Plan de Seguridad Informatica Quevedo-Ecuador

UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES
“UNIANDES”
FACULTAD DE SISTEMAS MERCANTILES

MAESTRÍA EN INFORMÁTICA EMPRESARIAL
TESIS PREVIA A LA OBTENCIÓN DEL TÍTULO DE MAGISTER EN

INFORMATICA EMPRESARIAL
TEMA:
PLAN DE SEGURIDAD INFORMATICA Y LOS RIESGOS

OPERATIVOS EN EL MUNICIPIO DESCENTRALIZADO DE
QUEVEDO, PROVINCIA DE LOS RIOS
AUTOR:
LCDO. ÁNGEL SANTACRUZ FERNÁNDEZ
ASESOR:
ING. EDUARDO FERNÁNDEZ MG.
QUEVEDO – ECUADOR
2013
CERTIFICACIÓN DEL ASESOR
En calidad de asesor del presente trabajo de investigación, certifico que el

presente tema de tesis de Maestría, cuyo título es “PLAN DE SEGURIDAD
INFORMATICA Y LOS RIESGOS OPERATIVOS EN EL MUNICIPIO
DESCENTRALIZADO DE QUEVEDO, PROVINCIA DE LOS RIOS”, fue
elaborado por Santacruz Fernández Ángel Damián, cumple con los requisitos
metodológicos y científicos que la Universidad UNIANDES exige, por lo tanto
autorizamos su presentación para los trámites pertinentes.
Para constancia firman.
Ing. Eduardo Fernández Mg.

Asesor
II
DECLARACIÓN DE LA AUTORÍA
Ante las autoridades de la Universidad Regional Autónoma de Los Andes,

declaro que el contenido del presente tema de tesis de Maestría cuyo título
“PLAN DE SEGURIDAD INFORMATICA Y LOS RIESGOS OPERATIVOS EN
EL MUNICIPIO DESCENTRALIZADO DE QUEVEDO, PROVINCIA DE LOS
RIOS”, presentado como requisito previo a la obtención del título de
MAGISTER EN INFORMATICA EMPRESARIAL es original, de mi autoría y
total responsabilidad.
Atentamente,
Lcdo. Ángel Santacruz Fernández

C.I. 1711005965
Autor
III
DEDICATORIA
A Dios, sobre todo por ser mi luz y mi camino, a mis
padres por todo el esfuerzo y dedicación que me
brindaron con su amor para seguir adelante, a mis
hermanos, mi esposa, mis hijos y a mi familia en
general.
IV
AGRADECIMIENTOS
A mis maestros, por sus enseñanzas, consejos y guía en
la realización de esta tesis, a mis amigos por su apoyo y
aliento en los momentos difíciles.
V
RESUMEN EJECUTIVO
La seguridad informática ha tomado gran auge, debido a las cambiantes

condiciones y nuevas plataformas tecnológicas disponibles. La posibilidad de
interconectarse a través de redes, ha abierto nuevos horizontes a las empresas
para mejorar su productividad y poder explorar más allá de las fronteras
nacionales, lo cual lógicamente ha traído consigo, la aparición de nuevas
amenazas para los sistemas de información. En este sentido, las políticas de
seguridad informática surgen como una herramienta organizacional para
concienciar a los colaboradores de la organización sobre la importancia y
sensibilidad de la información y servicios críticos que permiten al Municipio
crecer y mantenerse competitiva.
El presente trabajo investigativo consta de las siguientes secciones:
La introducción que recoge aspectos importantes como los antecedentes

investigativos, el planteamiento del problema enfocado a las inseguridades
informáticas que presenta el Municipio, los objetivos orientados a implementar
el plan de seguridad, la justificación y más.
El marco teórico que fundamenta científicamente la propuesta de solución, este

marco teórico engloba aspectos concernientes a redes, seguridades en redes,
seguridades en sistemas y la gestión operativa.
El marco metodológico que recoge los resultados de la investigación de campo,

en el, se plasman las encuestas y sus resultados ratifican los síntomas de la
problemática, así como también orientan a la solución.
VI
Finalmente el desarrollo de la propuesta donde se estructura el plan de
seguridades en base a un análisis técnico desarrollado en la Institución
Municipal.
EXECUTIVE SUMMARY
Computer security has exploded, due to changing conditions and new

technology platforms available. The ability to interconnect through networks, has
opened new horizons for businesses to improve their productivity and to explore
beyond national borders, which logically has brought the emergence of new
threats to information systems. In this sense, information security policies
emerge as an organizational tool to raise awareness among employees of the
organization on the importance and sensitivity of the information and services
that enable the Municipality critics grow and stay competitive.
This research work includes the following sections:
The introduction includes important aspects such as research background,

problem statement focused on the computer that introduced insecurities
Municipality, aimed at implementing the objectives of the security plan, and
justification.
The theoretical framework underpinning the proposed solution scientifically, this

framework includes aspects concerning networks, networks assurances,
assurances and operational management systems.
The methodological framework that reflects the results of field research in,
embodies the surveys and their results confirm the symptoms of the problem, as
well as guide the solution.
Finally the development of the proposal where assurances structure plan based
on a technical analysis developed in the Municipal Institution.
VII
ÍNDICE GENERAL
CONTENIDO Pág.
CERTIFICACIÓN…………………………………………………………………. II
AUTORÍA………………………………………………………………………….. II
DEDICATORIA……………………………………………………………………. IV
AGRADECIMIENTOS……………………………………………………………. V
RESUMEN EJECUTIVO……………………………………………………….... VI
EXECUTIVE SUMMARY …………………………………………………………
VII
ÍNDICE…………………………………………………………………………….. VIII
INTRODUCCIÓN ……………………………………………………………….... 1
Antecedentes 1
Planteamiento del problema …………………………………………………….
2
del problema ………………………………………………………
…………………………………………….
Formulación
3
Delimitación del problema ……………………………………………………… 3

Objeto de la investigación y campo de acción ……………………………….
3
Identificación de la línea de investigación ..……………………………… 3
Objetivo General ………………………………………………………………... 4

Objetivos Específicos …………………………………………………………. 4
Hipótesis y variables de la investigación .. ….………………………... 4
Variable Independiente y Variable Dependiente …………………….……... 4
Justificación …………………………………………………………………..…. 4
VIII
Metodología investigativa………………………………………………………... 6
Resumen de la estructura de la tesis ………………………………………….. 6
Novedad científica, aporte teórico y significación práctica …………….....

7
CAPÍTULO I ………………………………………………………………….…. 9
MARCO TEÓRICO 9
1.1 Seguridad Informática …………………………………………………..…. 9
1.2 Importancia de la Seguridad Informática ………………………………... 10

1.3 Principios de la Seguridad Informática ………………………………..…. 11
1.3.1Confidencialidad ……………………………………………………………..…. 11
1.3.2 Integridad …………………………………………………………………………. 11
1.3.3 Disponibilidad ....………………………………………………………... 12
1.3.4 Vulnerabilidad…………………………………………………………... 12
1.3.5 Norma ISO 27002………………………………………………………. 12

1.3.6 Áreas / Secciones Sobre Las Que Actúa …………………………… 13
..…………………
1.4 Política De Seguridad Informática ...……………………………….…….. 14
1.4.1 Elementos de una Política de Seguridad Informática …………….. 14
IX
1.5 Organización de la Información De Seguridad …………………………. 15
1.5.1 Gestión de Activos De Información ……………………………....… 16
…....…………
1.5.2 Seguridad de los Recursos Humanos .………………………..……. 16
1.5.3 Seguridad Física y Ambiental ………………………………………... 16
1.5.4 Gestión de las Comunicaciones y Operaciones …………………… 16
1.5.5 Control de Accesos ………………………………………………….. 17

1.5.6 Adquisición, Desarrollo y Mantenimiento de Sistemas de
18
información …………………………………………………………….
1.5.7 Gestión de Incidentes en la Seguridad de la Información ..……....
…… 18
1.5.8 Gestión de Continuidad de Negocio ……………………………….. 19
1.5.9 Marco legal y Buenas Prácticas ….…………………………………. 19

1.6 Planeación estratégica ……..............................………………..……….... 20
1.7 Plan estratégico …………………………………………………………….. 20
1.8 Planeación tecnológica ..…………………………………………….…….… 21

1.9 Plan informático………………………………………………………………. 21
………………………………………………………...
1.10 Plan de Seguridad Informática. ………………………………….……….. 22
1.11 Red lan ………………………………………………………………………. 22
1.11.1Protocolo de redes ………………………………………………….. 23
1.12 Seguridad en redes ………………………………………………………. 25
1.13 Redes WIFI …………………………………………………………………. 27
1.14 Firewall o cortafuego …………………………………………………..…. 29
1.14.1 Tipos de Firewall ………………………………………………….… 30

1.15 La gestión operativa ……………………………………………..……….. 35
…………………………………….
CAPITULO II 39
MARCO METODOLÓGICO Y PLANTEAMIENTO DE LA PROPUESTA 39
X
2.1 El Municipio …………………………………………………………..……. 39
2.2 Diseño Metodológico …………………………………………….………. 40
2.3 Propuesta del Investigador ………………………………………………... 57

2.3.1 Seguridad de las Comunicaciones …………………………………..
59
2.3.1.1 Procesos de control a implementar …………………………..
65
2.3.2 Seguridad de las aplicaciones. ………………………………………..
85
2.3.3 Seguridad de la información …………………………………………. 87

2.3.4 Seguridad lógica ………………………………………………..………
87
2.3.5 Seguridad física ………………………………………………..………
90
2.3.6 Seguridad de custodia de equipos……..……………………..………
91
2.3.7 Seguridad con respecto a los antivirus………………………..………
91
2.4 Presupuesto general del plan ……………………..……………………… 93

2.5 Cronograma de ejecución. …………………………………………………. 94
2.6 Analisis de Costo - Beneficio……………………………………………….
95
2.7 Conclusiones parciales del Capitulo ………………………………………. 96

CAPITULO III 97
VALIDACIÓN Y EVALUACION DE RESULTADOS
97
3.1 Validación de la propuesta. ……………………………………………….
97
CONCLUSIONES GENERALES ……………………………………………
98
RECOMENDACIONES ………….…………………………………………….. 99
XI
ÍNDICE DE CUADROS
Descripción
Pág.
58
Cuadro 1. Tabla Elemento vs riesgos …………………………………..........
Cuadro 2. Tabla Direcciones IP ………………………………………………. 65
Cuadro 3. Tabla Presupuesto general del plan …………..………………... 93
Cuadro 4. Tabla Cronograma de ejecución ………………………………… 94
ÍNDICE DE FIGURAS
Descripción Pág.
Figura 1. http://www.pentasys.es/imagenes/seguridad-en-redes- 27
informaticas.jpg …………………………………………………………………..
Figura 2. Seguridad de la información………………………………………… 29
Figura 3. http://carlose25.lamula.pe/files/2009/08/proxy-aplicacion.gif …... 31
Figura 4. http://www.monografias.com/trabajos82/la-seguridad- 32
informatica/image004.png ………………………………………………………
Figura 5. http://carlose25.lamula.pe/files/2009/08/bastion.gif ……………… 33
Figura 6. http://carlose25.lamula.pe/files/2009/08/screened-subnet.gif ….. 34
Figura 7. Municipio de Quevedo ……………………………………………… 39
Figura 8. Autor ………………………………………………………………….. 43
Figura 9. Autor …………………………………………………………………… 44
Figura 10. Autor …………………………………………………………………. 45
Figura 11. Autor …………………………………………………………………. 46
Figura 12. Autor …………………………………………………………………. 47
XII
Figura 13. Autor …………………………………………………………………. 48
Figura 14. Autor …………………………………………………………………. 49
Figura 15. Autor …………………………………………………………………. 50
Figura 16. Autor …………………………………………………………………. 51
Figura 17. Autor …………………………………………………………………. 52
Figura 18. Autor …………………………………………………………………. 53
Figura 19. Autor ……………………………………………………………….… 54
Figura 20. Autor …………………………………………………………………. 57
Figura 21. Autor …………………………………………………………………. 59
Figura 22. Planos del Municipio de Quevedo ……………………………..… 61
Figura 23. Planos del Municipio de Quevedo …………………………..…… 62
Figura 24. http://www.wikilearning.com/imagescc/9755/Firewall3.jpg ......... 66
Figura 25. Autor …………………………………………………………………. 67
Figura 26. http://www.pello.info/filez/firewall/Firewalls6.jpg ………………... 68
Figura 27. Autor …………………………………………………………………. 72
Figura 28. 3Com ………………………………………………………………... 78
Figura 29. Cisco …………………………………………………………………. 82
Figura 30. Cisco ……………………………………………………………….… 82
Figura 31. Cisco ……………………………………………………………….… 83
Figura 32. Cisco ………………………………………………………………….. 84
Figura 33. Cisco ………………………………………………………………….. 92
XIII
INTRODUCCIÓN
Antecedentes
Luego de una investigación preliminar realizada en la biblioteca de la

Universidad, entre los trabajos de titulación para Maestría en Informática
Empresarial, se pudo apreciar que no existen temas similares al propuesto,
entonces se oriento la investigación a nivel de pregrado, encontrándose la tesis
de los Ingenieros Edwin Cruz y William Velastegui, con su tema “Plan de
seguridad para el área de sistemas en la Cooperativa 9 de Octubre de la ciudad
de Salcedo”, en este trabajo se analiza las deficiencias del centro de
procesamiento de datos que tiene la Institución en cuanto a la seguridad de la
información que allí se genera y se proponen algunas estrategias aplicables al
departamento de Sistemas.
Por otro lado, en el internet se pudo encontrar algunos trabajos relacionados

indirectamente con el tema, así por ejemplo podemos señalar el trabajo del
Ingeniero: Claudio Armando Cabrera Proaño con el tema: “IMPLEMENTACIÓN
DE LA RED MIXTA PARA EL “Gobierno Municipal del Cantón Sucumbíos”.
También se consulto en algunos sitios Web, como por ejemplo el de la Escuela

Politécnica Nacional “EPN”, donde se encontró una tesis desarrollada previo a
la obtención del título de ingeniero en Electrónica y Telecomunicaciones cuyo
tema: es Diseño de una Red Inalámbrica para dar acceso a Internet a 46
establecimientos educativos del Cantón Pimampiro en la Provincia de
Imbabura.
Con toda esta información recopilada se concluye que las redes se constituyen
en un factor muy importante en empresas o Instituciones educativas y que
dentro de ellas, el aspecto de la seguridades informática, es un factor
primordial.
1
Planteamiento del problema
La parte operativa de toda institución pública o privada hoy en día depende

esencialmente del nivel tecnológico que esta tenga. La utilización de la
Informática en las empresas, es vital para el manejo de la información, pues en
los actuales momentos sin el uso de las mismas no se puede realizar ningún
proceso o mantener un negocio, inclusive la Informática ha traspasado sus
límites y al integrarse al internet los procesos se vuelven más dinámicos sin
embargo los procedimientos de seguridad en muchas ocasiones no se toma en
cuentas por no existir políticas de seguridad.
En algunas de las visitas técnicas realizadas al Municipio de Quevedo, se han

podido apreciar algunas dificultades operativas, resultantes de un cierto nivel de
inseguridad informática, hay que señalar, que muchas de las operaciones
Municipales, son apoyadas por la tecnología informática, especialmente con las
relacionadas a las redes. Entre las deficiencias halladas tenemos
 En varias ocasiones se ha dejado de atender al usuario debido a que por

accesos indebidos se ha perdido o alterado información.
 La conectividad a Internet posibilita que se tengan accesos externos, los
cuales no han sido controlados adecuadamente, produciéndose incluso
perdidas de información por accesos indebidos, y por daños debido a virus
y más.
 Muchas redes inalámbricas no poseen clave de acceso, y las que tienen no
son cambiadas periódicamente.
 No se tiene una cultura de la seguridad local empezando por los usuarios,
muchos equipos no tienen sus claves de acceso, de igual forma los
protectores de pantalla, lo cual posibilita que si por alguna razón un usuario
deja su computador, este puede ser mal utilizado.
 La carencia de elementos de seguridad básica como redes perimetrales
(Dmz), firewall, routers, en el Municipio del Cantón Quevedo imposibilita las
seguridades en las redes que tiene el Municipio.
2
 No se tiene elementos de seguridad informática en Internet relacionados el
control de ancho de banda y el impedimento de ingresar a determinados
sitios.
Todo lo descrito anteriormente lleva a concluir que la Institución posee niveles

muy bajos de seguridad informática, esto conlleva un gran riesgo a la
operatividad institucional.
Formulación del problema

¿Cómo disminuir los elevados niveles de riesgo operativo que se producen en
los diferentes procesos apoyados por la tecnología informática, al interior del
Municipio descentralizado del Cantón Quevedo, Provincia de los Ríos?
Delimitación del problema
El trabajo investigativo se llevó a cabo en el Municipio Descentralizado del

Cantón Quevedo, ubicado en la Ciudadela Municipal Km. 1 ½ vía a Quito. Se
trabajara con la información generada durante los años 2011 y 2012.
Objeto de la investigación y campo de acción
Objeto de Investigación: Procesos Informáticos.
Campo de acción: Seguridad informática
Identificación de la línea de investigación
La presente investigación se inscribe en la línea de Tecnología de Información

y Comunicaciones
3
Objetivo general
Desarrollar un Plan de seguridad informática orientado especialmente al área

de redes en el Municipio Descentralizado de Quevedo, Provincia de los Ríos
para que en base a su aplicación se logre la disminución de los niveles de
riesgo operativo.
Objetivos Específicos:
 Fundamentar bibliográficamente las seguridades informáticas

especialmente en redes y los riesgos operativos
 Diagnosticar los niveles de seguridad informática existente en el
Municipio especialmente en el área de redes.
 Desarrollar un plan de seguridad informática, el cual constara de algunas
estrategias como por ejemplo redes perimetrales, servidores de
direcciones seguras, firewall lógicos y físicos, y más
Hipótesis y variables de la investigación
Con la aplicación de un plan de seguridad informática, orientado especialmente

a redes de datos, se disminuirán los niveles de riesgo operativo existentes en
el Municipio de Quevedo
 Variable Independiente: Plan de Seguridad Informática

 Variable Dependiente: Riesgos operativos
Justificación
La seguridad informática se va convirtiendo en una necesidad cada vez más

latente en las instituciones que disponen de un gran apoyo tecnológico. Es
sabido que la tecnología optimiza los procesos y acelera los servicios, pero así
4
también ha dado origen al aparecimiento de nuevos formas de delito,
generalmente por intrusión indebida con la finalidad de obtener información o
desvíos financieros en forma electrónica.
El Municipio del cantón Quevedo para su funcionamiento se apoya cada vez

más de su infraestructura tecnológica, sea esta: redes, sistemas, hardware,
todos estos elementos en conjunto, permiten que la Institución brinde un
servicio ágil y dinámico a la colectividad quevedeña en lo relacionado a pagos
de impuestos, patentes y más. Si alguno de estos elementos que conforman la
plataforma tecnológica deja de funcionar o se ve alterada es obvio suponer que
las operaciones normales que realiza la Municipalidad se verán muy afectadas
y por ende la colectividad de Quevedo.
De implementarse el plan de seguridad informática especialmente en el área de

redes, se obtendrán algunos beneficios apreciables inmediatamente, así por
ejemplo:
 Las redes inalámbricas dispondrán de claves seguras que limiten el acceso

indebido de usuarios.
 Se controlará de mejor manera problemas de virus y spam, muy frecuentes
en instituciones públicas. Esto en base a la implementación de redes
perimetrales y cortafuegos
 También se espera crear una cultura de seguridad en los usuarios, esto
quiere decir que cada uno deberá disponer de claves para acceder a sus
equipos, a sus sistemas y a sus datos.
Todas estas mejoras a nivel de seguridades informáticas garantizan un

correcto funcionamiento de los equipos y de los sistemas y por ende,
disminuyen los riesgos de que se puedan dejar de realizar actividades
operativas. Por todos estos beneficios y por la garantía de un funcionamiento
operativo adecuado se justifica plenamente la realización de este trabajo
5
investigativo como tesis de grado, previa a la obtención del título de magister en
informática empresarial.
Metodología investigativa
Específicamente se han aplicado dos tipos de investigación que son:
Bibliográfica, consiste en la recopilación de información existente en libros,

revistas e internet, este tipo de investigación permitió la elaboración del marco
teórico referido especialmente a inseguridades, redes y más, el mismo que
fundamenta científicamente la propuesta de solución.
De campo, se utilizó para diagnosticar y ratificar la problemática expuesta

inicialmente, esta fue llevada a cabo en el sitio mismo donde se tuvieron las
manifestaciones del problema, es decir en el Municipio de Quevedo, las
técnicas para la recopilación de información fueron la encuesta y la entrevista,
las encuestas fueron realizadas tanto a empleados del departamento de
sistemas (usuarios internos) como a los empleados de la Institución (usuarios
externos); mientras que las entrevistas se las realizo al Director del
departamento de informática del Municipio. Los instrumentos asociados a las
técnicas para recopilar informaciones antes mencionadas fueron el cuestionario
y la guía de entrevista.
Entre los métodos investigativos que se han utilizado tenemos: analítico-

sintético, inductivo-deductivo e histórico-lógico.
Resumen de la estructura de la tesis
La presente tesis está estructurada en cuatro secciones perfectamente

diferenciadas que son:
6
La introducción que recoge aspectos importantes como los antecedentes
investigativos, el planteamiento del problema enfocado a las inseguridades
informáticas que presenta el Municipio, los objetivos orientados a implementar
el plan de seguridad, la justificación y más.
El marco teórico que fundamenta científicamente la propuesta de solución, este

marco teórico engloba aspectos concernientes a redes, seguridades en redes,
seguridades en sistemas y la gestión operativa.
El marco metodológico que recoge los resultados de la investigación de campo,

en el, se plasman las encuestas y sus resultados ratifican los síntomas de la
problemática, así como también orientan a la solución.
Finalmente el desarrollo de la propuesta donde se estructura el plan de

seguridades en base a un análisis técnico desarrollado en la Institución
Municipal.
Novedad científica, aporte teórico y significación práctica
El desarrollo de la informática, las redes y el internet han permitido que estos

elementos se constituyan en partes fundamentales del funcionamiento de una
empresa moderna, sea este pública o privada. La orientación de brindar
servicios vía internet es muy útil para la seguridad pero ello también a
generado nuevas dificultades ya que han aparecido usuarios que tratan de
acceder indebidamente a sitios donde se almacena información Municipal.
Como novedad científica de este trabajo investigativo se puede señalar la

aplicación de diversas metodologías para elevar el nivel de seguridades que se
tienen en las redes de datos con las cuales trabaja el Municipio.
7
El aporte teórico de esta tesis tiene que ver con la fundamentación de algunas
técnicas relacionadas a lograr impedir accesos indebidos, especialmente en el
ámbito de redes, también se fundamenta los pasos requeridos para fomentar
una cultura de seguridad a niveles básicos.
La significación práctica tiene que ver con las diferentes configuraciones que se
proponen en los elementos que complementan las seguridades informáticas del
Municipio, así por ejemplo se configura una red perimetral, también se
configuran algunos firewalls y más.
8
CAPÍTULO I
MARCO TEÓRICO
1.2 Seguridad Informática
El autor RODAO Jesús (2004), define a la seguridad informática como: “El

conjunto de procedimientos que nos permite que nuestros datos de hoy puedan
ser utilizados mañana sin ninguna merma de calidad en los mismos. Por ello, la
seguridad abarca muchos temas aparentemente dispares como el
mantenimiento regular de los equipos, la ocultación de datos, la protección de
los mismos con claves de acceso y mas”
“El objetivo de la seguridad informática será mantener la Integridad,

Disponibilidad, Privacidad (sus aspectos fundamentales), Control y Autenticidad
de la información manejada por computadora.”1
.
La seguridad Informática no solo debe encargarse de los posibles fallos
desaprensivos, sino que también debe tener en cuenta lo errores que se
pudieran generar por el mal funcionamiento del hardware, así como prevenir
acciones involuntarias que puedan afectar la seguridad de la información que se
encuentre contenida en los sistemas. La seguridad informática también ha
pasado de utilizarse para preservar los datos clasificados del gobierno en
cuestiones militares a tener una aplicación de dimensiones inimaginables y
crecientes que incluyen transacciones financieras, acuerdos contractuales,
información personal, archivos médicos, negocios por internet y más. (AREITIO
Javier, (2008)).
1.2 Importancia de la Seguridad Informática
1
ALDEGANI, Gustavo, 2003“Seguridad Informática.”MP Ediciones. Argentina.
9
Hoy en día no existe duda de que se esta en una nueva era caracterizada por
el uso masivo de la información, que adicionalmente ha acarreado mucha más
relevancia que en anteriores épocas, debido a lo cual es fundamental dentro
de las organizaciones el poder detectar las vulnerabilidades del sistema
de información para contrarrestar las amenazas y riesgos por el gran número
de usuarios con potencial de ataque, que no tan solo se centran en el ambiente
que se ubica fuera de la organización, sino también en los usuarios comunes
que trabajan y son una gran amenaza a la seguridad si no se tienen políticas
claras de acceso a la información.2
Después de conocer las amenazas y puntos débiles del ambiente, adquiridos

en el análisis de riesgos, o después de la definición formal de las intenciones y
actitudes de la organización que están definidas en la política de seguridad de
la información, debemos tomar algunas medidas para la implementación de las
acciones de seguridad recomendadas o establecidas. Recuerde que las
amenazas son agentes capaces de explotar fallos de seguridad, que
denominamos puntos débiles y, como consecuencia de ello, causan pérdidas o
daños a los activos de una empresa y afectan sus negocios. No basta conocer
las fragilidades del ambiente o tener una política de seguridad escrita.
Se debe instalar herramientas, divulgar reglas, concienciar a los usuarios sobre

el valor de la información, configurar los ambientes etc. Debemos elegir e
implementar cada medida de protección, para contribuir con la reducción de las
vulnerabilidades; cada medida debe seleccionarse de tal forma que, al estar en
funcionamiento, logre los propósitos definidos. (FINE Leonard, (2005)).
Gran parte de esa concientización está en manos de los responsables de

seguridad de la información apoyados en todo momento por la Gerencia de
2
ACISSI, 2011, “Seguridad Informática”, Ediciones ENI, Primera edición, Barcelona – España.
10
forma explícita y activa, por ello es importante indicarles no sólo cuales son las
principales amenazas en cada momento, sino qué deben hacer para evitarlas
1.3 Principios de la Seguridad Informática
La seguridad informática se centra en 4 principios básicos, los cuales son de

gran importancia para el plan de seguridad informática.
 Confidencialidad
 Integridad
 Disponibilidad
 Vulnerabilidad
1.3.1 Confidencialidad
Se refiere a la privacidad de los elementos de información almacenados y

procesados en un sistema informático, Basándose en este principio, las
herramientas de seguridad informática deben proteger el sistema de invasiones
y accesos por parte de personas o programas no autorizados. Este principio es
particularmente importante en sistemas distribuidos, es decir, aquellos en los
que los usuarios, computadores y datos residen en localidades diferentes, pero
están física y lógicamente interconectados.3
1.3.2 Integridad
Se refiere a la validez y consistencia de los elementos de información

almacenados y procesados en un sistema informático. Basándose en este
principio, las herramientas de seguridad informática deben asegurar que
los procesos de actualización estén bien sincronizados y no se dupliquen, de
forma que todos los elementos del sistema manipulen adecuadamente los
mismos datos. Este principio es importante en sistemas descentralizados, es
3
ATELIN Philippe, 2006, “Redes Informáticas”, ediciones ENI, Primera Edición, Barcelona-España.
11
decir, aquellos en los que diferentes usuarios, computadores y procesos
comparten la misma información.
1.3.3 Disponibilidad
Se refiere a la continuidad de acceso a los elementos de información

almacenados y procesados en un sistema informático. Basándose en este
principio, las herramientas de seguridad informática deber reforzar la
permanencia del sistema informático, en condiciones de actividad adecuadas
para que los usuarios accedan a los datos con la frecuencia y dedicación que
requieran, este principio es importante en sistemas informáticos cuyos
compromiso con el usuario, es prestar servicio permanente.4
1.3.4 Vulnerabilidad
En seguridad informática, la palabra vulnerabilidad hace referencia a una

debilidad en un sistema permitiendo a un atacante violar la confidencialidad,
integridad, disponibilidad, control de acceso y consistencia del sistema o de sus
datos y aplicaciones.
1.3.5 Norma ISO 27002
Esta norma de la organización IOS-IEC consiste en un conjunto de

recomendaciones que indican acerca de sobre qué medidas tomar en la
empresa para asegurar los Sistemas de Información, está compuesta por
objetivos, los objetivos de seguridad recogen aquellos aspectos fundamentales
que se deben analizar para conseguir un sistema seguro en cada una de las
áreas que los agrupa. Para conseguir cada uno de estos objetivos la norma
propone una serie de medidas o recomendaciones (controles) que son los que
4
BAETA Jesús, “Seguridad Informática “en línea : http://es.scribd.com/doc/95069532/Seguridad-
Informatica
12
en definitiva se aplicaran para la gestión del riesgo analizado. (AREITIO Javier,
(2008)).
1.3.6 Áreas / Secciones Sobre Las Que Actúa
Dentro de cada sección, se especifican los objetivos de los distintos controles

para la seguridad de la información, para cada uno de los controles se indica
asimismo una guía para su implantación. El número total de controles suma 133
entre todas las secciones aunque cada organización debe considerar
previamente cuántos serán realmente los aplicables según sus propias
necesidades, las principales áreas son:
 Política de Seguridad de la Información.

 Organización de la Seguridad de la Información.
 Gestión de Activos de Información.
 Seguridad de los Recursos Humanos.
 Seguridad Física y Ambiental.
 Gestión de las Comunicaciones y Operaciones.
 Control de Accesos.
 Adquisición, Desarrollo y Mantenimiento de Sistemas de Información.
 Gestión de Incidentes en la Seguridad de la Información.
 Gestión de Continuidad del Negocio.
 Marco Legal, y Buenas Prácticas.5
1.4 Política De Seguridad Informática
Una política de seguridad informática es una forma de comunicarse con los

usuarios, ya que las mismas establecen un canal formal de actuación del
5
ISO, “ISO27000” http:/www.iso.org
13
personal, en relación con los recursos y servicios informáticos de la
organización.
No se puede considerar que una política de seguridad informática es

una descripción técnica de mecanismos, ni una expresión legal que involucre
sanciones a conductas de los empleados, es más bien una descripción de los
que deseamos proteger y él por qué de ello, pues cada política de seguridad es
una invitación a cada uno de sus miembros a reconocer la información como
uno de sus principales activos así como, un motor de intercambio y desarrollo
en el ámbito de sus negocios. Por tal razón, las políticas de seguridad deben
concluir en una posición consciente y vigilante del personal por el uso y
limitaciones de los recursos y servicios informáticos.6
1.4.1 Elementos de una Política de Seguridad Informática
Como una política de seguridad debe orientar las decisiones que se toman en
relación con la seguridad, se requiere la disposición de todos los miembros de
la empresa para lograr una visión conjunta de lo que se considera importante.
Las Políticas de Seguridad Informática deben considerar principalmente los

siguientes elementos:
 Alcance de las políticas, incluyendo facilidades, sistemas y personal
sobre la cual aplica.
 Objetivos de la política y descripción clara de los elementos involucrados
en su definición.
 Responsabilidades por cada uno de los servicios y recursos informáticos
aplicado a todos los niveles de la organización.
 Requerimientos mínimos para configuración de la seguridad de los
sistemas que abarca el alcance de la política.
6
CALDER Alan, 2009, “Information Security Base on ISO 270001 / ISO 270002”, Editorial Van Haren,
Wilco - Amersfoort
14
 Definición de violaciones y sanciones por no cumplir con las políticas.
 Responsabilidades de los usuarios con respecto a toda la información a
la que tiene acceso.
Las políticas de seguridad informática, también deben ofrecer explicaciones

comprensibles sobre por qué deben tomarse ciertas decisiones y explicar la
importancia de los recursos. Igualmente, deberán establecer las expectativas de
la organización en relación con la seguridad y especificar la
autoridad responsable de aplicar los correctivos o sanciones. Otro punto
importante, es que las políticas de seguridad deben redactarse en
un lenguaje sencillo y entendible, libre de tecnicismos y términos ambiguos que
impidan una comprensión clara de las mismas, claro está sin sacrificar su
precisión.
Por último, y no menos importante, el que las políticas de seguridad, deben

seguir un proceso de actualización periódica sujeto a los cambios
organizacionales relevantes, como son: el aumento de personal, cambios en la
infraestructura computacional, alta rotación de personal, desarrollo de nuevos
servicios, regionalización de la empresa, cambio o diversificación del área de
negocios, etc. (RODAO Jesús,(2004))
1.5 Organización de la Información De Seguridad
Aquí se trabajara sobre el hecho de reunir y definir cuál va a ser el personal

responsable que se encargara de realizar el mantenimiento, revisión y
evaluación periódica. Además si las políticas que fueron elaboradas son las
correctas, están incompletas, o pueden mejorarse.
1.5.1 Gestión de Activos De Información
Toda empresa debe llevar un inventario completo al más mínimo detalle de su

información, con una actualización inmediata de todo recurso lógico que se
posea, y debe tener un uso adecuado para evitar pérdidas en los activos
15
1.5.2 Seguridad de los Recursos Humanos
Normalmente muchas organizaciones no tienen claro el concepto de que el

área de talento humano debe trabajar de la mano con el departamento de
sistemas, ya que el objetivo es Asegurar que los empleados, contratistas y
usuarios de terceras partes entiendan sus responsabilidades y sean aptos para
las funciones que desarrollen. Reducir el riesgo de robo, fraude y mal uso de las
instalaciones y medios7
1.5.3 Seguridad Física y Ambiental
Este grupo trabaja sobre las seguridades que existen en las áreas delicadas de
la organización como el CPD, o el acceso a servidores, Switch, entre otros. Las
seguridades pueden ser lógicas o físicas para mantener seguros los recursos
tecnológicos de la institución, en resumen el objetivo de dicho control es evitar
el acceso físico no autorizado, daños o intromisiones en las instalaciones y a la
información de la organización.
1.5.4 Gestión de las Comunicaciones y Operaciones
Tiene como objetivo asegurar la correcta y segura operación de la información;

hace especial hincapié en documentar todos los procedimientos, manteniendo
los mismos disponibles a todos los usuarios que los necesiten; así como
documentar de manera correcta los servicios o tareas que se estén prestando
por parte de terceros (acuerdos, obligaciones, responsabilidades,
confidencialidad, operación, mantenimiento, etc.). Planificar todo tipo de
cambios en cuanto a sistemas se refiere para así poder reducir el riesgo de
fallos al momento de arrancar o poner en producción nuevos requerimientos,
trabajar en ambientes los cuales sean muy semejantes a la realidad y poder
7
ISO “SOLUCIONES TÉCNICAS Y ORGANIZATIVAS A LOS CONTROLES DE ISO/IEC 27002”
http://www.iso27000.es/download/ControlesISO27002-2005.pdf
16
trabajar con el sistema e información que la empresa maneje y ver así el
desenvolvimiento de las actualizaciones.
Administrar y controlar todo lo que se refiere a la red empresarial, es decir,

implementar todas las medidas posibles para evitar amenazas, manteniendo la
seguridad de los sistemas y aplicaciones a través del conocimiento de la
información que circula por ella, prevenir la difusión, modificación, borrado o
destrucción de cualquier medio magnético en el cual haya sido previamente
almacenado información, mediante medidas que aseguren su almacenamiento
seguro y uso incorrecto de los mismos. Mantenimiento de logs en todos los
aplicativos que la organización posea para así poder controlar accesos y evitar
que cualquier intruso borre sus huellas. No permitir el intercambio de
información sea o no en línea, recalquemos que la información es el bien más
preciado de una organización; por esto el intercambio de información debe ser
llevado a cabo mediante reglas y usuarios establecidos.
1.5.5 Control de Accesos
En esta parte se hace referencia a que cada usuario tenga sus claves de
acceso que permitan acezar solo a los recursos que son designados para él,
esto debe ser controlado periódicamente para evitar fugas de información, y
que ciertos usuarios tengan acceso a información la cual no sea relevante para
la tarea que están realizando esto a través de una Política de Control de
accesos documentada, periódicamente revisada y basada en los niveles de
seguridad que determine el nivel de riesgo de cada activo.8
1.5.6 Adquisición, Desarrollo y Mantenimiento de Sistemas de información
8
CALDER Alan, 2009, “Implementig information Security Based on ISO 27001/ISO 270002” Tercera
Edición, Ontario - Canada.
17
Plantea la necesidad de realizar un análisis de los requerimientos que deben
exigirse a los sistemas de información, desde el punto de vista de la seguridad
para cumplir con las necesidades del negocio de cada empresa en particular,
para poder garantizar que la seguridad sea una parte integral de los sistemas.
Así como también incluir dentro de los procesos, las etapas en cuanto a
desarrollo se refiere (Análisis, Diseño, Implementación y Pruebas), documentar
lo necesario y poder tener revisiones periódicas de las tareas a realizarse y
poder cumplir con todo lo pedido o pactado con terceros.
1.5.7 Gestión de Incidentes en la Seguridad de la Información
Permitir tener una metodología eficiente para definir la generación,

monitorización y seguimientos de reportes los cuales deben reflejar todos los
eventos de seguridad suscitados así como las debilidades en los sistemas, la
mejor opción es implementar herramientas de detección de vulnerabilidades. Se
debe establecer también un procedimiento que describa claramente: pasos,
acciones, responsabilidades, funciones y medidas concretas. Para lo cual se
necesitara exista la preparación adecuada del personal, por lo tanto es
necesario difundirlo, practicarlo y simularlo.
1.5.8 Gestión de Continuidad de Negocio
Tiene como objetivo contemplar todas las medidas necesarias para reaccionar
a la interrupción de actividades del negocio y proteger sus procesos críticos
frente a desastres o grandes fallos de los sistemas de información. Para que
No sufran interrupciones sobre la actividad que realiza la empresa. Lo primero
que considera este grupo es que la seguridad de la información se encuentre
incluida en la administración de la continuidad de negocio.9
9
ISO “An Introduction to ISO 27001, ISO 27002” http://www.27000.org/
18
1.5.9 Marco legal y Buenas Prácticas
Se dice que este último grupo de controles es el más débil de la norma debido a
que está limitado a las leyes de cada empresa o cada país. Lo primero a
considerar es la identificación de la legislación aplicable a la empresa,
definiendo explícitamente y documentando todo lo que guarde relación con
estos aspectos. Otro componente es lo relacionado con los derechos de
propiedad Intelectual, debiendo generar procedimientos que aseguren el
cumplimiento de las regulaciones; así como el hecho de obtener software legal
e implementarlo con las respectivas licencias.
Este grupo trata además de las “Buenas prácticas”, ya que de que sirve
implantar una normal basada en políticas, controles, procedimientos, etc., si
luego el personal involucrado no da cumplimiento a las medidas y en definitiva,
la implementación falla. Por esto otro punto importante en esta norma es el
hecho de realizar auditorías y tener herramientas de auditoría las cuales
permitan dictar si la norma y procedimientos encadenados se estén cumpliendo
a cabalidad o si la misma tiene debilidades.
1.6 Planeación estratégica
La planeación o planificación estratégica es el proceso a través del cual se

declara la visión y la misión de la empresa, se analiza la situación externa y
externa de ésta, se establecen los objetivos generales, y se formulan las
estrategias y planes estratégicos necesarios para alcanzar dichos objetivos. La
planeación estratégica se realiza a nivel de la organización, es decir, considera
un enfoque global de la empresa, por lo que se basa en objetivos y estrategias
generales, así como en planes estratégicos, que afectan una gran variedad de
actividades, pero que parecen simples y genéricos.
19
Debido a que la planeación estratégica toma en cuenta a la empresa en su
totalidad, ésta debe ser realizada por la cúpula de la empresa y ser proyectada
a largo plazo, teóricamente para un periodo de 5 a 10 años, aunque en la
práctica, hoy en día se suele realizar para un periodo de 3 a un máximo de 5
años, esto debido a los cambios constantes que se dan el mercado.10.
1.7 Plan estratégico
“El plan estratégico es una herramienta que nos permite marcarnos el

camino para llegar a un lugar concreto. Difícilmente podremos elaborarlo si no
sabemos dónde nos encontramos y a donde queremos ir. Este es, por lo tanto,
el punto de partida”11.
La esencia de la planeación estratégica consiste en la identificación sistemática

de las oportunidades y peligros que surgen en el futuro, los cuales combinados
con otros datos importantes proporcionan la base para que una empresa tome
mejores decisiones en el presente para explotar las oportunidades y evitar los
peligros.
1.8 Planeación tecnológica
La Planeación Tecnológica es un asunto estratégico, pero muchas empresas

no siempre lo visualizan de esta manera. No pocos directivos piensan que la
planeación de la tecnología viene después de que la estrategia del negocio ya
fue definida y, en casi todos estos casos, sus "estrategias tecnológicas" se
limitan decidir si compran la tecnología que creen que necesitan o si mejor la
desarrollan ellas mismas.
10
FRED R. David, “Conceptos de Administración Estratégica”. www.crecenegocios.com/la-
planeacion-estrategica/
11
Miguel Aguirre, Plan de marketing estratégico, www.gestiopolis.com
20
Las empresas que manejan la tecnología como algo real estratégico, se
distinguen de las demás en varios aspectos:
 Tienen muy claro y valoran el impacto de la tecnología en su

competitividad.
 Saben que deben aprovechar el potencial de su tecnología actual para
no perder la ventaja que tienen sobre sus competidores.
 Conocen bien en qué son tecnológicamente competentes y en dónde no
lo son.
 Tienen a alguien al cuidado cotidiano de los asuntos tecnológicos y que
también participa de manera directa en la toma de las decisiones
estratégicas”12.
1.9 Plan informático
Un Plan Informático es un proceso, expresado en un documento escrito y

conocido por todos los usuarios del CPD, el cual empieza con el desarrollo de
objetivos, define estrategias y políticas para alcanzar tales objetivos, desarrolla
planes detallados para asegurar que las estrategias se sigan con el fin de que
tales objetivos se realicen en términos de productos y resultados concretos
medibles por el CDP, por los usuarios y por el nivel Director de la empresa y/u
Organización, en parámetros no técnicos y exentos de ambigüedad.
Un Plan Informático además de un presupuesto de gastos, es un conjunto de

planes interrelacionados cuya finalidad es básicamente satisfacer las
necesidades de información que el Sistema de Decisiones de la Institución
requiere, en la Cantidad, Calidad, Oportunidad y Forma que cada Nivel necesita
o anterior debe ser considerado en el marco de la velocidad de desarrollo y de
la cantidad de alternativas, (siempre crecientes), que el mercado de Informática
ofrece13.
12
Disponible en: http://gtecnol.tripod.com/plantec.htm
13
TRIVIÑO, Luis, “Plan Informático”. http://posgrado.pbworks.com/f/planinformatico.pdf
21
1.10 Plan de Seguridad Informática
Es el manual elemental que determina los principios organizativos y funcionales

de la actividad de Seguridad Informática en una organización y captara
abiertamente las políticas de seguridad y las responsabilidades de cada uno de
los involucrados en el proceso informático, así como las medidas y
procedimientos que permitan prevenir, detectar y responder a las amenazas
que gravitan sobre el mismo, al ser una política de seguridad esta debe guiar
en las decisiones que se toman en relación con la seguridad informática,
también se necesita la disposición de todos los miembros de la empresa para
lograr una visión conjunta de lo que se considera relevante.
Las políticas de seguridad informática, deben ofrecer explicaciones

comprensibles sobre por qué deben tomarse ciertas decisiones y explicar la
importancia de los recursos. Igualmente, deberán establecer las expectativas de
la organización en relación con la seguridad y especificar la autoridad
responsable de aplicar los correctivos o sanciones. (AREITO Javier, (2004))
1.11 Red lan

La red de área local (LAN) es aquella que se expande en un área relativamente
pequeña. Comúnmente se encuentra dentro de un edificio o un conjunto de
edificios contiguos. Asimismo, una LAN puede estar conectada con otras LAN a
cualquier distancia por medio de una línea telefónica y ondas de radio. Puede
estar formada desde dos computadoras hasta cientos de ellas. Todas se
conectan entre sí por varios medios y topologías. A la computadora (o
agrupación de ellas) encargada de llevar el control de la red se le llama servidor
ya las PC que dependen de éste, se les conoce como nodos o estaciones de
trabajo. (ALABAU, A., “Teleinformática y redes de computación”. Marcombo -
Barcelona. 2002)
1.11.1 Protocolo de redes
22
Los protocolo de red son una o más normas standard que especifican el
método para enviar y recibir datos entre varios ordenadores. Su instalación
está en correspondencia con el tipo de red y el sistema operativo que la
computadora tenga instalado. No existe un único protocolo de red, y es posible
que en un mismo ordenador coexistan instalados varios de ellos, pues cabe
la posibilidad que un mismo ordenador pertenezca a redes distintas.
La variedad de protocolos puede suponer un riesgo de seguridad, cada

protocolo de red que se instala en un sistema queda disponible para todos los
adaptadores de red existentes en dicho sistema, físicos (tarjetas de red o
módem) o lógicos (adaptadores VPN). Si los dispositivos de red o protocolos no
están correctamente configurados, se puede dar acceso no deseado a los
recursos de la red. En estos casos, la regla de seguridad más sencilla es tener
instalados el número de protocolos indispensable; en la actualidad y en la
mayoría de los casos debería bastar con sólo TCP/IP. Dentro de la familia de
protocolos se pueden distinguir:
Protocolos de transporte:
- ATP (Apple Talk Transaction Protocol)
- NetBios/NetBEUI
- TCP (Transmission Control Protocol)
Protocolos de red:
- DDP (DeliveryDatagramProtocol)
- IP (Internet Protocol)
- IPX (Internet Packed Exchange)
- NetBEUI Desarrollado por IBM y Microsoft.
Protocolos de aplicación:
- AFP (Appletalk File Protocol)
- FTP (File TransferProtocol)
- Http (Hyper Text transfer Protocol)
23
Dentro de los protocolos antes mencionados, los más utilizados son:
- NETBEUI/NETBIOS (Network Basic Extended User Interface / Network Basic

Input/Output System) NETBIOS es un protocolo de comunicación entre
ordenadores que comprende tres servicios (servicio de nombres, servicio
de paquetes y servicio de sesión, inicialmente trabajaba sobre el protocolo
NETBEUI, responsable del transporte de datos. Actualmente con la difusión
de Internet, los sistemas operativos de Microsoft más recientes permiten
ejecutar NETBIOS sobre el protocolo TCP/IP, prescindiendo entonces de
NETBEUI.
- TCP/IP (Transmission Control Protocol/Internet Protocol) este protocolo fue

diseñado a finales de los años 60, permite enlazar computadoras con
diferentes sistemas operativos. Es el protocolo que utiliza la red de redes
Internet. (Academia de Networking de Cisco Systems “Guía CCNA 1 y 2”,
2004).
1.12 Seguridad en redes
El autor STALLING Williams (2004) señala que cuando se habla de seguridad

en las redes de computadoras, se hace una gran referencia a Internet, pues es
dentro de esa red de alcance mundial que se producen con mayor frecuencia
los ataques a nuestras computadoras.
Antes de entrar en el tema, es necesario preguntar ¿qué alcance tiene para

nosotros el término "seguridad"?. En general, se dice que una casa es segura
cuando se logra reducir las vulnerabilidades de la propiedad. Pero ¿Qué es la
vulnerabilidad? Según ISO (International Standardization Organization), en el
contexto de la informática se considera "vulnerabilidad" a cualquier flaqueza
24
que pueda ser aprovechada para violar un sistema o la información que éste
contiene.
De esta forma, tenemos varias posibles violaciones de seguridad a un sistema,

o sea, varias amenazas, entre las cuales destacamos:
- Destrucción de información.
- Modificación de la información.
- Robo, renovación o pérdida de la información o los recursos.
- Interrupción de servicios.
Debemos todavía definir "ataque": es la realización efectiva de una amenaza en

forma intencional. Como ejemplos de ataques en computación, tenemos:
- Personificación (enmascarada)
- DDos.
- Replay.
- Modificación.
- Ingeniería social.
- Rechazo o impedimento de un servicio.
Ante los riesgos de la inseguridad en las redes, muchas empresas adoptan
políticas de seguridad, que son conjuntos de reglas, leyes y prácticas de gestión
que tienen como objetivo la protección. Pueden ser implementadas a través de
varios mecanismos, como por ejemplo:
- Criptografía.
- Firma digital.
- Autenticación.
- Control de acceso.
- Rótulos de seguridad.
- Detección, registro e informe de eventos.
- Llenado de tráfico.
- Control de routeo.
25
De esta forma, al no ser suficientes los mecanismos de seguridad en la red, se
establece medidas de seguridad en las comunicaciones también, como en el
correo electrónico. El e-mail utiliza varios mecanismos para que los datos
lleguen de la manera más segura posible a su destino. Hace uso de protocolos
como SMTP (Simple Mail Transfer Protocol) que es considerado débil, S/MIME
(Secure Multipurpose Internet Mail Extensions) y PGP (Pretty Good Privacy)
que es destinado a la criptografía de e-mail personal. Actualmente, lo que se
utiliza en gran medida son los Firewall's, dispositivos que funcionan como una
barrera de protección contra invasores. Existen tanto en forma de software
como de hardware, o en la combinación de ambos14.
Como ejemplo de buenos firewall's domésticos y gratuitos, podemos citar:

- Comodo Firewall
- ZoneAlarm
- Sygate Personal Firewall
14
STALLINGS, W., “Fundamentos de seguridad en redes: aplicaciones y estándares”, 2004).
26
Figura # 1: Fuente: Investigación, “http://www.pentasys.es/imagenes/seguridad-
en-redes-informaticas.jpg”
1.13 Redes WIFI
Una red inalámbrica (conocida comúnmente como WI-FI) permite desplegar una
red de área local sin cables. Es evidente que al emplear un medio compartido
por cualquiera que se encuentre en el ámbito de la cobertura, se multiplican las
amenazas de acceso no controlado a la información. En función de las
necesidades, la red inalámbrica se puede dejar completamente abierta y sin
cifrar para poder acceder a los recursos y datos fácilmente o hacer de ella un
entorno muy seguro. Existen medidas muy sencillas y útiles que pueden evitar
amenazas sobre nuestra red:
 Apagar el punto de acceso Wi-Fi cuando no se utilice, para evitar el riesgo

de ataques innecesarios.
 Ocultar la publicación del nombre de la red SSID para que no pueda ser
identificada, aunque esto no evite que sea detectada mediante mecanismos
más avanzados.
Todos los equipos que emiten señal Wi-Fi (routers o puntos de acceso, pc’s,)
permiten configurar el protocolo de seguridad con el que se quiere transmitir,
permitiendo así cubrir las dimensiones de control de acceso, confidencialidad y,
en algunos casos, autenticación. Los diferentes protocolos existentes son:
 WEP (Wired Equivalent Privacy). Se considera como el menos seguro de

todos por su facilidad para romperlo, siempre y cuando la persona que
quiera hacerlo tenga los conocimientos informáticos adecuados.
 WPA (Wi-Fi Protected Access). Es una evolución del WEP, es más robusto.
Fue diseñado inicialmente como protocolo de autenticación para paliar las
27
deficiencias del cifrado WEP. Aunque su longitud de clave es menor que la
de WEP, su método de cifrado es más robusto.
 WPA2 (Wi-Fi Protected Access 2). Es considerado bastante seguro, ya que
utiliza el algoritmo de cifrado AES, por lo que su ruptura es bastante
complicada.
 WPA PSK (Wi-Fi Protected Access Pre-Share Keyda). Esta opción de
cifrado es de las más seguras. Este método difiere del anterior en que existe
una clave compartida por todos los integrantes de la red previamente a la
comunicación (desde la configuración de los dispositivos). La fortaleza de la
seguridad reside en el nivel de complejidad de esta clave.
Cualquiera de estos protocolos de cifrado y autenticación se configura en dos

pasos:
 Primero, habrá que configurar la clave en el punto de acceso, en función

del protocolo seleccionado.
 En segundo lugar, se deberá hacer lo mismo en todos los dispositivos
que se quieran conectar a la red, usando exactamente la misma
configuración que para el punto de acceso.
En general, los protocolos descritos solucionan muchos de los problemas de

seguridad. En cualquier caso, como todos dependen de una clave, en el
momento en que sea conocida estos protocolos dejarán de ser seguros.
1.14 Firewall o cortafuego
El autor AREITIO Javier (2004) señala que: “Un cortafuegos o firewall es un

dispositivo de seguridad de red diseñado para restringir el acceso a los
recursos, tanto a la información como a los servicios, de acuerdo a una política
de seguridad basada en reglas. Los cortafuegos no son la solución definitiva a
todos los problemas de seguridad en red, a los ataques remotos o al acceso no
autorizado a los datos del sistema, sino que sirven para conectar dos partes de
una red y controlar el tráfico de datos entre ellas. A menudo se instala entre una
28
red completa de la organización e Internet. También puede colocarse entre
departamentos dentro de una Intranet, o bien puede utilizarse entre socios
corporativos conectados mediante una extranet”
Figura # 2: Fuente: Areito Javier, “seguridad de la información”
Como puede observarse, el Muro Cortafuegos, sólo sirven de defensa

perimetral de las redes, no defienden de ataques o errores provenientes del
interior, como tampoco puede ofrecer protección una vez que el intruso lo
traspasa. Algunos Firewalls aprovechan esta capacidad de que toda la
información entrante y saliente debe pasar a través de ellos para proveer
servicios de seguridad adicionales como la encriptación del tráfico de la red. Se
entiende que si dos Firewalls están conectados, ambos deben "hablar" el
mismo método de encriptación-desencriptación para entablar la comunicación.
1.14.1 Tipos de Firewall15

Existen algunos tipos de Firewall categorizados por su funcionamiento o por su
estructura, así tenemos:
Firewall para Filtrado de Paquetes: Se utilizan Routers con filtros y reglas

basadas en políticas de control de acceso. El Router es el encargado de filtrar
los paquetes (un Choke) basados en cualquiera de los siguientes criterios:
15
HERNANDEZ Roberto, “Firewall o Cortafuegos”, www.segu-info.com.ar/firewall/firewall.htm, 2009
29
 Protocolos utilizados.
 Dirección IP de origen y de destino.
 Puerto TCP-UDP de origen y de destino.
Estos criterios permiten gran flexibilidad en el tratamiento del tráfico.

Restringiendo las comunicaciones entre dos computadoras (mediante las
direcciones IP) se permite determinar entre cuales máquinas la comunicación
está permitida. El filtrado de paquetes mediante puertos y protocolos permite
establecer que servicios estarán disponibles al usuario y por cuales puertos se
puede permitir navegar en la WWW (puerto 80 abierto) pero no acceder a la
transferencia de archivos vía FTP (puerto 21 cerrado). Debido a su
funcionamiento y estructura basada en el filtrado de direcciones y puertos, este
tipo de Firewalls trabajan en los niveles de Transporte y de Red del Modelo OSI
y están conectados a ambos perímetros (interior y exterior) de la red.
Tienen la ventaja de ser económicos, tienen un alto nivel de desempeño y son

transparentes para los usuarios conectados a la red. Sin embargo presenta
debilidades como:
 No protege las capas superiores a nivel OSI.

 Las necesidades aplicativas son difíciles de traducir como filtros de
protocolos y puertos.
 No son capaces de esconder la topología de redes privadas, por lo que
exponen la red al mundo exterior.
 Sus capacidades de auditoría suelen ser limitadas, al igual que su
capacidad de registro de actividades.
 No soportan políticas de seguridad complejas como autentificación de
usuarios y control de accesos con horarios prefijados.
Firewall por Proxy-Gateways de Aplicaciones: Para evitar las debilidades

asociadas al filtrado de paquetes, los desarrolladores crearon software de
30
aplicación encargados de filtrar las conexiones. Estas aplicaciones son
conocidas como Servidores Proxy y la máquina donde se ejecuta recibe el
nombre de Gateway de Aplicación o Bastion Host. El Proxy, instalado sobre el
Nodo Bastión, actúa de intermediario entre el cliente y el servidor real de la
aplicación, siendo transparente a ambas partes. Cuando un usuario desea un
servicio, lo hace a través del Proxy este, realiza el pedido al servidor real
devuelve los resultados al cliente. Su función fue la de analizar el tráfico de red
en busca de contenido que viole la seguridad de la misma. Gráficamente:
Figura # 3: Fuente:, “http://carlose25.lamula.pe/files/2009/08/proxy-aplicacion.gif”
Firewall Dual-Homed Host: Son dispositivos que están conectados a ambos

perímetros (interior y exterior) y no dejan pasar paquetes IP (como sucede en el
caso del Filtrado de Paquetes), por lo que se dice que actúan con el "IP-
Forwarding desactivado".
Un usuario interior que desee hacer uso de un servicio exterior, deberá

conectarse primero al Firewall, donde el Proxy atenderá su petición, y en
función de la configuración impuesta en dicho Firewall, se conectará al servicio
exterior solicitado y hará de puente entre este y el usuario interior. Es decir que
se utilizan dos conexiones. Uno desde la máquina interior hasta el Firewall y el
otro desde este hasta la máquina que albergue el servicio exterior.
31
Figura # 4: Fuente: “http://www.monografias.com/trabajos82/la-seguridad-
informatica/image004.png”
Firewall Screened Host.- En este caso se combina un Router con un host

bastión y el principal nivel de seguridad proviene del filtrado de paquetes. En el
bastión, el único sistema accesible desde el exterior, se ejecuta el Proxy de
aplicaciones y en el Choke se filtran los paquetes considerados peligrosos y
sólo se permiten un número reducido de servicios.
Figura # 5: Fuente: http://carlose25.lamula.pe/files/2009/08/bastion.gif”
Firewall Screened Subnet.- Como lo señala el portal de seguridad informática

segu-info.com.ar el diseño intenta aislar la máquina más atacada y vulnerable
32
del Firewall, el Nodo Bastión. Para ello se establece una Zona Desmilitarizada
(DMZ) de forma tal que sin un intruso accede a esta máquina no consiga el
acceso total a la subred protegida. En este esquema se utilizan dos Routers:
uno exterior y otro interior. El Router exterior tiene la misión de bloquear el
tráfico no deseado en ambos sentidos: hacia la red interna y hacia la red
externa. El Router interior hace lo mismo con la red interna y la DMZ (zona
entre el Router externo y el interno)16.
Es posible definir varios niveles de DMZ agregando más Routers, pero

destacando que las reglas aplicadas a cada uno deben ser distintas ya que en
caso contrario los niveles se simplificarían a uno solo.
Figura # 6: Fuente:“http://carlose25.lamula.pe/files/2009/08/screened-subnet.gif”
RIOS Julio (2008) señala que la Zona Desmilitarizada aísla físicamente los
servicios internos, separándolos de los servicios públicos. Además, no existe
una conexión directa entre la red interna y la externa. Los sistemas Dual-
16
SEGU-INFO, “Tipos de firewall”, http://www.segu-info.com.ar/firewall/screenedsubnet.htm
33
Homed Host y Screnned pueden ser complicados de configurar y comprobar, lo
que puede dar lugar, paradójicamente, a importantes agujeros de seguridad en
toda la red. En cambio, si se encuentran bien configurados y administrados
pueden brindar un alto grado de protección y ciertas ventajas17:
 Ocultamiento de la información: los sistemas externos no deben conocer el

nombre de los sistemas internos. El Gateway de aplicaciones es el único
autorizado a conectarse con el exterior y el encargado de bloquear la
información no solicitada o sospechosa.
 Registro de actividades y autenticación robusta: El Gateway requiere de
autenticación cuando se realiza un pedido de datos externos. El registro de
actividades se realiza en base a estas solicitudes.
 Reglas de filtrado menos complejas: Las reglas del filtrado de los paquetes
por parte del Router serán menos compleja dado a que él sólo debe atender
las solicitudes del Gateway.
Así mismo tiene la desventaja de ser intrusivos y no transparentes para el

usuario ya que generalmente este debe instalar algún tipo de aplicación
especializada para lograr la comunicación. Se suma a esto que generalmente
son más lentos porque deben revisar todo el tráfico de la red.
Firewall por Inspección de Paquetes: Este tipo de Firewalls se basa en el

principio de que cada paquete que circula por la red es inspeccionado, así como
también su procedencia y destino. Se aplican desde la capa de Red hasta la de
Aplicaciones. Generalmente son instalados cuando se requiere seguridad
sensible al contexto y en aplicaciones muy complejas.
Firewalls Personales: Estos Firewalls son aplicaciones disponibles para

usuarios finales que desean conectarse a una red externa insegura y mantener
su computadora a salvo de ataques que puedan ocasionarle desde un simple
17
RIOS Julio, “Seguridad Informática”, http://www.monografias.com/trabajos82/la-seguridad-
informatica/la-seguridad-informatica2.shtml
34
"cuelgue" o infección de virus hasta la pérdida de toda su información
almacenada.
1.15 La gestión operativa
Varios autores tratan de explicar a la gestión operativa o “gestión hacia abajo” la

que realiza el funcionario o directivo público hacia el interior de su organización
para aumentar su capacidad de conseguir los propósitos de sus políticas. Cubre
los cambios en la estructura de la organización y en el sistema de roles y
funciones, la elección de personal directivo y asesor de mediano nivel, los
procesos de capacitación del personal de planta permanente, la mejora
continua del funcionamiento de la organización con su actual tecnología y la
introducción de innovaciones técnicas y estratégicas acordes con los proyectos
en curso. Sus principales tareas son:
 Análisis de los servicios: Fundamentalmente se refiere al análisis de la

concordancia entre los servicios ofrecidos o que se piensa ofrecer y los
requerimientos de los ciudadanos. También se refiere al cumplimiento de las
especificaciones técnicas propias de cada producto o servicio, y a las
pruebas de su correcto funcionamiento.
 Análisis de los procesos: Se refiere a los procesos técnicos y
administrativos, y a su encuadre legal, que se utilizan o van a utilizarse para
la realización de proyectos, prestación de servicios, etc., tanto en lo
referente a la relación con el público destinatario como a la relación con
otras organizaciones de la administración pública.
 Revisión de los modos de diseñar y dirigir: El enfoque estratégico de la
administración pública, a diferencia del enfoque burocrático, un permanente
proceso de búsqueda de procedimientos más eficientes para la realización
de proyectos y la prestación de servicios, tratando de lograr resultados
acordes con los requerimientos de la gente sin malgastar los recursos
públicos disponibles.
35
La tarea esencial de la gestión operativa es el despliegue de recursos y
capacidades para obtener resultados concretos. Requiere objetivos acertados
(acordes con los requerimientos sociales), capacidad de conseguir recursos y
lograr implantar sistemas, procedimientos y personal en forma acorde con lo
que se quiere conseguir.
La visión convencional del funcionamiento del sector público lo considera un

caso especial de creación de valor en condiciones de pocos cambios y
conflictos, con innovaciones mínimas, manteniendo a la capacidad operativa
contenida dentro del sistema de la organización misma. La nueva visión
estratégica aparece como realmente necesaria cuando hay muchos cambios y
conflictos y, por ende, necesidad de innovar para asumir los nuevos desafíos
con posibilidades de éxito.
Desde el punto de vista de la gestión operativa, se puede incrementar

significativamente el valor público mediante:
 El aumento de la cantidad o la calidad de las actividades por recurso

empleado.
 La reducción de los costos para los niveles actuales de producción.
 Una mejor identificación de los requerimientos y una mejor respuesta a las
aspiraciones de los ciudadanos.
 Realizar los cometidos de la organización con mayor imparcialidad.
 Incrementar la disponibilidad de respuesta e innovación.
Para restructurar sus organizaciones con los lineamientos de una gestión

operativa innovadora, los directivos públicos deben analizar cinco cuestiones
principales:
 Decidir que producir y cómo actuar para ofrecer esos productos.

 Diseñar las operaciones necesarias para obtener esos productos o servicios.
36
 Utilizar y ajustar los sistemas administrativos de su organización, e innovar
en ellos, para aumentar la calidad, flexibilidad y productividad de los
sistemas.
 Atraer colaboradores nuevos para la realización de los objetivos de la
organización.
 Definir tipo, grado y ubicación de las innovaciones que se consideren
necesarias.
Es muy importante definir la misión y los objetivos de la organización en forma

simple, clara y general. Debe existir, a partir de allí, una jerarquía de finalidades
y metas, de diferentes grados de abstracción, que orienten las actividades
operativas, hasta llegar a los exhumo propiamente dichos (productos o
servicios).
Esas pirámides de objetivos son muy útiles, aparte de la orientación interna,

para el seguimiento y control externo de las organizaciones. La base para
diseñar procesos, y para hacer la revisión de dichos procesos en el tiempo, es
el diseño y revisión de los exumos (productos o servicios) de la organización.
Algunos aspectos que conviene tener en cuenta son los siguientes:
 No se puede diseñar un proceso sin saber que producto se quiere

conseguir.
 En las operaciones, frecuentes en la Administración Pública, que
combinan servicios a prestar y obligaciones a asumir, la diferencia entre
producto y proceso es más ambigua.
 Para los funcionarios identificados con la cultura burocrática tradicional,
los procesos suelen ser más importantes que los productos.
Los sistemas administrativos incentivan y orientan la actividad de la

organización, garantizan la realización de los objetivos y la prestación efectiva
de los servicios. Los sistemas administrativos más importantes son los que:
37
 Establecen la estructura administrativa, es decir, definen los grados y
áreas de autoridad, las responsabilidades y las funciones.
 Estipulan los procedimientos para los procesos de toma de decisión
sobre temas clave (la planificación estratégica).
 Definen las tecnologías de la organización para la configuración de
políticas, programas y actuaciones.
 Gestionan el personal, es decir, reclutan, seleccionan, entrenan, evalúan,
recompensan y promocionan a los empleados.
 Definen los sistemas de control y gestión de la información, en lo
referente al empleo de los recursos, los niveles de actividad y los logros
obtenidos.
Desde una perspectiva estratégica, los sistemas administrativos deben ser

vistos, no aislados, sino en su conjunto, y evaluados según su aporte a la
estrategia general de la organización.
CAPITULO II
MARCO METODOLÓGICO Y PLANTEAMIENTO DE LA
PROPUESTA
2.1 El Municipio
La institución Municipal tiene la siguiente Misión: “Somos un Gobierno Municipal

elegido por el pueblo de Quevedo con el mandato de cambiar las estructuras y
métodos viciados de corrupción y vanidades, que está comprometido con la
transparencia en sus procedimientos, la integridad en el manejo de los
recursos, la rendición de cuentas periódicas y ejemplo para las presentes y
futuras generaciones”.
38
Mientras que su visión se resume en: “Ser el Gobierno Municipal de Quevedo,
ejemplo para las futuras administraciones por su eficiencia, eficacia y
efectividad en llenar las necesidades sentidas del pueblo de Quevedo”
Figura # 7: Fuente: autor “Municipio de Quevedo”

Su filosofía de trabajo se resume en:
 Planificación técnica orientada a la cobertura de sus necesidades básicas.
 Organización moderna que responde a un modelo de competencias
comprendido, adaptado y practicado por todas las personas involucradas
en la estructura política y administrativa del Gobierno Municipal.
 Dirección enfocada hacia los resultados claves fijados por el Alcalde en la
planificación y la organización.
 Coordinación entre todos los equipos de trabajo integrados en las
direcciones municipales, las secciones, las empresas municipales, las
dependencias y organizaciones gremiales que forman parte del Gobierno
Municipal, donde el señor Alcalde ejerce un liderazgo de 360 grados.
 Disciplina y control de cumplimiento de los objetivos fijados dentro de las
normas que se contemplan en el modelo de competencia adoptado.
 Capacitaciones y mediciones periódicas del personal que permiten
mantener el comportamiento y la cultura organizacionales deseadas por el
pueblo de Quevedo.
39
2.2 Diseño Metodológico.
La modalidad investigativa que se ha utilizado en esta tesis es la denominada

cuali-cuantitativa. La investigación cualitativa es el procedimiento metodológico
que se caracteriza por utilizar palabras, textos, discursos, dibujos, gráficos e
imágenes para comprender la vida social por medio de significados y desde una
perspectiva holística, pues se trata de entender el conjunto de cualidades
interrelacionadas que caracterizan a un determinado fenómeno y se la aplica
para determinar los objetos cualitativos del problema como el mal servicio,
eficiencia y más.
La investigación cuantitativa se caracteriza por recoger, procesar y analizar

datos cuantitativos o numéricos sobre variables previamente determinadas.
Esto ya hace darle una connotación que va más allá de un mero listado de
datos organizados como resultado; pues estos datos que se muestran en
el informe final, están en total consonancia con las variables que se declararon
desde el principio y los resultados obtenidos van a brindar una realidad
específica a la que estos están sujetos. Dicha metodología se aplica para
determinar estadísticamente los síntomas de la problemática.
Los tipos de investigación aplicados son:
 Bibliográfica: este tipo de investigación se la desarrolla en base a la

recopilación de la información de fuentes primarias, se la utilizo para
desarrollar el marco teórico.
 De Campo: se la lleva a cabo en base a encuestas o entrevistas y se la
aplico para desarrollar el marco metodológico.
La población involucrada en la problemática descrita en el inicio de este trabajo

investigativo está estructurada de la siguiente forma:
40
FUNCIÓN NUMERO
Director departamental 1
Funcionarios del departamento 12
Funcionarios municipales 125
TOTAL 138
Se define como la muestra a un porcentaje de la población a investigar, se la

calculó en base a la siguiente fórmula:
( )
( )
La muestra quedo estructurada de la siguiente forma:
FUNCIÓN NUMERO
Gerente 1
Funcionarios del departamento 11
Funcionarios municipales 90
TOTAL 102
Las técnicas de investigación aplicadas fueron:

 Entrevista al director departamental y encuesta tanto a los funcionarios
del departamento de sistemas como a los empleados municipales.
41
Los instrumentos utilizados fueron:
 Cuestionarios específicos para empleados del departamento de sistemas
(Ver Anexo A).
 Cuestionarios específicos para funcionarios municipales (Ver Anexo B).
 Guía de entrevista para el Director (Ver Anexo C).
Luego de realizada la investigación de campo se procedió a tabular sus

resultados de las encuestas,
Respuestas Frecuencia Porcentaje
los cuales se detallan a
Frecuentemente 10 11%
continuación.
Pocas veces 37 41%
Nunca 43 48%
Total 90 100%
Resultados de la encuesta realizada a los funcionarios municipales
Pregunta No 1. ¿Han tenido que suspender la atención al público debido a que

no se puede acceder al sistema o falta información en la base de datos debido
a alguna intromisión inesperada?.
Frecuentemente……… Pocas veces…….. Nunca……
42
Frecuente
mente
11%
Nunca
48%
Pocas
Respuestas vecesPorcentaje
Frecuencia
41%
Si 25 28%
No 43 48%
No sé 22 24%
Total 90 100%
Figura # 8: Fuente: Autor
Se manifiesta que en varias oportunidades se ha tenido que dejar de atender al

público por problemas en el sistema debido a accesos indebidos, ya sea a
través de la red inalámbrica o de acceso a la base de datos mediante cualquier
terminal de uso interno.
Pregunta No 2. ¿Son cambiadas periódicamente las claves de acceso de las
redes inalámbricas que se utilizan en cada departamento?.
Si…… No…….. No se………
43
No sé Si
24% 28%
No
48%
Si 13 14%
No 46 51%
No sé 31 34%
Total 90 100%
Casi la mitad de los encuestados señala que no se cambian periódicamente las

claves de acceso mientras que prácticamente la mitad del resto no sabe si se
cambian o no. En definitiva casi un 75% no tiene referencias sobre cambios de
clave.
Pregunta No 3. ¿Las claves de acceso a los diferentes sistemas como

recaudación de impuesto predial, seguimiento de documentos, pago de
patentes y mas, son renovadas permanentemente ?.
44
Si
No sé 15%
34%
Frecuentemente 54 60%
Pocas veces 28 31%
No
Nunca 8 51% 9%
Total 90 100%
En forma similar a la pregunta anterior, las claves de acceso a los sistemas

tampoco son renovadas periódicamente y esto permite que sistemas como el
de cobro de impuestos prediales, patentes y más, eleven su riesgo operativo al
mantener claves durante mucho tiempo.
Pregunta No 4. ¿Debido a su acceso a Internet, le han llegado virus o correos

peligrosos denominados spam?.
45
Nunca
9%
Pocas veces Frecuenteme

31% nte
60%
Un elevado porcentaje ha sufrido la problemática de los virus y de los correos

electrónicos no deseados, esto quiere decir que no hay un control en estos
aspectos.
Pregunta No 5. ¿Cambia usted periódicamente sus claves de acceso para su
computador ?.
Si….. Rara vez ……. Nunca……..

Si 16 18%
Rara vez 31 34%
Nunca 43 48%
Total 90 100%
46
Si
18%
Nunca
48%
Rara vez
34%
Prácticamente la mitad de los encuestados nunca cambian su clave de acceso

y del resto un 35% dice que lo hace rara vez, en total estamos hablando de un
85% que no actualizan frecuentemente su clave.
Pregunta No 6. ¿Cree necesario mejorar los niveles de seguridad de acceso a
redes y sistemas de tipo informático en el Municipio?
Si…. No…… No sé………….

Si 55 61%
No 22 24%
No sé 13 14%
Total 90 100%
47
No sé
15%
No
24% Si
61%
La gran mayoría considera muy necesario mejorar los niveles de seguridad

informática que mantiene la Institución, especialmente en algunos elementos
tecnológicos como redes y sistemas.
Resultados de la encuesta realizada a los funcionarios del departamento
de sistemas
Pregunta No 1. ¿Considera usted que los niveles de seguridad en las redes

Institucionales es?
Bajo……… Medio………. Alto………….

Bajo 6 55%
Medio 4 36%
Alto 1 9%
48
Total 11 100%
Alto
9%
Medio
Bajo
36%
55%
Los técnicos del departamento consideran que el nivel de seguridad informática

de la Institución es muy bajo y que debe ser obligatoriamente mejorado para
así disminuir los riesgos operativos.
Pregunta No 2. ¿Catalogue el nivel de la infraestructura existente (firewall
físicos, redes perimetrales y más) para proteger la red principal de la
Institución?.
Buena……… Regular………….. Mala……………
49
Buena 0 0%
Regular 4 36%
Mala 7 64%
Total 11 100%

Buena
0%
Regular
36%
Mala
64%
Más de la mitad creen que la infraestructura tecnológica de la Institución está

en niveles de regular y mala en lo referente a seguridad informática.
Pregunta No 3. ¿Qué nivel de seguridad cree usted que existe a nivel de

software para controlar virus, correos peligrosos y descargas dañinas o muy
grandes?.
Bajo…… Medio……. Alto……….
50
Bajo 6 55%
Medio 5 45%
Alto 0 0%
Total 11 100%

Si 1 Alto 9%
A vecs 2
0% 18%
Medio
45%
Bajo
55%
Se manifiesta que a nivel de software igualmente se tiene niveles muy bajos de

seguridad informática y que aspectos como el control de virus, descargas
dañinas o muy grandes deben ser contraladas de mejor manera al interior de la
Institución.
Pregunta No 4. ¿El departamento controla y renova frecuentemente las claves
de sistemas y acceso a equipos?.
51
Si ……………. No 8 73% No……………..
A Total 11 100%
veces………………
Si
9%
A vecs
18%
No
73%

El departamento no tiene un control sobre claves de acceso asignadas a los
usuarios. Esto hace que no haya una renovación constante de las mismas y al
mantenerse ellas por largo tiempo, genera una inseguridad y por ende eleva el
nivel de riesgo.
52
Pregunta No 5. ¿El departamento de sistemas ha definido políticas de
seguridades que hayan tenido influencia directa en toda la Institución?.
Si………….. No……………….

Si 0 0%
No 9 100%
Total 9 100%
Si
0%
No
100%
Se manifiesta que el departamento de Sistemas, lamentablemente no ha

definido políticas de seguridad que afecten globalmente a la Institución. Esto
implica que no se trabajo en la planificación tecnológica, específicamente en el
campo de la seguridad informática.
53
Pregunta No 6. ¿Cree importante definir un plan de seguridades para aplicarlo
en la Institución?.
Si………….. No……………….

Si 9 100%
No 0 0%
Total 9 100%
No
0%
Si
100%
Todos los investigados señalan que sería muy importante un plan de

seguridades informáticas para elevar el nivel de confianza en la realización de
las operaciones administrativas de la entidad municipal.
54
Entrevista realizada al Director del Departamento de Sistemas
El Ingeniero Wilmer Cherrez Director del Departamento de Sistemas del

Municipio señala lo siguiente con relación a nuestros requerimientos:
¿En qué porcentaje cree usted que la gestión operativa Municipal se

apoya en el aparato tecnológico?.
Cada día, la dependencia de la estructura tecnológica es mayor en la

Institución, considero que la gestión operativa Institucional depende en un 85-
90% de la tecnología, esto dependencia permite generar servicios rápidos,
eficaces y dinámicos.
¿Qué niveles de seguridad informática se tienen actualmente en el

Municipio?.
Cuesta mucho decirlo, pero lamentablemente los niveles de seguridad

informática son muy bajos, el departamento de sistemas especialmente se ha
dedicado a incorporar la tecnología en los diferentes procesos pero no se han
definido políticas ni normas para elevar las seguridades informáticas de la
estructura tecnológica. Hoy en día no se han tenido todavía mayores
dificultades por accesos indebidos pero como ya están brindando servicios en
línea ahí se hace imprescindible dicho proceso de seguridades.
¿Qué niveles de seguridad existen en las redes institucionales?.
Todas las redes inalámbricas tienen su respectiva clave, pero lamentablemente

dicha clave no ha sido renovada, esto quiere decir que ya la conoce todo el
mundo. También hay que señalar que no existen redes perimetrales como
elementos de seguridad ni firewall físicos.
55
¿Existe una cultura de seguridad en el personal?.
No se tiene una cultura por la seguridad informática, muchos equipos tienen sus
claves de acceso pero no se cambian nunca ni tampoco las administra el
departamento de sistemas.
¿Considera necesario un plan de seguridad informática para la

Institución?
Dado el desarrollo tecnológico, hoy en día se hace imprescindible un plan de

seguridad informática institucional, este debe proveer principalmente aspectos
relacionados con seguridades contra accesos indebidos, y el respaldo
permanente de la información.
56
2.3 Propuesta del Investigador
En base al diagnóstico previo realizado, se puede deducir que la solución a la

problemática planteada en la introducción, consiste en desarrollar un Plan de
Seguridad Informática.
El Objetivo general de esta propuesta, se lo estructura de la siguiente forma:
Desarrollar un plan de seguridad informática, orientado especialmente al área

de redes y sistemas y en el cual se tengan estrategias como control de acceso
a redes inalámbricas, a redes externas, control de ingresos indebidos,
renovación frecuente de claves, respaldo de información y más.
Se espera que luego de haber aplicado en la Institución el plan de seguridad

informática se produzca un descenso significativo de los riesgos operativos que
se tienen en la entidad Municipal.
La Solución estará estructurada de la siguiente manera:
DESCRIPCIÓN DISEÑO DE LAS RESUMEN DE

PUNTUAL DE ESTRATEGIAS ESTRATEGIAS Y
LOS NODOS DEL PLAN CRONOGRAMA
CRÍTICOS RESPECTIVO DE APLICACION
Iniciando la descripción puntual de nodos críticos se evalúa la probabilidad de

ocurrencia de los distintos riesgos a los que se encuentra sometida la red
corporativa, con el objetivo de diseñar los controles preventivos y correctivos a
57
los que se considera más críticos y causan más impacto para la administración.
Inicialmente se plantea un cuadro con los principales riesgos de seguridad
informática que se tiene en la Institución.
Tabla: Elementos vs Riesgos
RIESGOS SUMINISTROS FALTA DE

PÚBLICOS SEGURIDAD
CATASTRÓ
ELEMENTOS FICOS
TÉCNICOS HUMANOS
Falta de Falta de
Incendio, Falta de conocimiento, energía, Sabotaje,
explosión, mantenimiento, errores y fallas en las hurto, retiro
desastres estandarización, omisiones, falta comunicacio de
SERVIDORES naturales información vital de privacia nes personal
Falla de
Falta de Falta de energía,
mantenimiento, conocimiento, fallas en las Hurto,
Desastres estandarización, errores y comunicacio retiro de
ANTENAS naturales información vital omisiones nes personal
Falla de
Incendio, Falta de Falta de energía,
explosión, mantenimiento, conocimiento, fallas en las Hurto,
desastres estandarización, errores y comunicacio retiro de
ROUTERS naturales información vital omisiones nes personal
Falla de
Incendio, Falta de Falta de energía,
explosión, mantenimiento, conocimiento, fallas en las Hurto,
SWITCHES, desastres estandarización, errores y comunicacio retiro de
HUBS naturales información vital omisiones nes personal
Incendio,
explosión,
SISTEMA desastres Estandarización, Errores y Falla de
ENERGIA naturales información vital omisiones energía. Sabotaje
Falla de
Incendio, energía, Sabotaje,
explosión, fallas en las hurto, retiro
desastres Estandarización, Errores y comunicacio de
CABLEADO naturales información vital omisiones nes personal
Falla de
Incendio, Falta de Falta de energía, Sabotaje,
ESTACIONES explosión, mantenimiento, conocimiento, fallas en las hurto, retiro
USUARIO desastres estandarización, errores y comunicacio de
FINAL naturales información vital omisiones nes personal
Falla de
Incendio, energía,
explosión, fallas en las
ENTORNO desastres Errores y comunicacio
FÍSICO naturales omisiones nes
Cuadro # 1: Fuente: Investigación;” Tabla: Elementos vs Riesgos”
58
Como se mencionó anteriormente, el objetivo de esta tesis consiste en
Desarrollar un plan de seguridad informática, para que mediante su aplicación
se pueda disminuir los riesgos operativos del Municipio de Quevedo. A
continuación se describen las etapas en las cuales está dividido el Plan de
Seguridad Informática.
 Seguridad en las Comunicaciones.

 Seguridad de las Aplicaciones.
 Seguridad lógica de la información.
 Seguridad física
2.3.1 Seguridad de las Comunicaciones
En esta parte del trabajo se analizó y se evaluó aspectos relacionados a la

seguridad en las comunicaciones como son los datos transmitidos, los
dispositivos que son usados, entre otros, comprobando el cumplimiento de las
normas de seguridad de la información.
La estructura general de la red es:
59
Los equipos que dispone el Municipio en sus diferentes departamentos son:
DEPARTAMENTOS EQUIPOS
SISTEMAS 7
FISCALIZACIÓN 4
SERVIDORES 2
TESORERÍA 5
OBRAS PUBLICAS 3
ORDENAMIENTO TERRITORIAL 1
CONSEJO Y JUNTA CANTONAL DE PROTECCIÓN DE LOS NIÑOS 3
JURÍDICO 3
ALCALDÍA Y ASESORÍA 3
DIRECCIÓN DE PLANIFICACIÓN Y URBANISMO 3
DEPARTAMENTO DE DIBUJO 1
RENTAS 4
DIRECCIÓN FINANCIERA Y PRESUPUESTO 4
CONTABILIDAD 5
DIRECCIÓN DE RECURSOS HIDRÁULICOS (AGUA POTABLE) 2
DIRECCIÓN DE TALENTO HUMANO Y RECURSOS HUMANOS 3
DEPARTAMENTO DE AVALÚOS Y CATASTROS 3

JEFATURA DE PROVEEDURÍA 2
JEFATURA DE GUARDA ALMACÉN 2
RECAUDACIÓN 5
DIRECCIÓN DE HIGIENE AMBIENTAL 3
COMISARIA DE CONSTRUCCIÓN 3
JEFATURA DE COACTIVAS 2
TOTAL 73
Los planos de red de varios departamentos son:
60
Figura # 22: Fuente: Autor, “Planos del Municipio de Quevedo”
61
Figura # 23: Fuente: Autor, “Planos del Municipio de Quevedo”
62
Las direcciones IP asignadas a los diferentes equipos de cómputos en la
Municipalidad es la siguiente:
DEPARTAMENTOS EQUIPOS IP RANGO

DESDE HASTA
SISTEMAS SERV. DATS. 10.10.1.1 10.10.1.1 10.10.1.10
SERV. INT. 10.10.1.2
ANLS. SISTEMAS 10.10.1.3
I
ASISTENTE DE 10.10.1.4
S.
AUXILIAR DE S. 10.10.1.5
LAPTOS 10.10.1.6
FISCALIZACION FISCALIZADOR I 10.10.1.11 10.10.1.11 10.10.1.20

FISCALIZADOR II 10.10.1.12
TESORERIA Y TESORERO 10.10.1.21 10.10.1.21 10.10.1.30

RECAUDACION ASISTENTE DE 10.10.1.22
T.
RECAUDA I 10.10.1.23
RECAUDA II 10.10.1.24
RECAUDA III 10.10.1.25
OBRAS PUBLICAS, O.O.P.P. 10.10.1.31 10.10.1.31 10.10.1.40

ORDENAMIENTO
TERRITORAL ORD. 10.10.1.40
TERRITORIAL
CONSEJO Y JUNTA JEFE 10.10.1.41 10.10.1.41 10.10.1.50

CANTONALDE
PROTECCION DE LOS ASISTENTE 10.10.1.42
NIÑOS Y NIÑAS
ADOLECENTES SECRETARIA 10.10.1.43
ASESORIA JURIDICA SINDICO 10.10.1.61 10.10.1.61 10.10.1.70

ABOGADO 1 10.10.1.62
ABOGADO 2 10.10.1.63
ALCALDIA Y ASESORIA ALCALDE 10.10.1.71 10.10.1.71 10.10.1.80
63
DE ALCALDE (LAPTOS)
SECRETARIA 10.10.1.72
ALC.
ASESOR 10.10.1.73
(LAPTO)
ASIST. DE 10.10.1.74
ASESOR
SECRET. 10.10.1.75
ASESOR
DEP. DE DIBUJO DIRECT. PLANF 10.10.1.81 10.10.1.81 10.10.1.90

PLANIF Y URBANISMO SECRETARIA 10.10.1.82
DIBUJO 10.10.1.83
JEFATURA DE RENTAS JEFE RENTAS 10.10.1.91 10.10.1.91 10.10.1.100

VENTANILLA I 10.10.1.92
VENTANILLA II 10.10.1.93
DIRECCION FINANCIERA DIRECTOR F. 10.10.1.101 10.10.1.101 10.10.1.110

Y PRESUPUESTO ASIST. FINANC 10.10.1.102
JEFE. DE PRES. 10.10.1.103
ASIST. PRES. 10.10.1.104
AUXILIAR DE S. 10.10.1.105
LAPTOS 10.10.1.106
JEFATURA DE JEFE 10.10.1.111 10.10.1.111 10.10.1.120

CONTABILIDAD (CONTADOR)
ASISTENTE DE 10.10.1.112
C.
AUX. CONTB 10.10.1.114
CONTADOR I 10.10.1.115
DIRECCION DE DIRECTOR T.H 10.10.1.121 10.10.1.121 10.10.1.130

TALENTO HUMANO Y
ASIST. DE R.H 10.10.1.122
RECURSOS HUMANOS
JEFE DE R.H 10.10.1.123
DIRECCION DE JEFE 10.10.1.131 10.10.1.131 10.10.1.140

RECURSOS
HIDRAULICOS SECRETARIO 10.10.1.132
(AGUA POTABLE)
64
DEPARTAMENTO DE JEFE DE 10.10.1.141 10.10.1.141 10.10.1.150
AVALUOS Y CATASTROS CATAST.
ASIST. DE 10.10.1.142
CATAST
JEFATURA DE JEFE DE PROV. 10.10.1.151 10.10.1.151 10.10.1.160

PROVEEDURIA Y
ASIST. DE PROV. 10.10.1.152
GUARDALMACEN
JEFE DE 10.10.1.153
GUARD.
ASIST. DE 10.10.1.154
GUARD
HIGIENE AMBIENTAL DIRECTOR H.A 10.10.1.161 10.10.1.161 10.10.1.170

COMISARIA DE JEFE DE C.C 10.10.1.162
CONSTRUCCION Y
JEFE DE C.M 10.10.1.163
MUNICIPAL
JEFATURA DE DIRECTOR H.A 10.10.1.171 10.10.1.171 10.10.1.180

COACTIVAS JEFE DE C.C 10.10.1.172
JEFE DE C.M 10.10.1.173
Cuadro # 2: Fuente: Investigación;” Tabla: Direcciones IP”
2.3.1.1 Procesos de control a implementar:
Entre los procesos de seguridad a implementar a nivel de redes tenemos:
 Estructuración de la red DMZ
Una red perimetral o DMZ es una red local que se ubica entre la red interna
de una organización y una red externa, generalmente Internet. El objetivo de
una DMZ es que las conexiones desde la red interna y la externa a la DMZ
estén permitidas, mientras que las conexiones desde la DMZ sólo se permitan
a la red externa, es decir: los equipos locales (hosts) en la DMZ no pueden
conectar con la red interna. Esto permite que los equipos (hosts) de la DMZ’s
puedan dar servicios a la red externa a la vez que protegen la red interna en el
caso de que intrusos comprometan la seguridad de los equipos (host) situados
en la zona desmilitarizada. Para cualquiera de la red externa que quiera
65
conectarse ilegalmente a la red interna, la zona desmilitarizada se convierte en
un callejón sin salida.
Figura # 24: Fuente: “http://www.monografias.com/seguridadinformatica”
En la red perimetral se sitúan servidores que requieren acceso selectivo, tanto

desde dentro como desde fuera del cortafuegos, entre estos servidores
tenemos :Servidores de corre (SMTP), servidores web (HTTP) externos, los
servidores de nombre de dominio (DNS) y los servidores RAS (Remote Access
Service) donde se encuentra la batería del modem, los servidores VPN o los
servidores FTP.
Objetivo de la actividad: Dotar a la institución de un anillo de seguridad

externa controlando accesos de varias formas.
Planificación de Actividades:
o Definir la estructura
o Definir elementos
o Configurar firewall
o Estructuración de Honeypots
o Configuración de firewall complementarios y físicos
o Wpa y Wpa2
66
A continuación se desarrollan las diferentes actividades planificadas en la
sección anterior
Actividad Definir estructura: Para nuestra propuesta se ha definido un

firewall por filtrado de paquetes o de nivel 3, se basa en un router capaz de
actuar sobre las PDU (Unidades de datos de protocolos) de nivel de red de la
pila de protocolos, que bloquea o reenvia los paquetes autorizados. Examina
las cabeceras TCO o UDP de cada paquete que circula a través del cortafuego,
en cada dirección, filtrando los paquetes en cada función de las direcciones IP
origen o destino y de los números de puerto origen y destino, como el puerto 25
SMTP de envío de correo, concediendo o denegando el acceso.
Las características que ofrecerá la DMZ diseñada será:
- Filtrado de paquetes a cualquier zona

- NAT, Mapero Bidireccional
- Colas de tráfico y Prioridad
- Balanceo de carga a servicios
- Filtrado de contenido (web-cache)
- Monitoreo de tráfico en interfaces vía netfow
67
Actividad Equipos y software
Para la construcción de este cortafuego en la red perimetral necesitamos:
1 Computador que hará de maquina expuesta o Bastión
Características: Microprocesador I3, Memoria RAM de 1 Giga, Disco duro de

150 Gigas, 3 tarjetas de red, pórticos serial y paralelo.
1 Router, 2 Switch, Sistema operativo Linux, Squid, IPTABLES
Figura # 26: Fuente: http://www.pello.info/filez/firewall/Firewalls6.jpg
Esta estrategia tiene un presupuesto de 4000 dólares
Actividad Configuraciones del firewall
Direccionamiento
68
Dispositivo Dirección IP
Router Dlink DIR 655 192.168.1.1
Pc Bastión T1 Expuesta 192.168.1.2
Pc Red DMZ T2 192.168.3.1
Pc Red Lan T3 192.168.10.1
Servidor mail 192.168.3.2
Servidor www 192.168.3.3
Pc Lan 1 192.168.10.2
En este tipo de firewall hay que permitir:
- Acceso de la red local a internet.

- Acceso público al puerto tcp/80 y tcp/443 del servidor de la DMZ
- Acceso del servidor de la DMZ a una BBDD de la LAN
La configuración utilizando IPTABLES será:
#!/bin/sh
## SCRIPT de IPTABLES - ejemplo del manual de iptables
echo -n Aplicando Reglas de Firewall...
## FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
## Establecemos politica por defecto

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
69
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
## Empezamos a filtrar
## Nota: eth0 es el interfaz conectado al router y eth1 a la LAN
# Todo lo que venga por el exterior y vaya al puerto 80 lo redirigimos
# a una maquina interna
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to
192.168.3.2:80
# Los accesos de un ip determinada HTTPS se redirigen e esa

# maquina
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j DNAT --to
192.168.3.2:443
# El localhost se deja (por ejemplo conexiones locales a mysql)

/sbin/iptables -A INPUT -i lo -j ACCEPT
# Al firewall tenemos acceso desde la red local

iptables -A INPUT -s 192.168.10.0/24 -i eth1 -j ACCEPT
# Ahora hacemos enmascaramiento de la red local y de la DMZ

# para que puedan salir haca fuera
# y activamos el BIT DE FORWARDING (imprescindible!!!!!)
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.3.0/24 -o eth0 -j MASQUERADE
# Con esto permitimos hacer forward de paquetes en el firewall, o sea

# que otras máquinas puedan salir a traves del firewall.
echo 1 > /proc/sys/net/ipv4/ip_forward
## Permitimos el paso de la DMZ a una BBDD de la LAN:

iptables -A FORWARD -s 192.168.3.2 -d 192.168.10.5 -p tcp --dport 5432 -j
ACCEPT
70
iptables -A FORWARD -s 192.168.10.5 -d 192.168.3.2 -p tcp --sport 5432 -j
ACCEPT
## permitimos abrir el Terminal server de la DMZ desde la LAN

iptables -A FORWARD -s 192.168.10.0/24 -d 192.168.3.2 -p tcp --sport
1024:65535 --dport 3389 -j ACCEPT
# … hay que hacerlo en uno y otro sentido …

iptables -A FORWARD -s 192.168.3.2 -d 192.168.10.0/24 -p tcp --sport 3389 --
dport 1024:65535 -j ACCEPT
# … por que luego:

# Cerramos el acceso de la DMZ a la LAN
iptables -A FORWARD -s 192.168.3.0/24 -d 192.168.10.0/24 -j DROP
## Cerramos el acceso de la DMZ al propio firewall

iptables -A INPUT -s 192.168.3.0/24 -i eth2 -j DROP
## Y ahora cerramos los accesos indeseados del exterior:

# Nota: 0.0.0.0/0 significa: cualquier red
# Cerramos el rango de puerto bien conocido

iptables -A INPUT -s 0.0.0.0/0 -p tcp -dport 1:1024 -j DROP
iptables -A INPUT -s 0.0.0.0/0 -p udp -dport 1:1024 -j DROP
# Cerramos un puerto de gestión: webmin
iptables -A INPUT -s 0.0.0.0/0 -p tcp -dport 10000 -j DROP
echo " OK . Verifique que lo que se aplica con: iptables -L -n"
# Fin del script
71
Actividad Honeypots
Un honeypot o señuelo es un sistema diseñado expresamente para aprender

nuevos tipos de ataque, analizando la identidad del enemigo, desde donde
ataca, que tipo de tácticas y estrategias utiliza, que herramientas emplea y
cuáles son sus objetivos. El objetivo principal de los honeypots no es detener
los ataques, sino precisamente lo contrario, es decir facilitar al atacante un
entorno en el que pueda realizar cualquier acción para comprometer la
seguridad de todo o parte de nuestro sistema. De esta manera se pretende
registrar todas las acciones del intruso sin que este sepa que está siendo
vigilado, para aprender nuevas formas de agresión, que posteriormente se
podrán evitar mediante la reconfiguración de los dispositivos de red, de los
firewall o de los elementos de detección y respuesta a intrusos.
Para el proceso de control en la red perimetral necesitamos de los siguientes

recursos:
72
1 Computador con especificaciones mínimas, puede ser P4 Dual Core,
Memoria Ram de 1 Mega, Tarjeta de red y disco duro de 40Gigas.
Software instalado: Windows 2000 Server y activado el cortafuegos interno.
Software HoneyBOT.- es una solución honeypot de baja interacción para

Windows, gratuita que podemos instalar con un solo click y sin más
complicaciones en un pc de nuestra red local, o en un terminal dedicado,
después de su instalación, solamente hay que configurarlo adaptándolo a
nuestras necesidades y gustos.
Direccionamiento: Como se va a incluir en la zona desmilitarizada se lo hará

con la dirección IP 192.168.3.8
El software HoneyBOT puede ser descargado de la siguiente dirección:

http://www.atomicsoftwaresolutions.com/download.php.
HoneyBOT.- imita y escucha servicios vulnerables. Cuando un atacante se

conecta a estos servicios es engañado, haciéndole creer que está atacando a
un servidor real. El honeypot capta todas las comunicaciones con el atacante y
registra los resultados para el análisis futuro. En caso de que un
atacante intentara explotar o subir un rootkit, o un troyano en el servidor,
“honeypot” puede almacenar estos archivos en su equipo para la recolección de
malware y el propósito del análisis.
73
Actividad Firewall complementarios.
El firewall lógico existente en la Institución es un servicio que se encuentra

integrado en el kernel de Linux el cual fue configurado de manera que se
prohíben todos los servicios y solo se habilitan los que se necesitan en lo que
se conoce como negación prestablecida en resumen se discriminan tres clases
de paquetes:
 Los que ingresan.
 Los que salen.
 Los que se encuentran en tránsito.
Con esto lo que no se especifique explícitamente está prohibido, es decir que
no tienen permitido el acceso los paquetes que ingresan ni los que están en
tránsito, solo los que salen pueden hacerlo sin problema, entre las reglas más
importantes tenemos las siguientes:
 Se aplica NAT los paquetes que van o vienen de la red interna

colocándole la IP del servidor para evitar que sea conocida la IP del
origen, y cuando el paquete vuelve se realiza la acción contraria
 Todo lo que tenga como destino los puertos 8080, 80, 8088, (HTTP), se
re direcciona al proxy.
 Lo que respecta a los puertos de salida no hay ninguna restricción.
 Esta permitido los Loop Back en la red.
 Se permite la sincronización horaria y por ende el puerto de entrada que
utiliza (Servicios de Date y Time).
 El puerto de ingreso 22 (SSH) está habilitado.
 Los paquetes en tránsito son aceptados solo si provienen de la red
interna.
 A todos los puertos altos (Mayores al 1023) se les permite el acceso ya
que de estos vienen todas las conexiones TCP/IP de cualquier cliente.
74
 Está prohibido el acceso a todos los puertos bajos (Menores a 1023), a
excepción de los explícitamente permitidos como el 22 que pertenece a
SSH.
Los siguientes servicios o se encuentran bloqueados explícitamente, pero es

posible acceder a ellos a través de SSH:
 No se han deshabilitados servicios como los de Login y los de Shell lo
que quiere decir que se puede acceder a servicios remotos como son
RLOGIN, REXED entre otros.
 Se encuentra habilitado el servicio TALK (chat entre maquinas).
 Se encuentra habilitado el servicio FINGER (información de los datos del
usuario logeado a la maquina).
 Se encuentra habilitado el servicio SYSTAT (datos del estado del
sistema).
Hay servicios que están habilitados permanente pero no son de necesidad en la

red como por ejemplo el FTP que lo usan los usuarios externos para actualizar
y subir información de manera mensual. En el servidor se usa una política
denominada on demand que permite activar ciertos puertos cuando son
necesarios para un determinado proceso o tarea, el mantenimiento de los
sistemas lo realiza una empresa externa la cual accede al servidor a través de
una conexión cifrada SSH que es mucho más segura que usar telnet donde la
información viaja en la red en texto plano el cual es de fácil interceptación con el
simple uso de un sniffer.
Firewall físico.- Se sugiere como medida de seguridad complementaria,

adquirir un cortafuego o firewall físico para evitar que los usuarios
desautorizados de Internet tengan acceso a las redes privadas conectadas con
Internet, especialmente intranets. Todos los mensajes que entran o salen de la
Intranet pasan a través del cortafuegos, que examina cada mensaje y bloquea
los que no cumplen los criterios de seguridad especificados.
75
Es importante recordar que un cortafuego no elimina problemas de virus del
ordenador, sino que cuando se utiliza conjuntamente con actualizaciones
regulares del sistema operativo y un buen software antivirus, añadirá cierta
seguridad y protección adicionales para tu ordenador o red.
El firewall que se sugiere instalar, son elementos que se pueden configurar y

personalizar ajustándose a las seguridades y necesidades de la Municipalidad.
Esto significa que puedes añadir o quitar filtros basándote en varias
condiciones. Algunas de ellas son:
Direcciones IP.- Cada computador que esté conectado a la red de Municipio

con conexión a internet es asignado con una única dirección identificativa
llamada dirección IP, La cual permitirá identificar el equipo que está unido a la
red.
Nombres de dominio.- Al ser difícil recordar tantos números que forman las
direcciones IP y porque estos números pueden cambiar, los servidores en
Internet tienen nombres legibles llamados nombres de dominio. Esta
conversión la hacen los llamados DNS y los firewalls de las compañías pueden
también bloquear el acceso a ciertos nombres de dominio o permitir solo
algunos.
Protocolos.- El protocolo en un firewall es la manera de que alguien accede a

un servicio usando ciertos números de puerto o “entradas” a ciertas
aplicaciones. Ese “alguien” suele ser un programa de ordenador como por
ejemplo un navegador. Los protocolos normalmente describen como el cliente y
el servidor tendrá una “conversación” al conectarse. Algunos de los protocolos
que puedes configurar en el firewall son:
IP – Es el sistema principal para entregar información sobre la Internet.
TCP – Se usa para partir y volver a unir información que viaja por Internet.
http – Se usa en las páginas Web.
76
FTP – El protocolo FTP se usa para subir y descargar archivos de un sitio a
otro.
UDP – Se usa para información que no necesita respuesta de vuelta, como por
ejemplo el “streaming” o el uso de audio o video en tiempo real por Internet.
SMTP - Es el que se usa en el correo por Internet. Telnet – Para poder

conectarse a una máquina y realizar comandos de forma remota.
ICMP – Los usan ciertos elementos de red para intercambiar información con
otros dispositivos.
Cualquier máquina o servidor hace que sus servicios estén disponibles en

Internet usando unos puertos numerados, uno para cada servicio disponible en
el servidor. Por ejemplo, si un servidor tiene habilitado http y FTP, entonces
normalmente estará habilitando el puerto 80 para la Web y el puerto 21 para
FTP. El Gobierno Municipal de Quevedo restringirá a dos o tres personas para
que puedan utilizar FTP.
El firewall también se lo configurara para filtrar ciertas palabras y frases; e

incluso todo tipo de variaciones y combinaciones. La unidad de firewall se
considera el Gateway casi siempre, este tipo de firewalls son considerado muy
seguros.
El equipo que se debe adquirir es el siguiente:
3Com OfficeConnect Gigabit VPN Firewall -

Descripción del producto
aparato de seguridad
Tipo de dispositivo Aparato de seguridad
77
Dimensiones (Ancho x
29.3 cm x 34.1 cm x 9.6 cm
Profundidad x Altura)
Peso 2.5 kg
Protocolo de interconexión de
Ethernet, Fast Ethernet, Gigabit Ethernet
datos
Red / Protocolo de transporte TCP/IP, PPTP, UDP/IP, L2TP, IPSec, PPPoE
Protocolo de gestión remota SNMP 2c, HTTP, HTTPS, SSH
Capacidad VPN (IPSec) : 80 Mbps ¦ Capacidad del

Rendimiento
cortafuegos : 500 Mbps
Capacidad Conexión / cantidad de usuarios : 253
Protección firewall, puerto DMZ, auto-sensor por

dispositivo, soporte de NAT, asistencia técnica
VPN, soporte para PAT, equilibrio de carga, señal
ascendente automática (MDI/MDI-X automático),
limitación de tráfico, Stateful Packet Inspection
(SPI), prevención contra ataque de DoS
Características
(denegación de servicio), filtrado de paquetes,
copia de puertos, Cola Round Robin (WRR)
ponderada, filtrado de URL, soporte SNTP,
prevención de ataque DDos, soporte de Access
Control List (ACL), Quality of Service (QoS), IPSec
NAT-Traversal (NAT-T), Servidor DHCP
Valor del equipo 5.290,00
Figura # 28: Fuente: 3Com

El uso de la política de seguridad de red debe proteger las redes y riesgos y
pérdidas asociadas con recursos de red y seguridad. Las Políticas de Seguridad
de Red son la responsabilidad de encontrar una reputación así como
responsabilidad potencial.
Seguridades en redes inalámbricas.- Las políticas a implementar son en 3

sentidos:
78
 Proteger los datos durante su transmisión mediante el cifrado.
 Desalentar a los usuarios no autorizados mediante autenticación.
 Impedir conexiones no oficiales mediante la eliminación de puntos de

acceso dudosos.
WPA y WPA2.- Estas certificaciones de seguridad basadas en normas de la

Wi-Fi Alliance para LAN de grandes empresas, empresas en crecimiento y para
la pequeña oficina u oficinas instaladas en el hogar proporcionan autenticación
mutua para verificar a usuarios individuales y cifrado avanzado. WPA
proporciona cifrado de clase empresarial y WPA2, la siguiente generación de
seguridad Wi-Fi, admite el cifrado de clase gubernamental. "Recomendamos
WPA o WPA2 para las implementaciones de LAN inalámbrica en grandes
empresas y empresas en crecimiento", comenta Jeremy Stieglitz, gerente de
productos de la unidad comercial de Conexión de Redes Inalámbricas de Cisco.
"WPA y WPA2 ofrecen control de acceso seguro, cifrado de datos robusto y
protegen la red de los ataques pasivos y activos".
Política de seguridad inalámbrica
En algunos casos, puede haber parámetros de seguridad diferentes para

usuarios o grupos de usuarios diferentes de la red. Estos parámetros de
seguridad pueden establecerse utilizando una LAN virtual (VLAN) en el punto
de acceso. Por ejemplo, puede configurar políticas de seguridad diferentes para
grupos de usuarios diferenciados dentro de la compañía, como por ejemplo, los
de finanzas, jurídico, manufactura o recursos humanos. También puede
configurar políticas de seguridad independientes para clientes, partners o
visitantes que acceden a la LAN inalámbrica. Esto le permite utilizar un solo
punto de acceso de forma económica para ofrecer soporte a varios grupos de
usuarios con parámetros y requisitos de seguridad diferentes, mientras la red se
mantiene la segura y protegida.
79
La seguridad de LAN inalámbrica, aun cuando está integrada en la
administración general de la red, sólo es efectiva cuando está activada y se
utiliza de forma uniforme en toda la LAN inalámbrica. Por este motivo, las
políticas del usuario son también una parte importante de las buenas prácticas
de seguridad. El desafío es elaborar una política de usuarios de LAN
inalámbrica que sea lo suficientemente sencilla como para que la gente la
cumpla, pero además, lo suficientemente segura como para proteger la red.
Actualmente, ese equilibrio es más fácil de lograr porque WPA y WPA2 se
incorporan a los puntos de acceso Wi-Fi y los dispositivos de cliente
certificados.
Pasos prácticos que dar
 Activaremos las funciones de seguridad inherentes a los puntos de acceso y

las tarjetas de interfaz. Esto se realiza normalmente ejecutando un programa
de software suministrado con el equipo inalámbrico.
 El mismo programa que activa las funciones de seguridad inalámbrica

probablemente mostrará también la versión del firmware que utilizan los
puntos de acceso. (El firmware es el software utilizado por dispositivos como
los puntos de acceso o los routers.) Consulte el sitio web del fabricante del
dispositivo para conocer la versión más actualizada del firmware y actualizar
el punto de acceso si no lo está. El firmware actualizado hará que la red
inalámbrica sea más segura y confiable.
Sistema de Detección de Intrusos (IDS)
Los sistemas informáticos se apoyan en los Sistemas de Detección de

Intrusiones (IDS -de sus siglas en inglés) para prepararse y ocuparse del mal
manejo y del uso indebido de la información de una organización. Logran esta
meta, recopilando la información de una gran variedad de fuentes del sistema y
80
de la red y analizando la información que contribuye a los síntomas de los
problemas de seguridad de la misma, y permiten que el usuario especifique las
respuestas en tiempo real a las violaciones.
Los productos de detección de intrusos son aplicaciones que monitorean

activamente los sistemas operativos y el tráfico de red, con el objeto de detectar
ataques y violaciones a la seguridad.
Es decir, los IDS son herramientas de seguridad en red que recopilan

información de una variedad de fuentes del sistema, analizan la información de
los parámetros que reflejan el uso erróneo o la actividad inusual, responden
automáticamente a la actividad detectada, y finalmente informan el resultado del
proceso de la detección.
Se recomienda la compra del servicio de Cisco para la detección de intrusos,

este servicio incluye hardware y software así como una actualización
permanente de firmas digitales para el caso de virus. Los dispositivos
recomendados son:
Cisco asa 5512-x IPS (Intrusion Prevention System)
Un componente clave del Marco de Cisco SECUREX, el Cisco ASA 5500 Series
integra firewall más probada del mundo con un conjunto robusto de alta escala de
integración, servicios de seguridad líderes en el mercado de redes de todos los
tamaños - pequeñas empresas y medianas empresas con una o unas pocas
localidades, las grandes empresas, proveedores de servicios y de misión crítica
centros de datos.
El Cisco ASA 5500 Series ofrece un rendimiento multi-escala y la funcionalidad y

flexibilidad de servicios sin precedentes, escalabilidad modular, extensibilidad
característica, y menores costos de implementación y operación. Usted necesita un
servidor de seguridad que cumple con las pequeñas oficinas rendimiento y coste
necesario sin embargo, ofrece la empresa fuerza de seguridad. El Cisco ASA 5500
81
Series fue diseñado con esto en mente. Disponible en una amplia gama de tamaños y
niveles de rendimiento para adaptarse a su red y el presupuesto, todos los modelos
ofrecen el mismo nivel de seguridad probada que protege las redes de algunas de las
compañías más grandes y más consciente de la seguridad en el mundo.
Figura # 29: Fuente: Cisco
El servicio incluse IPS manager express que permite visualizar en tiempo real la
intrusión de forma simultánea de hasta 10 dispositivos de red, incluye
funcionamiento de la red

Las características técnicas del dispositivo son:
82
El valor del dispositivo es de 3500 dólares.
Complementariamente a este dispositivo se puede ampliar el control a software

malicioso mediante la adquisición del servicio siguiente:
Cisco IOS Intrusión Prevention System (IPS)
83
Software basado en la prevención de intrusiones en línea para Cisco Integrated
Services Routers, Intrusión Branch capacidades de prevención integrado en la
plataforma Cisco IOS Reducción de los costes operativos y de despliegue, sin
necesidad de hardware adicional
Protección de la red de trabajo en 5 vías

El servicio IOS cuesta 3500 dólares
Cableado Estructurado
El cableado estructurado de la Institución fue tercerizado, la organización

encargada de hacerlo brindo una garantía escrita del trabajo realizado,
adicionalmente en el diseño se tomo en cuenta posibles daños así como
también la influencia de los campos magnéticos sobre los medios físicos de
cobre.
84
El cableado pasa a través de un techo falso implementado el cual permite una
fácil accesibilidad ya que simplemente se sacan los paneles que lo componen,
después los cables se extienden hasta las columnas del edificio por donde
bajan por unos paneles metálicos hasta que llegan al suelo, dichos paneles no
presentan las facilidades cuando se requiere hacer algún tipo de modificación
ya que el espacio es muy reducido para tanto cable, pero resultaron
económicos por eso fueron adquiridos, adicionalmente la empresa que instalo el
cableado dejo adicionales para futuras expansiones, los cuales están solo
conectados del lado del switch, del otro extremo está el cable sin el conector
RJ45.
Durante todo el trayecto del cableado, se observo y aplico el estándar de

distancia mínima entre cables para de esta manera no generar interferencias o
cortes. Todo el cableado esta dentro de los rangos de distancia normales,
ningún cable fue extendido mas de 90Mts, y adicionalmente existe
disponibilidad para aplicaciones futuras, en cada puesto de trabajo hay una
toma que contiene un puerto de red, y un puerto telefónico.
2.3.2 Seguridad de las aplicaciones
En esta parte del proyecto se realizo un análisis de todo lo correspondiente a

las seguridades en las aplicaciones utilizadas por la Institución, así mismo la
consistencia en sus datos de entrada y de salida, y la documentación necesaria
para su funcionamiento de acuerdo a los estándares internacionales.
Software
En la Institución existen tres servidores de las mismas características que
poseen un sistema operativo basado en Linux Centos®, dicho sistema fue
instalado en el 2011 tomando en cuenta los siguientes aspectos en la relación
coste/beneficio:
 Bajo costo de adquisición.
 Confiabilidad.
85
 Compatibilidad con Windows
 Funcionalidades de auditoría y control de accesos.
 Por la posibilidad de conseguir actualizaciones.
 Parches de Seguridad Constantes.
 Aplicaciones Gratis.
La gran mayoría de los computadores de mesa en la empresa tienen Windows

7 al igual que las portátiles están provistas de Windows 7 Home Premium.
Seguridad en las Bases de Datos
En el Municipio se utiliza el SGBD de MySQL para el mantenimiento, manejo y

la administración de las Bases de datos, está presente un tipo de control que
permite restringir el acceso a los datos críticos de la institución, pero no existe
una organización formal de esta información. Los únicos autorizados a manejar
la base de datos y la información que se encuentra dentro de estas son el DBA
y el jefe de Sistemas.
La base de datos de la institución y las aplicaciones relacionadas a esta

disponen de los recursos suficientes ya que aproximadamente solo se está
usando un 35% de la capacidad total de almacenamiento, así mismo cuando se
borra algún registro de la base de datos, en realidad no se borra si no que se
marca como eliminado, de esta manera siempre se tiene acceso a la
información así está este “Eliminada”.
Seguridad de acceso a los Sistemas
Todo sistema de uso municipal tendrá su clave de acceso y su usuario, estos

elementos serán renovados cada 2 meses por el departamento de sistemas, el
registro de estas claves y usuarios será administrado directamente por el
departamento de sistemas mencionado anteriormente.
86
Seguridad en acceso a computadores y protectores de pantalla
Todo usuario de un computador deberá obligatoriamente tener una clave de

acceso a su equipo así como también al protector de pantalla. Esta clave será
definida por el propio usuario pero deberá estar registrada en el departamento
de sistemas. Será obligatorio la renovación de dicha clave cada 6 meses.
2.3.3 Seguridad de la información
Hoy en día uno de los principales activos que tienen las empresas es la
información, es por ello que toda la información generada por la institución debe
estar perfectamente respaldada, para ello se propone las siguientes políticas.
 UPS a nivel de servidores y de cada computador a nivel de usuarios, con

ello se evitan perdidas de datos por ausencia de energía eléctrica
inesperadamente.
 Respaldo automático de los archivos guardados en cada máquina de un
usuario, dicho respaldo orientado en un servidor de backups.
 Backups de cada máquina en forma mensual, estos respaldos en
dispositivos magnéticos.
 Respaldo del servidor de backup en un servidor en la nube.
 la utilización de programas congeladores como Deep Freeze y shadow
defender.
2.3.4 Seguridad lógica
 El uso de protocolos de comunicación lo determina la Jefatura de

Sistemas, en función de sus necesidades.
87
 Es responsabilidad del Departamento de Sistemas mantener la
integridad, disponibilidad y confidencialidad de la información de los
usuarios, a nivel administración.
 Es responsabilidad del Departamento de Cómputo la administración de
las direcciones IP que se le aplique a cada computador que se encuentre
en la Municipalidad de Quevedo.
 Los usuarios de otras Instituciones Públicas que necesite ingresar a la
red de la Municipalidad de Quevedo deben solicitar los respetivos
permisos a la Jefatura de Sistemas.
 El monitoreo de tráfico de la red institucional, es tarea exclusiva del
Departamento de Cómputo.
 Todo equipo de cómputo que se detecte con actividad sospechosa, se le
suspenderá el servicio de red hasta corregir el problema.
 El mantenimiento a software en los servidores deberá ser realizado
semestralmente por el Departamento de Cómputo, además deberá llevar
un registro.
 El uso de carpetas para compartir información deberá realizarse con una
contraseña, después de utilizar dichas carpetas se deberán deshabilitar
los permisos de acceso a las mismas.
 La administración, operación y correcto funcionamiento de los Servidores
de la Red, son responsabilidad única y exclusivamente del Departamento
de Cómputo.
 Es responsabilidad del Departamento de Cómputo respaldar la
información de los servidores semanalmente.
 La red institucional no será instrumento de experimentos que pongan
riesgo la integridad de la información.
 Por seguridad de la información se deberán cerrar todas las sesiones de
red después de ser utilizadas.
 La configuración de los equipos de comunicaciones deberá ser realizada
o supervisada por el Departamento de Cómputo.
88
 El Departamento de Cómputo es el responsable de controlar el acceso
remoto a los equipos de la red institucional por medio de herramientas
seguras.
 Cada usuario deberá tener asignada una cuenta y una clave de acceso
(password), a través del cual podrá acceder a los recursos de red que
tenga autorizados, mismas que son de uso exclusivamente personal.
 Queda prohibido para cualquier usuario prestar su cuenta personal de red
a otra persona.
 Ninguna cuenta de usuario podrá ser usada con propósitos ilegales o
contrarios a las políticas implementadas en la institución.
 El Jefe de Sistemas podrá otorgar cuentas temporales a visitantes,
cuando éstas sean solicitadas por él. Responsabilizándose de que se
respeten las políticas establecidas.
 Si se detecta la presencia de un virus u otro agente potencialmente
peligroso, se debe notificar inmediatamente al Jefe de Cómputo y
desconectar la PC de la red hasta que el problema sea resuelto.
 No ejecutar ningún archivo contenido en un mensaje de correo no
solicitado o enviado por un remitente desconocido, así ofrezca atractivos
premios o temas provocativos. Mucho menos si estos archivos tienen
doble extensión.
 No contestar los mensajes SPAM, ya que al hacerlo se reconfirmará su
dirección IP, ni prestar atención a los mensajes con falsos contenidos
tales como ofertas de premios, dinero, solicitudes de ayuda caritativa,
advertencia de virus de fuentes desconocidas, etc.
 No se debe confiar en los archivos gratuitos que se descargan de sitios
Web desconocidos, ya que son una potencial vía de propagación de
virus.
 Será responsabilidad del Jefe de Cómputo tener los discos de arranque
de sistema operativo para cualquier contingencia.
89
 El Jefe de Cómputo no se hace responsable de la información de los
usuarios almacenada en los discos duros locales de los equipos de
cómputo.
 El Jefe de cómputo respaldará al finalizar cada día las bases de datos de
todos los sistemas existentes y utilizados en la municipalidad, siempre y
cuando las bases de datos se encuentren almacenadas en el servidor de
datos.
2.3.5 Seguridad física
 Los equipos de computo solo deberán ser conectados a la fase de red

eléctrica creada para este fin evitando conectar a la misma, ventiladores,
acondicionadores, cafetera, etc., es decir impedir conexión de aparataros
eléctricos que sobrecarguen la misma.
 A cada computador conformado por (pantalla, CPU, teclado, mouse,
impresora matricial o inyección) se conectara un UPS y no se deberá
conectar al mismo impresora laser, proyector o aparato eléctrico que
sobrecargue el Sistema de alimentación ininterrumpida.
 No se permite la manipulación de las partes de hardware del equipo sin la
supervisión del responsable.
 Instalar en cada oficina un punto eléctrico que no está conectada a la red
eléctrica dedicada a los computadores.
 Solamente está autorizada la jefatura de sistema para realizar
mantenimiento y reparaciones de los equipos informáticos.
 Queda prohibido que personal no autorizado extraiga, manipule o instale
algún hardware en los computadores de la Municipalidad de Quevedo.
 Se debe implementar con urgencia un cableado subterráneo tanto eléctrico
como de red y la readecuación del cuarto de sistemas.
90
2.3.6 Seguridad de Custodia de equipos
 Cada funcionario que tenga asignado un equipo será responsable por el

buen uso y cuidado de la herramienta que le permite desenvolverse en su
área de trabajo.
 Para llevar un control del inventario de los equipos de cómputo se prohíbe
que se cambien de un lugar a otro sin previa autorización de la Jefatura de
Sistemas.
 Para préstamos o traspasos de los equipos, se deberá contar con la
autorización por escrito del responsable.
 Cada funcionario que tenga a su cargo un equipo informático deberá tener
un acta de entrega / recepción del mismo, firmada por el responsable de los
Activos Fijos.
2.3.7 Seguridad con respecto a los antivirus
Acatando la ley de software libre emitida por el gobierno en el año 2009, se

adopta la siguiente política relacionada con el uso de antivirus, así tenemos
los siguientes criterios:
Es responsabilidad del Jefe de Cómputo que todos los computadores (de

escritorio y servidores) cuenten con firewall, antivirus y anti-spyware. Para
ello se instalaran los antivirus respectivos. En cuanto a estos programas se
ha investigado lo siguiente:
Clamav.- Es un programa antivirus de código abierto para

sistemas UNIX. Por tanto es válido para Debian, Ubuntu,
Fedora, SUSE etc. Está disponible en los repositorios de
OPENSUSE
Como es un ambiente grafico lo instamos desde el repositorio de SUSE:
91
La ventaja del Opensuse es que con la herramienta yast2 podemos

descargar e instalar cualquier programa compatible desde un asistente
grafico.
AVG.- Es un antivirus que dispone de una versión gratuita para

Windows y Linux. Dispone de un paquete deb listo para instalar.
Si utiliza una distribución basada en Mandriva, Suse o RedHat,
también hay archivos específicos en la página de descargas.
Una vez descargado e instalado el paquete deb, ejecutamos el antivirus

desde el menú de aplicaciones. AVG antivirus está en inglés, aunque
utilizarlo no es complicado. Pulsamos sobre test e indicamos la ruta a
escanear.
92
2.4 Presupuesto general del plan
PRESUPUESTO DEL PLAN

Estrategias Actividades Costo
Red DMZ 4000

Configuraciones IPTable 1000
Honeypots 2000
Firewall lógicos 500
Firewall físico 3Com 5290
Seguridad en las Configuraciones en
Comunicaciones redes inalámbricas 1500
Detección de intrusos
físico Cisco asa 5512-x IPS 3500
Detección de intrusos lógica
Cisco IOS I.P.S. 3500
Total 21290
Capacitación 1500
Seguridad en las Definición y registro de
Aplicaciones claves 1500
Total 3000
Seguridad en la Servidor de respaldo 4500

Información Respaldo en la nube 7500
Accesorios de respaldo 2000
Total 14000
Instalaciones complementarias 2500

Complementos Hardware extra 5000
Total 7500
Total general del plan 45790
Cuadro # 3: Fuente: Investigación;” Tabla: “Presupuesto General del Plan”
93
2.5 Cronograma de ejecución
El plan está organizado puede ser ejecutado en forma anual, el siguiente

cronograma esta relacionado esencialmente con la ejecución técnica del
proyecto, esto quiere decir que la ejecución deberá hacerse una vez que este
aprobado y se cuente con el presupuesto fijado.
CRONOGRAMA DE EJECUCION
Estrategias M1 M2 M3 M4 M5 M6 M7 M8 M9 M10 M11 M12
Seguridad en las
Comuniccaiones
Red DMZ
Configuraciones IPTable
Honeypots
Firewall lógicos
Firewall físico 3Com
Configuraciones en
redes inlambricas
Detección de intrusos
fisico Cisco asa 5512-x IPS
Detección de intrusos logica
Cisco IOS I.P.S.
Aplicaciones
Capacitación
Definición y registro de
claves
Seguridad en la
Información
Servidor de respaldo
Respaldo en la nube
Accesorios de respaldo
Cuadro # 4: Fuente: Investigación;” Tabla: “Cronograma de Ejecución”
94
2.6 Análisis de Costo-Beneficio
En todo proyecto debe hacerse un análisis de la relación costo-beneficio, para

el presente caso dicho análisis se dificulta un poco debido a que se trata de una
empresa pública que esencialmente oferta servicios a los pobladores del
Cantón Quevedo.
Ahora, si se hace un análisis financiero de la inversión realizada se puede

señalar que los 45790 dólares producirán algunos beneficios directos e
indirectos, entre los más importantes tenemos:
 Mejoramiento notorio del servicio y atención al usuario, el hecho de que el

usuario que venga a pagar sus impuestos sienta que para el pago respectivo
se demora muchos menos, la ciudadanía va a tratar de venir en un mayor
número para realizar dicho pago.
 Al tener controlados los intentos de accesos indebidos se evitará la perdida

de información y todo el trabajo que se debe hacer el momento de
recuperarla. Esto quiere decir que se evitarán pagos por hora extras en
tratar de recuperar información perdida o robada.
 La seguridad de la información en cuanto a acceso como a respaldo genera

una cierta tranquilidad al empleado público, ya que sabe que todos los
procesos están respaldados adecuadamente en cuanto a registros.
 El momento en que se optimicen y aceleren los procesos, se mostrará una

imagen de modernidad, lo cual producirá un entorno favorable para que los
usuarios vayan a su municipio especialmente a pagar impuestos.
En definitiva, el beneficio a lograr con la inversión realizada, justifica

plenamente la realización de este proyecto.
95
2.7 Conclusiones Parciales del Capitulo
 A veces se tienen que dejar de hacer las operaciones habituales en los

sistemas debido a ciertas fallas en ellos.
 No se renueva frecuentemente las claves de acceso a redes inalámbricas,
sistemas o equipos personales.
 El personal no tiene una cultura de seguridad, nunca renova sus claves de
acceso.
 Virus y spam ingresan fácilmente a los equipos de los empleados al interior
de la red Municipal.
 El departamento de sistemas no ha implantado políticas de seguridad que
surtan efecto en toda la Institución.
 La infraestructura tecnológica para la protección de redes es bastante pobre.
 No se dispone de un plan de seguridad informática institucional.
96
CAPITULO III
VALIDACIÓN Y EVALUACION DE RESULTADOS
3.1 Validación de la propuesta
Como se menciono anteriormente, el objetivo de este trabajo investigativo es la

consecución de un plan de seguridades informáticas orientadas a permitir un
funcionamiento operativo fiable y permanente.
Luego de que este plan ha sido plasmado en actividades, tiempo y costos se lo

ha expuesto al director del departamento de sistemas del Municipio de
Quevedo, el Ingeniero Wilmer Cherrez, el cual manifiesta que “Todas las
estrategias tienen un orden lógico y que complementarán de mejor manera la
seguridad informática de la Institución, más aun hoy que la tendencia
Institucional es a digitalizar todos los procesos. También con este grupo de
actividades que fortalecen la seguridad informática, se está garantizando la
realización normal y efectiva de todas las operaciones que realiza diariamente
la entidad Municipal”.
Por todo lo mencionado por el Director del departamento y con la certificación

que se adjunta se ha podido validar la propuesta de solución planteada en este
trabajo investigativo.
97
CONCLUSIONES GENERALES
La seguridad informática es uno de los elementos más importantes hoy en día

dentro de cualquier Institución, sea esta pública o privada.
 La tendencia actual es la digitalización de todos los procesos, especialmente

en el área pública, es por ello que ha tomado mucha mayor relevancia el
aspecto de seguridad informática, debido a que los procesos deben ser
eficientes y seguros, especialmente aquellos que se ejecutan línea.
 El uso del internet se ha convertido en un elemento principal dentro de la

gestión operativa de toda institución, pero así también se ha posibilitado
para que se den accesos indebidos mediante la red, es por ello que muchas
de las actividades están orientadas al resguardo de las actividades vía
Internet.
 La inversión que demande la ejecución de este plan de seguridades será

plenamente recompensada al poder brindar a la comunidad un servicio
eficiente y seguro, con relación a su información personal que almacena el
Municipio.
 Se debe considerar también que virus y correos maliciosos son

considerados como elementos de acceso indebido y que a más de ello
necesitan de una actualización constante. La estrategia propuesta incluye un
convenio para una actualización permanente sobre nuevos tipos de virus y
sobre como bloquearlos.
 El respaldo de la información también se considera como un elemento

importante dentro de la seguridad informática, es por ello que se proponen
alternativas de respaldo automático en servidores locales así como en
servidores en la nube.
98
RECOMENDACIONES
 Fomentar una cultura de seguridad informática a nivel de cada empleado de

la Institución, esto quiere decir que se debe disponer de claves de acceso en
equipos y protectores de pantalla, de tal manera que si el funcionario deja
momentáneamente el equipo este no pueda ser accedido por cualquier otra
persona.
 La renovación de claves es algo importante y debe ser administrada desde

el departamento de sistemas.
 Se deben complementar las estrategias de seguridad con la limitación de

acceso a ciertas paginas y la capacidad para descargar cierta información
 También se debe tomar en cuenta que nunca habrá una seguridad total,
esto quiere decir que siempre habrá que estar atento a cualquier infiltración
a acceso no deseado, si de pronto se rompe alguna seguridad el respaldo
de la información se constituye en un apoyo muy importante para que la
institución continúe en su trabajo operativo.
99
BIBLIOGRAFÍA
 ACISSI, 2011, “Seguridad Informática”, Ediciones ENI, Primera edición,

Barcelona – España.
 ALDEGANI, Gustavo, 1997 “Seguridad Informática.” MP Ediciones. Argentina.
 AREITIO Javier, 2008, “Seguridad de la información”, Editorial Paraninfo,
Primera Edición, Madrid-España.
 ATELIN Philippe, 2006, “Redes Informáticas”, ediciones ENI, Primera Edición,
Barcelona-España.
 BAETA Jesús, “Seguridad Informática “en línea :
http://es.scribd.com/doc/95069532/Seguridad-Informatica
 BARCELÓ José, 2008, “Protocolos y Aplicaciones de Internet”, Editorial UOC,
Primera edición, Barcelona – España.
 BON Jan, 2008, “Fundamentos de la Gestión de Servicios de IT basada en ITIL”,
Editorial Van Haren, Tercera Edición, Amersfoort – Holanda.
 CALDER Alan, 2009, “Implementig information Security Based on ISO
27001/ISO 270002” Tercera Edición, Ontario-Canada
 CALDER Alan, 2009, “Information Security Base on ISO 270001 / ISO
270002”, Editorial Van Haren, Wilco – Amersfoort
 COMER Douglas, 2006 “Principles, Protocols and Architecture, Internetworking
with TCP/IP”, 4ta Edición, Prentice-Hall, EEUU.
 FINE Leonard, “Seguridad en centros de computo, políticas y procedimientos”,
Editorial Trilla, Mexico-Mexico, 2004
 GARCIA Alonso, 2011, “Sistemas Informáticos y Redes”, Editorial Paraninfo,
Primera Edición, Madrid-España
 GESTIÓN 2000, 2008 “Lo Que se Aprende en los Mejores MBA”, Editorial
Gestión 2000, Segunda Edición, España.
 GIMBERT Xavier, 2010, “Pensar Estratégicamente”, Editorial Planeta, Primera
Edición, España.
 GOMEZ, Guillermo, 1994 “Planificación y organización estratégica
empresarial”, Mc Graw Hill, Primera edición, México.
 GUTIÉRREZ Jaime, 2003, “Protocolos criptográficos y seguridad en redes”
Editorial Universidad de Cantabria, Primera Edición, Santander-España
100
 ISO “An Introduction to ISO 27001, ISO 27002” http://www.27000.org/
 ISO “SOLUCIONES TÉCNICAS Y ORGANIZATIVAS A LOS CONTROLES
DE ISO/IEC 27002” http://www.iso27000.es/download/ControlesISO27002-
2005.pdf
 ISO, “ISO27000” http:/www.iso.org
 LITTLEJOHN Debra, 2001 “Cisco Networking Academy Program: Computer
Networking Essentials” Editorial CiscoPress, Primera Edición, EEUU
 MANTILLA Samuel, 2009, “Auditoría Del Control Interno”, Primera Edición,
Editorial ECOE, Colombia.
 RODAO Jesús, “Piratas cibernéticos, Cyberware, Seguridad informática e
Internet”, Editorial Alfaomega Ra-Ma, Madrid-España, 2006
 SPAFFORD, Gene. 2006, "Manual de seguridad en redes". Editorial ArCERT,
Argentina.
 STALLINGS William , 2011, “Operating Systems: Internals and Design
Principles” Séptima Edición, Prentice Hall, EEUU
 STALLINGS William, 2003, “Fundamentos de seguridad en redes: aplicaciones
y estándares” Editorial Pearson Educación, Segunda Edición, España
 STALLINGS William, 2004 “Comunicaciones y Redes de Computadoras”, 7ma
Edición, Prentice-Hall, Primera Edición, EEUU
101
ANEXOS
102
ANEXO A
PLAN DE SEGURIDAD INFORMATICA Y LOS RIESGOS OPERATIVOS EN EL
MUNICIPIO DESCENTRALIZADO DE QUEVEDO, PROVINCIA DE LOS RIOS
Encuesta a los funcionarios municipales
Nombre del Encuestado: Sexo M F
En esta encuesta, le presentamos una serie de preguntas relacionadas con la

seguridad de Redes del Municipio, que pueden ser relevantes para el progreso del
mismo; por esta razón le pedimos de favor conteste con la mayor sinceridad y
exactitud la información que se le solicita a continuación.
Pregunta No 1. ¿Han tenido que suspender la atención al público debido a que no

se puede acceder al sistema o falta información en la base ?
Frecuentemente……… Pocas veces ….. Nunca …
Pregunta No 2. ¿Son cambiadas periódicamente las claves de acceso de las redes

inalámbricas que se utilizan en cada departamento ?
Pregunta No 3. ¿Las claves de acceso a los diferentes sistemas son renovadas

permanentemente ?
Si…… No…….. No se……
Pregunta No 4. ¿Debido a su acceso a Internet, le han llegado virus o correos

peligrosos denominados spam?
Si…… No…….. No se……
Pregunta No 5. ¿Cambia usted periódicamente sus claves de acceso para su

computador ?
Si….. Rara vez……. Nunca……..
Pregunta No 6. ¿Cree necesario mejorar los niveles de seguridad de acceso a

redes y sistemas en el Municipio?
Si…. No…… No sé………….
103
ANEXO B

Encuesta a los funcionarios del departamento de sistemas

Pregunta No 1. ¿Considera usted que los niveles de seguridad en las redes

Institucionales es: ?
Bajo……… Medio………. Alto………….
Pregunta No 2. ¿Catalogue el nivel de la infraestructura existente (firewall físicos,

redes perimetrales y más) para proteger la red principal de la Institución ?
Buena……… Regular………….. Mala……………
Pregunta No 3. ¿Qué nivel de seguridad cree usted que existe a nivel de software
para controlar virus, correos peligrosos y descargas dañinas o muy grandes?.
Bajo…… Medio……. Alto……..
Pregunta No 4. ¿El departamento controla y renova frecuentemente las claves de

sistemas y acceso a equipos ?.
Si……. No…………….. A veces………………
Pregunta No 5. ¿El departamento de sistemas ha definido políticas de seguridades

que hayan tenido influencia directa en toda la Institución?.
Si……… No…………
Pregunta No 6. ¿Cree importante definir un plan de seguridades para aplicarlo en

la Institución?
Si………….. No……………….
104
ANEXO C
Guía de entrevista para Director del Departamento de Sistemas

¿En qué porcentaje cree usted que la gestión operativa Municipal se apoya en el
aparato tecnológico?.
¿Qué niveles de seguridad informática se tienen actualmente en el Municipio?
¿Qué niveles de seguridad existen en las redes institucionales?
¿Existe una cultura de seguridad en el personal?
¿Considera necesario un plan de seguridad informática para la Institución?
105

Plan de Seguridad Informatica Quevedo-Ecuador

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Plan de Seguridad Informatica Quevedo-Ecuador

Cargado por

Copyright:

Formatos disponibles

UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES

FACULTAD DE SISTEMAS MERCANTILES

TESIS PREVIA A LA OBTENCIÓN DEL TÍTULO DE MAGISTER EN

PLAN DE SEGURIDAD INFORMATICA Y LOS RIESGOS

LCDO. ÁNGEL SANTACRUZ FERNÁNDEZ

ING. EDUARDO FERNÁNDEZ MG.

En calidad de asesor del presente trabajo de investigación, certifico que el

Para constancia firman.

Ing. Eduardo Fernández Mg.

Ante las autoridades de la Universidad Regional Autónoma de Los Andes,

Lcdo. Ángel Santacruz Fernández

A Dios, sobre todo por ser mi luz y mi camino, a mis

padres por todo el esfuerzo y dedicación que me

brindaron con su amor para seguir adelante, a mis

hermanos, mi esposa, mis hijos y a mi familia en

A mis maestros, por sus enseñanzas, consejos y guía en

la realización de esta tesis, a mis amigos por su apoyo y

aliento en los momentos difíciles.

La seguridad informática ha tomado gran auge, debido a las cambiantes

El presente trabajo investigativo consta de las siguientes secciones:

La introducción que recoge aspectos importantes como los antecedentes

El marco teórico que fundamenta científicamente la propuesta de solución, este

El marco metodológico que recoge los resultados de la investigación de campo,

Computer security has exploded, due to changing conditions and new

This research work includes the following sections:

The introduction includes important aspects such as research background,

The theoretical framework underpinning the proposed solution scientifically, this

Delimitación del problema ……………………………………………………… 3

Objetivo General ………………………………………………………………... 4

Variable Independiente y Variable Dependiente …………………….……... 4

Novedad científica, aporte teórico y significación práctica …………….....

1.1 Seguridad Informática …………………………………………………..…. 9

1.2 Importancia de la Seguridad Informática ………………………………... 10

1.3.5 Norma ISO 27002………………………………………………………. 12

1.4.1 Elementos de una Política de Seguridad Informática …………….. 14

1.5.3 Seguridad Física y Ambiental ………………………………………... 16

1.5.4 Gestión de las Comunicaciones y Operaciones …………………… 16

1.5.5 Control de Accesos ………………………………………………….. 17

1.5.8 Gestión de Continuidad de Negocio ……………………………….. 19

1.5.9 Marco legal y Buenas Prácticas ….…………………………………. 19

1.7 Plan estratégico …………………………………………………………….. 20

1.8 Planeación tecnológica ..…………………………………………….…….… 21

1.11 Red lan ………………………………………………………………………. 22

1.11.1Protocolo de redes ………………………………………………….. 23

1.12 Seguridad en redes ………………………………………………………. 25

1.13 Redes WIFI …………………………………………………………………. 27

1.14 Firewall o cortafuego …………………………………………………..…. 29

1.14.1 Tipos de Firewall ………………………………………………….… 30

2.2 Diseño Metodológico …………………………………………….………. 40

2.3 Propuesta del Investigador ………………………………………………... 57

2.3.3 Seguridad de la información …………………………………………. 87

2.4 Presupuesto general del plan ……………………..……………………… 93

2.7 Conclusiones parciales del Capitulo ………………………………………. 96

Cuadro 3. Tabla Presupuesto general del plan …………..………………... 93

Cuadro 4. Tabla Cronograma de ejecución ………………………………… 94

Figura 2. Seguridad de la información………………………………………… 29

Figura 3. http://carlose25.lamula.pe/files/2009/08/proxy-aplicacion.gif …... 31

Figura 6. http://carlose25.lamula.pe/files/2009/08/screened-subnet.gif ….. 34

Figura 7. Municipio de Quevedo ……………………………………………… 39

Figura 8. Autor ………………………………………………………………….. 43

Figura 9. Autor …………………………………………………………………… 44

Figura 10. Autor …………………………………………………………………. 45

Figura 11. Autor …………………………………………………………………. 46

Figura 12. Autor …………………………………………………………………. 47