Está en la página 1de 25

Acta de Constitucin del Proyecto Generador de Sitios Web de Asignaturas

( 1.0 ) Fecha: Mayo


, 2014

Gestin de la Seguridad Fsica y Lgica

Portal Generador de Sitios Web para la Facultad de Ciencias de la


Universidad Central de Venezuela

Revisin (1.0)

PROGRAMA NACIONAL DE FORMACIN EN INFORMTICA (PNFI)

Integrantes del Equipo:


Cdula de Identidad Apellidos y Nombres E-Mail
14.034.528 Rodrguez, Rafael rafaucv@gmail.com
15.785.697 Marcano, Gabriel gabo1728@gmail.com
15.912.717 Hernndez, M Fernanda maferhb@gmail.com
17.123.605 Marcano, Harold harold_marcano@hotmail.com

0
Acta de Constitucin del Proyecto Generador de Sitios Web de Asignaturas

( 1.0 ) Fecha: Mayo


, 2014

Tutor: Profa. Edithsy Fernndez


Seccin: 03
Fecha: Mayo, 2014
REVISIONES

Fecha Versin Descripcin Autor


Rodrguez, Rafael
Marcano, Gabriel
09/05/2014 1.0 Elaboracin del documento.
Hernndez, M Fernanda
Marcano, Harold

1
Acta de Constitucin del Proyecto Generador de Sitios Web de Asignaturas

( 1.0 ) Fecha: Mayo


, 2014

TABLA DE CONTENIDO

1 PROPSITO DEL DOCUMENTO


2 ABREVIATURAS, ACRNIMOS Y ABREVIATURAS
3 ASPECTOS LEGALES
a) Indicar las leyes venezolanas que deben tener en cuenta la comunidad, para
preservar la seguridad de la informacin en sus aplicaciones.
4 GESTIN DE LA SEGURIDAD LGICA
a) Algunas tcnicas de seguridad lgica, con que se cuenta: Control de acceso,
autenticacin, encriptacin, firewalls, antivirus (en caso de usar Windows).
b) Deteccin de ataques informticos (hackers, virus, ataques de DOS, etc.)
5 GESTION DE LA SEGURIDAD FISICA
a) Barreras fsicas y procedimientos de control, como medidas de prevencin.
b) Seguridad fsica de la aplicacin en estudio.
c) Seguridad fsica en caso de desastres: Incendios, inundaciones, terremotos,
instalacin elctrica.
6 VULNERABILIDADES Y AMENAZAS DETECTADAS
7 PROPUESTA DE MEJORAS A LA COMUNIDAD
8 RECOMENDACIONES
9 REFERENCIAS BIBLIOGRAFICAS

2
Acta de Constitucin del Proyecto Generador de Sitios Web de Asignaturas

( 1.0 ) Fecha: Mayo


, 2014

1 PROPSITO DEL DOCUMENTO

El contenido del presente documento describe el trabajo realizado en el proyecto Gestin


de la Seguridad Fsica y Lgica para el Portal Generador de Sitios Web desarrollado en la
Universidad Central de Venezuela. La aplicacin de este proyecto permitir establecer roles,
procesos y polticas para gestionar de manera adecuada el Portal Generador de Sitios Web,
siendo el caso de anlisis la Facultad de Ciencias. La primera problemtica a resolver era
como cuantificar y detallar el estado actual del Portal Generador de Sitios Web analizado. Un
componente esencial en este anlisis era estudiar y revisar la informacin de los procesos
que rigen la operativa de la institucin, las directrices y/o polticas establecidas y los activos
o recursos que forman parte del caso de anlisis.

Para determinar cul es el estado real del Portal Generador de Sitios Web, fue necesario
investigar acerca de estndares y/o normas internacionales y nacionales, las cuales son la
base del presente trabajo. Al concluir la investigacin, se hizo evidente que no existe un
nico estndar que asegure la gestin de la seguridad (fsica y lgica). Por lo que el proyecto
determin que debe tener mltiples fuentes y que stas deben recoger ambos tipos de
seguridad. El estndar ms importante acerca de las polticas de seguridad para los servicios
y/o aplicaciones informticas, es la ISO/IEC 27000, estndar reconocido mundialmente y
sobre el cual los mejores y ms avanzados sistemas del mundo basan la gestin de la
seguridad. Con los estndares definidos, se inici la evaluacin del Portal Generador de
Sitios Web, con el objetivo de definir su estado real y establecer medidas para subsanar las
observaciones encontradas.

Se crearon dos checklist basados en los estndares y normas mencionada, que se especializa
en un enfoque de la seguridad. Esta evaluacin brindar la pauta de lo que debe gestionarse
en corto, mediano y largo plazo. Los resultados de ambos checklist no fueron los esperados.
El resultado estableci que ambos frentes de la seguridad estaban en su nivel ms bajo y
para levantar estas observaciones se necesitaba trabajar sobre las recomendaciones
catalogadas como mnimas. Uno de los principales entregables del proyecto, es la poltica la
misma que cubre los dos frentes de seguridad- basndola en la norma ISO/IEC 27000. Al

3
Acta de Constitucin del Proyecto Generador de Sitios Web de Asignaturas

( 1.0 ) Fecha: Mayo


, 2014

tener la poltica instaurada, se definieron y crearon los procesos que brinden soporte a las
directrices de estas polticas; con la definicin del proceso, fue necesario definir los roles
para finalmente formar un estndar aplicable a Portal Generador de Sitios Web. Por ltimo,
se han listado algunas recomendaciones y conclusiones del proyecto.
2 ABREVIATURAS, ACRNIMOS Y ABREVIATURAS

La actividad de auditar consiste en realizar un examen de los procesos y


Auditora actividades de una organizacin para confirmar si se ajustan a lo fijado por
las leyes o los buenos criterios.

Es un grupo de personas asociadas con el objeto de llevar una vida en


comn, basada en una permanente ayuda mutua, generalmente conviven
Comunidad
en una misma localidad, estn conformados por personas de diversas
edades y presentan una problemtica particular e intereses comunes.

Herramienta grafica cuyo objetivo es mostrar el tiempo de dedicacin


Gant previsto para diferentes tareas o actividades a lo largo de un tiempo total o
determinado.

Estndar en la administracin de proyectos desarrollado por el Project


PmBook
Managmente Institute (PMI)

Biblioteca de Infraestructura de Tecnologas de Informacin,


frecuentemente abreviada ITIL (del ingls Information Technology
Infrastructure Library), es un conjunto de conceptos y prcticas para la
Itil
gestin de servicios de tecnologas de la informacin, el desarrollo de
tecnologas de la informacin y las operaciones relacionadas con la misma
en general.

Son una forma de conocer el avance del proyecto sin estar familiarizado con
Hito
el mismo y que simbolizan un logro, un punto, un momento en el proyecto.

3 ASPECTOS LEGALES

Leyes Nacionales.

InfoGobierno. (COLOCAR ART.)

4
Acta de Constitucin del Proyecto Generador de Sitios Web de Asignaturas

( 1.0 ) Fecha: Mayo


, 2014

Estndares Internacionales.

ISO/IEC 27000 Estndar de Gestin de Seguridad de la Informacin para desarrollar,


implementar y mantener Especificaciones para los Sistemas de Gestin de la Seguridad
de la Informacin (SGSI) y otros medios donde fluye la informacin de la Organizacin
Internacional de Estndares (ISO) y la Comisin Electrotcnica Internacional (IEC).
IEEE P1363 Estndar de manejos de Claves de acceso y seguridad Informtica del
Institute of Electrical and Eletronics Engineers (IEEE).

4 GESTIN DE LA SEGURIDAD LGICA

La Seguridad Lgica consiste en la "aplicacin de barreras y procedimientos que resguarden


el acceso a los datos y slo se permita acceder a ellos a las personas autorizadas para
hacerlo."

"Todo lo que no est permitido debe estar prohibido" y esto es lo que debe asegurar la
Seguridad Lgica.

Los objetivos que se plantean sern:

Restringir el acceso a los programas y archivos.


Asegurar que los operadores puedan trabajar sin una supervisin minuciosa y no
puedan modificar los programas ni los archivos que no correspondan.
Asegurar que se estn utilizados los datos, archivos y programas correctos en y por el
procedimiento correcto.
Que la informacin transmitida sea recibida slo por el destinatario al cual ha sido
enviada y no a otro.
Que la informacin recibida sea la misma que ha sido transmitida.
Que existan sistemas alternativos secundarios de transmisin entre diferentes puntos.
Que se disponga de pasos alternativos de emergencia para la transmisin de
informacin.

Asimismo, se plantearon las siguientes tcnicas para recolectar informacin del sistema obre

5
Acta de Constitucin del Proyecto Generador de Sitios Web de Asignaturas

( 1.0 ) Fecha: Mayo


, 2014

la seguridad aplicada, tato lgica como fsica, siendo estas:

Encuestas (Ver Anexo 1)


Cuestionarios (Ver Anexo 2)

Controles de Acceso. Estos controles pueden implementarse en el Sistema Operativo, sobre


los sistemas de aplicacin, en bases de datos, en un paquete especfico de seguridad o en
cualquier otro utilitario.

Constituyen una importante ayuda para proteger al sistema operativo de la red, al sistema
de aplicacin y dems software de la utilizacin o modificaciones no autorizadas; para
mantener la integridad de la informacin (restringiendo la cantidad de usuarios y procesos
con acceso permitido) y para resguardar la informacin confidencial de accesos no
autorizados.

Asimismo, es conveniente tener en cuenta otras consideraciones referidas a la seguridad


lgica, como por ejemplo las relacionadas al procedimiento que se lleva a cabo para
determinar si corresponde un permiso de acceso (solicitado por un usuario) a un
determinado recurso. Al respecto, el National Institute for Standars and Technology (NIST)(1)
ha resumido los siguientes estndares de seguridad que se refieren a los requisitos mnimos
de seguridad en cualquier sistema:

Identificacin y Autentificacin
Roles
El acceso a la informacin tambin puede controlarse a travs de la funcin o rol del
usuario que requiere dicho acceso.
Algunos ejemplos de roles seran los siguientes: programador, lder de proyecto, gerente
de un rea usuaria, administrador del sistema, etc.
En este caso los derechos de acceso pueden agruparse de acuerdo con el rol de los
usuarios.
Transacciones
Tambin pueden implementarse controles a travs de las transacciones, por ejemplo
solicitando una clave al requerir el procesamiento de una transaccin determinada.
Limitaciones a los Servicios
Estos controles se refieren a las restricciones que dependen de parmetros propios de la

6
Acta de Constitucin del Proyecto Generador de Sitios Web de Asignaturas

( 1.0 ) Fecha: Mayo


, 2014

utilizacin de la aplicacin o preestablecidos por el administrador del sistema.


Un ejemplo podra ser que en la organizacin se disponga de licencias para la utilizacin
simultnea de un determinado producto de software para cinco personas, en donde
exista un control a nivel sistema que no permita la utilizacin del producto a un sexto
usuario.
Modalidad de Acceso (leer ms)
Ubicacin y Horario
El acceso a determinados recursos del sistema puede estar basado en la ubicacin fsica
o lgica de los datos o personas.
En cuanto a los horarios, este tipo de controles permite limitar el acceso de los usuarios
a determinadas horas de da o a determinados das de la semana.
De esta forma se mantiene un control ms restringido de los usuarios y zonas de
ingreso.
Se debe mencionar que estos dos tipos de controles siempre deben ir acompaados de
alguno de los controles anteriormente mencionados.
Control de Acceso Interno (leer ms)
Control de Acceso Externo (leer ms)
Administracin (leer ms)

Niveles de Seguridad Informtica. El estndar de niveles de seguridad mas utilizado


internacionalmente es el TCSEC Orange Book(2), desarrollado en 1983 de acuerdo a las
normas de seguridad en computadoras del Departamento de Defensa de los Estados Unidos.

Los niveles describen diferentes tipos de seguridad del Sistema Operativo y se enumeran
desde el mnimo grado de seguridad al mximo.
Estos niveles han sido la base de desarrollo de estndares europeos (ITSEC/ITSEM) y luego
internacionales (ISO/IEC).

Cabe aclarar que cada nivel requiere todos los niveles definidos anteriormente: as el
subnivel B2 abarca los subniveles B1, C2, C1 y el D.

Nivel D. Este nivel contiene slo una divisin y est reservada para sistemas que han
sido evaluados y no cumplen con ninguna especificacin de seguridad.
Sin sistemas no confiables, no hay proteccin para el hardware, el sistema operativo es
inestable y no hay autentificacin con respecto a los usuarios y sus derechos en el

7
Acta de Constitucin del Proyecto Generador de Sitios Web de Asignaturas

( 1.0 ) Fecha: Mayo


, 2014

acceso a la informacin. Los sistemas operativos que responden a este nivel son MS-DOS
y System 7.0 de Macintosh.
Nivel C1: Proteccin Discrecional. Se requiere identificacin de usuarios que permite el
acceso a distinta informacin. Cada usuario puede manejar su informacin privada y se
hace la distincin entre los usuarios y el administrador del sistema, quien tiene control
total de acceso.
Muchas de las tareas cotidianas de administracin del sistema slo pueden ser
realizadas por este "super usuario" quien tiene gran responsabilidad en la seguridad del
mismo. Con la actual descentralizacin de los sistemas de cmputos, no es raro que en
una organizacin encontremos dos o tres personas cumpliendo este rol. Esto es un
problema, pues no hay forma de distinguir entre los cambios que hizo cada usuario.
A continuacin se enumeran los requerimientos mnimos que debe cumplir la clase C1:
o Acceso de control discrecional: distincin entre usuarios y recursos. Se podrn
definir grupos de usuarios (con los mismos privilegios) y grupos de objetos (archivos,
directorios, disco) sobre los cuales podrn actuar usuarios o grupos de ellos.
o Identificacin y Autentificacin: se requiere que un usuario se identifique antes de
comenzar a ejecutar acciones sobre el sistema. El dato de un usuario no podr ser
accedido por un usuario sin autorizacin o identificacin.
Nivel C2: Proteccin de Acceso Controlado. Este subnivel fue diseado para solucionar
las debilidades del C1. Cuenta con caractersticas adicionales que crean un ambiente de
acceso controlado. Se debe llevar una auditoria de accesos e intentos fallidos de acceso
a objetos.
Tiene la capacidad de restringir an ms el que los usuarios ejecuten ciertos comandos o
tengan acceso a ciertos archivos, permitir o denegar datos a usuarios en concreto, con
base no slo en los permisos, sino tambin en los niveles de autorizacin.
Requiere que se audite el sistema. Esta auditora es utilizada para llevar registros de
todas las acciones relacionadas con la seguridad, como las actividades efectuadas por el
administrador del sistema y sus usuarios.
La auditora requiere de autenticacin adicional para estar seguros de que la persona
que ejecuta el comando es quien dice ser. Su mayor desventaja reside en los recursos
adicionales requeridos por el procesador y el subsistema de discos.
Los usuarios de un sistema C2 tienen la autorizacin para realizar algunas tareas de
administracin del sistema sin necesidad de ser administradores.
Permite llevar mejor cuenta de las tareas relacionadas con la administracin del sistema,
ya que es cada usuario quien ejecuta el trabajo y no el administrador del sistema.

8
Acta de Constitucin del Proyecto Generador de Sitios Web de Asignaturas

( 1.0 ) Fecha: Mayo


, 2014

Nivel B1: Seguridad Etiquetada. Este subnivel, es el primero de los tres con que cuenta
el nivel B. Soporta seguridad multinivel, como la secreta y ultrasecreta. Se establece que
el dueo del archivo no puede modificar los permisos de un objeto que est bajo control
de acceso obligatorio.
A cada objeto del sistema (usuario, dato, etc.) se le asigna una etiqueta, con un nivel de
seguridad jerrquico (alto secreto, secreto, reservado, etc.) y con unas categoras
(contabilidad, nminas, ventas, etc.).
Cada usuario que accede a un objeto debe poseer un permiso expreso para hacerlo y
viceversa. Es decir que cada usuario tiene sus objetos asociados.
Tambin se establecen controles para limitar la propagacin de derecho de accesos a los
distintos objetos.
Nivel B2: Proteccin Estructurada. Requiere que se etiquete cada objeto de nivel
superior por ser padre de un objeto inferior.
La Proteccin Estructurada es la primera que empieza a referirse al problema de un
objeto a un nivel mas elevado de seguridad en comunicacin con otro objeto a un nivel
inferior.
As, un disco rgido ser etiquetado por almacenar archivos que son accedidos por
distintos usuarios.
El sistema es capaz de alertar a los usuarios si sus condiciones de accesibilidad y
seguridad son modificadas; y el administrador es el encargado de fijar los canales de
almacenamiento y ancho de banda a utilizar por los dems usuarios.
Nivel B3: Dominios de Seguridad. Refuerza a los dominios con la instalacin de
hardware: por ejemplo el hardware de administracin de memoria se usa para proteger
el dominio de seguridad de acceso no autorizado a la modificacin de objetos de
diferentes dominios de seguridad.
Existe un monitor de referencia que recibe las peticiones de acceso de cada usuario y las
permite o las deniega segn las polticas de acceso que se hayan definido.
Todas las estructuras de seguridad deben ser lo suficientemente pequeas como para
permitir anlisis y testeos ante posibles violaciones.
Este nivel requiere que la terminal del usuario se conecte al sistema por medio de una
conexin segura.
Adems, cada usuario tiene asignado los lugares y objetos a los que puede acceder.
Nivel A: Proteccin Verificada. Es el nivel ms elevado, incluye un proceso de diseo,
control y verificacin, mediante mtodos formales (matemticos) para asegurar todos
los procesos que realiza un usuario sobre el sistema.

9
Acta de Constitucin del Proyecto Generador de Sitios Web de Asignaturas

( 1.0 ) Fecha: Mayo


, 2014

Para llegar a este nivel de seguridad, todos los componentes de los niveles inferiores
deben incluirse. El diseo requiere ser verificado de forma matemtica y tambin se
deben realizar anlisis de canales encubiertos y de distribucin confiable. El software y
el hardware son protegidos para evitar infiltraciones ante traslados o movimientos del
equipamiento.

5 GESTION DE LA SEGURIDAD FISICA

La Seguridad Fsica consiste en la "aplicacin de barreras fsicas y procedimientos de control,


como medidas de prevencin y contramedidas ante amenazas a los recursos e informacin
confidencial"(1). Se refiere a los controles y mecanismos de seguridad dentro y alrededor del
Centro de Cmputo as como los medios de acceso remoto al y desde el mismo;
implementados para proteger el hardware y medios de almacenamiento de datos.

Las principales amenazas que se prevn en la seguridad fsica son:

Desastres naturales, incendios accidentales tormentas e inundaciones.


Amenazas ocasionadas por el hombre.
Disturbios, sabotajes internos y externos deliberados.

A continuacin se analizan los peligros ms importantes que se corren en un centro de


procesamiento; con el objetivo de mantener una serie de acciones a seguir en forma eficaz y
oportuna para la prevencin, reduccin, recuperacin y correccin de los diferentes tipos de
riesgos.

Incendios (leer ms)


Inundaciones
Se las define como la invasin de agua por exceso de escurrimientos superficiales o por
acumulacin en terrenos planos, ocasionada por falta de drenaje ya sea natural o
artificial.
Esta es una de las causas de mayores desastres en centros de cmputos.
Adems de las causas naturales de inundaciones, puede existir la posibilidad de una
inundacin provocada por la necesidad de apagar un incendio en un piso superior.
Para evitar este inconveniente se pueden tomar las siguientes medidas: construir un
techo impermeable para evitar el paso de agua desde un nivel superior y acondicionar

10
Acta de Constitucin del Proyecto Generador de Sitios Web de Asignaturas

( 1.0 ) Fecha: Mayo


, 2014

las puertas para contener el agua que bajase por las escaleras.
Condiciones Climatolgicas (leer ms)
Seales de Radar
La influencia de las seales o rayos de radar sobre el funcionamiento de una
computadora ha sido exhaustivamente estudiada desde hace varios aos.
Los resultados de las investigaciones ms recientes son que las seales muy fuertes de
radar pueden inferir en el procesamiento electrnico de la informacin, pero
nicamente si la seal que alcanza el equipo es de 5 Volts/Metro, o mayor.
Ello podra ocurrir slo si la antena respectiva fuera visible desde una ventana del centro
de procesamiento respectivo y, en algn momento, estuviera apuntando directamente
hacia dicha ventana.
Instalaciones Elctricas (leer ms)
Ergometra (leer ms)

Acciones Hostiles.

Robo. Las computadoras son posesiones valiosas de las empresas y estn expuestas, de
la misma forma que lo estn las piezas de stock e incluso el dinero.
Es frecuente que los operadores utilicen la computadora de la empresa para realizar
trabajos privados o para otras organizaciones y, de esta manera, robar tiempo de
mquina.
La informacin importante o confidencial puede ser fcilmente copiada. Muchas
empresas invierten millones de dlares en programas y archivos de informacin, a los
que dan menor proteccin que la que otorgan a una mquina de escribir o una
calculadora.
El software, es una propiedad muy fcilmente sustrable y las cintas y discos son
fcilmente copiados sin dejar ningn rastro
Fraude. Cada ao, millones de dlares son sustrados de empresas y, en muchas
ocasiones, las computadoras han sido utilizadas como instrumento para dichos fines.
Sin embargo, debido a que ninguna de las partes implicadas (compaa, empleados,
fabricantes, auditores, etc.), tienen algo que ganar, sino que ms bien pierden en
imgen, no se da ninguna publicidad a este tipo de situaciones.
Sabotaje. El peligro ms temido en los centros de procesamiento de datos, es el
sabotaje. Empresas que han intentado implementar programas de seguridad de alto
nivel, han encontrado que la proteccin contra el saboteador es uno de los retos ms

11
Acta de Constitucin del Proyecto Generador de Sitios Web de Asignaturas

( 1.0 ) Fecha: Mayo


, 2014

duros. Este puede ser un empleado o un sujeto ajeno a la propia empresa.


Fsicamente, los imanes son las herramientas a las que se recurre, ya que con una ligera
pasada la informacin desaparece, aunque las cintas estn almacenadas en el interior de
su funda de proteccin. Una habitacin llena de cintas puede ser destruida en pocos
minutos y los centros de procesamiento de datos pueden ser destruidos sin entrar en
ellos.
Adems, suciedad, partculas de metal o gasolina pueden ser introducidos por los
conductos de aire acondicionado. Las lneas de comunicaciones y elctricas pueden ser
cortadas, etc.

Control de Accesos. El control de acceso no slo requiere la capacidad de identificacin, sino


tambin asociarla a la apertura o cerramiento de puertas, permitir o negar acceso basado en
restricciones de tiempo, rea o sector dentro de una empresa o institucin.

Utilizacin de Guardias (leer ms)


Utilizacin de Detectores de Metales. El detector de metales es un elemento
sumamente prctico para la revisin de personas, ofreciendo grandes ventajas sobre el
sistema de palpacin manual; La sensibilidad del detector es regulable, permitiendo de
esta manera establecer un volumen metlico mnimo, a partir del cual se activar la
alarma.
Utilizacin de Sistemas Biomtricos (leer ms)
Verificacin Automtica de Firmas (VAF). En este caso lo que se considera es lo que el
usuario es capaz de hacer, aunque tambin podra encuadrarse dentro de las
verificaciones biomtricas. La VAF, usando emisiones acsticas toma datos del proceso
dinmico de firmar o de escribir. La secuencia sonora de emisin acstica generada por
el proceso de escribir constituye un patrn que es nico en cada individuo. El patrn
contiene informacin extensa sobre la manera en que la escritura es ejecutada.
Seguridad con Animales. Sirven para grandes extensiones de terreno, y adems tienen
rganos sensitivos mucho ms sensibles que los de cualquier dispositivo y,
generalmente, el costo de cuidado y mantenimiento se disminuye considerablemente
utilizando este tipo de sistema; As mismo, este sistema posee la desventaja de que los
animales pueden ser engaados para lograr el acceso deseado.
Proteccin Electrnica (leer ms)

12
Acta de Constitucin del Proyecto Generador de Sitios Web de Asignaturas

( 1.0 ) Fecha: Mayo


, 2014

6 VULNERABILIDADES Y AMENAZAS DETECTADAS

Dentro de las principales vulnerabilidades tenemos:

Para el Portal Generador de Sitios Web para la Facultad de Ciencias de la Universidad Central
de Venezuela encontramos las siguientes:

Diseo.
Debilidad en el diseo de protocolos utilizados en las redes.
Polticas de seguridad deficientes e inexistentes.
Implementacin
Uso.
Mala configuracin de los sistemas informticos.
Desconocimiento y falta de sensibilizacin de los usuarios y de los responsables de
informtica.

13
Acta de Constitucin del Proyecto Generador de Sitios Web de Asignaturas

( 1.0 ) Fecha: Mayo


, 2014

Disponibilidad de herramientas que facilitan los ataques.


Limitacin gubernamental de tecnologas de seguridad.
Vulnerabilidad de desbordamiento de buffer. Si un programa no controla la cantidad de
datos que se copian en buffer, puede llegar un momento en que se sobrepase la
capacidad del buffer y los bytes que sobran se almacenan en zonas de memoria
adyacentes; En esta situacin se puede aprovechar para ejecutar cdigo que nos de
privilegios de administrador.
Vulnerabilidad de Cross Site Scripting (XSS). Es una vulnerabilidad de las aplicaciones
web, que permite inyectar cdigo VBSript o JavaScript en pginas web vistas por el
usuario. El phishing es una aplicacin de esta vulnerabilidad. En el phishing la vctima
cree que est accediendo a una URL (la ve en la barra de direcciones), pero en realidad
est accediendo a otro sitio diferente. Si el usuario introduce sus credenciales en este
sitio se las est enviando al atacante.

Continuando con las amenazas, tenemos que:

14
Acta de Constitucin del Proyecto Generador de Sitios Web de Asignaturas

( 1.0 ) Fecha: Mayo


, 2014

Para el Portal Generador de Sitios Web para la Facultad de Ciencias de la Universidad Central
de Venezuela encontramos las siguientes:

Humanas. Estos ataques provienen de individuos que de manera intencionada o no,


causan enormes prdidas aprovechando alguna de las vulnerabilidades que los sistemas
puedan presentar.
Robo. La informacin contenida en los equipos de cmputo puede copiarse fcilmente,
al igual que los discos magnticos y el software.
Personal interno. Son las amenazas al sistema, provenientes del personal del propio
sistema informtico, rara vez es tomado en cuenta porque se supone un mbito de
confianza muchas veces inexistente. Este tipo de ataque puede ser causado de manera
intencional o sin dolo.
ExEmpleados. Se trata de personas descontentas con la organizacin que aprovechan
las debilidades de un sistema que conocen perfectamente, para daarlo como venganza
por algn hecho que consideran injusto.
Curiosos: Personas con un alto inters en las nuevas tecnologas, pero no cuentan con la
suficiente experiencia para ser considerados como hackers o crackers.
Personal interno. Las amenazas a la seguridad de un sistema, provenientes del personal
del propio sistema informtico, rara vez es tomada en cuenta, porque se supone un
mbito de confianza muchas veces inexistente. Estos ataques son accidentes por
desconocimiento o inexistencia de las normas bsicas de seguridad; pero tambin son
de tipo intencional. Por ejemplo: un electricista puede ser ms daino que el ms
peligroso de los delincuentes informticos, ya que un corte de energa puede causar un
desastre en los datos del sistema.
Adware. Software que durante su funcionamiento despliega publicidad de distintos
productos o servicios. Estas aplicaciones incluyen cdigo adicional que muestra la
publicidad en ventanas emergentes o a travs de una barra que aparece en la pantalla.
Gusanos (Worms). Programas que se propagan por s mismos a travs de las redes,
tomando ventaja de alguna falla o hueco de seguridad en los sistemas operativos o en el
software instalado en los equipos de cmputo y que tiene como propsito realizar
acciones maliciosas.
Malware. Proviene de la agrupacin de las palabras Malicious Software. Este
programa o archivo, est diseado para insertar virus, gusanos, troyanos, spyware o

15
Acta de Constitucin del Proyecto Generador de Sitios Web de Asignaturas

( 1.0 ) Fecha: Mayo


, 2014

incluso bots (tipo de troyano que cumple una funcin especfica), intentando conseguir
informacin sobre el usuario o sobre la PC.
Ataques de Autenticacin. Este tipo de ataque tiene como objetivo engaar al sistema
de la vctima para ingresar al mismo. Generalmente este engao se realiza tomando las
sesiones ya establecidas por la vctima u obteniendo su nombre de usuario y Pasword.
Ataques de Monitorizacin. Se realiza para observar a la vctima y su sistema, con el
objetivo de establecer sus vulnerabilidades y posibles formas de acceso futuro.
Incendios. Generalmente son causados por el uso inadecuado de combustibles, fallas de
instalaciones elctricas defectuosas y el inadecuado almacenamiento y traslado de
sustancias peligrosas. El fuego es una de las principales amenazas contra la seguridad
porque es considerado como el enemigo nmero uno de las computadoras debido a que
puede destruir fcilmente los archivos de informacin y programas. Por ello es necesario
proteger los equipos de cmputo, instalndolos en reas que cuenten con los
mecanismos de ventilacin y deteccin adecuados contra incendios y que nicamente
ingrese el personal autorizado.
Inundaciones. Se define como la invasin de agua por exceso de escurrimientos
superficiales o por acumulacin en terrenos planos, ocasionada por falta de drenaje ya
sea natural o artificial.
Instalaciones elctricas. Trabajar con computadoras implica trabajar con electricidad. En
las instalaciones elctricas se debe considerar los siguientes aspectos: picos y ruidos
electromagnticos, buen cableado, pisos de placas extrables, un buen sistema de aire
acondicionado, emisiones electromagnticas.

7 PROPUESTA DE MEJORAS A LA COMUNIDAD

Con respecto a las mejoras de carcter general, tenemos:

Establecer relaciones con instituciones y con el tejido industrial y empresarial del


entorno.
Elaboracin de Planes de Comunicacin y mejora de la comunicacin entre unidades y
colectivos.
Intensificacin de las relaciones y comunicaciones entre Centro-Departamentos y entre
Departamentos.
Realizacin de encuestas de opinin sobre satisfaccin de servicios y valoracin de la

16
Acta de Constitucin del Proyecto Generador de Sitios Web de Asignaturas

( 1.0 ) Fecha: Mayo


, 2014

gestin y realizacin de las mismas.


Propiciar la cultura de calidad.
Potenciar y mejorar el grado de apoyo institucional a la investigacin. Crear cultura
investigadora.
Mejora y sistematizacin en los sistemas de informacin, facilitando el intercambio entre
los Grupos.
Definir indicadores sobre la actividad investigadora.
Elaboracin de Memoria Anual de Actividad Investigadora.

8 RECOMENDACIONES

Evaluar y controlar permanentemente la seguridad fsica del edificio es la base para o


comenzar a integrar la seguridad como una funcin primordial dentro de cualquier
organismo.

Tener controlado el ambiente y acceso fsico permite:

Disminuir siniestros
Trabajar mejor manteniendo la sensacin de seguridad
Descartar falsas hiptesis si se produjeran incidentes
Tener los medios para luchar contra accidentes

Por otra parte:

Se debe tomar en cuenta que las instituciones sufren cambios con el transcurso del
tiempo, por lo tanto el sistema de seguridad de la informacin debe cambiarse
continuamente de manera que se adapte a los nuevos requerimientos de la institucin.
Se recomienda realizar una evaluacin peridica del Sistema Integral de seguridad de la
informacin, con la finalidad de determinar si los controles tecnolgicos, las polticas, los
procedimientos, los manuales y los estndares an se encuentran vigentes.

17
Acta de Constitucin del Proyecto Generador de Sitios Web de Asignaturas

( 1.0 ) Fecha: Mayo


, 2014

CUESTIONARIO DE AUDITORA CORRESPONDIENTE A LA SEGURIDAD FSICA


Objetivo: Este cuestionario verifica la seguridad fsica de las instalaciones que utiliza el rea de sistemas,
ya que de esto depende la continuidad de los servicios que presta el rea a la organizacin, en cuanto a
necesidades de informacin.
1. El lugar donde se ubica la Facultad de Ciencias est seguro de inundaciones?
S ____ No ____
2. El lugar donde se ubica la Facultad de Ciencias est seguro de robo o cualquier otra situacin que
pueda poner en peligro los equipos?
S ____ No ____
3. Dentro del rea de Facultad de Ciencias existen materiales que puedan ser inflamables o causar
algn dao a los equipos?
S ____ No ____
4. En caso de incendios, Dispone de alguno de los siguientes artefactos para mitigarlo?:
Extintor___ Manguera Contra Incendio___ Rociador contra Incendios___ Ninguno___
5. Posee algn plan de contingencia en caso de incendios o alguna otra emergencia de esta ndole?
S ____ No ____
6. Si se presenta un incendio en un equipo de cmputo el personal sabe qu hacer en este caso?
S ____ No ____
7. Se cuenta con una salida de emergencia?
S ____ No ____
8. Existen sealamientos que las hagan visibles?
S ____ No ____
9. De cuntos ordenadores dispone la institucin?
1-5___ 5-10___ +10___
10. Existe lugar suficiente para los equipos?
S ____ No ____
11. La temperatura a la que trabajan los equipos es la adecuada de acuerdo a las normas bajo las
cuales se rige?
S ____ No ____
12. La institucin posee formatos fsicos para la prestacin de los equipos?
S ____ No ____
13. Qu tipo de formatos suministra?

18
Acta de Constitucin del Proyecto Generador de Sitios Web de Asignaturas

( 1.0 ) Fecha: Mayo


, 2014

Fsico ____ Digital ____

1. La institucin posee polticas de seguridad?


S ____ No ____
14. Qu tipo de polticas implementa?
???? ____ ????____
15. Estn limpios los ductos del aire acondicionado?
S ____ No ____
16. Con que se realiza la limpieza en dichos ductos?
Semanal ____ Mensual ____ Anual ____
17. Cuenta la empresa con alarmas y cmaras de seguridad?
S ____ No ____
18. Existe vigilancia contra robo de los equipos de computacin?
S ____ No ____
19. Se controla el acceso al rea donde se encuentra el servidor?
S ____ No ____

19
Acta de Constitucin del Proyecto Generador de Sitios Web de Asignaturas

( 1.0 ) Fecha: Mayo


, 2014

CUESTIONARIO DE AUDITORA CORRESPONDIENTE A LA SEGURIDAD LGICA


Objetivo: Este cuestionario verifica la seguridad lgica en las computadoras que se utilizan en el rea de
sistemas, ya que de esto depende la continuidad de los servicios que presta el rea a la organizacin, en
cuanto a necesidades de informacin.
2. Su empresa cuenta con algn tipo de seguridad informtica?
S ____ No ____
3. La institucin posee polticas de seguridad?
S ____ No ____
4. Cules de los mecanismos de autentificacin es utilizada en la institucin?
Firma electrnica digital___ Password / Login___ Encriptacin de datos ___ Otros ___
5. El acceso a Internet esta limitado por?
Cargo___ Usuario___
6. Si su empresa tiene conexin sin cables (WIFI), utiliza las medidas de seguridad pertinentes para
proteger dicha conexin?
S ____ No ____
7. Se realiza copia de seguridad de los datos de la institucin?
S ____ No ____
8. Cules de estas tcnicas utiliza en su empresa?
Virtualizacin___ Criptologa___ Backup___ Discos RAID___ Otros___
9. En caso de que se realice copia de seguridad, con qu frecuencia?
Diaria___ Semanal___ Mensual___ Otro___
10. Disponen de un servidor central de datos en la institucin?
S ____ No ____
11. Sobre dicho servidor, se realiza un mantenimiento informtico peridico?
S ____ No ____
12. Se almacena alguna copia de seguridad fuera del lugar de trabajo?
S ____ No ____
13. Cul de estos software es utilizado en la institucin?
Antivirus ___ AntiSpam ____ Antispyware___ Cortafuegos / Firewall ___ Otros ___
14. Se utilizan programas de descarga de archivos de usuario (msica, pelculas, programas...)?
S ___ No ___
15. Durante el ao tuvieron algn caso de violacin de seguridad en los sistemas?
S ___ No ___
16. Tiene un personal especializado en seguridad informtica?

20
Acta de Constitucin del Proyecto Generador de Sitios Web de Asignaturas

( 1.0 ) Fecha: Mayo


, 2014

S ____ No ____
17. Cada cunto tiempo dicha persona recibe cursos de actualizacin sobre seguridad informtica?
1 mes a 6 meses ____ 6 meses a 1 ao ____ 1 ao o ms ____ No recibe ____
18. La institucin posee un plan de contingencia?
S ____ No ____
19. De ser afirmativo, Con que frecuencia este Plan de Contingencia es actualizado?
Trimestral ____ Semestral____ Anual____ Nunca ___

21
Acta de Constitucin del Proyecto Generador de Sitios Web de Asignaturas

( 1.0 ) Fecha: Mayo


, 2014

LISTA DE CHEQUEO
OBJETIVO: Verificar los planes y lineamientos establecidos para garantizar la seguridad fsica y lgica en
la empresa. Y de esta forma motivar posibles soluciones o la deteccin de oportunidades de mejora.
CUESTIONARIO
Pregunta SI NO N/A OBSERVACIONES
Existe algn anlisis de riesgos en la
institucin?
La informacin susceptible de robo,
prdida o dao se encuentra protegida y
resguardada?
Existe suficiente espacio dentro de las
instalaciones de forma que permita una
circulacin fluida?
Existen lugares de acceso restringido?
Se cuenta con sistemas de seguridad para
impedir el paso a lugares de acceso
restringido?
Se cuenta con sistemas de emergencia
como son detectores de humo, alarmas, u
otro tipo de censores?
Existen sealizaciones adecuadas en las
salidas de emergencia y se tienen
establecidas rutas de evacuacin?
Se tienen medios adecuados para
extincin de fuego?
Se cuenta con iluminacin adecuada y con
iluminacin de emergencia en casos de
contingencia?
Se tienen sistemas de seguridad para
evitar que se sustraiga equipo de las
instalaciones?
La informacin susceptible de robo,
prdida o dao se encuentra protegida y
resguardada?
Son funcionales los muebles instalados
dentro del departamento: cintoteca,

22
Acta de Constitucin del Proyecto Generador de Sitios Web de Asignaturas

( 1.0 ) Fecha: Mayo


, 2014

archiveros, mesas de trabajo, etc?


Existen prohibiciones para fumar,
consumir alimentos y bebidas?
Se cuenta con suficientes carteles en
lugares visibles que recuerdan estas
prohibiciones?
Con cuanta frecuencia se limpian las
instalaciones?
Con cuanta frecuencia se limpian los
ductos de aire?
Existe Documentacin en cuanto a:
polticas aplicables, anlisis de riesgos,
descripcin de procesos, lista de controles?
La empresa tiene conocimiento
relacionado con la planeacin de un
esquema de seguridad eficiente que
proteja los recursos informticos de las
actuales amenazas combinadas?
Se mantiene un registro de las actividades
que los Administradores y usuarios realizan
sobre un sistema?
Existen procedimientos y barreras que
resguarden el acceso a los datos y slo se
permita acceder a ellos a las personas
autorizadas para hacerlo?
La empresa tiene implementados
firewalls?
La empresa tiene un plan para la
realizacin de backups?
En la empresa se han contemplado las
amenazas ocasionadas por el hombre?
Existen polticas para el manejo de
Internet?
Existen polticas para el manejo de otras
redes externas?
Se realiza un plan de seguridad fsica
contra catstrofes como: inundaciones,
incendios, cortes de energa?

23
Acta de Constitucin del Proyecto Generador de Sitios Web de Asignaturas

( 1.0 ) Fecha: Mayo


, 2014

24