Documentos de Académico
Documentos de Profesional
Documentos de Cultura
“UNIANDES”
TEMA:
AUTOR:
ASESOR:
QUEVEDO – ECUADOR
2013
CERTIFICACIÓN DEL ASESOR
II
DECLARACIÓN DE LA AUTORÍA
Atentamente,
III
DEDICATORIA
general.
IV
AGRADECIMIENTOS
V
RESUMEN EJECUTIVO
VI
Finalmente el desarrollo de la propuesta donde se estructura el plan de
seguridades en base a un análisis técnico desarrollado en la Institución
Municipal.
EXECUTIVE SUMMARY
The methodological framework that reflects the results of field research in,
embodies the surveys and their results confirm the symptoms of the problem, as
well as guide the solution.
Finally the development of the proposal where assurances structure plan based
on a technical analysis developed in the Municipal Institution.
VII
ÍNDICE GENERAL
CONTENIDO Pág.
CERTIFICACIÓN…………………………………………………………………. II
AUTORÍA………………………………………………………………………….. II
DEDICATORIA……………………………………………………………………. IV
AGRADECIMIENTOS……………………………………………………………. V
RESUMEN EJECUTIVO……………………………………………………….... VI
EXECUTIVE SUMMARY …………………………………………………………
VII
ÍNDICE…………………………………………………………………………….. VIII
INTRODUCCIÓN ……………………………………………………………….... 1
Antecedentes 1
Planteamiento del problema …………………………………………………….
2
del problema ………………………………………………………
…………………………………………….
Formulación
3
Justificación …………………………………………………………………..…. 4
VIII
Metodología investigativa………………………………………………………... 6
Resumen de la estructura de la tesis ………………………………………….. 6
CAPÍTULO I ………………………………………………………………….…. 9
MARCO TEÓRICO 9
1.3.1Confidencialidad ……………………………………………………………..…. 11
1.3.2 Integridad …………………………………………………………………………. 11
1.3.3 Disponibilidad ....………………………………………………………... 12
1.3.4 Vulnerabilidad…………………………………………………………... 12
IX
1.5 Organización de la Información De Seguridad …………………………. 15
1.5.1 Gestión de Activos De Información ……………………………....… 16
…....…………
1.5.2 Seguridad de los Recursos Humanos .………………………..……. 16
X
2.1 El Municipio …………………………………………………………..……. 39
RECOMENDACIONES ………….…………………………………………….. 99
XI
ÍNDICE DE CUADROS
Descripción
Pág.
58
Cuadro 1. Tabla Elemento vs riesgos …………………………………..........
Cuadro 2. Tabla Direcciones IP ………………………………………………. 65
ÍNDICE DE FIGURAS
Descripción Pág.
Figura 1. http://www.pentasys.es/imagenes/seguridad-en-redes- 27
informaticas.jpg …………………………………………………………………..
Figura 4. http://www.monografias.com/trabajos82/la-seguridad- 32
informatica/image004.png ………………………………………………………
Figura 5. http://carlose25.lamula.pe/files/2009/08/bastion.gif ……………… 33
XII
Figura 13. Autor …………………………………………………………………. 48
XIII
INTRODUCCIÓN
Antecedentes
Con toda esta información recopilada se concluye que las redes se constituyen
en un factor muy importante en empresas o Instituciones educativas y que
dentro de ellas, el aspecto de la seguridades informática, es un factor
primordial.
1
Planteamiento del problema
2
No se tiene elementos de seguridad informática en Internet relacionados el
control de ancho de banda y el impedimento de ingresar a determinados
sitios.
3
Objetivo general
Objetivos Específicos:
Justificación
4
también ha dado origen al aparecimiento de nuevos formas de delito,
generalmente por intrusión indebida con la finalidad de obtener información o
desvíos financieros en forma electrónica.
5
investigativo como tesis de grado, previa a la obtención del título de magister en
informática empresarial.
Metodología investigativa
6
La introducción que recoge aspectos importantes como los antecedentes
investigativos, el planteamiento del problema enfocado a las inseguridades
informáticas que presenta el Municipio, los objetivos orientados a implementar
el plan de seguridad, la justificación y más.
7
El aporte teórico de esta tesis tiene que ver con la fundamentación de algunas
técnicas relacionadas a lograr impedir accesos indebidos, especialmente en el
ámbito de redes, también se fundamenta los pasos requeridos para fomentar
una cultura de seguridad a niveles básicos.
La significación práctica tiene que ver con las diferentes configuraciones que se
proponen en los elementos que complementan las seguridades informáticas del
Municipio, así por ejemplo se configura una red perimetral, también se
configuran algunos firewalls y más.
8
CAPÍTULO I
MARCO TEÓRICO
1
ALDEGANI, Gustavo, 2003“Seguridad Informática.”MP Ediciones. Argentina.
9
Hoy en día no existe duda de que se esta en una nueva era caracterizada por
el uso masivo de la información, que adicionalmente ha acarreado mucha más
relevancia que en anteriores épocas, debido a lo cual es fundamental dentro
de las organizaciones el poder detectar las vulnerabilidades del sistema
de información para contrarrestar las amenazas y riesgos por el gran número
de usuarios con potencial de ataque, que no tan solo se centran en el ambiente
que se ubica fuera de la organización, sino también en los usuarios comunes
que trabajan y son una gran amenaza a la seguridad si no se tienen políticas
claras de acceso a la información.2
2
ACISSI, 2011, “Seguridad Informática”, Ediciones ENI, Primera edición, Barcelona – España.
10
forma explícita y activa, por ello es importante indicarles no sólo cuales son las
principales amenazas en cada momento, sino qué deben hacer para evitarlas
1.3.1 Confidencialidad
1.3.2 Integridad
3
ATELIN Philippe, 2006, “Redes Informáticas”, ediciones ENI, Primera Edición, Barcelona-España.
11
decir, aquellos en los que diferentes usuarios, computadores y procesos
comparten la misma información.
1.3.3 Disponibilidad
1.3.4 Vulnerabilidad
4
BAETA Jesús, “Seguridad Informática “en línea : http://es.scribd.com/doc/95069532/Seguridad-
Informatica
12
en definitiva se aplicaran para la gestión del riesgo analizado. (AREITIO Javier,
(2008)).
5
ISO, “ISO27000” http:/www.iso.org
13
personal, en relación con los recursos y servicios informáticos de la
organización.
Como una política de seguridad debe orientar las decisiones que se toman en
relación con la seguridad, se requiere la disposición de todos los miembros de
la empresa para lograr una visión conjunta de lo que se considera importante.
6
CALDER Alan, 2009, “Information Security Base on ISO 270001 / ISO 270002”, Editorial Van Haren,
Wilco - Amersfoort
14
Definición de violaciones y sanciones por no cumplir con las políticas.
Responsabilidades de los usuarios con respecto a toda la información a
la que tiene acceso.
15
1.5.2 Seguridad de los Recursos Humanos
Este grupo trabaja sobre las seguridades que existen en las áreas delicadas de
la organización como el CPD, o el acceso a servidores, Switch, entre otros. Las
seguridades pueden ser lógicas o físicas para mantener seguros los recursos
tecnológicos de la institución, en resumen el objetivo de dicho control es evitar
el acceso físico no autorizado, daños o intromisiones en las instalaciones y a la
información de la organización.
7
ISO “SOLUCIONES TÉCNICAS Y ORGANIZATIVAS A LOS CONTROLES DE ISO/IEC 27002”
http://www.iso27000.es/download/ControlesISO27002-2005.pdf
16
trabajar con el sistema e información que la empresa maneje y ver así el
desenvolvimiento de las actualizaciones.
En esta parte se hace referencia a que cada usuario tenga sus claves de
acceso que permitan acezar solo a los recursos que son designados para él,
esto debe ser controlado periódicamente para evitar fugas de información, y
que ciertos usuarios tengan acceso a información la cual no sea relevante para
la tarea que están realizando esto a través de una Política de Control de
accesos documentada, periódicamente revisada y basada en los niveles de
seguridad que determine el nivel de riesgo de cada activo.8
8
CALDER Alan, 2009, “Implementig information Security Based on ISO 27001/ISO 270002” Tercera
Edición, Ontario - Canada.
17
Plantea la necesidad de realizar un análisis de los requerimientos que deben
exigirse a los sistemas de información, desde el punto de vista de la seguridad
para cumplir con las necesidades del negocio de cada empresa en particular,
para poder garantizar que la seguridad sea una parte integral de los sistemas.
Así como también incluir dentro de los procesos, las etapas en cuanto a
desarrollo se refiere (Análisis, Diseño, Implementación y Pruebas), documentar
lo necesario y poder tener revisiones periódicas de las tareas a realizarse y
poder cumplir con todo lo pedido o pactado con terceros.
Tiene como objetivo contemplar todas las medidas necesarias para reaccionar
a la interrupción de actividades del negocio y proteger sus procesos críticos
frente a desastres o grandes fallos de los sistemas de información. Para que
No sufran interrupciones sobre la actividad que realiza la empresa. Lo primero
que considera este grupo es que la seguridad de la información se encuentre
incluida en la administración de la continuidad de negocio.9
9
ISO “An Introduction to ISO 27001, ISO 27002” http://www.27000.org/
18
1.5.9 Marco legal y Buenas Prácticas
Se dice que este último grupo de controles es el más débil de la norma debido a
que está limitado a las leyes de cada empresa o cada país. Lo primero a
considerar es la identificación de la legislación aplicable a la empresa,
definiendo explícitamente y documentando todo lo que guarde relación con
estos aspectos. Otro componente es lo relacionado con los derechos de
propiedad Intelectual, debiendo generar procedimientos que aseguren el
cumplimiento de las regulaciones; así como el hecho de obtener software legal
e implementarlo con las respectivas licencias.
Este grupo trata además de las “Buenas prácticas”, ya que de que sirve
implantar una normal basada en políticas, controles, procedimientos, etc., si
luego el personal involucrado no da cumplimiento a las medidas y en definitiva,
la implementación falla. Por esto otro punto importante en esta norma es el
hecho de realizar auditorías y tener herramientas de auditoría las cuales
permitan dictar si la norma y procedimientos encadenados se estén cumpliendo
a cabalidad o si la misma tiene debilidades.
19
Debido a que la planeación estratégica toma en cuenta a la empresa en su
totalidad, ésta debe ser realizada por la cúpula de la empresa y ser proyectada
a largo plazo, teóricamente para un periodo de 5 a 10 años, aunque en la
práctica, hoy en día se suele realizar para un periodo de 3 a un máximo de 5
años, esto debido a los cambios constantes que se dan el mercado.10.
10
FRED R. David, “Conceptos de Administración Estratégica”. www.crecenegocios.com/la-
planeacion-estrategica/
11
Miguel Aguirre, Plan de marketing estratégico, www.gestiopolis.com
20
Las empresas que manejan la tecnología como algo real estratégico, se
distinguen de las demás en varios aspectos:
12
Disponible en: http://gtecnol.tripod.com/plantec.htm
13
TRIVIÑO, Luis, “Plan Informático”. http://posgrado.pbworks.com/f/planinformatico.pdf
21
1.10 Plan de Seguridad Informática
22
Los protocolo de red son una o más normas standard que especifican el
método para enviar y recibir datos entre varios ordenadores. Su instalación
está en correspondencia con el tipo de red y el sistema operativo que la
computadora tenga instalado. No existe un único protocolo de red, y es posible
que en un mismo ordenador coexistan instalados varios de ellos, pues cabe
la posibilidad que un mismo ordenador pertenezca a redes distintas.
Protocolos de transporte:
- ATP (Apple Talk Transaction Protocol)
- NetBios/NetBEUI
- TCP (Transmission Control Protocol)
Protocolos de red:
- DDP (DeliveryDatagramProtocol)
- IP (Internet Protocol)
- IPX (Internet Packed Exchange)
- NetBEUI Desarrollado por IBM y Microsoft.
Protocolos de aplicación:
- AFP (Appletalk File Protocol)
- FTP (File TransferProtocol)
- Http (Hyper Text transfer Protocol)
23
Dentro de los protocolos antes mencionados, los más utilizados son:
24
que pueda ser aprovechada para violar un sistema o la información que éste
contiene.
- Destrucción de información.
- Modificación de la información.
- Robo, renovación o pérdida de la información o los recursos.
- Interrupción de servicios.
- Personificación (enmascarada)
- DDos.
- Replay.
- Modificación.
- Ingeniería social.
- Rechazo o impedimento de un servicio.
Ante los riesgos de la inseguridad en las redes, muchas empresas adoptan
políticas de seguridad, que son conjuntos de reglas, leyes y prácticas de gestión
que tienen como objetivo la protección. Pueden ser implementadas a través de
varios mecanismos, como por ejemplo:
- Criptografía.
- Firma digital.
- Autenticación.
- Control de acceso.
- Rótulos de seguridad.
- Detección, registro e informe de eventos.
- Llenado de tráfico.
- Control de routeo.
25
De esta forma, al no ser suficientes los mecanismos de seguridad en la red, se
establece medidas de seguridad en las comunicaciones también, como en el
correo electrónico. El e-mail utiliza varios mecanismos para que los datos
lleguen de la manera más segura posible a su destino. Hace uso de protocolos
como SMTP (Simple Mail Transfer Protocol) que es considerado débil, S/MIME
(Secure Multipurpose Internet Mail Extensions) y PGP (Pretty Good Privacy)
que es destinado a la criptografía de e-mail personal. Actualmente, lo que se
utiliza en gran medida son los Firewall's, dispositivos que funcionan como una
barrera de protección contra invasores. Existen tanto en forma de software
como de hardware, o en la combinación de ambos14.
14
STALLINGS, W., “Fundamentos de seguridad en redes: aplicaciones y estándares”, 2004).
26
Figura # 1: Fuente: Investigación, “http://www.pentasys.es/imagenes/seguridad-
en-redes-informaticas.jpg”
Una red inalámbrica (conocida comúnmente como WI-FI) permite desplegar una
red de área local sin cables. Es evidente que al emplear un medio compartido
por cualquiera que se encuentre en el ámbito de la cobertura, se multiplican las
amenazas de acceso no controlado a la información. En función de las
necesidades, la red inalámbrica se puede dejar completamente abierta y sin
cifrar para poder acceder a los recursos y datos fácilmente o hacer de ella un
entorno muy seguro. Existen medidas muy sencillas y útiles que pueden evitar
amenazas sobre nuestra red:
Todos los equipos que emiten señal Wi-Fi (routers o puntos de acceso, pc’s,)
permiten configurar el protocolo de seguridad con el que se quiere transmitir,
permitiendo así cubrir las dimensiones de control de acceso, confidencialidad y,
en algunos casos, autenticación. Los diferentes protocolos existentes son:
27
deficiencias del cifrado WEP. Aunque su longitud de clave es menor que la
de WEP, su método de cifrado es más robusto.
WPA2 (Wi-Fi Protected Access 2). Es considerado bastante seguro, ya que
utiliza el algoritmo de cifrado AES, por lo que su ruptura es bastante
complicada.
WPA PSK (Wi-Fi Protected Access Pre-Share Keyda). Esta opción de
cifrado es de las más seguras. Este método difiere del anterior en que existe
una clave compartida por todos los integrantes de la red previamente a la
comunicación (desde la configuración de los dispositivos). La fortaleza de la
seguridad reside en el nivel de complejidad de esta clave.
15
HERNANDEZ Roberto, “Firewall o Cortafuegos”, www.segu-info.com.ar/firewall/firewall.htm, 2009
29
Protocolos utilizados.
Dirección IP de origen y de destino.
Puerto TCP-UDP de origen y de destino.
30
aplicación encargados de filtrar las conexiones. Estas aplicaciones son
conocidas como Servidores Proxy y la máquina donde se ejecuta recibe el
nombre de Gateway de Aplicación o Bastion Host. El Proxy, instalado sobre el
Nodo Bastión, actúa de intermediario entre el cliente y el servidor real de la
aplicación, siendo transparente a ambas partes. Cuando un usuario desea un
servicio, lo hace a través del Proxy este, realiza el pedido al servidor real
devuelve los resultados al cliente. Su función fue la de analizar el tráfico de red
en busca de contenido que viole la seguridad de la misma. Gráficamente:
31
Figura # 4: Fuente: “http://www.monografias.com/trabajos82/la-seguridad-
informatica/image004.png”
32
del Firewall, el Nodo Bastión. Para ello se establece una Zona Desmilitarizada
(DMZ) de forma tal que sin un intruso accede a esta máquina no consiga el
acceso total a la subred protegida. En este esquema se utilizan dos Routers:
uno exterior y otro interior. El Router exterior tiene la misión de bloquear el
tráfico no deseado en ambos sentidos: hacia la red interna y hacia la red
externa. El Router interior hace lo mismo con la red interna y la DMZ (zona
entre el Router externo y el interno)16.
Figura # 6: Fuente:“http://carlose25.lamula.pe/files/2009/08/screened-subnet.gif”
RIOS Julio (2008) señala que la Zona Desmilitarizada aísla físicamente los
servicios internos, separándolos de los servicios públicos. Además, no existe
una conexión directa entre la red interna y la externa. Los sistemas Dual-
16
SEGU-INFO, “Tipos de firewall”, http://www.segu-info.com.ar/firewall/screenedsubnet.htm
33
Homed Host y Screnned pueden ser complicados de configurar y comprobar, lo
que puede dar lugar, paradójicamente, a importantes agujeros de seguridad en
toda la red. En cambio, si se encuentran bien configurados y administrados
pueden brindar un alto grado de protección y ciertas ventajas17:
17
RIOS Julio, “Seguridad Informática”, http://www.monografias.com/trabajos82/la-seguridad-
informatica/la-seguridad-informatica2.shtml
34
"cuelgue" o infección de virus hasta la pérdida de toda su información
almacenada.
35
La tarea esencial de la gestión operativa es el despliegue de recursos y
capacidades para obtener resultados concretos. Requiere objetivos acertados
(acordes con los requerimientos sociales), capacidad de conseguir recursos y
lograr implantar sistemas, procedimientos y personal en forma acorde con lo
que se quiere conseguir.
36
Utilizar y ajustar los sistemas administrativos de su organización, e innovar
en ellos, para aumentar la calidad, flexibilidad y productividad de los
sistemas.
Atraer colaboradores nuevos para la realización de los objetivos de la
organización.
Definir tipo, grado y ubicación de las innovaciones que se consideren
necesarias.
37
Establecen la estructura administrativa, es decir, definen los grados y
áreas de autoridad, las responsabilidades y las funciones.
Estipulan los procedimientos para los procesos de toma de decisión
sobre temas clave (la planificación estratégica).
Definen las tecnologías de la organización para la configuración de
políticas, programas y actuaciones.
Gestionan el personal, es decir, reclutan, seleccionan, entrenan, evalúan,
recompensan y promocionan a los empleados.
Definen los sistemas de control y gestión de la información, en lo
referente al empleo de los recursos, los niveles de actividad y los logros
obtenidos.
CAPITULO II
MARCO METODOLÓGICO Y PLANTEAMIENTO DE LA
PROPUESTA
2.1 El Municipio
38
Mientras que su visión se resume en: “Ser el Gobierno Municipal de Quevedo,
ejemplo para las futuras administraciones por su eficiencia, eficacia y
efectividad en llenar las necesidades sentidas del pueblo de Quevedo”
39
2.2 Diseño Metodológico.
40
FUNCIÓN NUMERO
Director departamental 1
Funcionarios del departamento 12
TOTAL 138
( )
( )
FUNCIÓN NUMERO
Gerente 1
Funcionarios del departamento 11
Funcionarios municipales 90
TOTAL 102
41
Los instrumentos utilizados fueron:
Cuestionarios específicos para empleados del departamento de sistemas
(Ver Anexo A).
Cuestionarios específicos para funcionarios municipales (Ver Anexo B).
Guía de entrevista para el Director (Ver Anexo C).
42
Frecuente
mente
11%
Nunca
48%
Pocas
Respuestas vecesPorcentaje
Frecuencia
41%
Si 25 28%
No 43 48%
No sé 22 24%
Total 90 100%
Figura # 8: Fuente: Autor
43
No sé Si
24% 28%
No
Respuestas Frecuencia Porcentaje
48%
Si 13 14%
No 46 51%
No sé 31 34%
Total 90 100%
Figura # 9: Fuente: Autor
44
Si
No sé 15%
34%
Respuestas Frecuencia Porcentaje
Frecuentemente 54 60%
Pocas veces 28 31%
No
Nunca 8 51% 9%
Total 90 100%
45
Nunca
9%
46
Si
18%
Nunca
48%
Rara vez
34%
47
No sé
15%
No
24% Si
61%
48
Total 11 100%
Alto
9%
Medio
Bajo
36%
55%
49
Buena 0 0%
Regular 4 36%
Mala 7 64%
Total 11 100%
Regular
36%
Mala
64%
50
Bajo 6 55%
Medio 5 45%
Alto 0 0%
Total 11 100%
Medio
45%
Bajo
55%
51
Si ……………. No 8 73% No……………..
A Total 11 100%
veces………………
Si
9%
A vecs
18%
No
73%
52
Pregunta No 5. ¿El departamento de sistemas ha definido políticas de
seguridades que hayan tenido influencia directa en toda la Institución?.
Si………….. No……………….
Si
0%
No
100%
53
Pregunta No 6. ¿Cree importante definir un plan de seguridades para aplicarlo
en la Institución?.
Si………….. No……………….
No
0%
Si
100%
54
Entrevista realizada al Director del Departamento de Sistemas
55
¿Existe una cultura de seguridad en el personal?.
No se tiene una cultura por la seguridad informática, muchos equipos tienen sus
claves de acceso pero no se cambian nunca ni tampoco las administra el
departamento de sistemas.
56
2.3 Propuesta del Investigador
57
los que se considera más críticos y causan más impacto para la administración.
Inicialmente se plantea un cuadro con los principales riesgos de seguridad
informática que se tiene en la Institución.
Tabla: Elementos vs Riesgos
58
Como se mencionó anteriormente, el objetivo de esta tesis consiste en
Desarrollar un plan de seguridad informática, para que mediante su aplicación
se pueda disminuir los riesgos operativos del Municipio de Quevedo. A
continuación se describen las etapas en las cuales está dividido el Plan de
Seguridad Informática.
59
Los equipos que dispone el Municipio en sus diferentes departamentos son:
DEPARTAMENTOS EQUIPOS
SISTEMAS 7
FISCALIZACIÓN 4
SERVIDORES 2
TESORERÍA 5
OBRAS PUBLICAS 3
ORDENAMIENTO TERRITORIAL 1
CONSEJO Y JUNTA CANTONAL DE PROTECCIÓN DE LOS NIÑOS 3
JURÍDICO 3
ALCALDÍA Y ASESORÍA 3
DIRECCIÓN DE PLANIFICACIÓN Y URBANISMO 3
DEPARTAMENTO DE DIBUJO 1
RENTAS 4
DIRECCIÓN FINANCIERA Y PRESUPUESTO 4
CONTABILIDAD 5
DIRECCIÓN DE RECURSOS HIDRÁULICOS (AGUA POTABLE) 2
60
Figura # 22: Fuente: Autor, “Planos del Municipio de Quevedo”
61
Figura # 23: Fuente: Autor, “Planos del Municipio de Quevedo”
62
Las direcciones IP asignadas a los diferentes equipos de cómputos en la
Municipalidad es la siguiente:
63
DE ALCALDE (LAPTOS)
SECRETARIA 10.10.1.72
ALC.
ASESOR 10.10.1.73
(LAPTO)
ASIST. DE 10.10.1.74
ASESOR
SECRET. 10.10.1.75
ASESOR
LAPTOS 10.10.1.106
64
DEPARTAMENTO DE JEFE DE 10.10.1.141 10.10.1.141 10.10.1.150
AVALUOS Y CATASTROS CATAST.
ASIST. DE 10.10.1.142
CATAST
SECRETARIA 10.10.1.143
Una red perimetral o DMZ es una red local que se ubica entre la red interna
de una organización y una red externa, generalmente Internet. El objetivo de
una DMZ es que las conexiones desde la red interna y la externa a la DMZ
estén permitidas, mientras que las conexiones desde la DMZ sólo se permitan
a la red externa, es decir: los equipos locales (hosts) en la DMZ no pueden
conectar con la red interna. Esto permite que los equipos (hosts) de la DMZ’s
puedan dar servicios a la red externa a la vez que protegen la red interna en el
caso de que intrusos comprometan la seguridad de los equipos (host) situados
en la zona desmilitarizada. Para cualquiera de la red externa que quiera
65
conectarse ilegalmente a la red interna, la zona desmilitarizada se convierte en
un callejón sin salida.
Planificación de Actividades:
o Definir la estructura
o Definir elementos
o Configurar firewall
o Estructuración de Honeypots
o Configuración de firewall complementarios y físicos
o Wpa y Wpa2
66
A continuación se desarrollan las diferentes actividades planificadas en la
sección anterior
67
Actividad Equipos y software
Direccionamiento
68
Dispositivo Dirección IP
Router Dlink DIR 655 192.168.1.1
Pc Bastión T1 Expuesta 192.168.1.2
Pc Red DMZ T2 192.168.3.1
Pc Red Lan T3 192.168.10.1
Servidor mail 192.168.3.2
Servidor www 192.168.3.3
Pc Lan 1 192.168.10.2
#!/bin/sh
## SCRIPT de IPTABLES - ejemplo del manual de iptables
echo -n Aplicando Reglas de Firewall...
## FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
## Empezamos a filtrar
## Nota: eth0 es el interfaz conectado al router y eth1 a la LAN
# Todo lo que venga por el exterior y vaya al puerto 80 lo redirigimos
# a una maquina interna
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to
192.168.3.2:80
71
Actividad Honeypots
72
1 Computador con especificaciones mínimas, puede ser P4 Dual Core,
Memoria Ram de 1 Mega, Tarjeta de red y disco duro de 40Gigas.
73
Actividad Firewall complementarios.
74
Está prohibido el acceso a todos los puertos bajos (Menores a 1023), a
excepción de los explícitamente permitidos como el 22 que pertenece a
SSH.
75
Es importante recordar que un cortafuego no elimina problemas de virus del
ordenador, sino que cuando se utiliza conjuntamente con actualizaciones
regulares del sistema operativo y un buen software antivirus, añadirá cierta
seguridad y protección adicionales para tu ordenador o red.
Nombres de dominio.- Al ser difícil recordar tantos números que forman las
direcciones IP y porque estos números pueden cambiar, los servidores en
Internet tienen nombres legibles llamados nombres de dominio. Esta
conversión la hacen los llamados DNS y los firewalls de las compañías pueden
también bloquear el acceso a ciertos nombres de dominio o permitir solo
algunos.
TCP – Se usa para partir y volver a unir información que viaja por Internet.
76
FTP – El protocolo FTP se usa para subir y descargar archivos de un sitio a
otro.
UDP – Se usa para información que no necesita respuesta de vuelta, como por
ejemplo el “streaming” o el uso de audio o video en tiempo real por Internet.
ICMP – Los usan ciertos elementos de red para intercambiar información con
otros dispositivos.
77
Dimensiones (Ancho x
29.3 cm x 34.1 cm x 9.6 cm
Profundidad x Altura)
Peso 2.5 kg
Protocolo de interconexión de
Ethernet, Fast Ethernet, Gigabit Ethernet
datos
78
Proteger los datos durante su transmisión mediante el cifrado.
79
La seguridad de LAN inalámbrica, aun cuando está integrada en la
administración general de la red, sólo es efectiva cuando está activada y se
utiliza de forma uniforme en toda la LAN inalámbrica. Por este motivo, las
políticas del usuario son también una parte importante de las buenas prácticas
de seguridad. El desafío es elaborar una política de usuarios de LAN
inalámbrica que sea lo suficientemente sencilla como para que la gente la
cumpla, pero además, lo suficientemente segura como para proteger la red.
Actualmente, ese equilibrio es más fácil de lograr porque WPA y WPA2 se
incorporan a los puntos de acceso Wi-Fi y los dispositivos de cliente
certificados.
80
de la red y analizando la información que contribuye a los síntomas de los
problemas de seguridad de la misma, y permiten que el usuario especifique las
respuestas en tiempo real a las violaciones.
Un componente clave del Marco de Cisco SECUREX, el Cisco ASA 5500 Series
integra firewall más probada del mundo con un conjunto robusto de alta escala de
integración, servicios de seguridad líderes en el mercado de redes de todos los
tamaños - pequeñas empresas y medianas empresas con una o unas pocas
localidades, las grandes empresas, proveedores de servicios y de misión crítica
centros de datos.
81
Series fue diseñado con esto en mente. Disponible en una amplia gama de tamaños y
niveles de rendimiento para adaptarse a su red y el presupuesto, todos los modelos
ofrecen el mismo nivel de seguridad probada que protege las redes de algunas de las
compañías más grandes y más consciente de la seguridad en el mundo.
El servicio incluse IPS manager express que permite visualizar en tiempo real la
intrusión de forma simultánea de hasta 10 dispositivos de red, incluye
funcionamiento de la red
82
Figura # 31: Fuente: Cisco
83
Software basado en la prevención de intrusiones en línea para Cisco Integrated
Services Routers, Intrusión Branch capacidades de prevención integrado en la
plataforma Cisco IOS Reducción de los costes operativos y de despliegue, sin
necesidad de hardware adicional
Cableado Estructurado
84
El cableado pasa a través de un techo falso implementado el cual permite una
fácil accesibilidad ya que simplemente se sacan los paneles que lo componen,
después los cables se extienden hasta las columnas del edificio por donde
bajan por unos paneles metálicos hasta que llegan al suelo, dichos paneles no
presentan las facilidades cuando se requiere hacer algún tipo de modificación
ya que el espacio es muy reducido para tanto cable, pero resultaron
económicos por eso fueron adquiridos, adicionalmente la empresa que instalo el
cableado dejo adicionales para futuras expansiones, los cuales están solo
conectados del lado del switch, del otro extremo está el cable sin el conector
RJ45.
Software
En la Institución existen tres servidores de las mismas características que
poseen un sistema operativo basado en Linux Centos®, dicho sistema fue
instalado en el 2011 tomando en cuenta los siguientes aspectos en la relación
coste/beneficio:
Bajo costo de adquisición.
Confiabilidad.
85
Compatibilidad con Windows
Funcionalidades de auditoría y control de accesos.
Por la posibilidad de conseguir actualizaciones.
Parches de Seguridad Constantes.
Aplicaciones Gratis.
86
Seguridad en acceso a computadores y protectores de pantalla
Hoy en día uno de los principales activos que tienen las empresas es la
información, es por ello que toda la información generada por la institución debe
estar perfectamente respaldada, para ello se propone las siguientes políticas.
87
Es responsabilidad del Departamento de Sistemas mantener la
integridad, disponibilidad y confidencialidad de la información de los
usuarios, a nivel administración.
Es responsabilidad del Departamento de Cómputo la administración de
las direcciones IP que se le aplique a cada computador que se encuentre
en la Municipalidad de Quevedo.
Los usuarios de otras Instituciones Públicas que necesite ingresar a la
red de la Municipalidad de Quevedo deben solicitar los respetivos
permisos a la Jefatura de Sistemas.
El monitoreo de tráfico de la red institucional, es tarea exclusiva del
Departamento de Cómputo.
Todo equipo de cómputo que se detecte con actividad sospechosa, se le
suspenderá el servicio de red hasta corregir el problema.
El mantenimiento a software en los servidores deberá ser realizado
semestralmente por el Departamento de Cómputo, además deberá llevar
un registro.
El uso de carpetas para compartir información deberá realizarse con una
contraseña, después de utilizar dichas carpetas se deberán deshabilitar
los permisos de acceso a las mismas.
La administración, operación y correcto funcionamiento de los Servidores
de la Red, son responsabilidad única y exclusivamente del Departamento
de Cómputo.
Es responsabilidad del Departamento de Cómputo respaldar la
información de los servidores semanalmente.
La red institucional no será instrumento de experimentos que pongan
riesgo la integridad de la información.
Por seguridad de la información se deberán cerrar todas las sesiones de
red después de ser utilizadas.
La configuración de los equipos de comunicaciones deberá ser realizada
o supervisada por el Departamento de Cómputo.
88
El Departamento de Cómputo es el responsable de controlar el acceso
remoto a los equipos de la red institucional por medio de herramientas
seguras.
Cada usuario deberá tener asignada una cuenta y una clave de acceso
(password), a través del cual podrá acceder a los recursos de red que
tenga autorizados, mismas que son de uso exclusivamente personal.
Queda prohibido para cualquier usuario prestar su cuenta personal de red
a otra persona.
Ninguna cuenta de usuario podrá ser usada con propósitos ilegales o
contrarios a las políticas implementadas en la institución.
El Jefe de Sistemas podrá otorgar cuentas temporales a visitantes,
cuando éstas sean solicitadas por él. Responsabilizándose de que se
respeten las políticas establecidas.
Si se detecta la presencia de un virus u otro agente potencialmente
peligroso, se debe notificar inmediatamente al Jefe de Cómputo y
desconectar la PC de la red hasta que el problema sea resuelto.
No ejecutar ningún archivo contenido en un mensaje de correo no
solicitado o enviado por un remitente desconocido, así ofrezca atractivos
premios o temas provocativos. Mucho menos si estos archivos tienen
doble extensión.
No contestar los mensajes SPAM, ya que al hacerlo se reconfirmará su
dirección IP, ni prestar atención a los mensajes con falsos contenidos
tales como ofertas de premios, dinero, solicitudes de ayuda caritativa,
advertencia de virus de fuentes desconocidas, etc.
No se debe confiar en los archivos gratuitos que se descargan de sitios
Web desconocidos, ya que son una potencial vía de propagación de
virus.
Será responsabilidad del Jefe de Cómputo tener los discos de arranque
de sistema operativo para cualquier contingencia.
89
El Jefe de Cómputo no se hace responsable de la información de los
usuarios almacenada en los discos duros locales de los equipos de
cómputo.
El Jefe de cómputo respaldará al finalizar cada día las bases de datos de
todos los sistemas existentes y utilizados en la municipalidad, siempre y
cuando las bases de datos se encuentren almacenadas en el servidor de
datos.
90
2.3.6 Seguridad de Custodia de equipos
91
Figura # 33: Fuente: Cisco
92
2.4 Presupuesto general del plan
Capacitación 1500
Seguridad en las Definición y registro de
Aplicaciones claves 1500
Total 3000
93
2.5 Cronograma de ejecución
CRONOGRAMA DE EJECUCION
Estrategias M1 M2 M3 M4 M5 M6 M7 M8 M9 M10 M11 M12
Seguridad en las
Comuniccaiones
Red DMZ
Configuraciones IPTable
Honeypots
Firewall lógicos
Firewall físico 3Com
Configuraciones en
redes inlambricas
Detección de intrusos
fisico Cisco asa 5512-x IPS
Detección de intrusos logica
Cisco IOS I.P.S.
Aplicaciones
Capacitación
Definición y registro de
claves
Seguridad en la
Información
Servidor de respaldo
Respaldo en la nube
Accesorios de respaldo
94
2.6 Análisis de Costo-Beneficio
95
2.7 Conclusiones Parciales del Capitulo
96
CAPITULO III
VALIDACIÓN Y EVALUACION DE RESULTADOS
97
CONCLUSIONES GENERALES
98
RECOMENDACIONES
También se debe tomar en cuenta que nunca habrá una seguridad total,
esto quiere decir que siempre habrá que estar atento a cualquier infiltración
a acceso no deseado, si de pronto se rompe alguna seguridad el respaldo
de la información se constituye en un apoyo muy importante para que la
institución continúe en su trabajo operativo.
99
BIBLIOGRAFÍA
100
ISO “An Introduction to ISO 27001, ISO 27002” http://www.27000.org/
ISO “SOLUCIONES TÉCNICAS Y ORGANIZATIVAS A LOS CONTROLES
DE ISO/IEC 27002” http://www.iso27000.es/download/ControlesISO27002-
2005.pdf
ISO, “ISO27000” http:/www.iso.org
LITTLEJOHN Debra, 2001 “Cisco Networking Academy Program: Computer
Networking Essentials” Editorial CiscoPress, Primera Edición, EEUU
MANTILLA Samuel, 2009, “Auditoría Del Control Interno”, Primera Edición,
Editorial ECOE, Colombia.
RODAO Jesús, “Piratas cibernéticos, Cyberware, Seguridad informática e
Internet”, Editorial Alfaomega Ra-Ma, Madrid-España, 2006
SPAFFORD, Gene. 2006, "Manual de seguridad en redes". Editorial ArCERT,
Argentina.
STALLINGS William , 2011, “Operating Systems: Internals and Design
Principles” Séptima Edición, Prentice Hall, EEUU
STALLINGS William, 2003, “Fundamentos de seguridad en redes: aplicaciones
y estándares” Editorial Pearson Educación, Segunda Edición, España
STALLINGS William, 2004 “Comunicaciones y Redes de Computadoras”, 7ma
Edición, Prentice-Hall, Primera Edición, EEUU
101
ANEXOS
102
ANEXO A
PLAN DE SEGURIDAD INFORMATICA Y LOS RIESGOS OPERATIVOS EN EL
MUNICIPIO DESCENTRALIZADO DE QUEVEDO, PROVINCIA DE LOS RIOS
103
ANEXO B
Pregunta No 3. ¿Qué nivel de seguridad cree usted que existe a nivel de software
para controlar virus, correos peligrosos y descargas dañinas o muy grandes?.
Bajo…… Medio……. Alto……..
104
ANEXO C
PLAN DE SEGURIDAD INFORMATICA Y LOS RIESGOS OPERATIVOS EN EL
MUNICIPIO DESCENTRALIZADO DE QUEVEDO, PROVINCIA DE LOS RIOS
¿En qué porcentaje cree usted que la gestión operativa Municipal se apoya en el
aparato tecnológico?.
105