Informe de Mary Ccuno Quispe

CAPÍTULO I : GENERALIDADES
GENERALIDADES
I.1. DE LA INSTITUCIÓN
I.1.1. RAZÓN SOCIAL DE LA EMPRESA
UNIVERSIDAD "JOSÉ CARLOS MARIÁTEGUI”.
I.1.2. DESCRIPCIÓN DE LA INSTITUCIÓN
La UNIVERSIDAD JOSÉ CARLOS MARIÁTEGUI, es una Institución
dedicada a la Formación de Profesionales, creada en un inicio como
UNIVERSIDAD DE MOQUEGUA por ley Nº 25153 del 23 de diciembre
de 1989.
El 03 de abril del 2001, la Comisión Organizadora, la plana docente, la
familia estudiantil y el pueblo en conjunto acordaron institucionalizar la
universidad. Por eso el 28 de mayo del 2002 se consiguió su
institucionalización mediante resolución Nº 389-2002-ANR y como fruto
de esta resolución el 13 de noviembre del 2002 se promulgó el primer
estatuto de la Universidad Privada de Moquegua “José Carlos
Mariátegui.
I.1.3. UBICACIÓN
La Universidad José Carlos Mariátegui cuenta con dos sedes: Una se
encuentra en la Ciudad de Ilo, ubicándose en Pampa Inalámbrica S/N y
la otra se encuentra en la Ciudad de Moquegua teniendo como ubicación
Principal la Calle Ayacucho Nº 393; además de contar en la ciudad de
Moquegua con dos Campus, una está ubicada en La Villa S/N camino al
Pueblo Joven los Ángeles y el otro Campus se encuentra en el Pueblo
Joven San Antonio.

I.1.4. RESEÑA HISTORICA
Fue creada como UNIVERSIDAD PRIVADA DE MOQUEGUA por ley Nº 25153
del 23 de diciembre de 1989,desde su inicio fue su sede principal en el distrito
de Moquegua, provincia de Mariscal Nieto, departamento de Moquegua, donde
figura como persona jurídica sin fines de lucro y empezó a brindar su servicio
educativo el 15 de abril de 1991.
Desde esa fecha se ha convertido por méritos propios en una progresista
ventana hacia el desarrolla integral de todos aquellos que son conscientes que
para cumplir su sol para con la sociedad, la mejor forma es a través de una
eficiente profesionalización, por la cual se ha convertido en una firme
esperanza de consolidación de metas de grandeza espiritual y calidad humana.
En el Puerto Industrial de Ilo, en el año 1996 empezaron sus actividades
académicas con tres carreras profesionales: Ingeniería Mecánica, Derecho y
Contabilidad.
El 03 de abril del 2001 La Comisión Organizadora presidida por el Doctor
Miguel Fuentes Chávez y la presidían el Doctor Juan Rodríguez Pantigoso
como Vicepresidente Administrativo y el Licenciado Ramón Vera Robalcaba
como Vice presidente Académico, asumieron con entrega y convicción el gran
compromiso, frente a la plana docente, la familia estudiantil y el pueblo en
conjunto de institucionalizar la universidad, la misma que se hizo efectiva en un
lapso de 13 meses.
Por eso el 28 de mayo del 2002 se consiguió el gran sueño de su
institucionalización mediante resolución Nº 389-2002-ANR y como fruto de esta
resolución el 13 de noviembre del 2002 se promulgó el primer estatuto de la
Universidad y posteriormente el 30 de diciembre del mismo año, fueron
elegidos el Rector y Vicerrector en un ambiente democrático y en estricto

cumplimiento de la ley universitaria y del mencionado estatuto, actos que
garantizan la autonomía y credibilidad de la Universidad Privada de Moquegua
"José Carlos Mariátegui".
Desde aquella memorable fecha, figura en su historial institucional como
autoridades de la Universidad Privada de Moquegua "José Carlos Mariátegui",
su primer Rector Magister Alberto Coayla Vilca y Vicerrector Dr. Javier Flores
Arocutipa, quienes por su experiencia y capacidad en estas lides, se han
convertido en auténticos líderes de avanzada al poner en práctica todo un
conjunto de procesos del sistema de educación superior universitaria, con lo
que asegura que egresen de sus aulas, profesionales de excelente calidad,
competitivos en cualquier latitud regional nacional y del exterior.
La Universidad se dedica plenamente a la Investigación Científica, al estudio
constante, la educación superior integral, a la formación académico profesional
y a la difusión de la cultura, el arte desde una óptica tecnológica. Con miras a
constituirse en una de las mejores universidades peruanas, viene ampliando su
infraestructura tanto en Moquegua como en la sede Ilo, se viene equipando con
tecnología de punta, ofrece Diplomados, Segundas Especialidades. Pro Títulos,
Centro Pre Universitario, Centro de Computo y Sistemas y de Idiomas Escuela
de Post Grado con Maestrías y Doctorados, campos deportivos, y en cuanto a
carreras a Distancia, lidera en el Sur Peruano y además tiene alumnos en los
departamentos de Ica y Lima, Tacna, Arequipa, Puno, Juliaca, etc.
De esta manera la Universidad José Carlos Mariátegui de Moquegua, recibe
sus veintiseis años de vida institucional, lleno de optimismo, convertido en una
cristalina fuente de profesionalización para la juventud estudiosa que mira el
horizonte lleno de esperanzas en vista que se les forma con calidad humana,
capaces de realizar las más grandes hazañas de realización personal.

I.1.5. ORGANIZACIÓN DE LA INSTITUCION
1.1.5.1. ACTIVIDADES DE LA INSTITUCIÓN
La Universidad es una Institución con personería jurídica de derecho

privado sin fines de lucro, que se rige de conformidad con la
Constitución Política del estado, la Ley Universitaria, el presente
Estatuto y sus Reglamentos, con autonomía académica, económica,
normativa y administrativa, integrada por profesores, estudiantes y
graduados. Para el cumplimiento de sus funciones la Universidad
José Carlos Mariátegui dispone fuera de ella de centros y/o institutos
en los que se desarrolla una o más de las siguientes funciones:
investigación, enseñanza, proyección social, producción de bienes y
de prestación de servicios.
1.1.5.2. FUNCIONES GENERALES
La Universidad para cumplir a cabalidad con sus fines y objetivos,
tiene como funciones generales:
 En lo Académico
1. La Investigación Científica, Tecnológica y Humanística.
2. La Enseñanza para la formación profesional.
3. La Proyección y Extensión Universitaria.
 En lo Administrativo
1. La Administración Institucional, mediante el desarrollo de
los sistemas administrativos vigentes.
2. La implementación de servicios de Biblioteca, Laboratorios,
Bienestar y Promoción Estudiantil.
3. La adecuada infraestructura y equipamiento para cumplir
con las labores de formación académico-profesional.
4. La Producción de Bienes y Prestación de Servicios.

1.1.5.3. ESTRUCTURA ORGÁNICA
La estructura orgánica de la Universidad José Carlos Mariátegui,
está definida en función directa a sus fines, objetivos y funciones
generales; en concordancia con la Ley Universitaria 23733, Ley de
Creación de nuestra Universidad 25153 y Estatutos.
1.1.5.4. FINALIDAD
La finalidad de la Universidad José Carlos Mariátegui es:
1) Acrecentar y transmitir la cultura universal, con sentido crítico
creativo, afirmando preferentemente los valores regionales y
nacionales.
2) Realizar investigación científica, en humanidad, ciencia,
tecnología y fomentar la creación intelectual y artística.
3) Formar humanista, científicos y profesionales de alta calidad
académica, para cubrir las necesidades de la región y del país,
desarrollando en la comunidad universitaria, los valores éticos y
cívicos, la actitud de responsabilidad, puntualidad, solidaridad
social y el conocimiento de la realidad regional y nacional.
4) Desarrollar la ciencia crítica y auto crítica, el espíritu solidario y
la sensibilidad social, para promover la transformación de la
sociedad peruana.
5) Promover la capacitación y perfeccionamiento de los docentes
graduados, trabajadores administrativos y de servicios, para
alcanzar la calidad total en la formación profesional.

1.1.5.5. VISION Y MISION
 Visión
“Hacer de cada hombre un profesional o académico de

excelencia al servicio de la equidad social mundial”.
 Misión
“Formamos profesionales, académicos, investigadores,

tecnólogos. Creativos, competentes y comprometidos con la
solución de los problemas de la comunidad, generando y
desarrollando conocimientos científicos, humanísticos; a través
de los cuales se formulen alternativas de desarrollo humano,
cultura, bienestar y equidad social”
 Visión de futuro 2018
UJCM motor del desarrollo regional forjando los mejores

profesionales del sur peruano, liderando la revolución del
conocimiento con docentes comprometidos, infraestructura y
tecnología de punta.
1.1.5.6. OBJETIVOS
1) Formar Profesionales e Investigadores de alto nivel

humanístico, científico y tecnológico, acorde con las
necesidades locales, regionales y nacionales.
2) Impulsar y realizar Investigación Científica en los campos del

saber de las humanidades, la ciencia y la tecnología.
3) Extender y proyectar la acción académica y cultural hacia la

comunidad en general, mediante la capacitación,
entrenamiento y desarrollo de certámenes académicos y
culturales.
4) Impulsar la implementación de servicios y programas de

bienestar que contribuyan al mejor rendimiento académico de
los estudiantes.
5) Propiciar y generar Centros de Producción y Prestación de

Servicios a fin de generar recursos para la Institución.
6) Mejorar gradualmente la infraestructura y el equipamiento de

cada una de las Facultades, Carreras Profesionales y
dependencias administrativas de nuestra Institución.
1.1.5.7. PRINCIPIOS
1) La búsqueda de la verdad, la consolidación de los valores y el

servicio a la comunidad de Moquegua y de nuestro país.
2) El pluralismo y la libertad de pensamiento, de crítica expresión

y cátedra con lealtad a los principios constitucionales y a los
fines de la Universidad.
3) El rechazo de toda forma de violencia, intolerancia,

discriminación y dependencia.
4) Pronunciarse sobre los problemas regionales y nacionales en

los temas relacionados con su campo de acción.
1.1.5.8. NATURALEZA Y JURISDICCIÓN
La Universidad Privada de Moquegua José Carlos Mariátegui es

persona jurídica de derecho privado sin fines de lucro; dedicada al
Estudio, la Investigación, la Educación Superior, la Formación
Académico-Profesional, la Difusión del Saber y la Cultura y a la
Extensión y Proyección Universitaria; así como a la Producción de
Bienes y Prestación de Servicios; propiciando el desarrollo y el
bienestar de la comunidad regional y nacional.
La Universidad es autónoma, en lo académico, económico,
normativo y administrativo; dentro de la Constitución y las Leyes
vigentes.
1.1.5.9. ORGANIGRAMA
Ilustración 1. Organigrama Institucional

I.2. DE LA PRACTICA PRE – PROFESIONAL
I.2.1. INFORMACIÓN PERSONAL
 Apellidos y Nombres : CCUNO QUISPE, MARY MÓNICA
 Código Universitario : 09108010
 DNI : 72438518
 Dirección : Av. Santa Fortunata Mz. C-5 L-12 / San Antonio
 Teléfono : 957697204(MOVISTAR) – 984404406(CLARO)
 Email : mary_mcq@outlook.com
 Carrera profesional : Ingeniería de Sistemas e Informática
I.2.2. PERIODO DE LA PRACTICA PRE – PROFESIONAL
La práctica pre-profesional fue desarrollada en la Oficina Servicios
Académicos, de la Universidad José Carlos Mariátegui, encargada del área de
Archivo - Actas, desde el 12 de Enero del 2015 al 11 de Julio del 2015, tal
como consta en el certificado emitido por el Área de Personal, que se adjunta
en el Anexo 01.
I.2.3. PERSONAL SUPERVISOR
La práctica pre-profesional estuvo bajo la supervisión del Mgr. Otoniel Silva
Delgado, Jefe de Oficina, responsable de mi permanencia en dicha institución
por el periodo indicado en el punto anterior.

I.3. OBJETIVOS DE LA PRÁCTICA
I.3.1. OBJETIVOS GENERALES
Desarrollar un Plan de Seguridad de la Información para la Oficina del
Servicios Académicos.
I.3.2. OBJETIVOS ESPECÍFICOS
Los objetivos específicos planteados son:
1. Realizar un diagnóstico de la situación actual de la Oficina de
Servicios Académicos – de la Universidad José Carlos
Mariátegui – Moquegua.
2. Elaborar el Plan de Seguridad Informática
I.4. JUSTIFICACIÓN
La justificación de este proyecto incide en definir un conjunto de controles que
tienen la finalidad de mantener la confidencialidad, integridad y confiabilidad de
la información electrónica; así como resguardar los activos tecnológicos Oficina
de Servicios Académicos de la Universidad José Carlos Mariátegui –
Moquegua.
Para ello, se plantea la elaboración de un Plan de Seguridad Informática que
comprende aspectos relacionados con políticas, estándares, sanas prácticas,
controles, valoración de riesgos, capacitación y otros elementos necesarios
para la adecuada administración de los recursos tecnológicos y de la

información que maneja la Oficina de Servicios Académicos de la Universidad
José Carlos Mariátegui – Moquegua, permitiendo que la información
electrónica sea oportuna, precisa, confiable y completa y ayude a alcanzar las
metas institucionales y permita el uso eficiente de los recursos tecnológicos
destinados para el procesamiento de la información.
I.5. DEFINICIÓN DEL PROBLEMA
Actualmente, la Oficina de Servicios Académicos de la Universidad José Carlos
Mariátegui – Moquegua se ha preocupado por la seguridad e integridad de la
información y servicios contenidos en su Intranet, por lo que cuenta con
equipos y aplicaciones que ayudan a disminuir las vulnerabilidades de
seguridad.
El nivel de seguridad con el que cuenta la oficina no es al grado que la
institución requiere y esto se debe, principalmente, a que estos equipos y
aplicaciones no están funcionando a un cien por ciento por falta de algunos
elementos importantes, entre los que se pueden mencionar:
 Políticas oficializadas
 Procedimientos
 Reglas de seguridad
 Monitoreo constante de la información que proporcionan los equipos
y aplicaciones.
La Oficina de Servicios Académicos de la Universidad José Carlos Mariátegui –
Moquegua está compuesto por dependencias, cada una de ellas tienen
sistemas de información independientes que hacen uso de la red externa
(Internet) e interna (Intranet). Esto los hace vulnerables a eventos de amenazas
que conllevan a riesgos que pueden provocar pérdidas tangibles e intangibles.

CAPÍTULO II : FUNDAMENTO TEÓRICO
FUNDAMENTO
TEÓRICO
2.1. NORMA TÉCNICA PERUANA NTP-ISO/IEC 17799: CÓDIGO DE BUENAS
PRÁCTICAS PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
La presente Norma Técnica Peruana ha sido elaborada por el Comité Técnico de

Normalización de Codificación e Intercambio Electrónico de Datos (EDI),
mediante el Sistema 1 u Adopción, durante los meses de junio a julio del 2006,
utilizando como antecedente a la Norma ISO/IEC 17799:2005 Information
technology –Code of practice for information security management.
Esta Norma Técnica Peruana es una adopción de la Norma ISO/IEC

17799:2005. La presente Norma Técnica Peruana presenta cambios editoriales
referidos principalmente a la terminología empleada propia del idioma español y
ha sido estructurada de acuerdo a las Guías Peruanas GP 001:1995 y GP
002:1995.
2.1.1. Seguridad de la Información
La información es un activo que, como otros activos importantes del

negocio, tiene valor para la organización y requiere en consecuencia una
protección adecuada. Esto es muy importante en el creciente ambiente
interconectado de negocios. Como resultado de esta creciente
interconectividad, la información está expuesta a un mayor rango de
amenazas y vulnerabilidades.
La información adopta diversas formas. Puede estar impresa o escrita en

papel, almacenada electrónicamente, transmitida por correo o por medios
electrónicos, mostrada en video o hablada en conversación. Debería
protegerse adecuadamente cualquiera que sea la forma que tome o los
medios por los que se comparta o almacene.
La seguridad de la información protege a ésta de un amplio rango de

amenazas para asegurar la continuidad del negocio, minimizar los daños
a la organización y maximizar el retorno de las inversiones y las
oportunidades de negocios.
La seguridad de la información se consigue implantando un conjunto
adecuado de controles que pueden ser políticas, prácticas,
procedimientos, estructuras organizativas y funciones de software y
hardware. Estos controles necesitan ser establecidos, implementados,
monitoreados, revisados y mejorados donde sea necesario, para
asegurar que se cumplan los objetivos específicos de seguridad y
negocios de la organización.
2.1.2. Necesidad de la Seguridad de la Información
La información y los procesos que la apoyan, los sistemas y redes son

importantes activos de la organización. Definir, realizar, mantener y
mejorar la seguridad de información, pueden ser esenciales para
mantener la competitividad, flujo de liquidez, rentabilidad, cumplimiento
de la legalidad e imagen comercial.
Las organizaciones y sus sistemas de información se enfrentan, cada vez

más, con riesgos e inseguridades procedentes de una amplia variedad de
fuentes, incluyendo fraudes basados en informática, espionaje, sabotaje,
vandalismo, incendios o inundaciones. Ciertas fuentes de daños como
virus informáticos y ataques de intrusión o de negación de servicios se
están volviendo cada vez más comunes, ambiciosos y sofisticados.
La seguridad de la información es importante en negocios tanto del sector

público como del privado y para proteger las infraestructuras críticas. En
ambos sectores, la seguridad de la información permitirá, por ejemplo,
lograr el gobierno electrónico o el comercio electrónico, evitando y
reduciendo los riesgos relevantes. La interconexión de las redes públicas
y privadas y el compartir los recursos de información aumentan la
dificultad de lograr el control de los accesos. La tendencia hacia la
informática distribuida debilita la eficacia de un control central y
especializado.
Muchos sistemas de información no se han diseñado para ser seguros.
La seguridad que puede lograrse a través de los medios técnicos es
limitada y debería apoyarse en una gestión y procedimientos adecuados.
La identificación de los controles que deberían instalarse requiere una
planificación cuidadosa y una atención al detalle. La gestión de la
seguridad de la información necesita, como mínimo, la participación de
todos los empleados de la organización. También puede requerir la
participación de los proveedores, clientes o accionistas. La asesoría
especializada de organizaciones externas puede ser necesaria.
2.1.3. Requisitos de Seguridad
Es esencial que la organización identifique sus requisitos de seguridad.

Existen tres fuentes principales:
a. La primera fuente procede de la valoración de los riesgos de la

organización, tomando en cuenta los objetivos y estrategias
generales del negocio. Con ella se identifican las amenazas a los
activos, se evalúa la vulnerabilidad y la probabilidad de su
ocurrencia y se estima su posible impacto.
b. La segunda fuente es el conjunto de requisitos legales, estatutos,

regulaciones y contratos que debería satisfacer la organización, sus
socios comerciales, los contratistas y los proveedores de servicios.
c. La tercera fuente está formada por los principios, objetivos y

requisitos que forman parte del tratamiento de la información que la
organización ha desarrollado para apoyar sus operaciones.
2.1.4. Factores de Éxito en la Implantación de Seguridad de la Información
La experiencia muestra que los siguientes factores suelen ser críticos

para el éxito de la implantación de la seguridad de la información en una
organización:
a) Una política, objetivos y actividades que reflejen los objetivos del

negocio de la organización.
b) Un enfoque para implantar, mantener, monitorear e improvisar la

seguridad que sea consistente con la cultura de la organización.
c) El apoyo visible y el compromiso de la alta gerencia.
d) Una buena comprensión de los requisitos de la seguridad, de la

evaluación del riesgo y de la gestión del riesgo.
e) La convicción eficaz de la necesidad de la seguridad a todos los

directivos y empleados.
f) La distribución de guías sobre la política de seguridad de la

información de la organización y de las normas a todos los
empleados y contratistas.
g) Aprovisionamiento para financiar actividades de gestión de

seguridad de la información.
h) La formación y capacitación adecuadas.
i) Establecer un efectivo proceso de gestión de incidentes de la

j) Un sistema integrado y equilibrado de medida que permita evaluar
el rendimiento de la gestión de la seguridad de la información y
sugerir mejoras.
2.1.5. Objeto y Campo de Aplicación NTP-ISO/IEC 17799
Esta norma ofrece recomendaciones para realizar la gestión de la

seguridad de la información que pueden utilizar los responsables de
iniciar, implantar o mantener y mejorar la seguridad en una organización.
Persigue proporcionar una base común para desarrollar normas de
seguridad dentro de las organizaciones y ser una práctica eficaz de la
gestión de la seguridad.
La norma puede servir como una guía práctica para desarrollar

estándares organizacionales de seguridad y prácticas efectivas de la
gestión de seguridad. Igualmente, permite proporcionar confianza en las
relaciones entre organizaciones. Las recomendaciones que se establecen
en esta norma deberían elegirse y utilizarse de acuerdo con la legislación
aplicable en la materia.
2.1.6. Evaluación y Tratamiento del Riesgo
La evaluación de riesgos debe identificar, cuantificar y priorizar riesgos

contra el criterio para la aceptación del riesgo y los objetivos relevantes
para la organización. Los resultados deben guiar y determinar la
apropiada acción de gestión y las prioridades para manejar la información
de los riesgos de seguridad y para implementar controles seleccionados
para proteger estos riesgos. El proceso de evaluación de riesgos y de
seleccionar controles puede requerir que sea realizado un número de
veces con el fin de cubrir diferentes partes de la organización o sistemas
de información individuales.
La evaluación del riesgo debe incluir un alcance sistemático sobre la
estimación de la magnitud del riesgo (análisis del riesgo) y sobre el
proceso de comparar el riesgo estimado con el criterio para determinar el
significado de los riesgos (valoración del riesgo).
Las evaluaciones del riesgo deben ser realizadas periódicamente para

incluir los cambios en los requerimientos del sistema y en la situación del
riesgo, por ejemplo en los activos, amenazas, vulnerabilidades, impactos,
valoración del riesgo y cuantos cambios significativos ocurran. Estas
evaluaciones del riesgo deben ser emprendidas de una forma metódica,
capaz de producir resultados comparables y reproducibles.
La evaluación de la información del riesgo de seguridad debe tener un

alcance claro y definido para que éste sea efectivo y debe incluir
relaciones con las evaluaciones del riesgo en otras áreas si es apropiado.
El alcance de la evaluación del riesgo puede ser para toda la

organización, partes de ella, un sistema individual de información,
componentes específicos del sistema o servicios donde esto puede ser
utilizado, realista y provechoso. Ejemplos de metodologías de la
evaluación del riesgo son discutidos en ISO/IEC TR 13335-3 (Guía para
la gestión en la seguridad de tecnologías de información).
A. Tratando riesgos de seguridad
Antes de considerar el tratamiento de un riesgo, la organización debe

decidir el criterio para determinar si es que los riesgos son aceptados
o no. Los riesgos pueden ser aceptados si, por ejemplo, se evalúa que
el riesgo es menor o que el costo de tratarlo no es rentable para la
organización. Estas decisiones deben ser grabadas.
Para cada uno de los riesgos identificados, siguiendo la evaluación del
riesgo, se necesita realizar una decisión del tratamiento del riesgo.
Posibles opciones para el tratamiento del riesgo incluye:
1. Aplicar controles apropiados para reducir riesgos.
2. Riesgos aceptados objetivamente y con conocimiento,

cumpliendo claramente el criterio para la aceptación del
riesgo y la política de la organización.
3. Evitar riesgos no permitiendo realizar acciones que puedan

causar que estos riesgos ocurran.
4. Transferir los riesgos asociados a terceros como son los

proveedores y aseguradores.
Para esos riesgos donde la decisión del tratamiento del riesgo ha sido
aplicada a controles apropiados, esos controles deben ser
seleccionados e implementados para conocer los requerimientos
identificados por una evaluación de riesgos. Los controles deben
asegurarse de que los riesgos son reducidos a un nivel aceptable
tomando en cuenta:
1. Exigencias y coacciones de las legislaciones y regulaciones

nacionales e internacionales.
2. Objetivos organizacionales.
3. Exigencias y coacciones operacionales.
4. Costo de la implementación y operación en relación con los
riesgos que serán reducidos y siendo proporcional a las
exigencias y coacciones de la organización.
5. La necesidad para balancear la inversión en implementación y
operación de los controles contra el daño que pueda resultar de
las fallas en la seguridad.
2.1.7. Política de seguridad de la información
Dirigir y dar soporte a la gestión de la seguridad de la información en

concordancia con los requerimientos del negocio, las leyes y las
regulaciones.
La gerencia debería establecer de forma clara las líneas de la política de

actuación y manifestar su apoyo y compromiso a la seguridad de la
información, publicando y manteniendo una política de seguridad en toda
la organización.
2.1.8. Documento de política de seguridad de la información
La gerencia debería aprobar, publicar y comunicar a todos los

empleados, en la forma adecuada, un documento de política de
Debería establecer el compromiso de la gerencia y el enfoque de la

organización para gestionar la seguridad de la información. El documento
debería contener como mínimo la siguiente información:
A. Una definición de seguridad de la información y sus objetivos

globales, el alcance de la seguridad y su importancia como
mecanismo que permita compartir la información.
B. El establecimiento del objetivo de la gerencia como soporte de

los objetivos y principios de la seguridad de la información.
C. Un marco para colocar los objetivos de control y mandos,

incluyendo la estructura de evaluación de riesgo y gestión del
riesgo.
D. Una breve explicación de las políticas, principios, normas y

requisitos de conformidad más importantes para la organización
por ejemplo:
1. Conformidad con los requisitos legislativos y
contractuales;
2. Requisitos de formación en seguridad;
3. Gestión de la continuidad del negocio;
4. Consecuencias de las violaciones de la política de

seguridad;
E. Una definición de las responsabilidades generales y específicas en

materia de gestión de la seguridad de la información, incluida la
comunicación de las incidencias de seguridad.
F. Las referencias a documentación que pueda sustentar la política; por

ejemplo, políticas y procedimientos mucho más detallados para
sistemas de información específicos o las reglas de seguridad que los
usuarios deberían cumplir.
Esta política debería distribuirse por toda la organización, llegando a

todos los destinatarios en una forma que sea apropiada, entendible y
accesible.
2.1.9. Delitos Informáticos - La Información y el Delito
El delito informático implica actividades criminales que los países han

tratado de encuadrar en figuras típicas de carácter tradicional, tales como
robos, hurtos, fraudes, falsificaciones, perjuicios, estafas, sabotajes. Sin
embargo, debe destacarse que el uso de las técnicas informáticas ha
creado nuevas posibilidades del uso indebido de las computadoras lo que
ha creado la necesidad de regulación por parte del derecho.
Se considera que no existe una definición formal y universal de delito
informático, pero se han formulado conceptos respondiendo a realidades
nacionales concretas: "no es labor fácil dar un concepto sobre delitos
informáticos, en razón de que su misma denominación alude a una
situación muy especial, ya que para hablar de "delitos" en el sentido de
acciones típicas; es decir, tipificadas o contempladas en textos jurídicos
penales, se requiere que la expresión "delitos informáticos" esté
consignada en los códigos penales, lo cual en nuestro país, al igual que
en otros muchos no han sido objeto de tipificación aún.
Se define Delito Informático como "cualquier comportamiento antijurídico,

no ético o no autorizado, relacionado con el procesado automático de
datos y/o transmisiones de datos."
"Los delitos informáticos se realizan necesariamente con la ayuda de los

sistemas informáticos, pero tienen como objeto del injusto la información
en sí misma".
2.2. TIPOS DE DELITOS INFORMÁTICOS
La Organización de Naciones Unidas (ONU) reconoce los siguientes tipos de

delitos informáticos:
2.2.1. Fraudes cometidos mediante manipulación de computadoras
A. Manipulación de los datos de entrada: este tipo de fraude informático

conocido también como sustracción de datos, representa el delito
informático más común, ya que es fácil de cometer y difícil de
descubrir.
B. La manipulación de programas: consiste en modificar los programas
existentes en el sistema o en insertar nuevos programas o rutinas. Es
muy difícil de descubrir y a menudo pasa inadvertida debido a que el
delincuente tiene conocimientos técnicos concretos de informática y
programación.
C. Manipulación de los datos de salida: se efectúa fijando un objetivo al

funcionamiento del sistema informático. El ejemplo más común es el
fraude del que se hace objeto a los cajeros automáticos mediante la
falsificación de instrucciones para la computadora en la fase de
adquisición de datos.
D. Fraude efectuado por manipulación informática: aprovecha las

repeticiones automáticas de los procesos de cómputo. Es una
técnica especializada que se denomina "técnica del salchichón" en la
que "rodajas muy finas" apenas perceptibles, de transacciones
financieras, se van sacando repetidamente de una cuenta y se
transfieren a otra. Se basa en el principio de que 10,66 es igual a
10,65 pasando 0,01 centavos a la cuenta del ladrón “n” veces.
2.2.2. Manipulación de los datos de entrada
A. Como objeto: cuando se alteran datos de los documentos

almacenados en forma computarizada.
B. Como instrumento: las computadoras pueden utilizarse también

para efectuar falsificaciones de documentos de uso comercial.
2.2.3. Daños o modificaciones de programas o datos computarizados
A. Sabotaje informático: es el acto de borrar, suprimir o modificar sin

autorización funciones o datos de computadora con intención de
obstaculizar el funcionamiento normal del sistema.
B. Acceso no autorizado a servicios y sistemas informáticos: estos
accesos se pueden realizar por diversos motivos, desde la simple
curiosidad hasta el sabotaje o espionaje informático.
C. Reproducción no autorizada de programas informáticos de protección

legal: ésta puede entrañar una pérdida económica sustancial para los
propietarios legítimos. Algunas jurisdicciones han tipificado como
delito esta clase de actividad y la han sometido a sanciones penales.
El problema ha alcanzado dimensiones transnacionales con el tráfico
de esas reproducciones no autorizadas a través de las redes de
telecomunicaciones modernas. Al respecto, se considera que la
reproducción no autorizada de programas informáticos no es un
delito informático debido a que el bien jurídico a tutelar es la
propiedad intelectual.
2.3. EL DELINCUENTE Y LA VÍCTIMA
2.3.1. Sujeto Activo
Se llama así a las personas que cometen los delitos informáticos.

Son aquellas que poseen ciertas características que no presentan el
denominador común de los delincuentes, esto es, los sujetos activos
tienen habilidades para el manejo de los sistemas informáticos y
generalmente por su situación laboral se encuentran en lugares
estratégicos donde se maneja información de carácter sensible, o bien
son hábiles en el uso de los sistemas informatizados, aun cuando en
muchos de los casos no desarrollen actividades laborales que faciliten la
comisión de este tipo de delitos.
Con el tiempo se ha podido comprobar que los autores de los delitos

informáticos son muy diversos y que lo que los diferencia entre sí es la
naturaleza de los delitos cometidos.
De esta forma, la persona que "entra" en un sistema informático sin
intenciones delictivas es muy diferente del empleado de una institución
financiera que desvía fondos de las cuentas de sus clientes.
El nivel típico de aptitudes del delincuente informático es tema de

controversia, ya que para algunos el nivel de aptitudes no es indicador de
delincuencia informática; en tanto que otros aducen que los posibles
delincuentes informáticos son personas listas, decididas, motivadas y
dispuestas a aceptar un reto tecnológico, características que pudieran
encontrarse en un empleado del sector de procesamiento de datos.
Sin embargo, teniendo en cuenta las características ya mencionadas de

las personas que cometen los delitos informáticos, estudiosos en la
materia los han catalogado como delitos de "cuello blanco", término
introducido por primera vez por el criminólogo norteamericano Edwin
Sutherland en el año de 1943.
La "cifra negra" es muy alta; no es fácil descubrirlos ni sancionarlos en

razón del poder económico de quienes los cometen, pero los daños
económicos son altísimos; existe una gran indiferencia de la opinión
pública sobre los daños ocasionados a la sociedad. A los sujetos que
cometen este tipo de delitos no se considera delincuentes, no se los
segrega, no se los desprecia, ni se los desvaloriza; por el contrario, es
considerado y se considera a sí mismo "respetable". Estos tipos de
delitos, generalmente, son objeto de medidas o sanciones de carácter
administrativo y no privativo de la libertad.
2.3.2. Sujeto Pasivo
La víctima del delito, es el ente sobre el cual recae la conducta de

acción u omisión que realiza el sujeto activo. Las víctimas pueden ser
individuos, instituciones crediticias, instituciones militares, gobiernos, etc.
que usan sistemas automatizados de información, generalmente
conectados a otros.
El sujeto pasivo del delito que nos ocupa es sumamente importante para
el estudio de los delitos informáticos, ya que mediante él podemos
conocer los diferentes ilícitos que cometen los delincuentes informáticos.
Es imposible conocer la verdadera magnitud de los delitos informáticos,

ya que la mayor parte no son descubiertos o no son denunciados a las
autoridades responsables y si a esto se suma la falta de leyes que
protejan a las víctimas de estos delitos, la falta de preparación por parte
de las autoridades para comprender, investigar y aplicar el tratamiento
jurídico adecuado; el temor por parte de las empresas de denunciar este
tipo de ilícitos por el desprestigio que esto pudiera ocasionar a su
empresa y las consecuentes pérdidas económicas, trae como
consecuencia que las estadísticas sobre este tipo de conductas se
mantenga bajo la llamada "cifra negra".
Por lo anterior, se reconoce que para conseguir una prevención efectiva

de la criminalidad informática se requiere, en primer lugar, un análisis
objetivo de las necesidades de protección y de las fuentes de peligro.
Una protección eficaz contra la criminalidad informática presupone, ante
todo, que las víctimas potenciales conozcan las correspondientes
técnicas de manipulación, así como sus formas de encubrimiento.
En el mismo sentido, podemos decir que con:
A. La divulgación de las posibles conductas ilícitas derivadas del uso

de las computadoras;
B. Alertas a las potenciales víctimas, para que tomen las medidas
pertinentes a fin de prevenir la delincuencia informática;
C. Creación de una adecuada legislación que proteja los intereses de
las víctimas;
D. Una eficiente preparación por parte del personal encargado de la
procuración, administración y la impartición de justicia para
atender e investigar estas conductas ilícitas.
Se estaría avanzando mucho en el camino de la lucha contra la
delincuencia informática que cada día tiende a expandirse más.
Además, se debe destacar que los organismos internacionales han
adoptado resoluciones similares en el sentido de que educando a la
comunidad de víctimas y estimulando la denuncia de los delitos, se
promovería la confianza pública en la capacidad de los encargados de
hacer cumplir la ley y de las autoridades judiciales para detectar, investigar
y prevenir los delitos informáticos.
2.4. AMENAZAS LÓGICAS - TIPOS DE ATAQUES
Los protocolos de comunicación utilizados carecen (en su mayoría) de seguridad

o ésta ha sido implementada en forma de "parche" tiempo después de su
creación.
 Existen agujeros de seguridad en los sistemas operativos.
 Existen agujeros de seguridad en las aplicaciones.
 Existen errores en las configuraciones de los sistemas.
 Los usuarios carecen de información respecto al tema.
Esta lista podría seguir extendiéndose a medida que se evalúen mayor cantidad
de elementos de un Sistema Informático.
Las empresas u organizaciones no se pueden permitir el lujo de denunciar

ataques a sus sistemas, pues el nivel de confianza de los clientes (ciudadanos)
bajaría enormemente.
Los Administradores tienen cada vez mayor conciencia respecto de la seguridad

de sus sistemas y arreglan por sí mismos las deficiencias detectadas. A esto hay
que añadir las nuevas herramientas de seguridad disponibles en el mercado.
2.4.1. Acceso - Uso - Autorización
La identificación de estas palabras es muy importante, ya que el uso de

algunas implica un uso desapropiado de las otras.
Específicamente "Acceso" y "Hacer Uso" no son el mismo concepto

cuando se estudian desde el punto de vista de un usuario y de un intruso.
Por ejemplo:
A. Cuando un usuario tiene acceso autorizado, implica que tiene

autorizado el uso de un recurso.
B. Cuando un atacante tiene acceso desautorizado está haciendo uso

desautorizado del sistema.
C. Pero, cuando un atacante hace uso desautorizado de un sistema,
esto implica que el acceso fue autorizado (simulación de usuario).
Luego, un Ataque será un intento de acceso o uso desautorizado de un

recurso, sea satisfactorio o no. Un Incidente envuelve un conjunto de
ataques que pueden ser distinguidos de otro grupo por las características
del mismo (grado, similitud, técnicas utilizadas, tiempos, etc.).
2.4.2. Detección de Intrusos
A finales de 1996, Dan Farmer (creador de una de las herramientas más

útiles en la detección de intrusos: SATAN) realizó un estudio sobre
seguridad analizando 2.203 sistemas de sitios en Internet. Los sistemas
objeto de estudio fueron Web Sites orientados al comercio y con
contenidos específicos, además de un conjunto de sistemas informáticos
aleatorios con los que realizar comparaciones.
El estudio se realizó empleando técnicas sencillas y no intrusivas. Se
dividieron los problemas potenciales de seguridad en dos grupos: rojos
(red) y amarillos (yellow).
Los problemas del grupo rojo son los más serios y suponen que el sistema
está abierto a un atacante potencial, es decir, posee problemas de
seguridad conocidos en disposición de ser explotados. Así, por ejemplo, un
problema de seguridad del grupo rojo es un equipo que tiene el servicio de
FTP anónimo mal configurado. Los problemas de seguridad del grupo
amarillo son menos serios, pero también reseñables. Implican que el
problema detectado no compromete inmediatamente al sistema, pero
puede causarle serios daños o bien, que es necesario realizar tests más
intrusivos para determinar si existe o no un problema del grupo rojo.
La tabla 2.1. Porcentaje de Vulnerabilidades resume los sistemas

evaluados, el número de equipos en cada categoría y los porcentajes de
vulnerabilidad para cada uno. Aunque los resultados son límites
superiores, no dejan de ser escandalosos.
Ilustración 2. Porcentaje de Vulnerabilidades
Fuente: http://www.segu-info.com.ar/ataques/ataques.htm
Como puede observarse, cerca de los dos tercios de los sistemas

analizados tenían serios problemas de seguridad y Farmer destaca que
casi un tercio de ellos podían ser atacados con un mínimo esfuerzo.
2.4.3. Identificación de las Amenazas
La identificación de amenazas requiere conocer los tipos de ataques, el

tipo de acceso, la forma operacional y los objetivos del atacante.
Las consecuencias de los ataques se podrían clasificar en:
A. Data Corruption: la información que no contenía defectos pasa a

tenerlos.
B. Denial of Service (DoS): servicios que deberían estar disponibles
no lo están.
C. Leakage: los datos llegan a destinos a los que no deberían llegar.
Desde 1990 hasta nuestros días, el CERT viene desarrollando una serie
de estadísticas que demuestran que cada día se registran más ataques
informáticos y estos son cada vez más sofisticados, automáticos y difíciles
de rastrear.
En la Tabla siguiente, se detalla el tipo de atacante, las herramientas

utilizadas, en qué fase se realiza el ataque, los tipos de procesos atacados,
los resultados esperados y/u obtenidos y los objetivos perseguidos por los
intrusos.
Ilustración 3. Detalle de Ataques
Cualquier adolescente de 15 años (Script Kiddies), sin tener grandes

conocimientos, pero con una potente y estable herramienta de ataque
desarrollada por los “gurús”, es capaz de dejar fuera de servicio cualquier
servidor de información de cualquier organismo en internet, simplemente
siguiendo las instrucciones que acompañan la herramienta.
Los números que siguen no pretenden alarmar a nadie ni sembrar la

semilla del futuro hacker. Evidentemente la información puede ser
aprovechada para fines menos lícitos, para los cuales fue pensada, pero
esto es algo ciertamente difícil de evitar.
Ilustración 4. Vulnerabilidades Reportadas al CERT 1988-2001
2.5. TIPOS DE ATAQUES
A continuación se expondrán diferentes tipos de ataques perpetrados,

principalmente, por hackers. Estos ataques pueden ser realizados sobre
cualquier tipo de red, sistema operativo, usando diferentes protocolos, etc.
En los primeros tiempos, los ataques involucraban poca sofisticación técnica.

Los Insiders (operadores, programadores, data entrys) utilizaban sus permisos
para alterar archivos o registros. Los Outsiders ingresaban a la red simplemente
averiguando un password válido. A través de los años se han desarrollado
formas cada vez más sofisticadas de ataque para explotar "agujeros" en el
diseño, configuración y operación de los sistemas.
2.5.1. Ingeniería Social Inversa
Consiste en la generación, por parte de los intrusos, de una situación

inversa a la originada en Ingeniería Social.
En este caso, el intruso publicita de alguna manera que es capaz de
brindar ayuda a los usuarios y estos lo llaman ante algún imprevisto. El
intruso aprovechará esta oportunidad para pedir información necesaria
para solucionar el problema del usuario y el suyo propio (la forma de
acceso al sistema).
La ISI es más difícil de llevar a cabo y, por lo general, se aplica cuando los
usuarios están alertados acerca de las técnicas de IS. Puede usarse en
algunas situaciones específicas y después de mucha preparación e
investigación por parte del intruso:
A. Generación de una falla en el funcionamiento normal del sistema.

Generalmente esta falla es fácil de solucionar, pero puede ser difícil
de encontrar por los usuarios inexpertos (sabotaje). Requiere que el
intruso tenga un mínimo contacto con el sistema.
B. Comunicación a los usuarios de que la solución es brindada por el

intruso (publicidad).
C. Provisión de ayuda por parte del intruso encubierto como servicio

técnico.
2.5.2. Trashing (Cartoneo)
Generalmente, un usuario anota su login y password en un papelito y

luego, cuando lo recuerda, lo arroja a la basura. Este procedimiento por
más inocente que parezca es el que puede aprovechar un atacante para
hacerse de una llave para entrar al sistema..."nada se destruye, todo se
transforma".
El Trashing puede ser físico o lógico, como analizar buffers de impresora y

memoria, bloques de discos, etc. El Trashing físico suele ser común en
organizaciones que no disponen de alta confidencialidad, como colegios y
universidades.
2.5.3. Ataques de Monitorización
Este tipo de ataque se realiza para observar a la víctima y su sistema, con

el objetivo de establecer sus vulnerabilidades y posibles formas de acceso
futuro.
A. Shoulder Surfing. Consiste en espiar físicamente a los usuarios para

obtener el login y su password correspondiente. El Surfing explota el
error de los usuarios de dejar su login y password anotadas cerca de la
computadora (generalmente en post–it adheridos al monitor o teclado).
Cualquier intruso puede pasar por ahí, verlos y memorizarlos para su
posterior uso. Otra técnica relacionada al surfing es aquella mediante la
cual se ve, por encima del hombro, al usuario cuando teclea su nombre
y password.
B. Decoy (Señuelos). Los Decoy son programas diseñados con la misma

interface que otro original. En ellos se imita la solicitud de un logeo y el
usuario desprevenido lo hace. Luego, el programa guardará esta
información y dejará paso a las actividades normales del sistema. La
información recopilada será utilizada por el atacante para futuras
"visitas". Una técnica semejante es aquella que, mediante un programa
se guardan todas las teclas presionadas durante una sesión. Luego
sólo hará falta estudiar el archivo generado para conocer los nombres
de los usuarios y claves.
C. Scanning (Búsqueda). El Scaneo, como método de descubrir canales

de comunicación susceptibles de ser explotados, lleva en uso mucho
tiempo. La idea es recorrer (scanear) tantos puertos de escucha como
sea posible y guardar información de aquellos que sean receptivos o
de utilidad para cada necesidad en particular. Muchas utilidades de
auditoría también se basan en este paradigma.
El Scaneo de puertos pertenece a la Seguridad Informática desde que
era utilizado en los sistemas de telefonía. Dado que actualmente
existen millones de números de teléfono a los que se pueden acceder
con una simple llamada, la solución lógica (para encontrar números
que puedan interesar) es intentar conectarlos a todos.
La idea básica es simple: llamar a un número y si el módem devuelve

un mensaje de conectado, grabar el número. En otro caso, la
computadora cuelga el teléfono y llama al siguiente número. Scanear
puertos implica las mismas técnicas de fuerza bruta. Se envía una serie
de paquetes para varios protocolos y se deduce qué servicios están
"escuchando" por las respuestas recibidas o no recibidas. Existen
diversos tipos de Scanning según las técnicas, puertos y protocolos
explotados:
1. TCP Connect Scanning. Esta es la forma básica del scaneo de

puertos TCP. Si el puerto está escuchando, devolverá una
respuesta de éxito; cualquier otro caso significará que el puerto no
está abierto o que no se puede establecer conexión con él. Las
ventajas que caracterizan esta técnica es que no necesita de
privilegios especiales y su gran velocidad. Su principal desventaja
es que este método es fácilmente detectable por el administrador
del sistema. Se verá un gran número de conexiones y mensajes de
error para los servicios en los que se ha conseguido conectar la
máquina que lanza el scanner y también se verá su inmediata
desconexión.
2. TCP SYN Scanning. Cuando dos procesos establecen una

comunicación usan el modelo Cliente/Servidor para establecerla. La
aplicación del Servidor "escucha" todo lo que ingresa por los
puertos.
La identificación del Servidor se efectúa a través de la dirección IP
del sistema en el que se ejecuta y del número de puerto del que
depende para la conexión. El Cliente establece la conexión con el
Servidor a través del puerto disponible para luego intercambiar
datos. La información de control de llamada HandShake (saludo) se
intercambia entre el Cliente y el Servidor para establecer un dialogo
antes de transmitir datos. Los "paquetes" o segmentos TCP tienen
banderas que indican el estado del mismo. El protocolo TCP de
Internet, sobre el que se basa la mayoría de los servicios
(incluyendo el correo electrónico, el web y el IRC), implica esta
conexión entre dos máquinas. El establecimiento de dicha conexión
se realiza mediante lo que se llama Three-Way Handshake
("conexión en tres pasos") ya que intercambian tres segmentos.
En forma esquemática se tiene:
Ilustración 5. Conexión en Tres Pasos
Fuente: http://www.seguinfo.com.ar/ataques/ataques_monitorizacion.htm
a) El programa Cliente (C) pide conexión al Servidor

(S) enviándole un segmento SYN. Este segmento le
dice a S que C desea establecer una conexión.
b) S (si está abierto y escuchando) al recibir este segmento
SYN (activa el indicador) y envía una autentificación ACK
de manera de acuse de recibo a C. Si S está cerrado envía
un indicador RST.
c) C entonces ACKea (autentifica) a S. Ahora ya puede

tener lugar la transferencia de datos.
Cuando las aplicaciones conectadas terminan la transferencia,

realizarán otra negociación a tres bandas con segmentos FIN en
vez SYN.
La técnica TCP SYN Scanning implementa un scaneo de "media-

apertura" dado que nunca se abre una sesión TCP completa.
Se envía un paquete SYN (como si se fuera a usar una conexión
real) y se espera por la respuesta. Al recibir un SYN/ACK se envía,
inmediatamente, un RST para terminar la conexión y se registra
este puerto como abierto.
La principal ventaja de esta técnica de escaneo es que pocos sitios

están preparados para registrarlos. La desventaja es que en
algunos sistemas Unix se necesitan privilegios de administrador
para construir estos paquetes SYN.
3. TCP FIN Scanning– Stealth Port Scanning. A veces, incluso el

escaneo SYN no es lo suficientemente "clandestino" o limpio.
Algunos sistemas (Firewalls y filtros de paquetes) monitorizan la red
en busca de paquetes SYN a puertos restringidos.
Para subsanar este inconveniente los paquetes FIN, en cambio,

podrían ser capaces de pasar sin ser advertidos. Este tipo de
escaneo está basado en la idea de que los puertos cerrados
tienden a responder a los paquetes FIN con el RST
correspondiente. Los puertos abiertos, en cambio, suelen ignorar el
paquete en cuestión.
Éste es un comportamiento correcto del protocolo TCP, aunque
algunos sistemas, entre los que se hallan los de Microsoft®, no
cumplen con este requerimiento, enviando paquetes RST siempre,
independientemente de si el puerto está abierto o cerrado. Como
resultado, no son vulnerables a este tipo de escaneo. Sin embargo,
es posible realizarlo en otros sistemas Unix.
Este último es un ejemplo en el que se puede apreciar que algunas

vulnerabilidades se presentan en las aplicación de tecnologías (en
este caso el protocolo TCP nacido en los años ´70) y no sobre sus
implementaciones. Es más, se observa que una implementación
incorrecta (la de Microsoft®) soluciona el problema. "Muchos de los
problemas globales de vulnerabilidades son inherentes al diseño
original de algunos protocolos".
4. Fragmentation Scanning. Esta no es una nueva técnica de

escaneo como tal, sino una modificación de las anteriores. En lugar
de enviar paquetes completos de sondeo, los mismos se
particionan en un par de pequeños fragmentos IP. Así, se logra
partir una cabecera IP en distintos paquetes para hacerlo más difícil
de monitorizar por los filtros que pudieran estar ejecutándose en la
máquina objetivo. Sin embargo, algunas implementaciones de estas
técnicas tienen problemas con la gestión de este tipo de paquetes
tan pequeños, causando una caída de rendimiento en el sistema
del intruso o en el de la víctima. Problemas de esta índole convierte
en detectables a este tipo de ataque.
a) Eavesdropping–Packet Sniffing. Muchas redes son

vulnerables al Eavesdropping o a la pasiva intercepción (sin
modificación) del tráfico de red.
Esto se realiza con Packet Sniffers, los cuales son
programas que monitorean los paquetes que circulan por la
red. Los Sniffers pueden ser colocados tanto en una
estación de trabajo conectada a la red, como a un equipo
Router o a un Gateway de Internet y esto puede ser
realizado por un usuario con legítimo acceso o por un
intruso que ha ingresado por otras vías. Cada máquina
conectada a la red (mediante una placa con una dirección
única) verifica la dirección destino de los paquetes TCP. Si
estas direcciones son iguales, asume que el paquete
enviado es para ella, caso contrario libera el paquete para
que otras placas lo analicen.
Un Sniffers consiste en colocar a la placa de red en un modo llamado

promiscuo, el cual desactiva el filtro de verificación de direcciones y por
lo tanto todos los paquetes enviados a la red llegan a esta placa
(computadora donde está instalado el Sniffer).
Inicialmente, este tipo de software era únicamente utilizado por los

administradores de redes locales, aunque con el tiempo llegó
a convertirse en una herramienta muy usada por los intrusos.
Actualmente existen Sniffers para capturar cualquier tipo de
información específica. Por ejemplo, passwords de un recurso
compartido o de acceso a una cuenta, que generalmente viajan sin
encriptar al ingresar a sistemas de acceso remoto. También son
utilizados para capturar números de tarjetas de crédito y direcciones de
e-mails entrantes y salientes. El análisis de tráfico puede ser utilizado
también para determinar relaciones entre organizaciones e individuos.
Para realizar estas funciones se analizan las tramas de un

segmento de red y presentan al usuario sólo las que interesan.
Normalmente, los buenos Sniffers no se pueden detectar, aunque la
inmensa mayoría, y debido a que están demasiado relacionados con el
protocolo TCP/IP, sí pueden ser detectados con algunos trucos.
b) Snooping–Downloading. Los ataques de esta categoría
tienen el mismo objetivo que el Sniffing: obtener la
información sin modificarla.
Sin embargo, los métodos son diferentes. Aquí, además
de interceptar el tráfico de red, el atacante ingresa a los
documentos, mensajes de correo electrónico y otra
información guardada, realizando en la mayoría de los
casos un downloading (copia de documentos) de esa
información a su propia computadora, para luego hacer
un análisis exhaustivo de la misma.
El Snooping puede ser realizado por simple curiosidad, pero también

es realizado con fines de espionaje y robo de información o software.
Los casos más resonantes de este tipo de ataques fueron: el robo de
un archivo con más de 1700 números de tarjetas de crédito desde una
compañía de música mundialmente famosa y la difusión ilegal de
reportes oficiales reservados de las Naciones Unidas acerca de la
violación de derechos humanos en algunos países europeos en estado
de guerra.
c) Ataques de Autenticación. Este tipo de ataque tiene

como objetivo engañar al sistema de la víctima para
ingresar al mismo. Generalmente este engaño se realiza
tomando las sesiones ya establecidas por la víctima u
obteniendo su nombre de usuario y password.
d) Spoofing-Looping. Spoofing puede traducirse como

"hacerse pasar por otro" y el objetivo de esta técnica,
justamente, es actuar en nombre de otros usuarios,
usualmente para realizar tareas de Snooping o
Tampering (ver a continuación Ataques de Modificación y
Daño).
Una forma común de Spoofing es conseguir el nombre y password de
un usuario legítimo para, una vez ingresado al sistema, tomar acciones
en nombre de él.
El intruso usualmente utiliza un sistema para obtener información e

ingresar en otro y luego utiliza éste para entrar en otro y así
sucesivamente. Este proceso, llamado Looping, tiene la finalidad de
"evaporar" la identificación y la ubicación del atacante.
El camino tomado desde el origen hasta el destino puede tener muchas

estaciones, que exceden obviamente los límites de un país. Otra
consecuencia del Looping es que una compañía o gobierno puede
suponer que están siendo atacados por un competidor o una agencia
de gobierno extranjera, cuando en realidad están seguramente siendo
atacado por un Insider o por un estudiante a miles de Kilómetros de
distancia, pero que ha tomado la identidad de otros.
La investigación de procedencia de un Looping es casi imposible, ya

que el investigador debe contar con la colaboración de cada
administrador de cada red utilizada en la ruta.
El envío de falsos e-mails es otra forma de Spoofing que las redes

permiten. Aquí el atacante envía e-mails a nombre de otra persona con
cualquier motivo y objetivo. Tal fue el caso de una universidad en
EE.UU. en 1998 que debió reprogramar una fecha completa de
exámenes, ya que alguien en nombre de la secretaría había cancelado
la fecha verdadera y enviado el mensaje a toda la nómina de
estudiantes.
Muchos ataques de este tipo comienzan con Ingeniería Social y los

usuarios, por falta de cultura, facilitan a extraños sus identificaciones
dentro del sistema usualmente a través de una simple llamada
telefónica.
e) Denial of Service (DoS). Los protocolos existentes
actualmente fueron diseñados para ser empleados en
una comunidad abierta y con una relación de confianza
mutua. La realidad indica que es más fácil desorganizar
el funcionamiento de un sistema que acceder al mismo;
así los ataques de Negación de Servicio tienen como
objetivo saturar los recursos de la víctima de forma tal
que se inhabilita los servicios brindados por la misma.
Más allá del simple hecho de bloquear los servicios del cliente, existen
algunas razones importantes por las cuales este tipo de ataques pueden
ser útiles a un atacante:
1. Se ha instalado un troyano y se necesita que la víctima

reinicie la máquina para que surta efecto.
2. Se necesita cubrir inmediatamente sus acciones o un uso
abusivo de CPU. Para ello provoca un "crash" del sistema,
generando así la sensación de que ha sido algo pasajero y raro.
3. El intruso cree que actúa bien al dejar fuera de servicio
algún sitio web que le disgusta. Este accionar es común en sitios
pornográficos, religiosos o de abuso de menores.
4. El administrador del sistema quiere comprobar que sus
instalaciones no son vulnerables a este tipo de ataques.
5. El administrador del sistema tiene un proceso que no
puede "matar" en su servidor y, debido a éste, no puede acceder
al sistema. Para ello, lanza contra sí mismo un ataque DoS
deteniendo los servicios.
f) Jamming o Flooding. Este tipo de ataques desactivan

o saturan los recursos del sistema. Por ejemplo, un
atacante puede consumir toda la memoria o espacio del
disco disponible, así como enviar tanto tráfico a la red
que nadie más pueda utilizarla.
Aquí, el atacante satura el sistema con mensajes que requieren
establecer conexión. Sin embargo, en vez de proveer la dirección IP del
emisor, el mensaje contiene falsas direcciones IP usando Spoofing y
Looping. El sistema responde al mensaje, pero como no recibe
respuesta, acumula buffers con información de las conexiones abiertas,
no dejando lugar a las conexiones legítimas.
Muchos ISPs (proveedores de Internet) han sufrido bajas temporales

del servicio por ataques que explotan el protocolo TCP. Muchos Hosts
de Internet han sido dados de baja por el "ping de la muerte" (una
versión-trampa del comando ping).
Mientras que el ping normal simplemente verifica si un sistema está

enlazado a la red, el ping de la muerte causa el bloqueo instantáneo
del equipo. Esta vulnerabilidad ha sido ampliamente utilizada en el
pasado, pero aún hoy pueden encontrarse sistemas vulnerables.Otra
acción común es la de enviar millares de e-mails sin sentido a todos los
usuarios posibles en forma continua, saturando los sistemas destinos.
g) Syn Flood. Como ya se explicó en el TCP SYN

Scanning el protocolo TCP se basa en una conexión en
tres pasos. Pero, si el paso final no llega a establecerse,
la conexión permanece en un estado denominado
"semiabierto".
El SYN Flood es el más famoso de los ataques del tipo Denial of Service, publicado
por primera vez en la revista under Phrack y se basa en un "saludo" incompleto entre
los dos hosts.
El Cliente envía un paquete SYN, pero no responde al paquete ACK ocasionando que
la pila TCP/IP espere cierta cantidad de tiempo a que el Host hostil responda antes de
cerrar la conexión. Si se crean muchas peticiones incompletas de conexión (no se
responde a ninguna), el Servidor estará inactivo mucho tiempo esperando respuesta.
Esto ocasiona la lentitud en los demás servicios.
SYN Flood aprovecha la mala implementación del protocolo TCP, funcionando de la
siguiente manera:
 Se envía al destino una serie de paquetes TCP con el bit SYN activado
(petición de conexión) desde una dirección IP Spoofeada. Esta última debe ser
inexistente para que el destino no pueda completar el saludo con el cliente.
 Aquí radica el fallo de TCP: ICMP reporta que el cliente es inexistente, pero
TCP ignora el mensaje y sigue intentando terminar el saludo con el cliente de
forma continua.
 Cuando se realiza un Ping a una máquina, esta tiene que procesarlo. Y aunque
se trate de un proceso sencillo (no es más que ver la dirección de origen y
enviarle un paquete Reply) siempre consume recursos del sistema. Si no es
un Ping, sino que son varios a la vez, la máquina se vuelve más lenta... si lo
que se recibe son miles de solicitudes, puede que el equipo deje de responder
(Flood).
 Es obligatorio que el IP origen sea inexistente, ya que sino el objetivo logrará

responderle al cliente con un SYN/ACK y como esa IP no pidió ninguna
conexión, le va a responder al objetivo con un RST y el ataque no tendrá
efecto.El problema es que muchos sistemas operativos tienen un límite muy
bajo en el número de conexiones "semiabiertas" que pueden manejar en un
momento determinado (5 a 30). Si se supera ese límite, el servidor
sencillamente dejará de responder a las nuevas peticiones de conexión que le
vayan llegando. Las conexiones "semiabiertas" van caducando tras un tiempo,
liberando "huecos" para nuevas conexiones, pero mientras el atacante
mantenga el SYN Flood, la probabilidad de que una conexión recién liberada
sea capturada por un nuevo SYN malicioso es muy alta.
h) Connection Flood. La mayoría de las empresas que

brindan servicios de Internet (ISP) tienen un límite
máximo en el número de conexiones simultáneas. Una
vez que se alcanza ese límite no se admitirán
conexiones nuevas. Así, por ejemplo, un servidor Web
puede tener, por ejemplo, capacidad para atender a mil
usuarios simultáneos. Si un atacante establece mil
conexiones y no realiza ninguna petición sobre ellas,
monopolizará la capacidad del servidor. Las conexiones
van caducando por inactividad poco a poco, pero el
atacante sólo necesita intentar nuevas conexiones,
(como ocurre con el caso del SYN Flood) para mantener
fuera de servicio el servidor.
i) Net Flood. En estos casos, la red víctima no puede

hacer nada. Aunque filtre el tráfico en sus sistemas, sus
líneas estarán saturadas con tráfico malicioso,
incapacitándolas para cursar tráfico útil.
Un ejemplo habitual es el de un teléfono: si alguien quiere molestar, sólo tiene

que llamar de forma continua. Si se descuelga el teléfono (para que deje de
molestar), tampoco se puede recibir llamadas de otras personas. Este
problema es habitual, por ejemplo, cuando alguien intenta mandar un fax
empleando el número de voz: el fax insiste durante horas, sin que el usuario
llamado pueda hacer nada al respecto.
En el caso de Net Flooding ocurre algo similar. El atacante envía tantos

paquetes de solicitud de conexión que las conexiones auténticas simplemente
no pueden competir.
En casos así, el primer paso a realizar es el ponerse en contacto con el

Proveedor del servicio para que intente determinar la fuente del ataque y, como
medida provisional, filtre el ataque en su extremo de la línea.
El siguiente paso consiste en localizar las fuentes del ataque e informar a sus
administradores, ya que seguramente se estarán usando sus recursos sin su
conocimiento y consentimiento. Si el atacante emplea IP Spoofing, el rastreo
puede ser casi imposible, ya que en muchos casos la fuente del ataque es, a
su vez, víctima y el origen último puede ser prácticamente imposible de
determinar (Looping).
j) Land Attack. Este ataque consiste en un Bug (error) en
la implementación de la pila TCP/IP de las plataformas
Windows©. El ataque consiste en mandar a algún puerto
abierto de un servidor (generalmente al NetBIOS 113 ó
139) un paquete, maliciosamente construido, con la
dirección y puerto origen igual que la dirección y puerto
destino.
Por ejemplo, se envían un mensaje desde la dirección 10.0.0.1:139 hacia ella

misma. El resultado obtenido es que luego de cierta cantidad de mensajes
enviados–recibidos la máquina termina colgándose.
Existen ciertas variantes a este método consistente, por ejemplo, en enviar el

mensaje a una dirección específica sin especificar el puerto.
k) Smurf o Broadcast Storm. Este ataque es bastante

simple y a su vez devastador. Consiste en recolectar una
serie de direcciones BroadCast para, a continuación,
mandar una petición ICMP (simulando un Ping) a cada
una de ellas en serie, varias veces, falsificando la
dirección IP de origen (máquina víctima).
Este paquete maliciosamente manipulado, será repetido en difusión

(Broadcast) y cientos o miles de hosts mandarán una respuesta a la víctima
cuya dirección IP figura en el paquete ICMP.
Ilustración 6. Ataque SMURF
Fuente: http://www.segu-info.com.ar/ataques/ataques_monitorizacion.htm
Suponiendo que se considere una red de tipo C la dirección de

BroadCast sería .255; por lo que el "simple" envío de un paquete se
convierte en un efecto multiplicador devastador.
Desgraciadamente, la víctima no puede hacer nada para evitarlo. La

solución está en manos de los administradores de red, los cuales
deben configurar adecuadamente sus Routers para filtrar los paquetes
ICMP de peticiones indeseadas (Broadcast) o bien configurar sus
máquinas para que no respondan a dichos paquetes. Es decir, que lo
que se parchea son las máquinas/redes que puedan actuar de
intermediarias (inocentes) en el ataque y no la máquina víctima.
También se podría evitar el ataque si el Router/Firewall de salida del
atacante estuviera convenientemente configurado para evitar Spoofing.
Esto se haría filtrando todos los paquetes de salida que tuvieran una
dirección de origen que no perteneciera a la red interna.
l) OOB, Supernuke o Winnuke. Un ataque característico,

y quizás el más común, de los equipos con Windows© es
el Nuke, que hace que los equipos que escuchan por el
puerto NetBIOS sobre TCP/UDP 137 a 139, queden
fuera de servicio, o disminuyan su rendimiento al enviarle
paquetes UDP manipulados.
Generalmente, se envían fragmentos de paquetes Out Of Band, que la

máquina víctima detecta como inválidos pasando a un estado
inestable. OOB es el término normal, pero realmente consiste en
configurar el bit Urgente (URG) en los indicadores del encabezamiento
TCP, lo que significa que este bit es válido.
m) Teardrop I y II-Newtear-Bonk-Boink. Al igual que el

Supernuke, los ataques Teardrop I y Teardrop II afectan
a fragmentos de paquetes. Algunas implementaciones de
colas IP no vuelven a armar correctamente los
fragmentos que se superponen, haciendo que el sistema
se cuelgue. Windows NT© 4.0 de Microsoft® es
especialmente vulnerable a este ataque. Aunque existen
Patchs (parches) que pueden aplicarse para solucionar
el problema, muchas organizaciones no lo hacen y las
consecuencias pueden ser devastadoras. Los ataques
tipo Teardrop son especialmente peligrosos, ya que
existen multitud de implementaciones (algunas de ellas
forman paquetes) que explotan esta debilidad. Las más
conocidas son aquellas con el nombre Newtear, Bonk y
Boink.
CAPÍTULO III : M A T E R I A L Y M É T O D O U T I L I Z A D O E N
LAS PRÁCTICAS PRE PROFESIONALES
MATERIAL Y MÉTODO
UTILIZADO EN LAS
PRÁCTICAS
PRE PROFESIONALES
3.1. MATERIALES A UTILIZARSE
Los materiales utilizados en la investigación se detallan en el Cuadro

siguiente:
3.1.1. Recursos de Hardware
 01 Laptop TOSHIBA
 01 Impresora Hp Officejet Pro L7680
3.1.2. Recursos de Software
 Windows 7
 Microsoft Office 2013
3.2. TIPO Y NIVEL DE INVESTIGACIÓN
3.2.1. Tipo de investigación
Investigación aplicada ya que se cuenta con el conocimiento sobre

planes de seguridad informático.
3.2.2. Nivel de investigación
Explicativa porque se pretende desarrollar un Plan de Seguridad

Informática.
3.3. MÉTODO Y DISEÑO DE LA INVESTIGACIÓN
3.3.1. Método de la investigación
 Descriptivo  Inductivo
 Explicativo  Análisis
 Deductivo  Síntesis, entre otros
3.3.2. Diseño de la investigación
Experimental porque se pretende desarrollar un Plan de

Seguridad Informática.
3.4. TÉCNICAS E INSTRUMENTOS DE RECOLECCIÓN DE INFORMACIÓN
3.4.1. Técnicas
 Observación
 Entrevistas
 Encuestas
 Análisis Documental
 Inventario de indicadores
3.4.2. Instrumentos
 Cuestionario
 Guía de observación de campo
 Formatos de recolección de indicadores
CAPÍTULO IV : P L A N D E S E G U R I D A D I N F O R M Á T I C A
PLAN DE SEGURIDAD
INFORMÁTICA
4.1. OBJETIVO GENERAL
El objetivo general consiste en la realización de un Plan de Seguridad

Informática para la Oficina de Servicios Académicos de la Universidad José
Carlos Mariátegui, en donde se definen los lineamientos para promover la
planeación, el diseño e implantación de un modelo de seguridad en la misma
con el fin de establecer una cultura de la seguridad en la organización.
Asimismo, obliga a redactar sus propios procedimientos de seguridad, los
cuales deben estar enmarcados por este plan.
4.2. ALCANCE
Este documento se aplica para todos los empleados de la oficina y personal

externo que desempeñen labores o le proporcionen algún tipo de servicio.
4.3. CONTENIDO
Este Plan presenta las Políticas de Seguridad Informática cuyo contenido se
agrupa en los siguientes aspectos:
1. Seguridad Lógica
2. Seguridad en las Comunicaciones
3. Seguridad de las Aplicaciones
4. Seguridad Física
5. Administración del CPED
6. Plan de Contingencias
4.4. SEGURIDAD LÓGICA
Cada usuario de la Oficina de Servicios Académicos de la Universidad José

Carlos Mariátegui es responsable del mecanismo de control de acceso que le
sea proporcionado; esto es, de su identificador de usuario y password
necesario para acceder a la información y a la infraestructura tecnológica, por
lo cual deberá mantenerlo de forma confidencial.
4.4.1. Controles de Acceso Lógico
- El acceso a la infraestructura tecnológica de la oficinal el personal

externo debe ser autorizado por el Jefe de la Oficina, quien lo
habilitará, previa autorización del Gerente General.
- Está prohibido que los usuarios utilicen la infraestructura

tecnológica de la oficina para obtener acceso no autorizado a la
información u otros sistemas de información de la institución.
- Todos los usuarios de servicios de información son responsables

por el User ID y password que recibe para el uso y acceso de los
recursos.
- Todos los usuarios deberán autenticarse por los mecanismos de

control de acceso, antes de poder usar la infraestructura
tecnológica de la institución.
- Los usuarios no deben proporcionar información a personal

externo, sobre los mecanismos de control de acceso a las
instalaciones e infraestructura tecnológica de la institución, a
menos que se tenga la autorización del dueño de la información
- Cada usuario que acceda a la infraestructura tecnológica de la

institución debe contar con un identificador de usuario (UserID)
único y personalizado. Por lo cual, no está permitido el uso de un
mismo UserID por varios usuarios.
- Los usuarios son responsables de todas las actividades realizadas
con su identificador de usuario (UserID). Los usuarios no deben
divulgar ni permitir que otros utilicen sus identificadores de
usuario, al igual que tienen prohibido utilizar el UserID de otros
usuarios.
- Los usuarios deberán mantener sus equipos de cómputo con

controles de acceso como passwords y protectores de pantalla
(screensaver) previamente instalados y autorizados por la oficina
cuando no se encuentren en su lugar de trabajo.
4.4.2. Administración y Uso de Passwords
- La asignación del password debe ser realizada de forma

individual, por lo que el uso de passwords compartidos está
prohibido.
- Cuando un usuario olvide, bloquee o extravíe su password,

deberá informar a la Oficina de Cómputo e Informática de la
Universidad José Carlos Mariátegui, para que se le proporcione un
nuevo password y una vez que lo reciba deberá cambiarlo en el
momento en que acceda nuevamente a la infraestructura
tecnológica.
- Está prohibido que los passwords se encuentren de forma legible

en cualquier medio impreso y dejarlos en un lugar donde personas
no autorizadas puedan descubrirlos.
- Sin importar las circunstancias, los passwords nunca se deben

compartir o revelar. Hacer esto responsabiliza al usuario que
prestó su password de todas las acciones que se realicen con el
mismo.
- Todos los usuarios deberán observar los siguientes lineamientos

para la construcción de sus passwords:
o Deben estar compuestos de al menos seis (6) caracteres y

máximo diez (10), estos caracteres deben ser
alfanuméricos.
o Deben ser difíciles de adivinar, esto implica que los
passwords no deben relacionarse con el trabajo o la vida
personal del usuario y no deben contener caracteres que
expresen listas secuenciales y caracteres de control.
o No deben ser idénticos o similares a passwords que hayan

usado previamente.
- El password tendrá una vigencia de 90 días, finalizando este

periodo el usuario recibe una solicitud electrónica de cambio de
contraseña.
- Todo usuario que tenga la sospecha de que su password es

conocido por otra persona deberá cambiarlo inmediatamente.
- Los usuarios no deben almacenar los passwords en ningún

programa o sistema que proporcione esta facilidad.
4.5. SEGURIDAD DE LAS COMUNICACIONES
4.5.1. Topología de la Red
- La topología que se utiliza en toda la Institución es la topología

estrella, la cual se caracteriza por contar con un punto central o más
propiamente conocido como nodo central al cual se conectan todos
los equipos.
4.5.2. Conexiones Externas – Uso de Internet
- El acceso a Internet provisto a los usuarios de la Oficina de Servicios

Académicos de la Universidad José Carlos Mariátegui es
exclusivamente para las actividades relacionadas con las
necesidades del puesto y función que desempeña.
- La asignación del servicio de Internet deberá solicitarse por escrito a

la Oficina de Cómputo e Informática de la Universidad José Carlos
Mariátegui, señalando los motivos por los que se desea el servicio.
Esta solicitud deberá contar con el visto bueno del Sub Gerente de
área.
- Todos los accesos a Internet tienen que ser realizados a través de los
canales de acceso provistos por la oficina, en caso de necesitar una
conexión a Internet especial, ésta tiene que ser notificada y aprobada.
- Los usuarios de Internet tienen que reportar todos los incidentes de

seguridad informática, inmediatamente después de su identificación,
indicando claramente que se trata de un incidente de seguridad
informática.
- El acceso y uso de módem tiene que ser previamente autorizado
- Los usuarios del servicio de navegación en Internet, al aceptar el

servicio, están aceptando que:
o Serán sujetos de monitoreo de las actividades que realiza en

Internet.
o Saben que existe la prohibición al acceso de páginas no
autorizadas.
o Saben que existe la prohibición de transmisión de archivos
reservados o confidenciales no autorizados.
o Saben que existe la prohibición de descarga de software sin
autorización.
o La utilización de Internet es para el desempeño de su función y
puesto en la oficina y no para propósitos personales.
4.5.3. Uso del Correo Electrónico
- Los usuarios no deben usar cuentas de correo electrónico asignados

a otras personas ni recibir en cuentas de otros. Si fuera necesario
leer el correo de alguien más (mientras esta persona se encuentre
fuera o de vacaciones). El usuario ausente debe redireccionar el
correo a otra cuenta de correo interno, quedando prohibido hacerlo a
una dirección de correo electrónico externa a menos que cuente con
la autorización respectiva.
- Los usuarios deben tratar los mensajes de correo electrónico y

archivos adjuntos como información de propiedad de la Oficina de
Servicios Académicos de la Universidad José Carlos Mariátegui. Los
mensajes de correo electrónico deben ser manejados como una
comunicación privada y directa entre emisor y receptor.
- Los usuarios podrán enviar información reservada y/o confidencial
vía correo electrónico, siempre y cuando vayan de manera
encriptada y destinada exclusivamente a personas autorizadas en el
ejercicio estricto de sus funciones y atribuciones.
- La Oficina de Servicios Académicos de la Universidad José Carlos

Mariátegui se reserva el derecho a acceder y revelar todos los
mensajes enviados por este medio para cualquier propósito y revisar
las comunicaciones vía correo electrónico del personal que ha
comprometido la seguridad.
- El usuario debe de utilizar el correo electrónico institucional única y

exclusivamente a los recursos que tenga asignados y las facultades
que les hayan sido atribuidas para el desempeño de su empleo,
cargo o comisión, quedando prohibido cualquier otro uso.
- La asignación de una cuenta de correo electrónico externo deberá

solicitarse por escrito a la Oficina de Cómputo e Informática de la
Universidad José Carlos Mariátegui señalando los motivos por los que
se desea el servicio. Esta solicitud deberá contar con el visto bueno
del Jefe de la Oficina de Servicios Académicos de la Universidad José
Carlos Mariátegui.
- Queda prohibido falsear, esconder, suprimir o sustituir la identidad de

un usuario de correo electrónico.
- Queda prohibido interceptar, revelar o ayudar a terceros a interceptar

o revelar las comunicaciones electrónicas
4.5.4. Antivirus
- La oficina de Informática de la Universidad José Carlos Mariátegui es

la encargada de instalar en las computadoras de los usuarios el
antivirus - cliente del Antivirus Corporativo con que cuenta. El cual
debe de encontrarse ejecutándose permanentemente y en continua
actualización a los usuarios de la Oficina de Servicios Académicos de
la Universidad José Carlos Mariátegui.
- El usuario debe informar si el antivirus de su PC no se actualizó

correctamente.
- La actualización de los antivirus de los equipos de la Oficina de
Servicios Académicos de la Universidad José Carlos Mariátegui se
realiza en forma automática a los equipos que se encuentren
conectado a la red y se realiza de forma manual cada semana cuando
ésta haya sido comunicada.
- Los escaneos periódicos se realizarán por área funcional cada 20

días, en horario no laboral, esta tarea estará a cargo de personal
designado
- En caso que se detecte un virus en algún equipo de la institución, se

procederá a la desinfección correspondiente, luego se procedería a
revisar los demás equipos del área de donde proviene el equipo
infectado para evitar que otro equipo se infecte.
4.5.5. Seguridad Lógica de la Red
- Es responsabilidad de la Oficina mantener la integridad,

disponibilidad y confidencialidad de la información de los usuarios a
nivel administración.
- La Oficina de Cómputo e Informática de la Universidad José Carlos

Mariátegui es el responsable de la asignación de las direcciones IP a
las demás áreas así como la administración de las direcciones IP
reales o virtuales.
- El uso de aplicaciones Peer-To-Peer, Chat, Newsgroups y FTP

público está prohibido de manera general en la Red institucional.
- El monitoreo de tráfico de la red es tarea exclusiva de la Oficina de

Cómputo e Informática.
- Todo equipo de cómputo que se detecte con actividad sospechosa

se le suspenderá el servicio de red hasta corregir el problema.
- El mantenimiento a software será realizado semestralmente por la

Oficina de Cómputo e Informática correspondiente, además deberá
ser registrada en la bitácora.
- El uso de carpetas para compartir información deberá realizarse con

una contraseña, después de utilizar dichas carpetas se deberán de
deshabilitar los permisos de acceso a las mismas.
- La administración, operación y correcto funcionamiento de los
Servidores de la Red son responsabilidad única y exclusivamente de
la Oficina de Cómputo e Informática.
- La red institucional no será instrumento de experimentos que pongan

riesgo la integridad de la información.
- Por seguridad de la información se deberán cerrar todas las sesiones

de la red después de ser utilizadas.
- La configuración de los equipos de comunicaciones deberá ser

realizada o supervisada
4.5.6. Seguridad Física de la Red
- Es responsabilidad de la Oficina de Servicios Académicos de la

Universidad José Carlos Mariátegui mantener en óptimas
condiciones la red del área.
- La Oficina llevará a cabo una revisión física del cableado horizontal y

vertical de la red a su cargo una vez por semestre.
- El mantenimiento preventivo al hardware de la infraestructura de la

red de telecomunicaciones y servidores deberá ser realizado
semestralmente, además deberá ser registrado en la bitácora.
- Es responsabilidad de la Oficina supervisar y mantener la adecuada

instalación de la infraestructura de la red.
4.6. SEGURIDAD DE LAS APLICACIONES
4.6.1. Software
 De la adquisición del software
- La oficina propiciará la adquisición de licencias de sistemas

operativos, aplicaciones de escritorio.
- Se deberá propiciar la adquisición y asesoramiento en cuanto a

software de vanguardia.
- En cuanto a la paquetería sin costo deberá respetarse la

propiedad intelectual intrínseca del autor.
- La Oficina promoverá y propiciará que la adquisición de

software de dominio público provenga de sitios oficiales y
seguros.
- La Oficina deberá promover el uso de sistemas programáticos

que redunden en la independencia de la institución con los
proveedores.
- Cada vez que se adquiera un nuevo equipo de cómputo este

deberá contener mínimamente la licencia del sistema operativo
Windows XP o Windows Vista.
 De la instalación del software
- En los equipos de cómputo, de telecomunicaciones y en

dispositivos basados en sistemas de cómputo, únicamente se
permitirá la instalación del software con licencia apropiada y
acorde a la propiedad intelectual.
- La instalación del software que, desde el punto de vista,

pudiera poner en riesgo los recursos de la institución no está
permitida.
- Se instalará software libre para aplicaciones de escritorio.
- Con el propósito de proteger la integridad de los sistemas

informáticos y de telecomunicaciones, es imprescindible que
todos y cada uno de los equipos involucrados dispongan del
software de seguridad (antivirus, vacunas, privilegios de acceso
y otros que se apliquen).
- La protección lógica de los sistemas corresponde a quienes en

un principio se les asigna y les compete notificar cualquier
movimiento.
 De la actualización del software
- La adquisición y actualización del software para el equipo

especializado de cómputo y de telecomunicaciones se llevará a
cabo de acuerdo a la calendarización que anualmente se
propone por la Oficina (Plan Anual).
- Las actualizaciones del software de uso común o más

generalizado se llevarán a cabo cada trimestre.
 Del software de propiedad de la institución
- Toda la programática adquirida por la institución, sea por

compra, donación o cesión, es propiedad de la institución y
mantendrá los derechos que la ley de propiedad intelectual le
confiera.
- Todos los sistemas programáticos (programas, bases de datos,

sistemas operativos, interfaces) desarrollados con o a través de
los recursos de la Oficina de Servicios Académicos de la
Universidad José Carlos Mariátegui se mantendrán como
propiedad de la institución, respetando la propiedad intelectual
del mismo.
- Es obligación de todos los usuarios, que manejen información

masiva, mantener el respaldo correspondiente de la misma ya
que se considera como un activo de la institución que debe
preservarse.
- Los datos, las bases de datos, la información generada por el

personal y los recursos informáticos de la institución deben
estar resguardados.
4.6.2. Seguridad de la Base de Datos
- Se realizarán chequeos cada fin de mes de la seguridad de la
base de datos, en los que se deberá verificar que:
o No existan usuarios de la base de datos que no tengan

asignado una contraseña.
o Se revisará los perfiles de los usuarios que no han
usado la base de datos por un período largo de tiempo.
o Nadie, además del administrador de datos, ha accedido
a los archivos del software de la base de datos y ha
ejecutado un editor de archivos indexados.
o Sólo el administrador de datos tiene acceso de lectura y
escritura en los archivos del programa.
o La base de datos y las aplicaciones que la administran
tienen suficientes recursos libres para trabajar
eficientemente.
- Deben mantenerse registros de todas las transacciones

realizadas en la base de datos, de manera que éstas puedan
revertirse en caso de surgir un problema. Los registros de la
base de datos no se borrarán físicamente, sino que deberán
marcarse como eliminados.
- Deberá existir un responsable en cada área de la Institución

que responda por la información que se maneja en dicho
sector. Deberá definir la clasificación de los datos junto con el
administrador del sistema.
4.6.3. Control de Aplicaciones en PC
- Las aplicaciones sólo se actualizarán debido al reporte de

algún mal funcionamiento o a un nuevo requerimiento por parte
de los usuarios
- Antes de realizar cualquier cambio sobre el sistema y/o

aplicaciones de un computador se deberá guardar una copia de
respaldo de la información que reside en ella.
- En el momento en que un nuevo usuario ingrese a la

Institución, se le notificará que tiene prohibida la instalación de
cualquier producto de software en los equipos.
- Se realizarán chequeos periódicos (cada 15 días), en las PC´s,
los servidores y demás equipos, en búsqueda de aplicaciones
instaladas no autorizadas o innecesarias.
4.7. SEGURIDAD FÍSICA
4.7.1. Resguardo y protección de la información
- El usuario deberá reportar de forma inmediata a la Oficina de

Cómputo e Informática de la Universidad José Carlos Mariátegui
cuando detecte que existan riesgos reales o potenciales para
equipos de cómputo o comunicaciones, como pueden ser fugas
de agua, conatos de incendio u otros.
- El usuario tiene la obligación de proteger los discos, disquetes,

cintas magnéticas y CD-ROM que se encuentren bajo su
administración, aun cuando no se utilicen y contengan información
reservada o confidencial.
- Es responsabilidad del usuario evitar en todo momento la fuga de

la información de la Oficina de Servicios Académicos de la
Universidad José Carlos Mariátegui que se encuentre almacenada
en los equipos de cómputo que tenga asignados.
4.7.2. Control de Acceso Físico
- Cualquier persona, que tenga acceso a las instalaciones de la

Oficina de Servicios Académicos de la Universidad José Carlos
Mariátegui, deberá registrar al momento de su entrada, el equipo
de cómputo, equipo de comunicaciones, medios de
almacenamiento y herramientas que no sean propiedad de la
oficina, el cual podrá retirar el mismo día. En caso contrario,
deberá tramitar la autorización de salida correspondiente.
- Las computadoras personales, las computadoras portátiles, módems

y cualquier activo de tecnología de información podrá salir de las
instalaciones de la oficina únicamente con la autorización de salida
del área de patrimonio.
4.7.3. Protección y Ubicación de los equipos
- Los usuarios no deben mover o reubicar los equipos de cómputo o

de telecomunicaciones, instalar o desinstalar dispositivos ni retirar
sellos de los mismos sin la autorización correspondiente.
- El área de patrimonio será la encargada de generar el resguardo y

recabar la firma del usuario informático como responsable de los
activos informáticos que se le asignen y de conservarlos en la
ubicación autorizada.
- El equipo de cómputo asignado deberá ser para uso exclusivo de las

funciones de la Oficina de Servicios Académicos de la Universidad José
Carlos Mariátegui.
- Será responsabilidad del usuario solicitar la capacitación necesaria

para el manejo de las herramientas informáticas que se utilizan en su
equipo, a fin de evitar riesgos por mal uso y para aprovechar al
máximo las mismas.
- Es responsabilidad de los usuarios almacenar su información

únicamente en la partición del disco duro identificada como “datos” o
similares, ya que las otras están destinadas para archivos de
programa y sistema operativo.
- Mientras se opera el equipo de cómputo no se deberán consumir

alimentos o ingerir líquidos.
- Se debe evitar colocar objetos encima del equipo o cubrir los orificios
de ventilación del monitor o del CPU.
- Se debe mantener el equipo informático en un entorno limpio y sin

humedad.
- El usuario debe asegurarse que los cables de conexión no sean

pisados o pinchados al colocar otros objetos encima o contra ellos.
- Cuando se requiera realizar cambios múltiples del equipo de
cómputo derivado de reubicación de lugares físicos de trabajo, éstos
deberán ser notificados con una semana de anticipación.
- Queda prohibido que el usuario abra o desarme los equipos de

cómputo
4.7.4. Mantenimiento de Equipos
- Únicamente el personal autorizado podrá llevar a cabo los servicios y

reparaciones al equipo informático, por lo que los usuarios deberán
solicitar la identificación del personal designado antes de permitir el
acceso a sus equipos.
- Los usuarios deberán asegurarse de respaldar la información que

consideren relevante cuando el equipo sea enviado a reparación y
borrar aquella información sensible que se encuentre en el equipo,
previendo así la pérdida involuntaria de información derivada del
proceso de reparación.
4.7.5. Pérdida de Equipo
- El usuario que tenga bajo su resguardo algún equipo de cómputo

será responsable de su uso y custodia en consecuencia, responderá
por dicho bien.
- El resguardo para las laptops, tiene el carácter de personal y será

intransferible. Por tal motivo, queda prohibido su préstamo.
- El usuario deberá dar aviso inmediato de la desaparición, robo o

extravío del equipo de cómputo o accesorios bajo su resguardo.
4.7.6. Uso de dispositivos especiales
- El uso de los grabadores de discos compactos es exclusivo para

copias de seguridad de software y para respaldos de información que
por su volumen así lo justifiquen.
- El usuario que tenga bajo su resguardo este tipo de dispositivos será

responsable del buen uso que se le dé.
- Queda prohibido el uso de módems externos en las computadoras de
escritorio.
- Si algún área por requerimientos muy específicos del tipo de

aplicación o servicio de información tiene la necesidad de contar con
uno de ellos, deberá ser justificado.
- Los módems internos deberán existir sólo en las computadoras

portátiles y no se deberán utilizar dentro de las instalaciones para
conectarse a ningún servicio de información externo.
4.7.7. Daño del equipo
- El equipo de cómputo o cualquier recurso de tecnología de

información que sufra alguna descompostura por maltrato, descuido
o negligencia por parte del usuario quien resguarda el equipo, deberá
cubrir el valor de la reparación o reposición del equipo o accesorio
afectado.
4.8. ADMINISTRACIÓN DEL CENTRO DE PROCESAMIENTO DE DATOS

(CPCED)
Los usuarios solicitarán asesoramiento o servicios a la oficina de cómputo e

informática a través de e_mails, de manera que se genere un registro de los
trabajos efectuados por los empleados de la Oficina de Servicios Académicos
de la Universidad José Carlos Mariátegui.
Se implementará un buzón de sugerencias donde los usuarios recomienden

mejoras o realicen comentarios, expresando sus inquietudes.
La oficina de cómputo e informática se encargará del mantenimiento preventivo

del equipamiento informático de la Institución, monitorizando, chequeando y
auditando las PC´s y demás dispositivos que conforman la red.
4.8.1. Backup
La generación de copias de resguardo o backups se realizará bajo tres
conceptos fundamentales:
a. Total
b. Progresiva
c. Incremental
A. TOTAL. El backup o copia total es aquél en el cual se copian todos

los archivos residentes en los discos rígidos sin considerar si tuvo o
no cambios en los datos desde la última copia total. Como regla
general es realizar una copia total por semana.
B. PROGRESIVA. Es una copia de todos los archivos que han tenido

modificaciones desde la última copia total.
C. INCREMENTAL. Como estrategia se realizará este tipo de backup

cuando a menudo se hacen cambios al mismo grupo de archivos,
permitiendo restaurar las más recientes versiones de archivos
copiados, en el caso de pérdidas o daños.
En todos los casos, las condiciones a cumplir son:
 Se realizará dos (2) copias de respaldo.
 Almacenar las copias en lugares separados; una copia dentro y

una copia fuera del edificio.
 Rotular los medios utilizados para su rápida ubicación.
 Registrar la operatoria diaria de backups en las planillas

correspondientes.
 Utilizar las facilidades que los sistemas operativos de cada

plataforma brindan para cumplimentar esta norma. En caso que
no estuviese contemplada en los mismos, se debe implementar
el software que permita realizar las copias.
Se realizan copias de seguridad con distinta periodicidad, de acuerdo al

siguiente detalle:
 Resguardo Mensual. Se considera fin de mes al último día hábil de
cada mes calendario.
Estos medios no se reutilizan y se mantienen archivados por un

lapso no menor a 2 años.
Rótulos: DD/MM/AAAA y la leyenda “Fin de Mes”
Tipo de Copia: TOTAL
 Resguardo Semanal. Se realiza los días viernes y se posee un

juego por cada semana del mes calendario.
Estos medios podrán reutilizarse recién después de haber realizado
el resguardo Mensual.
Rótulos: “Viernes I”, “Viernes II”, “Viernes III”, “Viernes IV” y “Viernes
V”.
 Resguardo Diario. Se realiza de lunes a jueves, se reutilizan el

mismo día de la semana siguiente.
Rotulo: “Lunes”, “Martes”, “Miércoles” y “Jueves”.
 Datos a Resguardar
Los datos a resguardar se dividen en 3 grupos:
o Sistema Operativo y Configuración de Base (Active Directory)

en servidores.
o Bases de Datos (SQL Server) y base la de datos de
aplicaciones (S10 Presupuestos, Proyectos y Sistema de
Almacén).
o Archivos de usuarios y aplicaciones complementarias.
4.8.2. Documentación
Se generará un registro de las actividades del centro de cómputo

(procesos normales, eventuales y excepcionales) que se desarrollan
diariamente que incluya como mínimo el detalle de los procesos
realizados.
Se desarrollará documentación detallada sobre el equipamiento

informático que consista en diagramas y distribución física de las
instalaciones, inventarios de hardware y software, diagramas
topológicos de las redes, tipos de vínculos y ubicación de nodos. Esta
documentación comprende tanto al centro de procesamiento de datos
principal como a los secundarios y las redes departamentales.
Se registrará todos los eventos, errores y problemas del hardware y el

software utilizados en las operaciones de procesamiento de datos.
4.9. PLAN DE CONTINGENCIA
4.9.1. Objetivos del Plan de Contingencia
Definir y programar la implementación de las medidas de seguridad que

garanticen el funcionamiento continuo de los sistemas de información y
de comunicaciones de la Oficina de Servicios Académicos de la
Universidad José Carlos Mariátegui.
Restaurar los sistemas en forma eficiente y con el menor costo y

pérdidas posibles, en caso se produzca un incidente. Para estos
imprevistos se incluyen las medidas de previsión.
Disponer de un plan que permita atender de manera ordenada y

prevista situaciones que pongan en riesgo la operatividad de los
Sistemas de Información y de comunicaciones, estableciendo
procedimientos que eviten interrupciones en su operación.
4.9.2. Alcance
El presente plan es de observancia y estricto cumplimiento de todo el

personal de la Oficina de Servicios Académicos de la Universidad José
Carlos Mariátegui sea cual fuere su régimen laboral.
4.9.3. Determinación de Riesgos
Los sistemas mecanizados están expuestos a distintas clases de

riesgos que pueden afectar su normal funcionamiento, por lo que los
problemas potenciales se han clasificado en grupos que se detallan a
continuación:
 Factores Naturales y/o Artificiales
Son originados por causas externas a la institución y cuyo grado

de previsión es muy reducido. Se consideran dentro de este
grupo a los factores naturales como terremotos, maremotos,
entre otros similares; artificiales como incendios, inundaciones,
robos y problemas de terrorismo. Estos percances pueden
generar pérdidas o daños físicos en el local de la Oficina de
Servicios Académicos de la Universidad José Carlos Mariátegui
(equipos, mobiliario, inclusive recursos humanos).
 Factores de Servicios
Los riesgos identificados en este grupo pueden generar la

interrupción del procesamiento de la información en línea, lo que
afectaría seriamente la atención al público, por ejemplo:
o Caídas en los circuitos dedicados de comunicaciones.
o Corte de energía eléctrica.

o Factores de Sistemas
o Estos riesgos están asociados con el funcionamiento de

los equipos, cuyo deterioro o mal uso puede implicar lo
siguiente:
- Daños en componentes de hardware (discos

duros, adaptadores de red, etc.). Fallas en
dispositivos de comunicaciones (switches,
routers).
- Desperfectos en los equipos de cómputo e

impresoras de las áreas usuarias.
- Daños graves en los archivos del sistema por

errores de hardware o software.
- Software corrupto o incompatible (copia sin

licencia).
- Virus que dañen los archivos y hasta los equipos

de cómputo.
 Factores de Recursos Humanos
Están relacionados con la ausencia o presencia insuficiente de

las personas en el mantenimiento de las aplicaciones. Podrían
causar demoras en atención de desperfectos daños a archivos,
equipos y otros dispositivos que requieren personal entrenado
para su operación.
Estos riesgos pueden estar motivados por:
o Administradores no capacitados.
o Acceso de personas no autorizadas al cuarto de

servidores.
 Factores Diversos
Se incluyen en esta clasificación otros riesgos que no se
encuentren comprendidos en las clasificaciones anteriores. Por
ejemplo:
o Derrame de líquidos en los equipos.
4.9.4. Medidas de Contingencia
A continuación, se detallan las medidas que deberán ser aplicadas para

minimizar los riesgos de interrupción de los sistemas mecanizados.
Adicionalmente, se explican los impactos de los riesgos, así como su

probabilidad de ocurrencia de acuerdo a las cinco categorías siguientes:
o Muy Alta
o Alta
o Mediana
o Baja
o Muy Baja
Se detallan los riesgos clasificados en las categorías antes

especificadas:
 Factores Naturales y/o Artificiales.
Desastres naturales (terremotos, maremotos, etc.) y/o

Riesgo artificiales (incendio, terrorismo, robo, vandalismo, etc.)
Probabilidad de ocurrencia Mediana
-Posible deterioro/inutilización del local de la Oficina de
Servicios Académicos de la Universidad José
Carlos Mariátegui.
Efecto - En casos muy graves, inutilización total de
servidores de aplicación y equipos de
comunicación.
- Incapacidad temporal para utilizar sistemas
mecanizados, servidores y equipos
Medidas de previsión - Entrenamiento del personal para asumir funciones
alternas en caso de desastre.
- Sistemas de detección y extinción de fuego (alarma
de humo y extinguidores).
- Mobiliario especial (racks) para los equipos críticos
(servidores, equipos de comunicaciones).
- Mantener contacto con proveedores y/o
instituciones que provean equipos de
características similares con capacidad de alquiler
o préstamo en caso de quedar inutilizada
totalmente la capacidad operativa.
- Retiro o reemplazo de todo tipo de objetos que en
caso de incendio puedan ayudar a la expansión del
fuego.
- Revisión continúa del estado de la cabrería de
energía eléctrica.
- En lo posible, los tomacorrientes deben ser
instalados a un nivel razonable de altura.
- Para prevenir los cortos circuitos, asegurarse de
que no existan fuentes de líquidos cerca de las
conexiones eléctricas.
- El Cuarto de Servidores debe contar con una caja
principal de corriente.
- Prohibición total de fumar en el área sensible.
- Contar con vigilancia privada las 24 horas al día
- En ese momento, cualesquiera sean los procesos

que se estén ejecutando se deberá enviar un
mensaje (si el tiempo lo permite) de "Salir de Red y
Apagar Computador".
- Seguidamente apagar los servidores.
Acciones de - Proveer cubiertas protectoras para cuando el
equipo esté apagado.
Recuperación - Se apagará (poner en OFF) la caja principal de
corriente del cuarto de servidores.
- Si se trata de un incendio de mediana magnitud, se
debe tratar en lo posible de trasladar el servidor
fuera del local.
 Factores de Servicios
Riesgo Corte Prolongado de la energía eléctrica

Probabilidad de
Mediana
ocurrencia
-Paralización total de las actividades de la Oficina de Servicios
Efecto Académicos de la Universidad José Carlos Mariátegui
- Servicio restringido se mantendría la operatividad con
equipamiento mínimo.
- Contar con un grupo electrógeno capaz de suministrar
Medidas de previsión energía a todos los equipos involucrados.
- Otorgar mantenimiento preventivo mensual de todo el
equipo relacionado.
- Poner en funcionamiento una fuente de energía alternativa
Acciones de para la alimentación de equipos del cuarto de servidores.
- Distribuir la energía eléctrica que provee el grupo
recuperación
electrógeno por áreas de acuerdo a lo crítico de su
actividad.
Riesgo Caídas de circuitos integrados

Probabilidad de
Mediana
ocurrencia
- Se produciría una paralización de los servicios de
Efecto telecomunicaciones.
- Interrupción del servicio de correo electrónico.
- Imposibilidad de acceso a internet.
- De acuerdo al tipo de equipo, contar como mínimo con un
Medidas de previsión equipo de backup para su reemplazo en caso de que sea
necesario.
- Contar con un UPS exclusivo para el cuarto de servidores.
- Realizar los procedimientos establecidos para verificar si el
corte es producido por la empresa de telecomunicaciones o
Acciones de
fallas en los equipos de comunicaciones.
recuperación - Coordinar con la empresa de telecomunicaciones la
reposición del servicio o enmendar la falla del equipo de
comunicaciones.
 Factores de Sistemas
Riesgo Falla en componentes de la red de comunicación

de datos
- Fallas en switches principales, paralizarían la red
totalmente hasta su reemplazo.
Efecto - Fallas en las controladoras de redes de estaciones
de trabajo e impresoras paralizarían el trabajo de la
estación de la controladora de red afectad hasta su
reemplazo (hardware).
- Contar con mantenimiento preventivo para equipos
de comunicaciones. Se deberá estar en capacidad
de reemplazar temporalmente un dispositivo
afectado hasta su reparación.
- Mantener un stock mínimo de controladores de red
Medidas de previsión y dispositivos de comunicaciones que garanticen el
reemplazo inmediato de los equipos afectados.
- Mantenimiento periódico del circuito de toma a
tierra.
- Contar con un UPS exclusivo para los equipos de
comunicaciones.
Desperfectos en estaciones de trabajo y/o

Riesgo
impresoras de las áreas usuarias.
Efecto - Imposibilidad de disponer de información en forma

oportuna.
- Se deberá contar con mantenimiento preventivo y
correctivo para los equipos de cómputo (por la
misma institución u outsorcing).
- Se deberá estar en capacidad de reemplazar
temporalmente el equipo averiado hasta su
Medidas de previsión reparación.
- Las áreas usuarias deberán respetar estrictamente
el calendario de mantenimiento preventivo, lo cual
servirá para evaluar el estado de los dispositivos.
- Durante el mantenimiento, se recomienda la
permanencia del personal de la Oficina a cargo
para el asesoramiento respectivo.
Riesgo Fallas en los Servidores
Probabilidad de ocurrencia Baja

- Paralización de atención a usuarios internos y
Efecto externos que utilicen las aplicaciones de los
servidores.
- Contar con mantenimiento de hardware y software

tanto preventivo como correctivo (preferentemente
outsorcing).
- El proveedor del servicio de mantenimiento deberá
estar en la capacidad de tener un tiempo de
respuesta máximo de 1 hora producida la llamada
de reporte de falla
- El proveedor deberá tener un tiempo máximo de
Medidas de previsión reparación de 5 horas. En caso de excederse,
deberá reemplazar el equipo afectado por otro con
las condiciones mínimas para mantener la
operatividad.
- Los servidores contarán con UPS con una
autonomía de 2 horas, lo que protegerá de fallas
producidas por anormalidades en la provisión de
energía eléctrica.
- Contar con una política de backup para recuperar la
información, de ser el caso.
Daños en los archivos de los sistemas

Riesgo
mecanizados producido por fallas de hardware
Probabilidad de Ocurrencia Mediana
- La pérdida total o parcial de datos ocasionaría

problemas en la atención en línea y en la
Efecto disponibilidad de la información.
- Paralización temporal en la atención de usuarios
internos y externos.
Medidas de previsión - Implementar una política de respaldo de
información teniendo en consideración el volumen
de ésta, frecuencia de actualización, frecuencia de
consulta, usuarios.
- Realizar mantenimiento periódico a los dispositivos
para las copias de seguridad, reemplazando las
unidades defectuosas.
- Almacenar los cartuchos de backup en un lugar que
reúna las condiciones mínimas para su
conservación.
- Contar con almacenamiento externo para copias de
seguridad.
Riesgo Daños en los archivos por virus informáticos
Probabilidad de ocurrencia Alta
- Paralización de los servidores y estaciones de

Efecto trabajo al atacar el virus al sistema operativo.
- Destrucción y alteración de archivos causando
paralización temporal de las actividades.
- Restringir el uso libre de CDs y dispositivos usb al

ser los principales medios de contaminación.
- Contar con Software Antivirus, instalando en cada
servidor de aplicación y estación de trabajo.
Medidas de Previsión - Contar con una política de actualización continua
de Antivirus.
- Tener como norma la revisión con Software
Antivirus de todos los archivos provenientes desde
el exterior, vía diskette, Cd, dispositivo USB, correo
electrónico, internet, etc.
 Factores de Recursos Humanos
Riesgo Ausencia de personal

Efecto - En el caso que el personal encargado del
adecuado funcionamiento del sistema no pudiera
presentar a laborar, se podría ver afectada la
operatividad del mismo y no se daría una
adecuada atención a los usuarios.
- El manejo de los sistemas por personal no
capacitado podría causar daños a los archivos,
equipos y otros dispositivos que requieren
entrenamiento para su operación.
- Implementación de manuales de operaciones y
procedimientos en los que se señalen claramente
todas las labores diarias que se llevan a cabo por
cada proceso operativo del sistema.
- Aplicación de políticas de rotación para que cada
Medidas de previsión persona esté familiarizada con las distintas
labores que se llevan a cabo en cada área.
- Contar con el número adecuado de personal
encargado del funcionamiento del sistema (de tal
manera que si una persona no se presenta, las
labores no se verían afectadas en alto grado).
Acceso de personas no autorizadas a los sistemas

Riesgo
implementados
- La manipulación del sistema por personas no
Efecto autorizadas puede generar graves problemas,
desde causar desperfectos en el funcionamiento
hasta incluir modificaciones al mismo.
- Cuando un empleado renuncie o salga de
vacaciones, su clave de acceso deberá ser
desactivada del sistema para evitar que en su
ausencia otra persona pueda acceder al mismo y
manipular los dispositivos.
- Toda modificación de la estructura de la
información en las bases de datos deberá ser
autorizada por el jefe
Medidas de previsión - El uso de passwords personales para la operación
de los sistemas será responsabilidad y uso
exclusivo del dueño del password, puesto que
cada acceso será grabado en una bitácora.
- Política mensual de expiración de password a
usuario.
- Se recomienda que todo password tenga una
longitud mínima de seis caracteres alfanuméricos.
.
CAPÍTULO V : C O N C L U S I O N E S Y R E C O M E N D A C I O N E S
CONCLUSIONES Y
RECOMENDACIONES
5.1. CONCLUSIONES
 No se cuenta con un Manual de Procedimiento para el Mantenimiento de

Bienes Informáticos de la Oficina de Servicios Académicos de la Universidad
José Carlos Mariátegui que permita establecer un reordenamiento y
estandarización de los lineamientos de operación sobre el mantenimiento
preventivo y correctivo de bienes informáticos.
 No existe un área de seguridad informática, que administre la seguridad

informática, tampoco personal asignado para las labores exclusivas de la
seguridad de la información, y de los activos de la organización. La ausencia
de ésta área permite que no se controle la protección de los activos
informáticos de la organización tanto físicos (instalaciones, hardware) como
lógicos (software, datos), así como la verificación de los sistemas de
seguridad de los Sistemas de Información.
 La Oficina de Servicios Académicos de la Universidad José Carlos

Mariátegui necesita con urgencia brindar servicio de mantenimiento
preventivo y correctivo a los equipos y sistemas, así como preocuparse por
la satisfacción de los usuarios de los sistemas dando una remuneración
acorde a las funciones de cada uno y creando oportunidades que despierten
en ellos el deseo de permanecer formando parte del personal de la oficina.
5.2. RECOMENDACIONES
 Se recomienda usar este documento como guía para la implementación de

temas de seguridad en la Oficina de Servicios Académicos de la Universidad
José Carlos Mariátegui – Moquegua y otras instituciones.
 La implementación de este plan de seguridad propuesto, permitirá definir las

responsabilidades, obligaciones y conducta de las personas que tendrán
acceso al sistema, en los diferentes niveles, de las áreas de la Oficina de
Servicios Académicos de la Universidad José Carlos Mariátegui, y así poder
asegurar confidencialidad, integridad y disponibilidad de la información
debiendo ser eficiente y eficaz; y así poder cumplir con las políticas
normativas de los entes reguladores.
 Crear e implementar política interna de resguardo de la información, que

mande grabar la información de los sistemas en medios de almacenamiento
extraíbles como: CD, USB, discos Duros externos. El disco duro con la
información de respaldo, deberá estar en poder del jefe del departamento.
CAPÍTULO VI : B I B L I O G R A F Í A
BIBLIOGRAFÍA
BIBLIOGRAFIA
1. Piattini Velthius, Mario Gerardo y Del Peso Navarro, Emilio. Auditoría
Informática: un enfoque práctico. Alfa-Omega - Ra-ma. 1998
2. Echenique, José Antonio. Auditoría en Informática. Mc Graw Hill. 1996
3. Echenique, Humberto y Rosales Herrera, David. Determinación de riesgos
en los centros de cómputos. 1996.”Editorial Trillas.
4. ISO (International Standard Organization). Estándar de Seguridad ISO
17799.
5. ISO (International Standard Organization). The Common Criteria for
Information Technology Security Evaluation v2.1.
6. Cobit (Control Objectives for Information Technology). Audit Guidelines. 3ra.
Edición. 2000.
7. Cobit (Control Objectives for Information Technology). Control Objectives.
3ra. Edición. 2000.
8. Bernal, Rafael y Coltell, Óscar. Auditoría de los Sistemas de Información.
Edic. UPV.
9. ISACF, CobiT. Governance, Control and Audit for Information and Related
Technology. 2nd edition.
10. ISACF, CobiT. Governance, Information Systems Audit and Control
Foundation. USA, 1998.
11. PAGINA WEB:http://es.mcafee.com/root/mfs/default.asp

CAPÍTULO VII : A N E X O S
ANEXOS
INFORME DE LEVAMIENTO DE LA INFORMACIÓN
A continuación, se describen los datos y la información recogida durante el levamiento

realizado a la Oficina de Servicios Académicos de la Universidad José Carlos
Mariátegui – Moquegua, detallando cada uno de los controles que se implementan en
la actualidad.
7.1. IDENTIFICACIÓN DE USUARIOS
Altas
No existe un procedimiento formal a seguir para realizar estas tareas. Si

este usuario necesita del sistema informático, va de frente y hace el
pedido a la Oficina, donde se genera el alta del usuario al sistema. Los
datos que se ingresan en la cuenta son los siguientes:
a) ID de usuario, que es el nombre de la máquina y número

correlativo que le corresponde.
b) Password
c) Nombre y apellido completo se obtiene del archivo de

Recursos Humanos.
d) Fecha de expiración del password de un año. Aunque para

algunos usuarios este campo no se completa, permitiendo que
nunca se actualice la contraseña.
e) Fecha de anulación de la cuenta para dar de baja la cuenta.
f) Contador de intentos fallidos, se bloquea el login si el contador

es igual a dos (si el usuario ha ingresado mal la contraseña dos
veces seguidas), en este caso el usuario debe solicitar al
administrador la reactivación de la cuenta.
g) Autorización de imprimir, ya que no todos los usuarios pueden

imprimir los datos del sistema.
Bajas
Las cuentas de los usuarios no se eliminan del sistema, se

deshabilitan actualizándoles la fecha de anulación de dicha cuenta. De
esta forma los datos de las cuentas dadas de baja quedan
almacenados en el disco y no es posible repetir los ID´s de usuarios
anteriores para nuevos empleados.
Mantenimiento
No se lleva a cabo ninguna revisión periódica ni control sobre el buen

funcionamiento de las cuentas de los usuarios, ni sobre los permisos
que tienen asignados.
Permisos
El sistema informático de la Universidad José Carlos Mariátegui está

desglosado en una gran cantidad de módulos diferentes, donde cada
uno de ellos es un programa en sí mismo. De esta manera, cada
usuario del sistema, según al área al que pertenece en la Universidad
José Carlos Mariátegui, dispone de los accesos directos a los
programas que corresponden a su área. Así, los usuarios sólo pueden
interactuar con los datos a los que dichos módulos les permiten
acceder. Los accesos directos a los que el usuario tiene acceso los
genera el administrador del área de Informática.
Inactividad
- Si el usuario permanece un período de tiempo logeado sin

actividad, el sistema no ejecuta ninguna acción; los
administradores sólo advierten a los usuarios sobre la necesidad de
no dejar las máquinas logeadas e inactivas.
- Si las cuentas de usuarios permanecen varios días sin actividad,
por licencias o por vacaciones, no pasan a un estado de
suspensión.
Cuentas de Usuario
- No se hacen restricciones en cuanto a la cantidad de sesiones que

los usuarios pueden utilizar simultáneamente.
- No se eliminan los usuarios que vienen por defecto en el sistema

operativo, como son las cuentas “Guest” éstas cuentas permanecen
activas en el sistema sin que ningún usuario las utilice.
7.2. AUTENTICACIÓN
En la pantalla de login de los sistemas se muestran los siguientes datos:
 Nombre de usuario (a completar por el usuario).

 Contraseña (a completar por el usuario).
Cuando un usuario ingresa su contraseña al sistema, aparecen asteriscos en

lugar de mostrar el dato que está siendo ingresado. Una vez que algún usuario
ha logrado logearse en el sistema, aparece en pantalla el nombre del usuario
logeado.
7.3. PASSWORDS
Generación
Los passwords o contraseñas que existen son generados en forma

manual sin procedimientos automáticos de generación.
Como restricción, deben tener una longitud máxima de 10 caracteres
numéricos o alfanuméricos.
Cuando se da de alta un empleado en el sistema, su password se

inicializa con el mismo nombre de la cuenta, advirtiéndole al usuario que
lo cambie, pero sin realizar ningún control sobre la modificación del
mismo.
Cambios
Los cambios en los passwords los hacen los usuarios a través de la

pantalla del login, allí hay un botón que muestra la opción para su
modificación. Aunque generalmente los passwords no son actualizados por
los usuarios, permaneciendo iguales por largos períodos de tiempo, ya que
tienen un plazo de expiración de 1 año.
No se controla si el usuario utiliza siempre el mismo password, simulando

cambiarlo, pero ingresando nuevamente la clave que ha estado usando
hasta ahora.
Si un usuario olvida su password: es responsabilidad del usuario acordarse

de su password. En el caso de olvidar su usuario y password al ingresar al
módulo del SIGA, debe advertirle al administrador del sistema, el cual se
fijará (con el sistema de administración de perfiles de usuario) cuál es la
clave del usuario. Al decírsela, no se requiere que el usuario la modifique,
no se controla esta situación. Ocurre lo mismo cuando un usuario ingresa
mal su contraseña dos veces seguidas: el sistema lo bloqueará y el usuario
no podrá ingresar, por lo que deberá recurrir al administrador.
7.4. FACTIBILIDAD DE LA PROPUESTA
La aplicabilidad del Plan de Seguridad de la Información propuesto será

factible en la medida que el personal administrativo y gerencial sean
receptivos y abiertos al cambio, con esto se generan los recursos humanos,
materiales y económicos para la ejecución de todas las actividades
propuestas.
En cuanto a los Recursos Humanos, la Institución en estudio cuenta con una
Oficina de Estadística e Informática que presta servicio a toda la institución
interna de dicho ente y está en capacidad de liderar las actividades
pertinentes a este plan de acción.
Los Recursos Materiales y Económicos pueden gestionarse a través de la
Oficina de Servicios Académicos de la Universidad José Carlos Mariátegui.
Revisión Continua
Este proceso consiste en retroalimentar los diferentes Planes diseñados

para el Sistema de Seguridad del ente, con todos los incidentes de
seguridad deben ser registrados, reportados, revisados y escalados
apropiadamente en forma regular para identificar y resolver incidentes que
involucren actividades no autorizadas, esto significa que por lo menos cada
año se deberá examinar las falencias o debilidades del modelo para
modificarlo o reforzar los puntos más propensos a desastres.
Beneficios del modelo
 Determinar las principales variables críticas que influyen en la

seguridad de la información de los equipos de procesamiento de
datos.
 Conocer las flaquezas y puntos fuertes internos, así como también,
los peligros y oportunidades del entorno que afectan al sistema de
seguridad.
 Conocer los riesgos a que está expuesto la organización en lo que
se refiere a seguridad de la información.
 Determinar el impacto que los riesgos de seguridad tienen en la
organización.
 Contar con un medio para determinar el retorno de la inversión de
la seguridad de la información.
 Contar con una herramienta gerencial donde se distribuyen
diversas actividades con responsables, estrategias, tiempo y
recursos necesarios para lograr un clima organizacional favorable al
cumplimiento de los objetivos de la organización.
 Mejorar el apoyo de los altos directivos.
7.5. SEGREGACIÓN DE FUNCIONES
No se implementa ningún régimen de separación de tareas, para evitar que

un solo empleado realice la totalidad de una operación.
7.6. TOPOLOGÍA DE RED
Componentes de Red
La red informática de la Universidad José Carlos Mariátegui – Oficina de

Servicios Academicos se compone del siguiente equipamiento:
 17 PC´s distribuidas
 1 Servidores Hewlett Packard,
 Conexión ADSL de 6 MBPS como salida a Internet.
 1 switches
Descripción de la Red
 UTP en conexiones internas. La totalidad del tendido de cables en el

interior de la institución se realizó con UTP categoría 5.
 Switches. Los switches han sido programados para realizar un tipo

de ruteo: direccionan los paquetes transmitidos por sector, según la
dirección IP que traen, distinguiendo a qué sector van. De esta
manera, al no repetir los paquetes de datos a toda la red, se
disminuye el uso de ancho de banda y se evita la divulgación de los
mensajes, mejorando la seguridad de la topología Estrella.
7.7. ANTIVIRUS
En la Oficina de Servicios Académicos de la Universidad José Carlos

Mariátegui – Moquegua no ha habido grandes problemas con virus, a
excepción de una gran cantidad de PC´s con Windows infectado con el virus
K-Lez,. Esta infección generó gran tráfico de red y congestionó las líneas,
pero se la erradicó con el uso del antivirus F-Prot para DOS.
Herramientas
La Oficina de Servicios Académicos de la Universidad José Carlos

Mariátegui – Moquegua disponen de una versión corporativa del Panda
Endpoint Protection, que hace funciones de Proxy y Firewall, de manera
que en el servidor de aplicaciones hay una versión para el servidor y en el
resto de las PC´s hay una versión cliente de este antivirus.
Este antivirus está ejecutándose continuamente y controlan la recepción y

el envío de e-mail, tanto en el servidor como en las PC´s.
Actualización
De Internet se actualizan las listas de virus del Panda Endpoint Protection

a través de un script y el archivo ejecutable se almacena en una carpeta
del servidor. Los usuarios son los responsables de actualizar sus propios
antivirus y para esto tienen en su escritorio un icono apuntando a la última
actualización bajada de Internet.
La actualización del antivirus Panda Endpoint Protection es en línea y se

actualiza constantemente. Se hacen chequeos eventuales para ver si se
han actualizado los antivirus.
Escaneo de Virus
Cada usuario es responsable de hacer el escaneado general a su

computadora a través del antivirus Panda. No hay ninguna frecuencia para
realizar este procedimiento, ni se denominó a ningún responsable. En
algunas máquinas (en las que han tenido problemas frecuentes con virus),
bajo responsabilidad del usuario, se ha desactivado el Panda y se ha
instalado otro antivirus.
7.8. FIREWALL
Configuración de Servicios del Firewall
El firewall que existe en la empresa es un servicio del antivirus Panda

Endpoint Protection, configurado de manera que se prohíben todos los
servicios y sólo se habilitan los necesarios (postura de negación
preestablecida).
Se configuró en base a una política que discrimina tres clases de

paquetes de red:
 Los paquetes entrantes a la red.

 Los paquetes salientes de la red.
 Los paquetes en tránsito.
Por defecto, lo que no se habilite explícitamente está prohibido. Así se les

va a denegar el acceso a todos los paquetes de entrada y a los paquetes
en tránsito, mientras que a los de salida se les permite la salida. Algunas
de las reglas más importantes son:
 Se aceptan todos los paquetes que van o vienen de la red interna,
pero se les pone una máscara (con la dirección IP del servidor) para
evitar que en el exterior se conozcan las direcciones de red interna.
Cuando vuelve la respuesta al paquete se le cambia la dirección
nuevamente.
 Todos los datos que van dirigidas a un puerto 80 (HTTP) se

redireccionan al Proxy.
 No hay restricciones a los puertos de salida.
 Se aceptan los mensajes loop back para la comunicación de la red

consigo misma.
 Se aceptan los datos que entran por el puerto que se usa para la
sincronización horaria en la red (servicios Date y Time).
 Los datos que están en tránsito son aceptados si provienen de la red

interna.
En el servidor de Internet se encuentran habilitados permanentemente los
puertos necesarios para el funcionamiento de la red y algunos servicios
están deshabilitados y se activan sólo cuando son necesarios, estos son
llamados servicios on demand.
7.9. CONTROL DE APLICACIONES EN PC’S
No hay estándares definidos, no hay procedimientos a seguir ni tampoco

documentación respecto a la instalación y actualización de la configuración de
las PC’s. Sólo hay una instalación básica de alguna versión del Windows,
Internet Explorer, Office 2010 que inserta las librerías necesarias para que
corran las aplicaciones desarrolladas.
En el caso de que una PC presente errores en su configuración, se utilizan
herramientas de reparación de errores del propio Windows o en caso
contrario se derivan a la Oficina de Estadística con el fin de evitar la
reinstalación total del sistema y así causar una pérdida innecesaria de tiempo.
Las únicas versiones que se actualizan y quedan documentadas son las de

los programas desarrollados. Estas versiones se actualizan directamente en
el servidor, lo que evita hacer el control en cada una de las máquinas.
7.10. CONTROL DE ACCESO A EQUIPOS
Todas las máquinas de la empresa disponen de lectoras de CD/DVD, aunque

el 90% de los usuarios no las necesita.
Estos dispositivos están habilitados y no hay ningún control sobre ellos, no se

hacen controles automáticos de virus ni se prohíbe el booteo desde estos
dispositivos.
 No cuentan con gabinetes para los switchs
 Todos los equipos tienen una etiqueta porque son equipos

patrimoniales.
 Los servidores del centro de cómputo no se apagan en horarios no

laborales
7.11. CABLEADO ESTRUCTURADO
No cuentan con una buena instalación de cableado estructurados; todos los

cables se cruzan por las oficinas, están entreverados. Asimismo las oficinas
están juntas y hay mucho personal en cada una de ellas.
(CPCED)
Responsabilidad del Equipo de Sistemas
No hay responsabilidades puntuales asignadas a cada empleado, tampoco

hay un encargado de la seguridad. Existe un responsable general de la
oficina.
Mantenimiento
A. Solicitud de mantenimiento. Cada vez que los usuarios necesitan

asesoramiento, se comunican telefónicamente con el área de
informática explicando su situación. No queda ninguna constancia
de las tareas desarrolladas ni de las solicitudes de los usuarios.
B. Mantenimiento preventivo. En este momento, en la Oficina de

Servicios Académicos de la Universidad José Carlos Mariátegui –
Moquegua no se desarrolla ningún mantenimiento preventivo,
debido al costo de contratar una persona más que se dedique a
esto.
Instaladores
Los instaladores de las aplicaciones utilizadas en la Oficina de Servicios

Académicos de la Universidad José Carlos Mariátegui – Moquegua se
encuentran en sus CD´s originales almacenados en un armario, y no
disponen de instaladores en disquetes.
7.13. COPIAS DE SEGURIDAD (BACKUP)
Backup de Datos
No hay ningún procedimiento formal para la realización ni la recuperación

de los backups. Además no se realizan chequeos para comprobar que el
funcionamiento sea el correcto.
Backup de Datos en las Pc
Todos los usuarios no realizan backups debido a que no le dan la

importancia debida.
Documentación del Backup
No hay documentación escrita sobre los datos que se backupean, dónde

hace esta copia ni datos históricos referidos a la restauración de los
mismos.
7.14. PLAN DE CONTINGENCIAS
Plan de Administración de Incidentes
En la Oficina de Servicios Académicos de la Universidad José Carlos

Mariátegui – Moquegua no hay planes formales para la administración de
incidentes, como planes de contingencia, de recuperación de desastres o
de reducción de riesgos. Pero se dispone de backups de hardware.
7.15. ESTRATEGIAS DE RECUPERACIÓN DE DESASTRES
Estrategia Proactiva
A. Sistemas de información. No hay ningún responsable por la

información de cada departamento, cada usuario es responsable de
sus datos. Tampoco están identificados todos los sistemas de
información, a modo de inventario, contemplando sus características
principales, de manera que no es posible asignarles prioridades y así
determinar qué sistema es más importante a la hora de recuperar la
operatividad luego de un desastre.
B. Equipos de cómputos. Existe un inventario de los equipos debido a

que son considerados bienes patrimoniales porque pertenecen al
estado.
C. Establecimiento del plan de acción. En caso de una emergencia,

sería necesario desarrollar un plan de acción en el cual el servidor de
aplicaciones sería el activo con mayor importancia al momento de
continuar con las tareas, debido a que en él se encuentran los
sistemas propios
D. Ejecución de actividades. Una vez ocurrido el siniestro, el

administrador a su funcionamiento normal, realizando las actividades
de recuperación sin respaldarse en un plan o manual formal de
procedimientos.
E. Retroalimentación del Plan de Acción. No hay un plan de acción a

seguir, pero se toman acciones correctivas una vez que ha ocurrido
una emergencia, de esta manera evitar la misma contingencia en el
futuro y mejorar la eficacia de las directivas. Una vez que han
ocurrido los desastres no se genera documentación con respecto a
las modificaciones implementadas ni a las acciones correctivas que
se llevaron a cabo.
Estrategia de Acción
No hay funciones claras que debe realizar el personal durante una

contingencia, ya que no hay responsabilidades asignadas.
Las situaciones se resuelven a medida que transcurren sin la

implementación de una norma a seguir formalmente documentada.
Estrategia Reactiva
 Evaluación de daños. Una vez que ha ocurrido una contingencia, los

encargados de evaluar los daños son los responsables de cada una
de las oficinas, reportando a un miembro de la Gerencia que actúa
como coordinador, el cual evalúa los resultados obtenidos al aplicar
la solución.
 Ejecución de actividades. Ocurrido el siniestro, el administrador del

sistema trata de llevar el sistema informático a su funcionamiento
normal, realizando las actividades de recuperación sin respaldarse
en un plan o manual formal de procedimientos.
 Retroalimentación del Plan de Acción. No hay un plan de acción a

seguir, pero se toman acciones correctivas una vez que ha ocurrido
una emergencia, de esta manera evitar la misma contingencia en el
futuro y mejorar la eficacia de las directivas. Una vez que han
ocurrido los desastres no se genera documentación con respecto a
las modificaciones implementadas ni a las acciones correctivas que
se llevaron a cabo.
TABLA DE CONTENIDO
C A P Í T U L O I : G E N E R A L I D A D E S ...............................................................................1
1.1. DE LA INSTITUCIÓN................................................................................................2
1.1.1. RAZÓN SOCIAL DE LA EMPRESA..............................................................2
1.1.2. DESCRIPCIÓN DE LA INSTITUCIÓN...........................................................2
1.1.3. UBICACIÓN.......................................................................................................2
1.1.4. RESEÑA HSITORICA.......................................................................................3
1.1.5. ORGANIZACIÓN DE LA INSTITUCION........................................................5
1.2. DE LA PRACTICA PRE – PROFESIONAL........................................................10
1.2.1. INFORMACIÓN PERSONAL.........................................................................10
1.2.2. PERIODO DE LA PRACTICA PRE – PROFESIONAL............................10
1.2.3. PERSONAL SUPERVISOR...........................................................................10
1.3. OBJETIVOS DE LA PRÁCTICA...........................................................................11
1.3.1. OBJETIVOS GENERALES............................................................................11
1.3.2. OBJETIVOS ESPECÍFICOS..........................................................................11
1.4. JUSTIFICACIÓN.....................................................................................................11
1.5. DEFINICIÓN DEL PROBLEMA............................................................................12
C A P Í T U L O I I : F U N D A M E N T O T E Ó R I C O ...........................................................14
2.1. NORMA TÉCNICA PERUANA NTP-ISO/IEC 17799: CÓDIGO DE BUENAS
PRÁCTICAS PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN. . .15
2.1.1. Seguridad de la Información.......................................................................15
2.1.2. Necesidad de la Seguridad de la Información........................................16
2.1.3. Requisitos de Seguridad..............................................................................17
2.1.4. Factores de Éxito en la Implantación de Seguridad de la Información
18
2.1.5. Objeto y Campo de Aplicación NTP-ISO/IEC 17799..............................19
2.1.6. Evaluación y Tratamiento del Riesgo.......................................................19
2.1.7. Política de seguridad de la información...................................................22
2.1.8. Documento de política de seguridad de la información......................22
2.1.9. Delitos Informáticos - La Información y el Delito...................................23
2.2. TIPOS DE DELITOS INFORMÁTICOS................................................................24
2.2.1. Fraudes cometidos mediante manipulación de computadoras.........24
2.2.2. Manipulación de los datos de entrada......................................................25
2.2.3. Daños o modificaciones de programas o datos computarizados.....25
2.3. EL DELINCUENTE Y LA VÍCTIMA......................................................................26
2.3.1. Sujeto Activo...................................................................................................26
2.3.2. Sujeto Pasivo..................................................................................................27
2.4. AMENAZAS LÓGICAS - TIPOS DE ATAQUES................................................29
2.4.1. Acceso - Uso - Autorización.......................................................................30
2.4.2. Detección de Intrusos...................................................................................30
2.4.3. Identificación de las Amenazas..................................................................32
2.5. TIPOS DE ATAQUES.............................................................................................34
2.5.1. Ingeniería Social Inversa..............................................................................34
2.5.2. Trashing (Cartoneo)......................................................................................35
2.5.3. Ataques de Monitorización..........................................................................36
CAPÍTULO III: MATERIAL Y MÉTODO UTILIZADO EN LAS
P R Á C T I C A S P R E P R O F E S I O N A L E S ......................................................................51
3.1. MATERIALES A UTILIZARSE..............................................................................52
3.1.1. Recursos de Hardware.................................................................................52
3.1.2. Recursos de Software..................................................................................52
3.2. TIPO Y NIVEL DE INVESTIGACIÓN...................................................................52
3.2.1. Tipo de investigación...................................................................................52
3.2.2. Nivel de investigación..................................................................................52
3.3. MÉTODO Y DISEÑO DE LA INVESTIGACIÓN.................................................52
3.3.1. Método de la investigación.........................................................................52
3.3.2. Diseño de la investigación..........................................................................53
3.4. TÉCNICAS E INSTRUMENTOS DE RECOLECCIÓN DE INFORMACIÓN...53
3.4.1. Técnicas...........................................................................................................53
3.4.2. Instrumentos...................................................................................................53
C A P Í T U L O I V : P L A N D E S E G U R I D A D I N F O R M Á T I C A .............................54
4.1. OBJETIVO GENERAL...........................................................................................55
4.2. ALCANCE................................................................................................................55
4.3. CONTENIDO............................................................................................................55
4.4. SEGURIDAD LÓGICA............................................................................................56
4.4.1. Controles de Acceso Lógico.......................................................................56
4.4.2. Administración y Uso de Passwords........................................................57
4.5. SEGURIDAD DE LAS COMUNICACIONES......................................................58
4.5.1. Topología de la Red.....................................................................................58
4.5.2. Conexiones Externas – Uso de Internet...................................................58
4.5.3. Uso del Correo Electrónico.........................................................................59
4.5.4. Antivirus...........................................................................................................60
4.5.5. Seguridad Lógica de la Red........................................................................61
4.5.6. Seguridad Física de la Red..........................................................................62
4.6. SEGURIDAD DE LAS APLICACIONES..............................................................63
4.6.1. Software...........................................................................................................63
4.6.2. Seguridad de la Base de Datos..................................................................65
4.6.3. Control de Aplicaciones en PC..................................................................65
4.7. SEGURIDAD FÍSICA..............................................................................................66
4.7.1. Resguardo y protección de la información.............................................66
4.7.2. Control de Acceso Físico............................................................................66
4.7.3. Protección y Ubicación de los equipos....................................................67
4.7.4. Mantenimiento de Equipos..........................................................................68
4.7.5. Pérdida de Equipo.........................................................................................68
4.7.6. Uso de dispositivos especiales..................................................................68
4.7.7. Daño del equipo.............................................................................................69
(CPCED)...............................................................................................................................69
4.8.1. Backup.............................................................................................................70
4.8.2. Documentación..............................................................................................72
4.9. PLAN DE CONTINGENCIA...................................................................................72
4.9.1. Objetivos del Plan de Contingencia..........................................................72
4.9.2. Alcance.............................................................................................................73
4.9.3. Determinación de Riesgos..........................................................................73
4.9.4. Medidas de Contingencia............................................................................75
C A P Í T U L O V : C O N C L U S I O N E S Y R E C O M E N D A C I O N E S .........................83
5.1. CONCLUSIONES....................................................................................................84
5.2. RECOMENDACIONES...........................................................................................84
C A P Í T U L O V I : B I B L I O G R A F Í A ...............................................................................86
C A P Í T U L O V I I : A N E X O S ............................................................................................88
7.1. IDENTIFICACIÓN DE USUARIOS.......................................................................89
Altas..................................................................................................................................89
Bajas.................................................................................................................................90
Mantenimiento................................................................................................................90
Permisos..........................................................................................................................90
Inactividad.......................................................................................................................90
Cuentas de Usuario......................................................................................................91
7.2. AUTENTICACIÓN...................................................................................................91
7.3. PASSWORDS..........................................................................................................91
Generación......................................................................................................................91
Cambios...........................................................................................................................92
7.4. FACTIBILIDAD DE LA PROPUESTA..................................................................92
Revisión Continua.........................................................................................................93
Beneficios del modelo..................................................................................................93
7.5. SEGREGACIÓN DE FUNCIONES.......................................................................94
7.6. TOPOLOGÍA DE RED............................................................................................94
Componentes de Red...................................................................................................94
Descripción de la Red..................................................................................................94
7.7. ANTIVIRUS..............................................................................................................95
Herramientas..................................................................................................................95
Actualización..................................................................................................................95
Escaneo de Virus...........................................................................................................96
7.8. FIREWALL...............................................................................................................96
Configuración de Servicios del Firewall..................................................................96
7.9. CONTROL DE APLICACIONES EN PC’S..........................................................97
7.10. CONTROL DE ACCESO A EQUIPOS.............................................................98
7.11. CABLEADO ESTRUCTURADO.......................................................................98
(CPCED)...............................................................................................................................99
Responsabilidad del Equipo de Sistemas...............................................................99
Mantenimiento................................................................................................................99
Instaladores....................................................................................................................99
7.13. COPIAS DE SEGURIDAD (BACKUP)...........................................................100
Backup de Datos.........................................................................................................100
Backup de Datos en las Pc.......................................................................................100
Documentación del Backup......................................................................................100
7.14. PLAN DE CONTINGENCIAS..........................................................................100
Plan de Administración de Incidentes...................................................................100
7.15. ESTRATEGIAS DE RECUPERACIÓN DE DESASTRES..........................100
Estrategia Proactiva....................................................................................................100
Estrategia de Acción..................................................................................................101
Estrategia Reactiva.....................................................................................................102
ÍNDICE DE ILUSTRACIONES
Ilustración 1. Organigrama Institucional......................................................................................9

Ilustración 2. Porcentaje de Vulnerabilidades............................................................................31
Ilustración 3. Detalle de Ataques...............................................................................................33
Ilustración 4. Vulnerabilidades Reportadas al CERT 1988-2001................................................34
Ilustración 5. Conexión en Tres Pasos........................................................................................38
Ilustración 6. Ataque SMURF......................................................................................................49

Informe de Mary Ccuno Quispe

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Informe de Mary Ccuno Quispe

Cargado por

Copyright:

Formatos disponibles

CAPÍTULO I : GENERALIDADES

I.1.1. RAZÓN SOCIAL DE LA EMPRESA

UNIVERSIDAD "JOSÉ CARLOS MARIÁTEGUI”.

I.1.2. DESCRIPCIÓN DE LA INSTITUCIÓN

La UNIVERSIDAD JOSÉ CARLOS MARIÁTEGUI, es una Institución

dedicada a la Formación de Profesionales, creada en un inicio como

UNIVERSIDAD DE MOQUEGUA por ley Nº 25153 del 23 de diciembre

El 03 de abril del 2001, la Comisión Organizadora, la plana docente, la

familia estudiantil y el pueblo en conjunto acordaron institucionalizar la

universidad. Por eso el 28 de mayo del 2002 se consiguió su

institucionalización mediante resolución Nº 389-2002-ANR y como fruto

de esta resolución el 13 de noviembre del 2002 se promulgó el primer

estatuto de la Universidad Privada de Moquegua “José Carlos

La Universidad José Carlos Mariátegui cuenta con dos sedes: Una se

encuentra en la Ciudad de Ilo, ubicándose en Pampa Inalámbrica S/N y

la otra se encuentra en la Ciudad de Moquegua teniendo como ubicación

Principal la Calle Ayacucho Nº 393; además de contar en la ciudad de

Pueblo Joven los Ángeles y el otro Campus se encuentra en el Pueblo

Joven San Antonio.

Fue creada como UNIVERSIDAD PRIVADA DE MOQUEGUA por ley Nº 25153

del 23 de diciembre de 1989,desde su inicio fue su sede principal en el distrito

de Moquegua, provincia de Mariscal Nieto, departamento de Moquegua, donde

educativo el 15 de abril de 1991.

Desde esa fecha se ha convertido por méritos propios en una progresista

eficiente profesionalización, por la cual se ha convertido en una firme

esperanza de consolidación de metas de grandeza espiritual y calidad humana.

En el Puerto Industrial de Ilo, en el año 1996 empezaron sus actividades

académicas con tres carreras profesionales: Ingeniería Mecánica, Derecho y

El 03 de abril del 2001 La Comisión Organizadora presidida por el Doctor

Miguel Fuentes Chávez y la presidían el Doctor Juan Rodríguez Pantigoso

como Vicepresidente Administrativo y el Licenciado Ramón Vera Robalcaba

como Vice presidente Académico, asumieron con entrega y convicción el gran

compromiso, frente a la plana docente, la familia estudiantil y el pueblo en

conjunto de institucionalizar la universidad, la misma que se hizo efectiva en un

Por eso el 28 de mayo del 2002 se consiguió el gran sueño de su

institucionalización mediante resolución Nº 389-2002-ANR y como fruto de esta

resolución el 13 de noviembre del 2002 se promulgó el primer estatuto de la

Universidad y posteriormente el 30 de diciembre del mismo año, fueron

elegidos el Rector y Vicerrector en un ambiente democrático y en estricto

garantizan la autonomía y credibilidad de la Universidad Privada de Moquegua

"José Carlos Mariátegui".

Desde aquella memorable fecha, figura en su historial institucional como

autoridades de la Universidad Privada de Moquegua "José Carlos Mariátegui",

Arocutipa, quienes por su experiencia y capacidad en estas lides, se han

convertido en auténticos líderes de avanzada al poner en práctica todo un

conjunto de procesos del sistema de educación superior universitaria, con lo

que asegura que egresen de sus aulas, profesionales de excelente calidad,

competitivos en cualquier latitud regional nacional y del exterior.

La Universidad se dedica plenamente a la Investigación Científica, al estudio

constante, la educación superior integral, a la formación académico profesional

y a la difusión de la cultura, el arte desde una óptica tecnológica. Con miras a

constituirse en una de las mejores universidades peruanas, viene ampliando su

infraestructura tanto en Moquegua como en la sede Ilo, se viene equipando con

tecnología de punta, ofrece Diplomados, Segundas Especialidades. Pro Títulos,

Centro Pre Universitario, Centro de Computo y Sistemas y de Idiomas Escuela

de Post Grado con Maestrías y Doctorados, campos deportivos, y en cuanto a

carreras a Distancia, lidera en el Sur Peruano y además tiene alumnos en los

departamentos de Ica y Lima, Tacna, Arequipa, Puno, Juliaca, etc.

De esta manera la Universidad José Carlos Mariátegui de Moquegua, recibe

sus veintiseis años de vida institucional, lleno de optimismo, convertido en una

cristalina fuente de profesionalización para la juventud estudiosa que mira el

capaces de realizar las más grandes hazañas de realización personal.

1.1.5.1. ACTIVIDADES DE LA INSTITUCIÓN