado el estudio, decidir la mejor herramienta a usar.
8.4. CONCLUSIONES
El interactuar con internet es imprescindible para toda empresa. Por esto, las
organizaciones siempre deben tener claro que, as como realizar negocios por internet
les trae muchos beneficios, tambin les traer amenazas. Entonces, usar un sistema de
seguridad debe ser una de sus prioridades.
Segn hemos visto, el software sirve de mucho en el desarrollo de una empresa, por los
beneficios que puede darle; pero tambin puede tornarse malicioso si, bajo las
instrucciones de un hacker o cracker, causa daos en la empresa.
Prevenir siempre es mejor que lamentar. Hacer evaluaciones, pruebas, etc. siempre es
costoso, pero este costo siempre suele ser mnimo comparado muchas veces con los
daos producidos por una vulnerabilidad o amenaza. Tampoco hay que gastar por
gastar, sino medir las vulnerabilidades y proponer la seguridad adecuada.
La mejora de la tecnologa y la comunicacin provoca tambin la aparicin de nuevos
medios y formas de ataque que hacen de internet un medio peligroso para cualquier
organizacin que la utilice. Es por esto que tambin es necesaria la evaluacin
permanente de los sistemas de seguridad, para saber si siguen siendo competentes o si
deben ser mejorados.
Hemos visto que el Ethical Hacking es muy importante para las empresas, ya que les
permite analizar y conocer los mtodos y herramientas que el enemigo va a utilizar, y
as, poder defenderse mejor. Aqu podramos decir que siempre es mejor Conocerse a
36
s mismo
OWASP nos da la oportunidad de crear aplicaciones web seguras y dada la coyuntura,
es algo que no se debe desaprovechar.
37
CONCLUSIONES
El interactuar con internet es imprescindible para toda empresa. Por esto, las
organizaciones siempre deben tener claro que, as como realizar negocios por internet
les trae muchos beneficios, tambin les traer amenazas. Entonces, usar un sistema de
seguridad debe ser una de sus prioridades.
Segn hemos visto, el software sirve de mucho en el desarrollo de una empresa, por los
beneficios que puede darle; pero tambin puede tornarse malicioso si, bajo las
instrucciones de un hacker o cracker, causa daos en la empresa.
La mejora de la tecnologa y la comunicacin provoca tambin la aparicin de nuevos

medios y formas de ataque que hacen de internet un medio peligroso para cualquier
organizacin que la utilice. Es por esto que tambin es necesaria la evaluacin
permanente de los sistemas de seguridad, para saber si siguen siendo competentes o si
deben ser mejorados.
La proteccin de los recursos informticos de una organizacin requiere que se tenga

alguna idea de los mtodos y herramientas que el enemigo va a utilizar. Conocer cmo
funcionan los ataques permite defenderse de los mismos. De hecho, muchas
organizaciones utilizan las mismas herramientas que los atacantes utilizan para ayudar
a identificar los puntos dbiles que deben abordar. Siempre es mejor encontrar
debilidades en su propio entorno antes que un atacante lo haga.
Actualmente existe la necesidad de crear aplicaciones Web seguras, por ello para cubrir
este objetivo la comunidad OWASP ofrece diferentes cursos y/o herramientas gratuitas
que pueden ser aplicados en todas las etapas del ciclo de vida del software por los
diferentes roles participantes: desarrolladores, arquitectos, especialistas de Calidad,
responsables de Seguridad informtica, etc.
38
El mundo de los riesgos y amenazas a la seguridad de la informacin de los usuarios a

travs de internet es muy amplia y se actualiza constantemente. Sin embargo, siempre
existe algn mecanismo que permita minimizar el impacto.
El costo en el que se incurre suele ser mnima comparados con aquellos luego de
producido un dao. El desconocimiento y la falta de informacin
son el principal
inconveniente cuando se evala la inclusin de seguridad como parte de un sistema. Lo

que tambin la empresa siempre debe considerar es si la seguridad que maneja es
suficiente o manejable. Invertir en seguridad no es barato y se debe evaluar los procesos
ms crticos para su aplicacin.
Es urgente legislar un marco legal adecuado, no solo que castigue a los culpables sino
que desaliente acciones hostiles futuras.
39
GLOSARIO DE TERMINOS
World Wide Web
Asociacin de informacin independiente bases de datos accesibles a travs de Internet. A
menudo llamada la Web o WWW.
Hacker
Apodo comn para una persona no autorizada que irrumpe o intenta entrar en un sistema
informtico eludiendo sus protecciones de seguridad.
Scripts
En informtica es un archivo de rdenes o archivo de procesamiento por lotes usualmente
simple que por lo regular se almacena en un archivo de texto plano.
Malwares
El malware (del ingls malicious software), tambin llamado badware, cdigo maligno,
software malicioso o software malintencionado, es un tipo de software que tiene como objetivo
infiltrarse o daar una computadora o sistema de informacin sin el consentimiento de su
propietario.
Phishing
Es un trmino informtico que denomina un modelo de abuso informtico y que se comete
mediante el uso de un tipo de ingeniera social caracterizado por intentar adquirir informacin
confidencial de forma fraudulenta, principalmente basado en la suplantacin de identidad.
Spyware
Es un software que recopila informacin de un ordenador y despus transmite esta informacin
a una entidad externa sin el conocimiento o el consentimiento del propietario del ordenador.
Se pueden clasificar como: system monitors, trojans, adware y tracking cookies.
40
Bugs
Problemas de calidad de sus aplicativos generados de manera malintencionada o por omisin
por parte de los proveedores de software.
Botnet
Ataques generados por fuera de la empresa con el fin de tomar control de los equipos.
Spam
Correo basura enviado con el objetivo de saturar el servidor de correo.
DOS
Ataques de denegacin de servicio para inhabilitacin de los servicios, mediante mltiples
peticiones de acceso.
Cross-Site Scripting
Forzar a un sitio Web para replicar programas ejecutables orientados a los clientes del
navegador.
Suplantacin de Contenido
Tcnica para engaar a los usuarios presentando informacin falsa en sitios Web autnticos.
Fuga de Informacin
Revelacin y robo de informacin privada y sensible de la empresa por parte de empleados o
terceros usando mtodos de transferencia electrnica.
Intrusin remota
Ingreso externo no autorizado a un equipo de cmputo usando la infraestructura de
conectividad de la empresa.
Fuerza Bruta
Proceso de ingreso de credenciales de autenticacin de forma masiva para violar sistemas de
seguridad.
41
Desbordamiento de Buffer
Alteracin del normal funcionamiento de un sistema o programa mediante la sobre escritura de
espacios de memoria.
Inyeccin LDAP
Violentar el acceso a sitios que implementan autenticacin va LDAP mediante enviando
credenciales de autenticacin falsas del directorio.
Inyeccin de Comandos.Envo de comandos dirigidos al sistema operativo y a travs de los componentes de ingreso de
informacin a la aplicacin.
Inyeccin de SQL
Envo de sentencias de SQL a travs de los componentes de ingreso de informacin a la
aplicacin, para ser ejecutados en la base de datos.
Hub (concentrador)
Es el dispositivo de conexin ms bsico. Es utilizado en redes locales con un nmero muy
limitado de mquinas. No es ms que una toma mltiple RJ45 que amplifica la seal de la red
(base 10/100).
Switch (o conmutador)
Equipo que trabaja en las dos primeras capas del modelo OSI, es decir que ste distribuye los
datos a cada mquina de destino, mientras que el hub enva todos los datos a todas las mquinas
que responden.
Router
Equipo de comunicacin que permite el uso de varias clases de direcciones IP dentro de una
misma red. De este modo permite la creacin de sub redes.
IDC
International Data Corporation
42
ISO
International Organization for Standardization
ONGEI
Oficina Nacional de Gobierno Electrnico e Informtica
C.P.U
Del ingls Central Processing Unit, unidad central de procesamiento, es el componente
principal de una computadora interpreta las instrucciones contenidas en los programas y
procesa los datos
Protocolo TCP/IP
TCP/IP es una denominacin que permite identificar al grupo de protocolos de red que
respaldan a Internet y que hacen posible la transferencia de datos entre redes de ordenadores.
En concreto, puede decirse que TCP/IP hace referencia a los dos protocolos ms trascendentes
de este grupo: el conocido como Protocolo de Control de Transmisin (o TCP) y el llamado
Protocolo de Internet (presentado con la sigla IP).
Protocolo ARP
El protocolo ARP (Address Resolution Protocol) tiene un importante papel entre los protocolos
de comunicaciones relacionados con TCP/IP. Su principal objetivo es conocer la direccin
fsica (MAC) de una tarjeta de interfaz de red correspondiente a una direccin IP (Internet
Protocol). De ah viene su nombre: Protocolo de Resolucin de Direccin (Address Resolution
Protocol).
Smishing
Los smishers son los atacantes que realizan phishing a travs de mensajes de texto. Buscan a
travs de Ingeniera Social que las vctimas hagan una de tres cosas:
Hagan clic en un hipervnculo
Llamen a un nmero de telfono
Respondan a un mensaje de texto
43
Vishing
Es la prctica de obtener informacin o generar una accin a travs de un telfono celular o
VoIP, y puede realizarse a travs de prcticas como Spoofing (suplantacin de identidad).
44
SIGLARIO
World Wide Web
Hacker
Scripts
Malwares
Phishing
Spyware
Bugs
Botnet
Spam
DOS
Cross-Site Scripting
Suplantacin de Contenido
Fuga de Informacin
Intrusin remota
Fuerza Bruta
Desbordamiento de Buffer
Inyeccin LDAP
Inyeccin de Comandos. Inyeccin de SQL
Hub (concentrador)
Switch (o conmutador)
Router
IDC
ISO
ONGEI
C.P.U
45
BIBLIOGRAFIA
[1]
KIOSKEA (2014) Protocolos (consulta: 17 de mayo de 2015)

(http://es.kioskea.net/contents/275-protocolos)
[2]
Principales elementos de una red (2012) (consulta: 17 de mayo de 2015)

(http://elementosderedadpq.blogspot.com/2012/10/principales-componentes-de-unared.html)
[3]
KIOSKEA (2014) Servidor Proxy (consulta: 17 de mayo de 2015)

(http://es.kioskea.net/contents/297-servidores-proxy-y-servidores-de-proxy-inversos)
[4]
Raggio, Juan (2011) DESARROLLO DE PROCESOS DE GESTIN DE SERVICIOS

DE EXPLOTACIN SIGUIENDO EL MODELO CMMI. Universidad Politcnica de
Madrid
[5]
ESET (2011) Troyanos y gusanos: el reinado del malvare (consulta: 23 de mayo de

2015)
(http://www.welivesecurity.com/wp-content/uploads/2014/01/troyanos-y-
gusanos-el-reinado-del-malware.pdf)
[6]
(2003) Elementos terico-prcticos tiles para conocer los virus informticos.

En: ACIMED, Vol 11, Nro 5, pg 55-67, Centro Nacional de Informacin de Ciencias
Medicas
[7]
Panda Security (2012) Gusanos Informticos (consulta: 23 de mayo de 2015)

(http://www.pandasecurity.com/peru/homeusers/security-info/classic-malware/worm/)
[8]
KASPERSKY (2012) Qu es un troyano? (consulta: 22 de mayo de 2015)

(http://www.kaspersky.es/internet-security-center/threats/trojans)
[9]
Portal Data kraft (2012) qu es el spyware? (consulta: 23 de mayo de 2015)

(http://www.datacraft.com.ar/internet-spyware.html)
[10]
Wikipedia (2013) Spoofing (consulta: 23 de mayo de 2015)

(http://es.wikipedia.org/wiki/Spoofing)
46
[11]
(2015) The BIG VIRUS GUIDE En: Micro Mart, Vol 1354, Nro 44, Dennis Publishing
Ltd
[12]
INFORMATICAHOY (2010) Seguridad Informtica: Qu es Ingenieria Social?

(consulta: 24 de mayo de 2015) (http://www.informatica-hoy.com.ar/softwareseguridad-virus-antivirus/Ingenieria-Social-Seguridad-Informatica.php)
[13]
WELIVESECURITY (2014) Las tcnicas de Ingeniera Social evolucionaron, presta

atencin! (consulta: 24 de mayo de 2015) (http://www.welivesecurity.com/laes/2014/05/21/tecnicas-ingenieria-social-evolucionaron-presta-atencion/)
[14]
Julian, Guillermo (2012) Son los ataques DDoS efectivos como medio de protesta?
(consulta: 24 de mayo de 2015) En: Genbeta (http://www.genbeta.com/web/son-losataques-ddos-efectivos-como-medio-de-protesta)
[15]
Panda Antivirus (2010) Qu es Phishing? (consulta: 24 de mayo de 2015) En: Genbeta

(http://www.pandasecurity.com/peru/homeusers/security-info/cybercrime/phishing/)
[16]
Araya, Kenyie (2006) Introduccin al Cross-Site-Scripting (consulta: 24 de mayo de

2015) En: Desarrolloweb (http://www.desarrolloweb.com/articulos/introduccioncross-site-scripting.html)
[17]
Segu-Info (2012) Spam (consulta: 23 de mayo de 2015) (http://www.seguinfo.com.ar/malware/spam.htm)
[18]
USUARIO CASERO (2012) Pharming (consulta: 22 de mayo de 2015)

(http://www.seguridad.unam.mx/usuario-casero/eduteca/main.dsc?id=194)
[19]
Wikipedia
(2013)
Hacker
(consulta:
23
de
mayo
de
2015)
(http://es.wikipedia.org/wiki/Hacker_%28seguridad_inform%C3%A1tica%29)
[20]
INFORMATICAHOY (2010) Qu es un cracker? (consulta: 24 de mayo de 2015)

(http://www.informatica-hoy.com.ar/aprender-informatica/Que-es-un-Cracker.php)
[21]
OSI-OFICINA NACIONAL DEL INTERNAUTA (2014) Qu es una botnet o una red

zombi
de
ordenadores?
(consulta:
24
de
mayo
de
2015)
(https://www.osi.es/es/actualidad/blog/2014/03/14/que-es-una-botnet-o-una-redzombi-de-ordenadores)
47
[22]
Shackleford, Dave (2013) Pruebas de penetracin en ingeniera social: cuatro tcnicas

efectivas
(consulta:
26
de
mayo
de
2015)
En:
SearchDataCenter
(http://searchdatacenter.techtarget.com/es/consejo/Pruebas-de-penetracion-eningenieria-social-cuatro-tecnicas-efectivas)
[23]
(2013) Tutorial de Seguridad Informtica (consulta: 26 de mayo de 2015)

(http://redyseguridad.fi-p.unam.mx/proyectos/tsi/capi/Cap2.html)
[24]
L. Allen, S. Ali y T. Heriyanto, Kali Linux Assuring Security by Penetration Testing,

PACKT Publishing. Open Source, 2014.
[25]
J. Broad y A. Bindner, Hacking with Kali. Practical Penetration Testing Techniques,

Syngress, 2013.
[26]
P. Gonzlez, G. Snchez y J. M. Soriano, Pentesting con Kali, 0xWord, 2013.
[27]
W. L. Pritchett y D. De Smet, Kali Linux Cookbook, Packt Publishing

Open Source, 2013.
[28]
A. Singh, Instant Kali Linux, Packt Publishing, 2013.
[29]
Segu-Info (2012) Firewall / Cortafuegos (consulta: 31 de mayo de 2015)

(http://www.segu-info.com.ar/firewall/firewall.htm)
48

Trabajo Final

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Trabajo Final

Cargado por

Copyright:

Formatos disponibles

UNIVERSIDAD PERUANA DE CIENCIAS APLICADAS

RIESGOS POR INTERNET.

PARA EL CURSO DE SEGURIDAD Y AUDITORIA DE SISTEMAS

Lima, Junio de 2015

Tambin se promueve un cambio en cuanto a la administracin y manejo de informacin

UPC AS-IS ................................................................................................................ 7

PROCESOS Y RECURSOS ............................................................................... 8

AMENAZAS Y VULNERABILIDADES ........................................................ 18

MATRIZ DE RIESGOS .................................................................................... 26

CONTROLES DE LA EMPRESA ................................................................... 29

UPC TO-BE ............................................................................................................. 32

POLITICAS DE SEGURIDAD ........................................................................ 32

CONCIENTIZACION Y EDUCACION DEL PERSONAL............................ 33

CONTROL DE DESARROLLO DE APLICACIONES WEB ........................ 33

CORTES DE FLUIDO ELECTRICO ............................................................... 34

ETHICAL HACKING ....................................................................................... 34

CORRECTA EVALUACION DE LOS SISTEMAS ....................................... 36

En el captulo 3 se presentan las vulnerabilidades que se pueden detectar en la empresa en lo

En el captulo 8 se presentan las aplicaciones de todo lo referente a las amenazas,

Con base a lo anterior y con las recomendaciones generales, se propone un esquema

CAPITULO 8: CASO DE APLICACIN: UPC

La universidad cuenta con prestigio en el mercado gracias a la constante innovacin de

8.2.1. PROCESOS Y RECURSOS

En Monterrico y Villa se encuentra el DataCenter y en cada campus existen servidores con

Refrigeracin optimizada para servidores

Seguridad entre ambientes mediante tarjeta de proximidad HID

Servidores de bases de datos de la empresa

Servidor de Central de Telefona IP Avaya, este servidor est dedicado

Servidor CRM, en este servidor se encuentra el CRM de la empresa en

Campus San Isidro

Servidores de bases de datos de la empresa

Servidor de Central IP Avaya

Servidor Principal, en este servidor se encuentra las BD de datos de la

Servidor de Central IP Avaya

En cada campus existe:

Antispam para correos.

Certificado SSL, con cifrado SHA 256

Todos los campus estn unidos por un RPV de la empresa Claro

Los servidores de correo y web se encuentran en una DMZ.

utilizado en apoyo del IPS.

Principales productos de esa

Sistema Operativo: Windows

Microsoft /Oracle /HP

Sistema Operativo: Windows

Base de datos: Oracle

Proporcionar accesos a los mdulos

disponibles para al alumno o profesor

dependiendo del perfil de usuario con el

Matrcula del alumno

Brindar al alumno un Aula Virtual

donde puede encontrar informacin de

relacionados a su mdulo matriculado.

Interactuar con las reas de finanzas y

contabilidad para revisin de

Tiene una base de datos

Administracin de relaciones con los

clientes a nivel comercial.

Tiene una base de datos

Administracin de los RRHH de la

organizacin (Planilla, vacaciones,

Gestor de contenido documental

Mensajera y video conferencia

Todas las reas usan internet de una u otra forma.

Proceso encargado de realizar la inscripcin del alumno en el