Documentos de Académico
Documentos de Profesional
Documentos de Cultura
LA PAZ, 2021
ESCUELA MILITAR DE INGENIERÍA
MCAL. ANTONIO JOSÉ DE SUCRE
BOLIVIA
Modalidad: Perfil de
Proyecto de Grado
presentado como requisito
para la elaboración del
Proyecto de Grado.
LA PAZ - 2021
CONTENIDO
CAPITULO 1 ........................................................................................................................ 8
1.1 INTRODUCCIÓN .......................................................................................... 8
1.2 ANTECEDENTES ........................................................................................ 8
1.2.1 ANTECEDENTES INSTITUCIONALES ........................................................ 9
1.2.2 ANTECEDENTES ACADÉMICOS .............................................................. 12
1.3 PLANTEAMIENTO DEL PROBLEMA ....................................................... 14
1.3.1 IDENTIFICACIÓN DEL PROBLEMA. ......................................................... 14
1.3.2 ANÁLISIS CAUSA-EFECTO....................................................................... 15
1.3.3 FORMULACIÓN DEL PROBLEMA ............................................................ 15
1.4 OBJETIVOS ............................................................................................... 15
1.4.1 OBJETIVO GENERAL ................................................................................ 16
1.4.2 OBJETIVOS ESPECÍFICOS ....................................................................... 16
3.2.1 Acciones del Proyecto ................................................................................ 16
1.5 JUSTIFICACIÓN ........................................................................................ 17
1.5.1 JUSTIFICACIÓN INSTITUCIONAL............................................................. 17
1.5.2 JUSTIFICACIÓN TÉCNICA ........................................................................ 18
1.6 ALCANCE .................................................................................................. 19
1.6.1 ALCANCE TEMÁTICO ............................................................................... 19
1.6.2 Área y Líneas de Investigación ................................................................... 19
1.6.3 ALCANCE GEOGRÁFICO.......................................................................... 20
1.6.4 ALCANCE TEMPORAL .............................................................................. 20
CAPITULO 2 ...................................................................................................................... 22
2.1 Teoría General de Sistemas ..................................................................... 22
2.1.1 Sistema ...................................................................................................... 23
2.2 Ingeniería de Sistemas ............................................................................. 24
2.2.1 Sistemas de Información ......................................................................... 25
2.3 Ingeniería de Software.............................................................................. 26
2.3.1 Proceso del Software ............................................................................... 26
2.3.2 Metodologías de Desarrollo ..................................................................... 28
i
2.3.4 Metodología de Programación Extrema XP ............................................ 31
2.3.4.1 Valores de la Programación Extrema. ............................................... 31
2.3.4.2 Herramientas de la Programación Extrema. ..................................... 32
2.3.4.3 Proceso XP .......................................................................................... 33
2.3.4.6 Actores del Proceso XP...................................................................... 35
2.3.5 Lenguaje de Modelado Unificado ............................................................ 37
2.3.6 Técnicas de relevamiento de la información. ......................................... 41
2.3.6.1 Entrevista Personal ............................................................................ 41
2.3.6.2 Cuestionarios ...................................................................................... 42
2.4 Seguridad de Sistemas. ........................................................................... 43
2.4.1 Seguridad Física. ...................................................................................... 43
2.4.2 Seguridad Lógica. ..................................................................................... 44
2.4.3 Principios de Seguridad. .......................................................................... 45
2.4.3.1 Confidencialidad. ................................................................................ 46
2.4.3.2 Integridad............................................................................................. 46
2.4.3.3 Disponibilidad. .................................................................................... 46
2.4.4 Gestión de Riesgos .................................................................................. 47
2.4.4.1 Metodología de análisis y gestión de Riesgos. ................................ 47
2.4.4.1 ISO 31000 Gestión de Riesgos .......................................................... 55
2.4.4.1 Procesos de la ISO 31000 Gestión de Riesgos ................................ 55
2.4.5 Cifrado de Datos ....................................................................................... 58
2.4.5.1 Criptografía Clásica ............................................................................ 58
2.4.5.2 Criptografía Moderna .......................................................................... 58
2.5 Complejidad Algorítmica y números Pseudoaleatorios ........................ 60
2.6 Tecnologías de Desarrollo ....................................................................... 65
2.6.1 Lenguajes de Programación. ................................................................... 65
2.6.1.1 C# ......................................................................................................... 66
2.6.1.2 JAVA .................................................................................................... 67
2.6.1.3 PHP ...................................................................................................... 68
2.6.3 Sistema Gestor de Base de datos ........................................................... 70
2.6.3.2 My Structured Query Language (MySQL) ............................................. 73
ii
2.6.2 Documentos Digitales .............................................................................. 74
2.6.3 Pruebas Unitarias ..................................................................................... 74
2.6.4 Pruebas de Integración ............................................................................ 75
2.6.5 Pruebas del Sistemas ............................................................................... 75
2.7 Material Bélico .......................................................................................... 76
CAPITULO 3 ...................................................................................................................... 79
3.1 Análisis de la Situación Actual ................................................................ 84
3.1.1 Establecer el Contexto. ............................................................................ 85
3.1.2 Elaboración de Entrevistas y Encuestas a Funcionarios de la Unidad
de Material Bélico ..................................................................................... 85
3.1.2 Recopilación de la información sobre las Funciones de la Unidad de
Material Bélico. ......................................................................................... 91
3.1.3 Procedimiento de la documentación en la Unidad de Material Bélico. 94
3.1.3.1 Clasificación de la información. ........................................................ 95
3.1.2 Identificación de activos de información................................................ 96
3.1.3 Identificación del riesgo ........................................................................... 99
3.1.2 Análisis de los Riesgos .......................................................................... 105
3.1.2.1 Niveles de Riesgo ............................................................................. 106
3.1.2 Evaluación del Riesgo ............................................................................ 108
3.1.2.1 Cuantificación del Riesgo ................................................................ 110
3.2 DESARROLLO DEL ALGORITMO BASADO EN NUMEROS
PSEUDOALEATORIOS ........................................................................... 113
3.2.1 Análisis del proceso de Cifrado ............................................................ 113
iii
ÍNDICE DE FIGURAS
PÁGINAS
iv
ÍNDICE DE TABLAS
PÁGINA
v
ÍNDICE DE ANEXOS
PÁGINA
vi
GENERALIDADES
7
CAPITULO 1
GENERALIDADES
1.1 INTRODUCCIÓN
A la par de estas ventajas, también han surgido nuevas problemáticas, entre ellas siempre se
ha visto en riesgo el tema de la seguridad de la información junto a la Integridad, Confidencialidad
y Disponibilidad.
El cifrado, sirve para codificar y descodificar los datos seleccionados, con el uso de algoritmos
criptográficos que permiten mejora la seguridad de la información así mismo permite la
comunicación con mayor nivel de seguridad entre dos o más dispositivos informáticos.
3.1 ANTECEDENTES
1«La automatización del trabajo nos afecta a todos: el que no se prepare va a quedar afuera». Periodista y escritor,
Andrés Oppenheimer. Sálvese quien pueda (2011).
8
A continuación, se presentan antecedentes institucionales y académicos.
La misión del Ministerio de Defensa es de: Gestionar y administrar los recursos de las Fuerzas
Armadas para el cumplimento de su misión constitucional, coordinado y promoviendo a la vez,
acciones de seguridad y defensa, lucha contra el contrabando, gestión de riesgos de desastres y
apoyo al desarrollo integral del Estado Plurinacional de Bolivia, bajo los principios de
transparencia, legalidad y disciplina. (MINDEF, 2018)
UNIDAD DE
MATERIAL BELICO
CERTIFICACIONES CLASE V
10
• Programar y efectuar inspecciones periódicas a los almacenes o depósitos de las Empresas
importadoras de artículos de clase V, polvorines civiles y militares de todo el país.
La diferencia con el presente Trabajo de Grado es que se diseñará un algoritmo para el cifrado
de documentos digitales basado en la generación de números pseudoaleatorios para la Unidad
de Material Bélico del Ministerio de Defensa, no se hará uso de la ofuscación en código fuente.
12
“SISTEMA CRIPTOGRÁFICO PARA LA ARMADA BOLIVIANA BASADO EN CURVAS
ELÍPTICAS”, realizado por el Ingeniero TF. CGON. Raúl Gilmar Cortez Laura, de la Carrera de
Ingeniería de Sistemas en la Escuela Militar de Ingeniería, en el año 2014, cuyo objetivo general
fue: “Desarrollar un sistema criptográfico basado en curvas elípticas para incrementar el nivel de
seguridad de la información en la transmisión y recepción de información de la Armada Boliviana”
(Cortez, 2014).
La diferencia con el presente Trabajo de Grado es que se diseñara un sistema de cifrado y envió
de documentos, integrando un algoritmo de cifrado que aplique números pseudoaleatorios, el
diseño no considera curvas elípticas.
La diferencia con el presente Trabajo de Grado considera que el diseño de del algoritmo de
cifrado está basado en números pseudoaleatorios que se integrara en un sistema para cifrado y
envió de documentos.
La diferencia con el presente trabajo de grado, es que el diseño del algoritmo de cifrado estará
basado en números pseudoaleatorios y no así en el enmascaramiento dinámico de datos
además de presentar un sistema para el cifrado y envió de documentos.
13
3.2 PLANTEAMIENTO DEL PROBLEMA
El personal de la Unidad de Material Bélico realiza diferentes actividades y tareas que son
plasmadas en documentos administrativos, como ser informes, reportes, certificaciones, guías
de transporte, guías de transporte con escolta, etc. Son elaborados de forma manual o
digitalmente que posteriormente son impresos en papel, a los que se asigna un código que
contiene las iniciales DGA. USI. No XX/2021 en la parte superior el cual identifica el
documento que sale de la Unidad, y su registro al momento de ser emitido en el sistema de
Correspondencia “HERMES”, para su seguimiento en las diferentes unidades del Ministerio
de Defensa, asimismo también existe documentación de carácter reservado (Resoluciones,
adquisiciones de Armamento, informes reservados etc.), el acceso a esta documentación es
restringida para personal que no esté comprometido y no tenga autorización para ver la
misma.
14
• El jefe de La Unidad de Material Bélico, recepciona el documento, verifica y si la
documentación esta correcta, pone su proveído y deriva a secretaria, si tiene
observación devuelve al operador con la observación pertinente.
De la misma forma se Adjunta en el Anexo C la carta de aceptación del Tema propuesto para
su desarrollo.
El proceso manual del flujo de la documentación, desde su recepción hasta su salida, provocan
riesgos en la información (confidencialidad, disponibilidad, integridad).
3.3 OBJETIVOS
15
3.3.2 OBJETIVO GENERAL
• Realizar el análisis de la situación actual de los procedimientos que siguen los documentos
de Unidad de Material Bélico para identificar parámetros y requerimientos necesarios a
incluirse en el diseño del sistema y el algoritmo.
16
parámetros y requerimientos Identificación de parámetros. Ingeniería de
necesarios a incluirse en el diseño Software
del sistema y el algoritmo.
Análisis de técnicas de Seguridad de
3.4 JUSTIFICACIÓN
17
La Unidad de Material Bélico podrá beneficiarse con un sistema que será desarrollado a medida
de las necesidades que son identificadas que además solucione los problemas presentes y la
seguridad al tratarse de un algoritmo diseñado de forma específica para la entidad.
El desarrollo del algoritmo permitirá incrementar los niveles de Seguridad Informática dentro de
la Unidad de Material Bélico, mediante el cifrado de documentos digitales.
El Ministerio de Defensa y la Unidad de Material Bélico deben cumplir con la normativa legal
vigente del Estado Plurinacional de Bolivia que establece:
“...Las instituciones públicas deberán priorizar en todos sus trámites el uso de tecnologías de
información y comunicación a efecto de digitalizar, automatizar, interoperar y simplificar la
tramitación de los asuntos que son de su competencia.”
18
Los sistemas web son aplicaciones de software que los usuarios pueden utilizar accediendo a
un servidor web a través de internet o de una intranet mediante un navegador, bajo este criterio
y las bondades que nos ofrece se tomaran estas características para brindar a los usuarios la
facilidad para acceder a una plataforma donde mostrara información sobre los documentos
digitalizados.
3.5 ALCANCE
El desarrollo del presente Trabajo de Grado aborda información sobre el área general de
Ingeniería de Sistemas, se utilizará conceptos de seguridad de sistemas de información
particularmente.
19
aplicando estándares internacionales, en función a necesidades y requerimientos
institucionales” (DISEÑO CURRICULAR ING. DE SISTEMAS 2018-2022).
La elaboración del presente proyecto de grado tiene una duración de dos semestres académicos
de la gestión 2021.
20
MARCO TEORICO
21
CAPITULO 2
MARCO TEORICO
La Teoría General de Sistemas viene a ser el resultado de gran parte del movimiento de
investigación general de los sistemas, constituyendo un conglomerado de principios e ideas que
han establecido un grado superior de orden y comprensión científicos, en muchos campos del
conocimiento (Sarabia, 1999).
La definición expuesta por (Arnold, 2002), es la que mas se adecua al proyecto, debido a que
se conformara un sistema, que en este caso llega a ser un sistema de envió y cifrado para la
2.1.1 Sistema
Un sistema también se lo entiende como una unidad cuyos elementos interaccionan juntos, ya
que continuamente se afectan unos a otros, de modo que operan hacia una meta común. Es
algo que se percibe como una identidad que lo distingue de lo que la rodea y que es capaz de
mantener esa identidad a lo largo del tiempo y bajo entornos cambiantes (Aracil, 1997).
En el presente trabajo, el concepto de sistemas dado por (Bertalanffy, 1976) es el que se adecua
de mejor manera, ya que se tomará en cuenta operaciones con información y datos, enfocados
al cifrado y al mismo tiempo, la salida termina siendo información; para poder interrelacionar e
interpretar los conocimientos de los Sistemas.
En el libro Dinámica de Sistemas (Blanchard, 2007), propone que el ciclo de vida del sistema se
refiere al espectro completo de actividades de los sistemas como se puede observar en la Figura
4.
23
Figura 4: Fases Especificas del ciclo de vida de un Sistema
Identificacion de una
necesidad
Diseño del
Retiro y desecho Sistema
del Sistema
Desarrollo
Apoto y Soporte del Sistema
del Sistema
Construcción
Uso operacional del Sistema
del Sistema
La Figura 4 muestra el ciclo de vida del sistema que constituye un proceso iterativo porque cada
fase puede variar dependiendo de la naturaleza, complejidad y propósito del sistema.
24
complejo-conflictivos especificando los recursos que deben estar interrelacionados a fin de
alcanzar los objetivos propuestos (Wymore, 1972).
Un sistema de información es aquel que transforma datos de entrada, los procesa, los almacena
para su posterior uso y distribuye la información a los usuarios internos y externos de la
organización.
“Un sistema de información se caracteriza principalmente por la eficiencia que procesa los datos
con relación al área de acción; los sistemas de información se alimentan de los procesos y
herramientas de estadística, probabilidad, inteligencia de negocio, producción, marketing, entre
otros para llegar a la mejor solución” (Chen, 2019).
Por lo tanto, “un sistema de información se destaca por su diseño, facilidad de uso, flexibilidad,
mantenimiento automático de los registros, apoyo en toma de decisiones críticas y mantener el
anonimato en informaciones no relevantes” (Chen, 2019), donde podemos destacar los
siguientes componentes de un sistema información:
• Proceso: Uso de las herramientas de las áreas contempladas para relacionar, resumir o
concluir,
25
Figura 5: Ciclo de Vida de los Sistemas de Información
Cuando ha de construirse una aplicación nueva o sistema incrustado, deben escucharse muchas
opiniones. Y en ocasiones parece que cada una de ellas tiene una idea un poco distinta de
cuáles características y funciones debiera tener el software. Se concluye que debe hacerse un
esfuerzo concertado para entender el problema antes de desarrollar una aplicación de software
Mientras aumentan los valores de una aplicación especializada aumentan la probabilidad de que
su base de usuarios y ciclo de vida también crezcan conforme se extienda su base de usuarios
y el tiempo de uso, las demandas para adaptarse y realizar el mantenimiento adecuado también
crecerán, por lo que concluimos que el software debe tener facilidad para ser extensible,
escalable y flexible que incremente las nuevas funcionalidades, módulos, etc.(Pressman, 2010).
26
De acuerdo a la teoría de Sommerville (2005) nos indica que: “la estructura del proceso establece
el fundamento para el proceso completo de la ingeniería de software por medio de la
identificación de un número pequeño de actividades estructurales que sean aplicables a todos
los proyectos de software, sin importar su tamaño o complejidad”; además, que la estructura del
proceso incluye un conjunto de actividades sombrilla que se emplean a través de todo el proceso
del software.
Una estructura de proceso general para la ingeniería de software consta de cinco actividades
que de acuerdo con Sommerville (2005) son las siguientes:
• Comunicación. Antes de que comience cualquier trabajo técnico, tiene importancia crítica
comunicarse y colaborar con el cliente y con otros participantes para reunir los
requerimientos que ayuden a definir las características funciones del software.
• Modelado entendido como el diseñador y constructor, crear un “bosquejo” del objeto con
el fin de entender el panorama general del proyecto.
• Despliegue del software entendido como la entrega del software funcional al usuario para
su evaluación.
27
muchos proyectos de software, las actividades estructurales se aplican en forma iterativa a
medida que avanza el proyecto” (Sommerville,2005).
Conforme se produce cada incremento, el software se hace más y más completo, estas
actividades estructurales del proceso son complementadas por cierto número de actividades
sombrilla, que según Pressman (2010): “las actividades sombrilla se aplican a lo largo de un
proyecto de software y ayudan al equipo a que se lleve a cabo para administrar y controlar el
avance, la calidad, el cambio y el riesgo”, son las siguientes:
• Crear productos del trabajo, tales como modelos, documentos, registros, formatos y listas.
28
• Una filosofía de desarrollo de programas de computación con el enfoque del proceso de
desarrollo de software.
RUP
Características Ventajas Desventajas
29
SCRUM
Características Ventajas Desventajas
Scrum es un proceso en el • Los usuarios pueden • Funciona más que
que se aplican de manera participar en cada una nada con equipos
regular un conjunto de de las etapas del reducidos,
buenas prácticas para proceso y proponer las empresas
trabajar soluciones. grandes, deben
colaborativamente, en • Resultados estar
equipo, y obtener el mejor anticipados, cada sectorizadas
resultado posible de un etapa del proceso o divididas en grupos
proyecto. arroja una serie de que tengan objetivos
Se realizan entregas resultados. concretos
parciales y regulares del • Se adapta a cualquier • Requiere una
producto final, priorizadas contexto, área o sector definición de las
por el beneficio que de la gestión, es decir, tareas y plazos, para
aportan. no es una técnica definir el Scrum
exclusiva. adecuadamente.
PROGRAMACIÓN EXTREMA XP
Características Ventajas Desventajas
La programación extrema • Programación • Es recomendable
es una metodología de organizada. emplearlo solo en
desarrollo ligero (o ágil) • Menor taza de errores. proyectos a corto
basada en una serie de • Satisfacción plazo
valores y de prácticas de del programador. • Altas comisiones en
buenas maneras que • Solución de errores de caso de fallar
persigue el objetivo de programas • Imposible prever
aumentar la productividad todo antes de
• Implementa una forma
a la hora de desarrollar programar.
de trabajo donde se
programas.
adapte fácilmente.
30
2.3.4 Metodología de Programación Extrema XP
Los Valores originales de la programación extrema que Beck (1999) señala son la simplicidad,
comunicación, retroalimentación, coraje o valentía y respeto, los cinco valores se detallan a
continuación:
31
c) Retroalimentación (Feedback) 3, Al estar el cliente integrado, su opinión sobre el estado del
proyecto se conoce en tiempo real, al realizarse ciclos muy cortos tras los cuales se muestran
resultados, se minimiza el tener que rehacer partes que no cumplen con los requisitos y ayuda
a los programadores a centrarse en lo que es más importante.
d) Coraje o Valentía: Muchas de las prácticas implican valentía, una de ellas es siempre diseñar
y programar para hoy y no para mañana esto es un esfuerzo de la salida de un sistema se
redirige a la entrada para para evitar empantanarse en el diseño y requerir demasiado tiempo y
trabajo para implementar todo lo demás del proyecto.
e) Respeto: El respeto es importante para que haya una buena comunión entre los
programadores del equipo; nunca hay que denigrar a nadie ni agregar u ofender, pues una
autoestima alta en el equipo garantizará un trabajo mucho más eficiente.
Dentro la programación extrema podemos distinguir las siguientes herramientas que nos sirviera
durante el desarrollo del Trabajo de Grado, en tal sentido solo se escribirá las herramientas que
emplearemos:
a) Historias de Usuario: Las historias de usuario son la técnica utilizada en XP para especificar
los requisitos del software. Se trata de tarjetas de papel en las cuales el cliente describe
brevemente las características que el sistema debe poseer, sean requisitos funcionales o no
funcionales. El tratamiento de las historias de usuario es muy dinámico y flexible, en cualquier
momento las historias de usuario pueden romperse, reemplazarse por otras más específicas o
generales, añadirse nuevas o ser modificada, contemplar diferentes datos que se vea necesario
registrar para tener claro los requerimientos del cliente.(Jeffries, 2001)
3 Feedback; Traducido como retroalimentación, es un mecanismo por el cual una cierta proporción
32
Tabla 3: Historias de Usuario
HISTORIAS DE USUARIOS
2.3.4.3 Proceso XP
“La programación extrema usa un enfoque orientado a objetos como paradigma preferido de
desarrollo, y engloba un conjunto de reglas y prácticas que ocurren en el contexto de cuatro
actividades estructurales que son la planeación, diseño, codificación y pruebas” (Pressman,
2010).
33
Figura 6: Fases de la metodología XP
Fuente: Pressman,2010
34
c. Codificación: El cliente es una parte más del equipo, su presencia es indispensable para
captar las necesidades de forma clara; a la hora de codificar, su presencia es aún más
necesaria, debemos recordar que son los clientes los que crean las historias de usuario y
antes del desarrollo de cada una de éstas, el cliente debe especificar de manera detallada
lo que esta hará; de la misma forma deberá estar presente cuando le realicen las pruebas
a la historia de usuario para verificar que la funcionalidad cumple con lo esperado. XP opta
por una programación en parejas, para que de esta manera se consiga un código más
consistente. La optimización del código se la deja para el final, primeramente, se debe
hacer que el código funcione y que sea correcto, más tarde se puede realizar la
optimización. Cabe recalcar una particularidad de gran importancia; XP afirma que la
mayoría de los proyectos que necesiten más tiempo extra que el planificado para ser
finalizados, haga lo que se haga éstos no podrán ser acabados en el tiempo esperado, a
pesar de que se agreguen desarrolladores al equipo (Bustamante, 2014).
d. Pruebas: Las pruebas unitarias que se crean deben implementarse con el uso de una
estructura que permita automatizarlas (de modo que puedan ejecutarse en repetidas veces
y con facilidad). “El uso de las pruebas permite verificar que un cambio en lo que es la
estructura del código no tiene por qué cambiar su funcionamiento. Finalmente se realizan
las pruebas de aceptación que serán usados por los clientes para comprobar que el
sistema y sus módulos cumplen con su cometido” (Bustamante, 2014).
35
a) Programador: “El programador escribe las pruebas unitarias y produce el código del
sistema. Debe existir una comunicación y coordinación adecuada entre los
programadores y otros miembros del equipo” (Beck,1999).
b) Cliente: El cliente escribe las historias de usuario y las pruebas funcionales para validar
su implementación, además, asigna la prioridad a las historias de usuario y decide cuáles
se implementan en cada iteración centrándose en aportar mayor 103 valor al negocio. “El
cliente es sólo uno dentro del proyecto, pero puede corresponder a un interlocutor que
está en representación a varias personas que se verán afectadas por el sistema”
(Beck,1999).
c) Encargado de Pruebas: Ayuda al cliente a escribir las pruebas funcionales. “Ejecuta las
pruebas regularmente, difunde los resultados en el equipo y es responsable de las
herramientas de soporte para pruebas” (Beck,1999).
e) Entrenador: Es responsable del proceso global. “Es necesario que conozca a fondo el
proceso XP para proveer guías a los miembros del equipo de forma que se apliquen las
prácticas XP y se siga el proceso correctamente” (Beck,1999).
f) Consultor: “Es un miembro externo del equipo con un conocimiento específico en algún
tema necesario para el proyecto” (Beck,1999).
g) Gestor: “Es el vínculo entre clientes y programadores, ayuda a que el equipo trabaje
efectivamente y permite crear las condiciones adecuadas, su labor esencial es de
coordinación” (Beck,1999).
36
2.3.5 Lenguaje de Modelado Unificado
“El Lenguaje de Modelado Unificado (UML) es un procedimiento que permite a través de sus
elementos gráficos representar flujos de trabajo diversos para proyectos de tecnología
informática, hardware, electrónica, etc., de cualquier nivel en una organización sin importar
su tamaño o naturaleza” (Castañeda, 2015). UML permite realizar un modelo del sistema que
emplear los diferentes diagramas que lo componen para cada etapa y tarea que conlleva el
diseño de software.
• Partes (elementos): Son todos los objetos, cosas, personas, animales, sistemas,
subsistemas que pueden relacionarse (Sena, S/F).
• Acciones (relaciones): A través de las acciones las partes se pueden relacionar. Estas
pueden ser (correr, vender, cantar comer, bailar o acciones abstractas 30 como querer,
sentir) hacen que los sistemas tengan funcionalidad, que adquieran vida (Sena, S/F).
a) Estructurales.
37
Figura 7: Diagrama de Clases
38
• Diagrama de Despliegue: Muestra el hardware del sistema y el software del hardware.
• Diagrama Entidad – Relación: Es una herramienta para el modelado de datos que permite
representar las entidades relevantes de un sistema de información, así como sus
interrelaciones y propiedades.
39
Fuente :Fowler, 1999
b) De comportamiento
• Diagrama de Casos de Uso: Es una descripción de las acciones de un sistema desde el punto
de vista del usuario. Es una técnica útil para para obtener los requerimientos del sistema. Los
casos de uso son servicios o funciones provistas por el sistema para los usuarios.
40
Fuente :Fowler, 1999
La entrevista es una de las técnicas más comunes y es considerada como la relación directa
entre el entrevistado y el objeto de estudio a través de individuos o grupos con el fin de obtener
testimonios reales” (Hernandez,2009). Existen varios tipos de entrevistas dentro de las cuales
Hernández (2009) destaca las siguientes principalmente:
41
• Las de investigación sirven para realizar un determinado estudio en un área específica.
a) Ventajas: Entre las principales destacan que los mismos actores son los que proporcionan
los datos relativos a sus conductas, opiniones, deseo, actitudes, expectativas, etc.
Aspectos que por su naturaleza es casi imposible percibir con la simple observación del
comportamiento o desenvolvimiento
b) Desventajas: Podemos indicar que no todas las personas presentan una correcta
expresión de sus ideas al momento de entrevistados, muchos tienen respuestas
inseguras con poca fluidez al momento de responder, es muy fácil caer en la Dirección a
respuestas deseadas lo que provoca que el entrevistador evite dar su opinión acerca del
tema.
2.3.6.2 Cuestionarios
Es una forma eficaz de auxilio en la observación científica, las cuales son preguntas formuladas
por escrito y no es necesario la presencia del investigador llevándose al cabo mediante otros
medios de acuerdo con lo que Hernández (2009) destaca los siguientes:
42
la obtención de datos sea equivocada si las preguntas no son bien formuladas,
pudiendo caer en la distorsión de la información o si se utilizan términos ilegibles o
poco comprensibles las respuestas serán desfavorables para el proyecto
Cuando se quiere tener un equipo seguro es importante considerar todos los aspectos que
están involucrados, Santos (2006) afirma que: “Uno de los más importantes es la seguridad
que se brinda en el entorno donde está ubicado el equipo”. El punto más débil que tienen la
mayoría de los equipos son sus consolas, siempre se asume que la persona que esté ubicada
en frente de la consola, es la persona que administra el equipo o tiene pleno conocimiento
del funcionamiento de este. Desde la consola se pueden realizar tareas que son
recomendadas por Costas (2006) como ser:
43
• En el caso de Linux reiniciar el equipo en un modo en particular (nivel de ejecución 1).
• Insertar un pendrive dentro del equipo y arrancar el mismo leyendo del pendrive, para
acceder con otro sistema operativo.
Todos estos puntos tienen que controlarse y tratar de eliminar todos los posibles puntos de
entrada. “Llegado el caso de que un intruso logre estar personalmente en frente de la
consola” (Santos,2006).
Es la configuración adecuada del sistema para evitar el acceso a los recursos y configuración
de este por parte de personas no autorizadas, ya sea a nivel local o vía red.
Entre los puntos más importantes a tomar en cuenta para Costas (2006) dentro la seguridad
lógica tenemos a algunos que se aplican principalmente a servidores, otros a cualquier
ordenador como ser:
• Activado del protector de pantalla con contraseña cuando el equipo queda desatendido y hacer
log-off antes de retirarse del mismo.
44
Las principales recomendaciones que Costas (2006) establece son las siguientes:
Cuando hablamos de seguridad en sistemas de información Gómez (2006) afirma que “se refiere
a un conjunto de medidas y uso de herramientas para prevenir, resguardar, proteger y reaccionar
ante cualquier movimiento que atente contra la información”.
Con esto, se busca mantener la confidencialidad, mantener íntegros los datos y disponibles
según sea necesario.
La seguridad de sistemas se define como toda aquella medida que impide la realización de
operaciones no autorizadas sobre un sistema o red informática, donde sus efectos pueden
conllevar severos daños en la información, tanto como comprometer su confidencialidad,
autenticidad e integridad, disminuir el rendimiento de los equipos o bloquear el acceso de
usuarios autorizados al sistema (Gómez, 2006).
45
Fuente: Gomez, 2006
2.4.3.1 Confidencialidad.
Confidencialidad: Propiedad que determina que la información no esté disponible ni sea revelada
a individuos, entidades o procesos autorizados. (NB/ISO/IEC 27000:2010).
2.4.3.2 Integridad.
2.4.3.3 Disponibilidad.
Esta se refiere a la posibilidad de que alguien autorizado pueda acceder sin problema a la
información y si es necesario, modificarla esto, durante un plazo de tiempo adecuado, que se
define de acuerdo con el tipo de trabajo. Un operador de acciones debe recibir la información de
46
inmediato, mientras que un vendedor de inmuebles puede esperar al día siguiente para ver cómo
cerraron las ventas del día. En términos de disponibilidad, el gigante Amazon es un excelente
ejemplo, ya que debe estar disponible los 365 días del año sin fallas. Algunos sitios web de
empresas, sin embargo, pueden permitirse entrar en mantenimiento por unos días o algo por el
estilo (Borghello,2001).
La gestión de riesgos (traducción del inglés Risk Management) es un enfoque estructurado para
manejar la incertidumbre relativa a una amenaza, a través de una secuencia de actividades
humanas que incluyen evaluación de riesgo, estrategias de desarrollo para manejarlo y mitigar
el riesgo con el empleo de recursos gerenciales, las estrategias incluyen transferir el riesgo a
otra parte, evadir el riesgo, reducir los efectos negativos y aceptar algunas o todas las
consecuencias de un riesgo particular (ISO/IEC 27002:2005). Algunas veces, el manejo de
riesgos se centra en la contención de riesgo por causas físicas o legales (por ejemplo, desastres
naturales o incendios, accidentes, muerte o demandas), por otra parte, la gestión de riesgo
financiero se enfoca en los riesgos que pueden ser manejados mediante es uso de instrumentos
financieros y comerciales.
Las actividades de análisis y gestión de riesgos no son un fin en sí mismas, sino que encajan en
la continua tarea de gestión de la seguridad. El análisis de riesgos permite determinar cómo es,
cuánto vale y como de protegido se encuentran los activos. “En coordinación con los objetivos,
estrategia y política de la Organización, las actividades de gestión de riesgos permiten elaborar
un plan de seguridad que, implantado y operado, satisfaga los objetivos propuestos con el nivel
de riesgo que acepte la Dirección” (ISO/IEC 27002: 2005). Las metodologías de análisis y
gestión de riesgos no son nada más que pasos a seguir para una correcta aplicación de las
normas, mismas que a continuación se detallan:
47
a. Octave: Es una de las metodologías de análisis de riesgos más utilizada por las empresas.
Esta describe un conjunto de criterios para desarrollar métodos que se adhieran a guías
específicas de evaluación y administración de riesgos Octave evalúa los riesgos de
seguridad de la información y propone un plan de mitigación de estos dentro de una
organización (The Octave,2011).
48
SP 800-30 está compuesta por 9 pasos que de acuerdo a NIST(2013) señala como
básicos para el análisis de riesgo los siguientes puntos:
49
(5) fases: Fase 1: estudio del contexto; Fase 2: estudio de los eventos peligrosos; Fase
3: estudio de los escenarios de amenazas; Fase 4: estudio de los riesgos; Fase 5: estudio
de las medidas de seguridad (Crespo Rin,2013).
h. ISO 31000: Una familia de normas sobre gestión de riesgo, normas codificadas por la
International Organization for Standardization. El propósito de la norma ISO 31000:2009
es proporcionar principios y directrices para la gestión de riesgos y el proceso
implementado en el nivel estratégico y operativo (ISO 31000:2009).
50
• Se le considera con un • No involucra los procesos,
alcance completo, tanto en el recursos ni vulnerabilidades
análisis como en la gestión de como elementos del
Magerit riesgos. modelo a seguir.
• Permite un análisis completo • No posee un inventario
cualitativo y cuantitativo completo en lo referente a
• De carácter Público. Políticas.
• No requiere autorización
previa para su uso.
• Sólo toma en cuenta los
principios: confidencialidad,
integridad y disponibilidad
Mehari de la información
• Usa un modelo de análisis de • La recomendación de los
riesgos cualitativo y controles no la incluye
cuantitativo dentro del análisis de
riesgos
• La estimación del impacto
se realiza en el proceso de
gestión y riesgos.
• Caracterización del sistema, • En su modelo no tiene
la cual permite establecer el contemplados elementos
alcance y los límites como los procesos, los
• Operacionales de la activos ni
NIST SP 800-3 evaluación de riesgos en la las dependencias.
empresa; • Se tiene que pagar el costo
• Identificación de amenazas, de la licencia más allá del
es donde se definen las costo de la
fuentes de motivación de las implementación
mismas. del análisis y del
• Identificación
51
de vulnerabilidades, en esta mantenimiento lo que las
fase desarrolla una lista de hace menos atractivas para
defectos o debilidades del las empresas que buscan
sistema que podrían ser su aplicación para el
explotadas por una amenaza; análisis de riesgos
• Análisis de controles;
• Determinación probabilística.
• Una metodología de análisis • No realiza análisis
de riesgos basado en la de riesgos
elaboración de modelos, que cuantitativo.
consta de siete pasos,
basados fundamentalmente • En su modelo no tiene
en entrevistas con los contemplados
expertos. elementos como los
Coras • Un lenguaje gráfico basado procesos y las
en UML. dependencias
• Una biblioteca de casos
reutilizables.
• Una herramienta de gestión
casos, que permite su gestión
52
• Realiza un análisis de riesgos • Se tiene que pagar el costo
cualitativo y cuantitativo. de la licencia más allá del
• Es su modelo no tiene costo de la
contemplados elementos implementación del
como los procesos y los análisis y del
recursos. mantenimiento lo que la
Gramm • Es aplicable a todo tipo de hace menos atractiva para
sistemas y redes de las empresas que buscan
información y se puede su aplicación para el
utilizar en todas las etapas del análisis de riesgos.
ciclo de vida del sistema de
información.
• Se puede usar siempre que
sea necesario para identificar
la seguridad y/o requisitos de
contingencia para un sistema
de información o de la red.
53
• Fomentar la gestión • No existe un estándar que
proactiva libre de riesgo. abarque todos los temas
• Aumentar la probabilidad de de gestión, seguridad,
alcanzar los objetivos. El calidad, desarrollo,
cumplimiento de los continuidad, etc.
objetivos estratégicos se • Se requiere de un esfuerzo
traduce en una mayor de la organización para
rentabilidad, crecimiento y adoptar los estándares.
sostenibilidad de la
organización.
• Mejorar el aprendizaje
organizacional.
• Identificar las oportunidades
y amenazas. Los riesgos
positivos se convierten en
oportunidades, mientras que
ISO 31000 los riesgos negativos son
amenazas.
• Mejorar la eficiencia y
eficacia operacional.
• Aumentar la seguridad, la
confianza y mejorar la
prevención de pérdidas y
manejo de incidentes. El
mapeo de los riesgos
implica una mayor
gobernanza.
• Mejorar la información
financiera.
• Mejorar la gobernabilidad.
Esta norma fue publicada en noviembre del 2009 por la Organización Internacional de
Normalización (ISO) en colaboración a la IEC, y tiene por objetivo que organizaciones de todo
tipo y tamaños puedan gestionar los riesgos en la empresa de forma efectiva, reduciendo los
mismos. Por lo que la ISO 31000 (2009) recomienda que: “las organizaciones desarrollen,
implanten y mejoren continuamente en un marco de trabajo su objetivo es integrar el proceso de
gestión de riesgos en cada una de sus actividades”.
El estándar ISO 31000:2009 está estructurado en tres elementos claves para una efectiva
gestión de riesgos:
• Los principios para la gestión de riesgos: para una mayor eficacia, la gestión del riesgo en
una organización.
• El proceso de gestión de riesgos: este proceso consta de tres etapas: establecimiento del
contexto, valoración de riesgos y tratamiento de los mismos. La gestión de riesgos puede
aplicarse a toda una organización, en sus áreas y niveles en cualquier momento, a
funciones específicas, proyectos y actividades.
55
La norma ISO 31000(2018) “Gestión del riesgo recomienda un proceso, paso a paso, para la
gestión efectiva de riesgos, el proceso de la gestión del riesgo es una parte integral de la gestión
y de la toma de decisiones y se debe integrar en la estructura, las operaciones y los procesos
de la organización”. El proceso de Gestión de Riesgos debe adaptarse a la organización, a su
tamaño, sus políticas y su perfil de riesgos, por lo tanto, el aseguramiento del proceso de Gestión
de Riesgos igualmente debe tener en cuenta las necesidades de la organización. Esto significa
que las actividades que se lleven a cabo dentro del aseguramiento del proceso de gestión de
riesgos no deben llevarse a cabo en forma aislada.
Se tiene el siguiente desglose de las actividades de este proceso de acuerdo a lo que la ISO
31000 (2018), los explica de la siguiente manera:
56
• Comunicación y consulta: El propósito de la comunicación y consulta es asistir a las partes
interesadas pertinentes a comprender el riesgo, las bases con las que se toman decisiones
y las razones por las que son necesarias acciones específicas.
• Análisis del riesgo: El propósito del análisis del riesgo es comprender la naturaleza del
riesgo y sus características incluyendo, el nivel del riesgo. El análisis del riesgo implica una
consideración detallada de incertidumbres, fuentes de riesgo, consecuencias,
probabilidades, eventos, escenarios, controles y su eficacia. Un evento puede tener
múltiples causas y consecuencias y puede afectar a múltiples objetivos.
• Tratamiento del riesgo: El propósito del tratamiento del riesgo es seleccionar e implementar
opciones para abordar el riesgo.
La criptografía clásica es muy antigua. Las técnicas criptográficas eran muy ingeniosas y se
usaban para enviar mensajes secretos entre las personas que tenían el poder o en época de
guerra para enviar instrucciones (Granados, 2006).
58
La criptografía moderna se puede clasificar en dos grandes grupos: la criptografía de llave
secreta o simétrica y la criptografía de llave pública o asimétrica. (Costas, 2006).
a) Criptografía Asimétrica.
También son llamados sistemas de cifrado de clave pública. Este sistema de cifrado usa dos
claves diferentes. Una es la clave pública y se puede enviar a cualquier persona y otra que se
llama clave privada, que debe guardarse para que nadie tenga acceso a ella. Para enviar un
mensaje, el remitente usa la clave pública del destinatario para cifrar el mensaje. Una vez que
lo ha cifrado, solamente con la clave privada del destinatario se puede descifrar, ni siquiera el
que ha cifrado el mensaje puede volver a descifrarlo. Por ello, se puede dar a conocer
perfectamente la clave pública para que todo aquel que se quiera comunicar con el destinatario
lo pueda hacer. Cuando el emisor quiere hacer llegar un documento al receptor, primero
consigue la clave pública del receptor. (Costas, 2006).
59
Con esa clave y el documento original, aplica el algoritmo simétrico. El resultado es un
documento cifrado que puede enviar al receptor por cualquier canal. Cuando el mensaje cifrado
llega al receptor, éste recupera el documento original aplicando el algoritmo asimétrico con su
clave privada (Costas, 2006). Si el receptor quiere enviar al emisor una respuesta cifrada, deberá
conocer la clave pública del emisor y hacer el procedimiento inverso.
b) Criptografía Simétrica
Los sistemas de cifrado simétrico son aquellos que utilizan la misma clave para cifrar y descifrar
un documento. El principal problema de seguridad está en el intercambio de claves entre el
emisor y el receptor ya que ambos deben usar la misma clave. Por lo tanto, tienen que buscar
también un canal de comunicación que sea seguro para el intercambio de la clave. Es importante
que dicha clave sea muy difícil de adivinar ya que hoy en día los ordenadores pueden adivinar
claves muy rápidamente (Morillo, 1995).
60
Según Minguillon, la complejidad algorítmica puede medir dos conceptos diferentes, que son
complementarios entre sí:
Mide el número de unidades de tiempo que necesita un algoritmo (o una simple sentencia) para
resolver un problema con una entrada de tamaño N, y se denota por T(N).
Según Fernández hay 3 factores que influyen en el cálculo de la complejidad temporal de los
datos de entrada, el contenido de los datos de entrada, y el ordenador y el código generado por
el compilador, siendo el más importante, para medir la eficiencia de un algoritmo, el referente al
tamaño de los datos de entrada.
El tercer factor, el ordenador y el código generado por el compilador no suele tenerse en cuenta
a la hora de calcular la eficiencia en tiempo de un algoritmo debido a que, por un lado se pretende
analizar la eficiencia de un algoritmo debido a que, por un lado, se pretende analizar la eficiencia
de un algoritmo de un modo totalmente independiente de las maquinas y lenguajes existentes,
61
y a que por otro lado se acepta el principio de invariancia: diferentes implementaciones de un
mismo algoritmo diferirán en sus tiempos de ejecución a lo sumo en una constante multiplicativa
positiva, para problemas de tamaño suficientemente grande.(Fernández, 2000)
Mide el número de unidades de memoria que necesita un algoritmo (o una simple sentencia)
para resolver un problema con una entrada de tamaño N, y se denota por S(N).
De hecho, las dos complejidades no son independientes, ya que algunos algoritmos pueden
mejorar su complejidad temporal a costa de empeorar la espacial y al contrario. Por ejemplo, un
algoritmo que necesite realizar muchos cálculos intermedios repetitivos puede reducir el tiempo
de cálculo si los almacena para reaprovecharlos. Es decir, si se almacena información
redundante aumentado la complejidad espacial, se puede reducir la complejidad temporal, y al
contrario.
Un número pseudoaleatorio es un valor de una variable aleatoria x, que tiene una distribución
de probabilidad uniforme definida en el intervalo (0,1). Se les consideran pseudoaleatorios,
porque pasan todas las pruebas de aleatoriedad, pero son determinísticos. (Gbandrea, 2016)
Generar una variable aleatoria N, que siga una distribución uniforme de 0 y 1. Para la Obtención
de una secuencia de números aleatorios uniformemente distribuidos utilizamos generadores de
números aleatorios y varios métodos. Convertir el Valor de N anterior a otro que siga la
distribución escogida mediante un generador de variables aleatorias.
El algoritmo más empleado en esta etapa es el método de la transformada inversa. Uno de los
generadores más antiguos y sencillos de números pseudoaleatorios, es el generador de
62
congruencia lineal (GCL) 4 en el que secuencias de números pseudo aleatorios son producidos
a partir de la siguiente relación de recurrencia:
En esta expresión A, B y M tienen ciertos valores fijos, en tanto que x0 es un número inicial o
semilla. En la implementación computacional de este tipo de generador las constantes A y B son
escogidas para que se produzca desborde en la mayoría de las iteraciones; este desborde es
equivalente a la operación 𝑚𝑜𝑑 (𝑥, 𝑀)1 tal como ésta es definida en lenguajes de programación
como C o FORTRAN. Estos generadores se denotan como (𝑀, 𝐴, 𝐵, 𝑥0 ); en el caso particular en
el que B = 0 se tiene un generador de congruencial lineal multiplicativo.
Figura 18: Mapa de retorno tridimensional para RANDU(𝟐𝟑𝟏 , 𝟔𝟓𝟓𝟑𝟗, 𝟎, 𝒙𝟎 )caso 1 GCLs
Donde N es la longitud de la palabra binaria empleada. 𝑀 = 2𝑁−1 . Nótese que la representación binaria de un entero
el bit mas significativo denota el signo y los restantes N-1 bits denotan el valor absoluto de un numero comprendido
entre 0 𝑦 2𝑁−1 ; en consecuencia la operación que tiene lugar con el desborde de una palabra binaria de N bits no
es en rigor 𝑚𝑜𝑑 2𝑁−1 , ya que los valores producidos estarán comprendidos entre − 2𝑁−1 y 2𝑁−1 − 1.
63
3.2.1.4 GCLs Acoplados
Una técnica sencilla que permite utilizar GCLs en aplicaciones criptográficas es la de emplear
un conjunto de N GCLs acoplados:
𝑘 𝑗
[2] 𝑥 𝑘 𝑛+1 = (1 − 〈𝜀𝑘𝑗 〉)𝑓 (𝑥 ) + ∑𝑁
𝑗=𝑘 𝜀𝑘𝑗 𝑓 (𝑥 )
𝑛 𝑛
Donde:
1
[3] 〈𝜀𝑘𝑗 〉 = ∑𝑁
𝑗=𝑘 𝜀𝑘𝑗
𝑁−1
En esta expresión f representa la operación descrita por [1] para los 𝐴 𝑘 , 𝐵 𝑘 , 𝐶 𝑘 , 𝑀 𝑘 𝑦 𝜀𝑘𝑗 un
parámetro de acople entre los GCLs. La idea de utilizar generadores acoplados ha sido
anteriormente explorada en el contexto de la utilización de un conjunto de mapas caóticos
acoplados como mecanismo de cifrado [2].
La Figura 19 muestra la disposición espacial de las tripletas generadas por una de las salidas
de 2 GCLs RANDU idénticos acoplados con 𝜀12 = 𝜀21 = 0,5: la estructura previamente hallada
para el caso de un solo GCL (Figura 18) ya no está presente. Esto sugiere una mejora en las
propiedades de los GCL acoplados, ya sea a través de una distribución de los valores generados
sobre un mayor número de hiperplanos, o a través de la eliminación/reducción de la correlación
entre los valores generados (Albornoz, 2006).
Figura 19: Mapa de retorno tridimensional para RANDU(𝟐𝟑𝟏 , 𝟔𝟓𝟓𝟑𝟗, 𝟎, 𝒙𝟎 )caso 2 GCLs
64
El esquema descrito por las ecuaciones [2] y [3] puede utilizarse para implementar un sistema
criptográfico simétrico en el que cada grupo de bits de un texto plano binario es cifrado como el
número de iteraciones necesarias para generar el mismo a partir de un conjunto de semillas.
Más precisamente, sea {𝑡} = 𝑡1 , … , 𝑡 𝑒𝑛𝑑 la secuencia binaria del texto plano a cifrar, y sea {𝛼} =
𝛼1 , … 𝛼𝐿 , 𝛼𝑒𝑛𝑑 = (𝑡1 , … , 𝑡 𝑁 ), … (𝑡 𝑁𝐿 , … , 𝑡 𝑁(𝑙+1) ), … . , (𝑡 𝑒𝑛𝑑−𝑁+1 , … , 𝑡 𝑒𝑛𝑑 ) la misma secuencia {t}
pero agrupada en unidades de N bits sea también {𝛽} = 𝛽1 , … 𝛽𝑖 = (𝑏11 , … 𝑏1𝑁 ), … , (𝑏11 , … 𝑏1𝑁 ) la
secuencia de estados binarios del sistema de N GCLs acoplados. Entonces se puede codificar
el texto plano binario {t} como la secuencia de posiciones i que ocupan las unidades 𝛼𝐿 la
secuencia {𝛽}. En la práctica conviene cifrar el texto plano como la secuencia de distancias ∆i
entre las posiciones de las unidades 𝛼𝐿−1 𝑦 𝛼𝐿 .(Albornoz, 2006).
Los modelos y tecnologías de desarrollo web han evolucionado mucho en la última década,
existen multitud de aplicaciones, librerías, arquitecturas y sistemas de publicación en diferentes
versiones que a su vez reciben cambios o mejoran con el tiempo.
2.6.1.1 C#
Leído en inglés "C Sharp" y en español "C Almohadilla", es el nuevo lenguaje de propósito
general diseñado por Microsoft para su plataforma .NET. Sus principales creadores son Scott
Wiltamuth y Anders Hejlsberg, éste último también conocido por haber sido el diseñador del
lenguaje Turbo Pascal y la herramienta RAD Delphi. Aunque es posible escribir código para la
plataforma .NET en muchos otros lenguajes, C# es mucho más sencillo e intuitivo que hacerlo
con cualquiera de los otros lenguajes ya que C# carece de elementos heredados innecesarios
en .NET por esta razón, se suele decir que C# es el lenguaje nativo de .NET, la sintaxis y
estructuración de C# es muy similar a la C++, ya que la intención de Microsoft con C# es facilitar
la migración de códigos escritos en estos lenguajes a C# y facilitar su aprendizaje a los
desarrolladores habituados a ellos. Sin embargo, su sencillez y el alto nivel de productividad son
equiparables a los de Visual Basic (Gonzales, 2001). El diseño de software en la actualidad se
basa cada vez más en componentes de software en forma de paquetes independientes y
funcionales, siendo el aspecto más importante de estos componentes es que presentan un
modelo de programación con propiedades, métodos y eventos, lo que C# proporciona.
a) Ventajas
• No importa el orden en que hayan sido definidas las clases ni las funciones
• No hay necesidad de declarar funciones y clases antes de definirlas
66
• Todos los valores son inicializados antes de ser usados automáticamente se
inicializan al valor estandarizado, o manualmente se pueden inicializar desde
constructores estáticos.
b) Desventajas
• Se debe tener claro que los programas que nosotros desarrollemos son un producto
software que tendrá que estar correctamente documentado y probado.
• Si bien cuenta con bastantes herramientas no todas son usables ni genéricas ni tampoco
están realmente integradas con el lenguaje, ni tampoco con su entorno.
2.6.1.2 JAVA
El Java es un lenguaje de programación orientado a objetos creado por James Gosling en el año
1990. Su código es muy similar al del lenguaje C y C++ con un modelo de objetos mucho más
sencillo. La diferencia entre el Java y los lenguajes C y C++ es que el Java es un lenguaje de
programación plenamente orientado a objetos. Una de las principales características por las que
Java se ha hecho muy famoso es que es un lenguaje independiente de la plataforma. Eso quiere
decir que si hacemos un programa en Java podrá funcionar en cualquier ordenador del mercado.
Es una ventaja significativa para los desarrolladores de software, pues antes tenían que hacer
un programa para cada sistema operativo, por ejemplo, Windows, Linux, Apple, etc. (Java,2010).
Dentro de los atributos que hacen especial a Java es que es un lenguaje de programación que
permite diseñar programas independientes de la plataforma, es decir, que pueden ejecutarse en
cualquier sistema operativo o hardware y puede llegar a considerarse un lenguaje
multiplataforma, otro aspecto a destacar es que Java tiene una sintaxis similar a la que es
empleado por los lenguajes C y C++, siendo más intuitiva porque elimina los punteros.
67
c) Ventajas
• Soporta tipos primitivos (value types), incluyendo tipos numéricos sin signo
• Indizadores que permiten acceder a cualquier objeto como si se tratase de un array.
d) Desventajas
2.6.1.3 PHP
a) Velocidad: Identificada por PHP no solo es rápido al ser ejecutado, sino que no genera
retrasos en la máquina, por esto no requiere grandes recursos del sistema. PHP se integra muy
bien junto a otras aplicaciones, especialmente bajo ambientes Unix.
c) Seguridad: Dada según PHP maneja distintos niveles de seguridad, estos pueden ser
configurados desde el archivo .ini.
d) Simplicidad: Usuarios con experiencia en C y C++ “podrán utilizar PHP rápidamente, además
PHP dispone de una amplia gama de librerías, y permite la posibilidad de agregarle
extensiones….
1) Ventajas
2) Desventajas
Se puede decir que un Sistema Gestor de Bases de Datos o SGBD, también llamado
DBMS (Data Base Management System) es una colección de datos relacionados
entre sí, estructurados y organizados, y un conjunto de programas que acceden y
gestionan esos datos.
De acuerdo con lo señalado por Álvarez (2007) indica que: “se trata de un conjunto de
programas no visibles al usuario final que se encargan de la privacidad, la integridad,
la seguridad de los datos y la interacción con el sistema operativo y proporciona una
interfaz entre los datos, los programas que los manejan y los usuarios finales”.
Cualquier operación que el usuario hace en la base de datos está controlada por el
gestor; el gestor es el que almacena una descripción de datos en el diccionario de
datos, también maneja los usuarios permitidos y los permisos (Álvarez ,2007).
Los principales componentes de los sistemas de gestores de base de datos son los
siguientes:
c) Los lenguajes, un sistema gestor de base de datos debe proporcionar una serie
de lenguajes para la definición y manipulación de la base de datos, dentro de la
teoría de Álvarez (2007) los siguientes lenguajes de gestores de base de datos
son:
Los SGBD relacionales son una herramienta efectiva que permite a varios usuarios
acceder a los datos al mismo tiempo.
En la siguiente Tabla se aprecia los distintos aspectos a tomar en cuenta en los
Gestores de Base de Datos actuales, donde se aprecia las ventajas y desventajas.
71
Tabla 5: Cuadro Comparativo de Gestor de Base de Datos
72
• No tiene soporte para el
tipo de datos varchar.
• Los valores nulos se
identifican. • Poca información sobre
Informix, debido a la
• Tiene niveles de seguridad poca comunidad en
altos lo que permite tener la Internet que tiene.
información almacenada de
Informix
forma segura. • Es costoso.
• No es recomendable en
aplicaciones que exigen
un gran rendimiento.
MySQL tiene una doble licencia, pero los usuarios pueden acceder por el uso del
software MySQL como un producto Open Source bajo los términos de la Licencia
Pública General de GNU, dentro de las características más sobresalientes que señala
MySQL (2010) tenemos las siguientes:
73
a) MySQL es un sistema de administración de base de datos.
Los problemas dentro de las pruebas de unidad se generan principalmente debido a la educación
que reciben los desarrolladores de software que se realizan en proyectos de desarrollo. A estas
personas se les ha enseñado que su productividad se mide por la cantidad de código entregado
y aunque el gerente puede asegurar la importancia que tienen las pruebas de unidad dentro del
proyecto, constantemente presiona al equipo desarrollador a entregar código lo más pronto
posible cuando se aproxima la fecha de entrega del producto final (Ruiz,2009).
74
a) Ventajas: La vida de desarrollador será mucho más fácil, ya que la calidad de su código
mejorará, las pruebas fomentan el cambio y la refactorización, si consideremos que nuestro
código es mejorable podemos cambiarlo sin ningún problema, se reducen drásticamente
los problemas y tiempos dedicados a la integración, nos ayudan a entender mejor el código.
b) Desventajas: Retrasa el avance del desarrollo del proyecto debido a los posibles cambios
en el código en etapas iniciales, pruebas unitarias determinan la presencia de defectos, no
la ausencia de éstos. Son efectivas al combinarse con otras actividades de pruebas.
Las pruebas de Integración se realizan en el nivel más bajo, generalmente se realizan por el
equipo de desarrollo para asegurar que las unidades juntas funcionen correctamente. En niveles
más altos, las pruebas pueden ser hechas por el equipo de pruebas o de desarrollo, y examina
como las piezas del sistema funcionan conjuntamente (Ruiz,2009).
a) Ventajas: Las entradas para las pruebas son más fáciles de crear ya que los módulos
inferiores suelen tener funciones más específicas, es más fácil la observación de los
resultados de las pruebas puesto que es en los módulos inferiores donde se elaboran y
también se resuelve los errores de los módulos inferiores que son los que acostumbran a
tener el procesamiento más complejo, para luego nutrir de datos al resto del sistema.
En las pruebas de Sistema, la mayoría de los recursos del proyecto van a parar, ya que pueden
realizarse por largos períodos de tiempo y tienden a ser tan exhaustas como lo permita el nivel
75
de riesgo tolerado y los recursos asignados a esta labor. Adicional a las pruebas funcionales, es
normal que se realicen durante las pruebas del sistema pruebas de carga, desempeño,
confiabilidad y otro tipo de pruebas si no existe un equipo encargado de realizar dichas
actividades (Ruiz,2009).
a. Ventajas: Permite realizar una prueba global del funcionamiento de forma general del sistema
de esta forma identificar las posibles fallas en una última instancia, un control de acuerdo con
los requerimientos y ver que se cumplan las expectativas del cliente.
b. Desventajas: Puede ocasionar retrasos en las entregas finales si se entre en aspectos que
debieron subsanarse en las anteriores etapas, por lo cual es recomendable limitar a evaluar
funcionamiento y cumplimientos de requisitos, en casos extremos se harán cambias
trascendentales.
Bélico es un adjetivo que indica que algo es relativo a la guerra. Procede del latín bellĭcus y a su
vez de la palabra bellum (guerra).
Algunas palabras similares pueden ser: belicoso, guerrero, agresivo o militarista. Como
antónimos se pueden citar los adjetivos pacifista y antimilitarista.
El adjetivo “bélico” se puede aplicar a diferentes términos como material bélico, ambiente bélico
o contexto bélico, en los cuales se podría sustituir la palabra “bélico” por “de guerra”.
Del mismo modo que se puede aplicar a entes abstractos, el concepto de bélico se usa a veces
para designar a personas que tienen actitudes agresivas, confrontativas y violentas en sus
vínculos sociales.
Lo que ha llevado a los hombres desde tiempos antiguos a crear instituciones y entidades que
controlen y ordenen la vida en sociedad, como lo son el Estado y el gobierno. (Hoppes, 1596)
76
el ser humano es un ser bondadoso y que la misma vida en sociedad en las que lo pervierte y
hace surgir entre las personas la inclinación a la generación de lazos y relaciones bélicas o
conflictivas. (Locke, 1632)
Se entiende a Material Bélico a todo aquel objeto cuyo propósito principal sea infligir daño a un
ser vivo, estructura o sistema, las primeras formas de material Bélico que se han encontrado son
las herramientas de caza y/o autodefensa que datan desde la era paleolítica (más de 300.000
años) aunque se ha teorizado que se han usado desde hace 5 millones de años. El uso del
Material Bélico a través de la Historia ha coadyuvado a forjar los imperios y Gobiernos más
poderosos del planeta, así como ha sido responsable por la revolución e independencia de una
gran mayoría de países, también ha sido responsable de la formación de nuevas naciones. Pero
de forma general ha sido causante de todos los conflictos dentro de la historia humana, entre
ellos: La primera y segunda Guerra Mundial, la Guerra Fría, Guerra de Corea, Guerra de
Vietnam, entre las más destacadas. (Hermosilla, 2010)
77
MARCO PRACTICO
78
CAPITULO 3
MARCO PRACTICO
de resultados de
3.1.1 Elaboración de entrevistas y las encuestas
encuestas a funcionarios de la • Análisis
unidad de Material Bélico de
entrevistas
y encuestas
• Tabla
3.1.2 Recopilación de la de
información sobre las funciones de involucrados
la unidad de Material bélico y funciones
principales
•
ISO 31000 GESTIÓN DE RIESGOS
Diagrama
3.1.3 Procedimientos de la de actividades de
Documentación de la Unidad de la
Material Bélico. documentación
de la Unidad de
Material Bélico
Tabla de
3.1.4 Identificación del Riesgo
clasificación de la
información
79
• Tabla de riesgos
3.1.5 Análisis de los Riesgos identificados
• Tabla de niveles
de riesgo.
• Tabla de
evaluación del
riesgo.
3.1.6 Evaluación del Riesgo
• Mapa de Calores
del riesgo.
3.2.1 Análisis del • Tabla de
METODOLOGÍA PARA LA CONSTRUCCIÓN DE
3.2 DESARROLLO DEL ALGORITMO BASADO EN
entrada y
procesos y
datos de
ALGORITMOS
salida en
código ASCII
3.2.2 Diseño y • Diagrama de
elaboración del algoritmo flujo del
de Cifrado. algoritmo de
cifrado
3.2.3 Codificación del • Código fuente
algoritmo de Cifrado del algoritmo.
3.2.4 Depuración del • Pruebas del
algoritmo de Cifrado algoritmo.
80
• Diagrama de
Planificación Casos de Uso
expandidos
• Diagrama de
colaboración
• Diagrama de
clases
Diseño
3.3.1 Iteración 1 • Diseño de la
Interfaz del
3.3 DESARROLLO DEL SISTEMA
Desarrollo del
sistema
módulo de
PROGRAMACIÓN EXTREMA
81
• Diagrama de
Casos de Uso
Planificaci expandidos
ón
• Diagrama de
3.3.2 Iteración 2
colaboración
Diseño • Diagrama de
Desarrollo del
clases
módulo de
• Diseño de la
Cifrado
Interfaz del
sistema
• Codificación del
Desarrollo Módulo de
Gestión de
Usuarios
• Pruebas
unitarias del
Pruebas
Módulo de
Gestión de
Usuarios
• Cronograma
Planificaci de desarrollo
3.3.3 Iteración 3 ón del módulo
• Diagrama de
Desarrollo del Casos de Uso
Módulo de expandidos
Descifrado • Diagrama
de
Diseño colaboraci
ón
• Diagrama de
clases
• Diseño de la
82
Interfaz del
sistema
• Codificación del
Desarrollo Módulo de
Gestión
de Usuarios
• Pruebas
unitarias del
Pruebas
Módulo de
Gestión de
Usuarios
• Cronograma
Planificaci de desarrollo
ón del módulo
• Diagrama de
Casos de Uso
expandidos
3.3.4 Iteración 4 • Diagrama
Diseño de
Desarrollo del colaboraci
módulo de Envió ón
y Recepcion • Diagrama de
clases
• Diseño de la
Interfaz del
sistema
• Codificación del
Desarrollo Módulo de Gestión
de usuarios
83
• Pruebas
unitarias del
Pruebas
Módulo de
Gestión de
Usuarios
• Cronograma
Planificaci de desarrollo
ón del módulo
• Diagrama de
Casos
de Uso
expandidos
• Sistema integrado
con el algoritmo
PROGRAMACIÓN EXTREMA
de cifrado de
3.4.1 Integración del sistema
datos
3.4 PRUEBAS
• Pruebas de
3.4.2 Desarrollo de pruebas Integración
• Pruebas
funcionales
• Tabla de
Aceptación de
Pruebas
Fuente: Elaboración propia, 2021
84
3.1.1 Establecer el Contexto.
Definimos los parámetros básicos para la gestión de riesgo, los alcances y los criterios
para el proceso, para lo cual consideramos los parámetros internos, y los antecedentes
de la situación actual de la unidad de Material Bélico, para lo cual realizamos entrevistas
para analizar el pensamiento del personal en los procesos que se realizan actualmente.
85
Tabla 7: Resultados de las encuestas
N PREGUNTAS RESULTADOS
°
¿Tiene conocimiento de los Si bien todos tienen conocimiento de los
1 procesos que se realizan en las procesos y tramites que se realizan en
distintas áreas de la Unidad? las distintas áreas solamente la mitad de
todo el personal tiene conocimiento
amplio.
¿Existe algún sistema o registro de El total del personal no cuenta
2 datos históricos en su sección? con registros históricos de los
procesos, tramites y casos tendidos.
¿Cree que la seguridad sobre la La mayoría de los encuestados
3 información que se maneja es respondió que la forma en que se
confiable? maneja la documentación tiene niveles
básicos de seguridad.
¿Considera probable que personal Un porcentaje alto considera que la
ajeno pueda tener interés por la información generada al interior de la
4 información que se maneja al Unidad de Material Bélico es de interés
interior de la sección? ajeno por los datos sensibles que se
maneja.
¿Considera necesario contar con En general todos los operadores
medidas seguridad adicional para consideran necesario contar con
5 la información que se maneja en la medidas de seguridad adicionales para
unidad? la información que maneja la unidad.
86
Los resultados de la encuesta a la pregunta uno que dice ¿tiene conocimiento de los
procesos que se realizan en las distintas áreas de la Unidad? nos indica que el 40% del
personal encuestado tiene conocimiento amplio de los distintos procedimientos que se
realiza en la unidad con respecto a la documentación, entienden en que consiste la
secuencia de pasos y requisitos que se necesitan, y un 60% de todo el personal tiene
conocimientos superficiales de los ya mencionados.
PREGUNTA 1
40%
SI
60% NO
SI,PERO NO A DETALLE
Los resultados de la encuesta a la pregunta 2 que dice, ¿existe algún sistema o registro
de datos históricos en su sección? nos indica que el 100% del personal encuestado en
su sección no tiene un almacenamiento de la información que permita su consulta
posterior, es decir que no se cuenta con una base de datos donde se pueda almacenar,
87
consultar sobre los datos que se genera en la Dirección simplemente cuentan con
registros físicos de la información de las diferentes secciones que conforman la Unidad
de Material Bélico.
El detalle y los porcentajes de esta pregunta se puede apreciar de forma gráfica
en la figura que está a continuación.
PREGUNTA 2
0%
SI
NO
Los resultados de la encuesta a la pregunta tres, que indica ¿cree que la seguridad
sobre la información que se maneja es confiable?, donde se identificó que el 80% opina
que cuenta con seguridad en su sección, pero de forma básica, el 20% del personal
encuestado cree que la seguridad de su sección es confiable y no ve inconvenientes en
el manejo y almacenamiento de la documentación.
88
El detalle y los porcentajes de esta pregunta se puede apreciar de forma gráfica
en la figura que está a continuación.
PREGUNTA 3
20%
SI
NO
80% SI,PERO NO A DETALLE
De acuerdo con estos resultados se puede identificar que es importante incrementar los
niveles de seguridad en el manejo de la información y también es su almacenamiento.
Los resultados de la encuesta a la pregunta cuatro que nos dice ¿considera probable
que personal ajeno pueda tener interés por la información que se maneja al interior de la
sección?, nos indica que el 60% considera que esta información es de interés ajeno,
pero no en gran medida, el 20% considera que la información de la Unidad es de gran
relevancia, y un restante 20 % considera que no es de interés ajeno a la Unidad.
89
Figura 23: Resultado de la pregunta 2 de la encuesta
PREGUNTA 4
20%
SI
60% 20% NO
SI,PERO NO A DETALLE
90
Figura 24: Resultado de la pregunta 2 de la encuesta
PREGUNTA 5
0%
SI
NO
100% SI,PERO NO A DETALLE
91
Tabla 7: Resultados de las encuestas
92
Guías de Sgto. 1ro. Mus. • Recepción de Guias de Transporte
para Armamento y explosivos.
4 Transporte Sandra Calle
Marca • Verificación de los requisitos para las
Guias de transporte para Armamento
y Explosivos.
93
De acuerdo al detalle presentado se puede identificar los procesos que se realizan
dentro de la unidad de Material Bélico.
Actualmente la unidad de material bélico realiza los registros en hojas de Excel, los
diferentes operadores, requieren la supervisión del jefe de la Unidad para realizar y
emitir un documento.
OPERADORES DE
SECRETARIA JEFATURA
MATERIAL BELICO
Realizan la
Deriva a los operadores de
documentacion
Material Belico
correspondiente
Deriva al Jefe de la
Unidad de Material Belico
Registra y almacena
94
3.1.3.1 Clasificación de la información.
CLASIFICACIÓN DESCRIPCIÓN
95
Es aquella documentación remitida de persona a
Confidencial
persona, que por su contenido y por ética no debe ser
divulgada, pudiendo afectar los intereses de la
institución, o aquella que se refiere a las personas.
96
• Certificado de Extravió de armamento.
• Guías de transporte de Explosivos.
• Guías de Transporte de armamento
• Reportes Generales.
• Requerimientos
CLASE V de clase V. Operador de
• Informes de comisión Material Bélico Confidencial
técnica
• Inserción de datos de Operador de Reservado
armamento de dotación Material
individual Bélico
• Solicitudes y requisitos Operador de
Registro de Empresas. Material Reservado
de Bélico
Empresas • Informes sugerencia Operador
de Material Reservado
Bélico
• Guías de Transporte para Operador de Reservado
Armamento y Explosivos. Material
Guías de Bélico
Transporte • Informes mensuales de Operador de Reservado
los Guías de Transporte Material
Bélico
97
Almacenes • Informes de material de Operador de Publica
almacén. Material
Bélico
• Reporte Ingresos y Operador de Publica
Egresos. Material
Bélico
• Informes técnicos de Operador de Confidencial
Importación importación y exportación Material
y exportación de armamento, munición y Bélico
de explosivos.
armamento, • Informes técnicos para Operador de Confidencial
munición y la aprobación de Material
explosivos Resolución Ministerial Bélico
• Reporte de Descargos Operador de Confidencial
Material
Descargos Bélico
• Reportes de Descargos Operador de Confidencial
de materiales de Clase V Material
y de las distintas áreas. Bélico
Jefatura • Reportes generales de la Jefe de Confidencial
Unidad de Unidad de Material Bélico Unidad
Material • Reportes de Guías De Jefe de Reservado
Bélico unidad
transporte.
• Reportes de registro Jefe de Reservado
de empresas. unidad
• Reportes de importación Jefe de Confidencial
y exportación de unidad
armamento munición y
explosivos.
• Reportes de Egresos e Jefe de Publico
ingresos en la Unidad de unidad
Almacenes.
Servidor de base de datos Jefe de Confidencial
unidad
Unidad de Firewall Jefe de Confidencial
Informatica unidad
Router Jefe de Confidencial
unidad
Switch Jefe de Confidencial
unidad
Personal de desarrollo Jefe de Confidencial
unidad
Fuente: Elaboración propia, 2021
Con esta clasificación se procede con la etapa de identificación de riesgos en los activos.
98
3.1.3 Identificación del riesgo
Dentro de esta fase se debe estudiar los distintos procesos que se tienen en el interior
de la Unidad de Material Belico y asi identificar las etapas que presentan riesgos que
pueden ocasionar perder la integridad de la información, perdida de la confidencialidad
de los manejados de acuerdo a este criterio se identificó que el flujo de la documentación
es el principal proceso de vulnerabilidad.
La descripción de este proceso esta descrita en la sección 3.1.3 del presente capitulo,
donde se podrá observar la secuencia de pasos que sigue la documentación en la
Unidad.
ACTIVO DE
UNIDAD
• Extracción • Perdida en la
• Revelación de de documentos integridad de la
información. • Almacenamient documentación
• Fuga de o sin controles física, debido a la
información de mala
Requerimien • Acceso físico no mantenimiento manipulación de
tos de clase autorizado. ante el documentos de
V • Almacenamiento deterioro por interés personal.
en registros exposición en • Archivos sin
físicos. ambientes organizar
• Sustracción no adecuados. archivísticamente
CLASE V
de • Perdida y y sin
documentos. deterioro de conservación
• Desorganización documentos adecuada.
de la información importantes. • Inadecuada
• Depósito de organización de
99
documentos sin los archivos de
tablas gestión
de • Dificultad en la
valoración recuperación y/o
documental y consulta de la
sin información.
mantenimiento y • Controles
conservación escasos en
adecuada de los los mecanismos
archivos. para la
• No aplicación administración y
de generación de
procedimientos información de
de carácter
organización confidencial
de archivos
• Extracción • Perdida en la
de documentos integridad de la
personales. documentación
• Almacenamiento física, debido a la
• Revelación sin controles de mala
de información. mantenimiento manipulación de
• Fuga ante el deterioro documentos.
REGISTRO DE EMPRESAS
información.
100
• Extracción • Perdida en la
de documentos integridad de la
personales. documentación
• Almacenamiento física, debido a la
• Revelación sin controles de mala
de información. mantenimiento manipulación de
• Fuga ante el deterioro documentos.
de por exposición • Archivos
Guías de Transporte
101
• Perdida en la
• Revelación • Extracción de integridad de la
de información. documentos documentación
• Registros personales. física, debido a
manuales de • Almacenamien la mala
diagnóstico y to sin manipulación de
datos controles de documentos.
Informes personales mantenimiento • Inadecuada
técnicos de • Sustracción de ante el organización
importación diagnósticos de deterioro por de los
Importación y exportación de armamento, municion y explosivos
y
evaluación exposición en archivos
exportación
de psicológica. ambientes no de gestión.
armamento, • Acceso físico adecuados. • Dificultad en la
munición y no autorizado a • No aplicación recuperación y/o
explosivos los de consulta de la
diagnósticos procedimiento información
• Filtración de s de • Almacenamiento
información organización sin medidas
personal de archivos de seguridad
• Control ante la pérdida,
que conlleva
inadecuado
una exposición
del acceso de datos
físico. confidenciales
• Perdida en la
• Revelación • Extracción integridad de la
de información. de documentos documentación
• Fuga personales. física, debido a
de • Almacenamien la mala
información to sin manipulación de
Informes
técnicos • Acceso físico no controles de documentos.
autorizado
para la mantenimiento • Inadecuada
aprobación • Almacenamiento ante el organización
de en registros
deterioro por de los
Resolución físicos.
Ministerial exposición en archivos
ambientes no de gestión.
adecuados • Dificultad en la
• Protección recuperación y/o
física no consulta de la
apropiada. información
102
• Perdida en la
• Revelación • Extracción de integridad de la
de información. documentos documentación
• Registros personales. física, debido a
manuales • Almacenamien la mala
de to sin manipulación de
reportes. controles de documentos de
Reporte de • Sustracción mantenimiento interés personal.
descargos de reportes ante el • Inadecuada
psicológica. deterioro por organización
• Acceso físico exposición en
Descargos
de los archivos
no autorizado ambientes no de gestión.
a los adecuados. • Dificultad en la
diagnósticos • No aplicación recuperación y/o
• Filtración de de consulta de la
información. procedimientos información
de organización • Almacenamiento
de archivos sin medidas
• Control de seguridad
inadecuado ante la pérdida,
que conlleva
del acceso
una exposición
físico. de datos
confidenciales.
personales. documentación
• Fuga • Almacenamient física, debido a
de o sin controles la mala
Reportes información de manipulación de
Generales mantenimiento documentos de
de la • Acceso físico ante el deterioro interés personal.
Unidad de no autorizado por exposición • Inadecuada
Material
en ambientes organización
belico
• Almacenamien no adecuados de los archivos
to en registros • Protección física de gestión.
físicos no apropiada. • Dificultad en la
recuperación y/o
consulta de la
jeas
información
103
• Mostrar • No contar con • Baja en la
información personal calidad de
sensible especializado, prestación del
• Perdida de ni con servicio.
confidencialidad
contratos de • No recuperación
• Mantenimientos
soporte para de los equipos
preventivos y/o
Servidor configuración e llegando a
correctivos de
de base de instalación de quedar
datos los equipos
nuevas deteriorados.
existentes, se
funciones • Alteración de las
realizan en
requeridas bases de
periodos
• Ataques datos,
prolongados de
al exposición
tiempo. servidor de datos
Unidad de Informatica
sensibles,
perdida
de información
personal
• Mayor
exposición a
los
diferentes
tipos de riesgos.
• Perdida de • Perdida de • Perdida de la
Personal confidencialidad datos sensibles, confidencialidad
de • Ineficiente contraseñas de de datos
desarrollo valoración de la mediante el
ingreso al personal
labor servidor de
• Contratos de datos • Personal con
Confidencialidad . escasas las
escasos
• Salvaguardas capacidades
los intereses necesarias para la
institucionales administración
con provoca una alta
exposición.
Fuente: Elaboración propia, 2021
104
3.1.2 Análisis de los Riesgos
2. Fuga de información
5. Sustracción de documentos.
6. Desorganización de la información
9. Perdida de confidencialidad
N° RIESGO PROBABILIDAD
Amenaza DE
OCURRENCIA
1 Perdida en la integridad de la documentación física,
debido a la mala manipulación de documentos de ALTO
interés personal y revelar información confidencial
105
3 El no establecimiento de los mecanismos necesarios
para el resguardo de los datos e información de MUY
datos personales y confidenciales sean de acceso ALTO
público
4 Almacenamiento físico ocasiona la perdida
y/o deterioro de documentos importantes. ALTO
106
Tabla 12: Niveles de Riesgo
107
8 Pérdida por mala manipulación y
deterioro físico debido a un mal
almacenamiento del patrimonio ALTO No
documental, informes confidenciales, existe
diagnósticos memoria institucional de
la Dirección.
9 Exposición de información que tiene MEDIO No
carácter confidencial existe
11 Baja en la calidad de prestación del Solo
servicio, no recuperación de los BAJO personal
equipos deteriorados debido a la no autoriza
aplicación de soporte y do
mantenimiento.
Para realizar una evaluación del riesgo es importante realizar el cálculo de que
amenazas pueden materializarse en la unidad de Material Bélico.
108
3 No establecimiento de mecanismos
necesarios para el resguardo de los MEDIO MEDIO
datos e información de datos ALTO
personales y confidenciales que
provoca un acceso
público sin autorización.
4 El almacenamiento en físico ocasiona
la Perdida y/o deterioro de documentos MEDIO MEDIO
importantes. ALTO
5 Exposición de datos sensibles a una
divulgación de aspectos personales de MEDIO MEDIO
carácter confidencial sin ALTO
consentimiento
del involucrado.
6 Manejo de la información sin medidas
de seguridad, y dificultad en la MEDIO BAJO MEDIO
recuperación de la información y
congestión de oficinas
7 Alta exposición y/o divulgación por
omisión de controles de seguridad y
procedimientos ineficientes sobre el MEDIO ALTO MEDIO
manejo de información de carácter ALTO
confidencial.
8 Pérdida por mala manipulación y
deterioro físico debido a un mal ALTO MEDIO
almacenamiento del patrimonio
documental, informes confidenciales,
diagnósticos memoria institucional de
la Dirección.
9 Exposición de información que tiene ALTO MEDIO
carácter confidencial ALTO
109
En la tabla podemos apreciar la evaluación de cada riesgo identificando de acuerdo a la
probabilidad a la valoración de cada riesgo y cuál es su impacto además de
materializarse el riesgo, esta tabla nos da un análisis de los riesgos identificados, para
realizar un tratamiento que reduzca su incidencia e impacto.
Alta
8 9 1 2
1
Media alta
7
44
11
Media
13
3 55
VPROBABIL
IDAD
Media baja
66
Baja 12
10
IMPACTO
Fuente: Elaboración propia, 2021
110
De acuerdo con la tabla de calor se puede identificar que existe 2 riesgos con alta
probabilidad de ocurrencia y con alta impacto si se llegan a materializar, existen uno
riesgo con alta probabilidad y un impacto medio alto, un riesgo con probabilidad alta y
un impacto medio , tenemos un riesgo de probabilidad media alta y un impacto medio
alto siendo estos riesgos sobre los cuales debemos tener una especial atención en su
tratamiento, posteriormente identificamos tres riesgos con una media probabilidad y un
impacto medio, luego se puede identificar un riesgo con una probabilidad media baja e
impacto medio, finalmente identificamos un riesgo con baja probabilidad e impacto
medio y un riesgo con baja probabilidad y un impacto bajo , de donde se puede
determinar que más de 50% de los riesgos identificados están por encima de media
probabilidad y un impacto medio de ocurrencia debiendo poner estos riesgos en un
primer plano para su tratamiento posterior.
Con esta descripción podemos realizar la priorización de los riesgos e identificar los de
mayor probabilidad hasta los de menor.
111
Exposición de información que tiene ALTO MEDIO
9 carácter confidencial ALTO
No establecimiento de mecanismos
necesarios para el resguardo de los MEDIO MEDIO
3 datos e información de datos ALTO
personales y confidenciales provoca
un acceso público sin autorización.
112
3.2 DESARROLLO DEL ALGORITMO BASADO EN NUMEROS
PSEUDOALEATORIOS
Entonces, según esta pauta se procede a identificar los datos de entrada. Para el
desarrollo del algoritmo se debe contar con el texto plano que será encriptado; la llave
de cifrado será generada por números pseudoaleatorios y para esto debe pasar por
cierto proceso de encriptación para llegar a obtener el código cifrado.
Bajo este criterio se dispone la identificación de los datos de entrada, los procesos y los
datos de salida:
• Datos de Entrada
o Texto plano (mensaje original, documento Word)
• Procesos
o Definición del Generador Congruencia Lineal.
o Inicialización en condiciones iniciales aleatorias
113
o Suma de las salidas con la representación ASCII
o Llave de cifrado
114
‘alfa’ estaría dado por las posiciones ocupadas dentro de la secuencia {𝛽} por cada uno
de los pares de bits en {𝛼}. Por ejemplo, el primer par de bits en la secuencia {𝛼} es (0,1),
y este par aparece después de 28 iteraciones en la secuencia {𝛽}. De este modo, y
recordando que las primeras 25 iteraciones de los GCLs son descartadas, la palabra
“alfa” quedaría cifrada como (3, 3, 1, 13, 5, 2, 4, 4, 6, 2, 7, 4, 3, 6, 2, 13).
Con la funcion length de la clase String podemos acceder al tamaño de caracteres del
documento.
115
Tabla 13: Claves Principales y Secundarias
2556074 29
0
18809395 43
1
2 93325006 28
3 394138783 46
4 1528380946 46
1331542635 33
679751542 46
688033431 36
161393658 42
116
Valor del código VALOR ASCII
n
cifrado
0 144 É
1 148 ö
2 136 ê
3 164 ñ
4 147 ô
5 148 ö
6 162 ó
7 150 û
8 143 Å
Fuente: Elaboración propia, 2021
117
Para el Ejemplo tendríamos:
0 D 68
1 L 76
2 G 71
. … …
.
.
Una vez finalizada la fase de planeación se procede con el diseño del sistema; fase en
la que se determinarán las funciones específicas del sistema, también llamadas
módulos; de la misma manera se determinarán las interacciones del sistema, se
realizará el diseño lógico de la Base de Datos y de la arquitectura
118
Para el desarrollo del presente módulo se procede inicialmente con la planificación de
la iteración donde se realizará la distribución de tareas y horarios de acuerdo con el
tiempo estimado que es aproximadamente en promedio de 5 días hábiles con jornadas
de 8 horas diarias de trabajo.
120
3.3.2.2 Diseño-Modulo Gestión de Usuarios
Una vez definido el caso de uso expandido para este módulo, se determinará la
interacción que presenta el sistema con respecto a los diferentes procesos
encontrados y de la misma manera con los actores del sistema, para lo cual
inicialmente se tendrá el diseño de un diagrama de colaboración, posteriormente se
diseñaran las tablas de la base de datos para cual se empleara un diagrama de clases
sobre las cuales se trabajaran para este módulo y finalmente será el diseño de la
interfaz.
Para finalizar el diseño del módulo se realizar el diseño de la interfaz sobre la cual se
desarrollará el modulo.
121
Figura 29: Diseño de la Interfaz del módulo de Gestión de usuarios
La siguiente figura nos muestra el diseño de la plantilla para el inicio de Sesion donde
se deben introducir el usuario y contraseña ya definidos.
122
La figura nos muestra la interfaz principal para el ingreso al sistema donde se deben
llenar dos campos uno el usuario y el segundo la contraseña, posteriormente con el
botón de ingreso se nos permite ingresar sistema
Una vez definidos los procesos y diseño para las interfaces se proceden con la
codificación del módulo, esta se realizó con una conexión a la base de datos y
posteriormente se hicieron consultas a la misma; en una primera instancia para la
verificación de la existencia de usuario, después se verifica si el usuario y contraseña
coinciden, posteriormente el rol que tiene el usuario asignado.
123
La figura nos muestra la interfaz principal para el ingreso al sistema donde se deben
llenar dos campos uno el usuario y el segundo la contraseña, posteriormente con el
botón de ingreso se nos permite ingresar sistema
Concluyendo con el desarrollo del módulo se procede con la ejecución de las pruebas
para verificar su funcionalidad y determinar si se concluye o se tendrá que realizar el
respectivo ajuste, para lo cual se desarrollaron pruebas unitarias o todas las interfaces
por las cuales está compuesto el módulo, a continuación, en la tabla se muestra las
pruebas unitarias realizadas.
• Iniciar sesión
• Buscar nombres o apellidos del usuario a asignar cuenta
Pasos • Llenar el formulario con un usuario, contraseña y determinar
el tipo de cuenta
• Listar cuentas activas
• Ver datos
• Modificar datos
Resultado Se asigna una cuenta nueva de forma
satisfactoria Lista usuarios con cuentas activas,
ver figura N°31 Modifica datos de usuarios
Observaciones El buscador de nombres tiene un retraso al buscar usuarios
debido a la cantidad de registros sobre el cual se trabaja.
Evaluación Prueba Satisfactoria
de la prueba
124
3.3.2 Iteración 2- Modulo de Cifrado.
Una vez definido el caso de uso expandido para este módulo, se determinará la
interacción que presenta el sistema con respecto a los diferentes procesos
encontrados y de la misma manera con los actores del sistema, para lo cual
inicialmente se tendrá el diseño de un diagrama de colaboración, posteriormente se
diseñaran las tablas de la base de datos para cual se empleara un diagrama de clases
sobre las cuales se trabajaran para este módulo y finalmente será el diseño de la
interfaz.
Para finalizar el diseño del módulo se realizar el diseño de la interfaz sobre la cual se
desarrollará el modulo.
125
Figura 32: Diseño de la Interfaz del módulo de Cifrado
Una vez definidos los procesos, elaboradas las tablas de la base de datos y el
diseño para las interfaces se procede con la codificación del módulo, esta se realizó
con una conexión a la base de datos y posteriormente se hicieron consultas a la
misma; en una primera instancia para la verificación de la existencia de usuario,
después se verifica si el usuario y contraseña coinciden, posteriormente el rol que
tiene el usuario asignado.
Concluyendo con el desarrollo del módulo se procede con la ejecución de las pruebas
para verificar su funcionalidad y determinar si se concluye o se tendrá que realizar el
respectivo ajuste, para lo cual se desarrollaron pruebas unitarias o todas las interfaces
por las cuales está compuesto el módulo, a continuación, en la tabla se muestra las
pruebas unitarias realizadas.
126
Tabla 6: Pruebas Unitarias al módulo Gestión de Usuarios.
Pasos
Resultado
Observaciones
Evaluación
de la prueba
Fuente: Elaboración propia, 2021
127
bastante similar a la de cifrado, es por eso que se utilizó el mismo diagrama de diseño
de cifrado para el de descifrado.
En esta primera etapa se realiza y se planifica el desarrollo del módulo, que refleja las
tareas realizadas de acuerdo a los objetivos propuestos..
Una vez definido el caso de uso expandido para este módulo, se determinará la
interacción que presenta el sistema con respecto a los diferentes procesos
encontrados y de la misma manera con los actores del sistema, para lo cual
inicialmente se tendrá el diseño de un diagrama de colaboración, posteriormente se
diseñaran las tablas de la base de datos para cual se empleara un diagrama de clases
sobre las cuales se trabajaran para este módulo y finalmente será el diseño de la
interfaz.
Para finalizar el diseño del módulo se realizar el diseño de la interfaz sobre la cual se
desarrollará el modulo.
128
3.3.3.3 Desarrollo-Modulo Descifrado
Una vez definidos los procesos, elaboradas las tablas de la base de datos y el
diseño para las interfaces se procede con la codificación del módulo, esta se realizó
con una conexión a la base de datos y posteriormente se hicieron consultas a la
misma; en una primera instancia para la verificación de la existencia de usuario,
después se verifica si el usuario y contraseña coinciden, posteriormente el rol que
tiene el usuario asignado.
Concluyendo con el desarrollo del módulo se procede con la ejecución de las pruebas
para verificar su funcionalidad y determinar si se concluye o se tendrá que realizar el
respectivo ajuste, para lo cual se desarrollaron pruebas unitarias o todas las interfaces
por las cuales está compuesto el módulo, a continuación, en la tabla se muestra las
pruebas unitarias realizadas.
Pasos
Resultado
129
Observaciones
Evaluación
de la prueba
Fuente: Elaboración propia, 2021
Una vez definido el caso de uso expandido para este módulo, se determinará la
interacción que presenta el sistema con respecto a los diferentes procesos
encontrados y de la misma manera con los actores del sistema, para lo cual
inicialmente se tendrá el diseño de un diagrama de colaboración, posteriormente se
diseñaran las tablas de la base de datos para cual se empleara un diagrama de clases
sobre las cuales se trabajaran para este módulo y finalmente será el diseño de la
interfaz.
130
Para finalizar el diseño del módulo se realizar el diseño de la interfaz sobre la cual se
desarrollará el modulo.
Una vez definidos los procesos, elaboradas las tablas de la base de datos y el
diseño para las interfaces se procede con la codificación del módulo, esta se realizó
con una conexión a la base de datos y posteriormente se hicieron consultas a la
misma; en una primera instancia para la verificación de la existencia de usuario,
después se verifica si el usuario y contraseña coinciden, posteriormente el rol que
tiene el usuario asignado.
Concluyendo con el desarrollo del módulo se procede con la ejecución de las pruebas
para verificar su funcionalidad y determinar si se concluye o se tendrá que realizar el
131
respectivo ajuste, para lo cual se desarrollaron pruebas unitarias o todas las interfaces
por las cuales está compuesto el módulo, a continuación, en la tabla se muestra las
pruebas unitarias realizadas.
Pasos
Resultado
Observaciones
Evaluación
de la prueba
Fuente: Elaboración propia, 2021
3.4 PRUEBAS
132
3.4.1 Integración del Sistema.
El desarrollo del sistema fue planificado para ejecutarlo en cuatro iteraciones, de las
cuales cada iteración se subdivide en cuatro etapas tal y como la metodología XP
señala, es así que en la primera iteración se diseñó y desarrolló el algoritmo de
enmascaramiento dinámico de datos el mismo se sometió a pruebas unitarias dentro
esa iteración se comprueba su correcta funcionalidad y flexibilidad en distintos tipos de
escenarios obteniendo resultados óptimos.
133
ANEXO A
Registro y
Documentos
Proceso manual del almacenamiento de
administrativos
flujo de documentos en forma
elaborados de forma
documentación. física.(carpetas,
manual
estanterías)
134
ANEXO B
Encuesta realizada al Sof. Incl. Tgrfo. Ivan Alquez Rivera Operador de la Unidad
de Material Bélico. El 18 de Marzo de 2021
Los documentos de importancia solo son revisados por el Jefe de la Unidad, en ese
caso muchas veces no tenemos acceso, solo la secretaria, que se encarga de recibir y
derivar al Jefe de la Unidad.
135
¿Qué problemas pudo identificar usted en la Unidad con los documentos que son
generados actualmente?
En la Unidad todos los documentos que manejamos ya sean de entrada o de salida son
físicos, pasan por secretaria, y previa evaluación del Jefe de la Unidad, son derivados a
los operadores correspondientes.
Sin contar las de carácter reservado, normalmente los documentos que se llevan son
de hasta 30 por día, en los diferentes operadores y en las de mayor demanda suelen
duplicar este número.
136
ANEXO C
137
ANEXO D
La capacidad con la que se puede almacenar información sin temor a que esta pueda
ser obtenida por otras personas ajenas a la función.
Sí No Sí, pero no
a detalle
Sí No Sí, pero no
a detalle