Tesis Final (2802) 1

UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS

CARRERA DE INGENIERÍA EN NETWORKING Y
TELECOMUNICACIONES
DISEÑO DE UN MODELO DE CENTRO DE OPERACIONES DE SEGURIDAD

(SOC) PARA EL CONTROL Y MONITOREO DE NORMATIVAS DE SEGURIDAD
INFORMÁTICA, UTILIZANDO HERRAMIENTAS OPEN SOURCE, PARA LA
EMPRESA DOMOBAK EN LA CIUDAD DE GUAYAQUIL
PROYECTO DE TITULACIÓN
Previa a la obtención del Título de:
INGENIERO EN NETWORKING Y
TELECOMUNICACIONES
AUTOR:
CHAVEZ BORJA KATLEEN ANDREINA
MORENO VERA JOHNNY MANUEL
TUTOR:
ING. KARINA REAL AVILÉS, MSC.
GUAYAQUIL – ECUADOR
2021
REPOSITORIO NACIONAL EN CIENCIAS Y TECNOLOGÍA
FICHA DE REGISTRO DE TESIS
TÍTULO: “ DISEÑO DE UN MODELO DE CENTRO DE OPERACIONES DE SEGURIDAD
(SOC) PARA EL CONTROL Y MONITOREO DE NORMATIVAS DE SEGURIDAD
INFORMÁTICA, UTILIZANDO HERRAMIENTAS OPEN SOURCE, PARA LA EMPRESA
DOMOBAK EN LA CIUDAD DE GUAYAQUIL”
AUTORES:
REVISOR: Ing. Mitchell Vá squez, M.Sc.
TUTOR: Ing. Karina Real Avilés, M.Sc.
FACULTAD: Ciencias Matemá ticas y
INSTITUCIÓN: Universidad de Guayaquil
Físicas
CARRERA: Ingeniería en Networking y Telecomunicaciones
FECHA DE PUBLICACIÓN: Marzo/2021 N° DE PÁGS.: 114
ÁREA TEMÁTICA: Seguridad Informá tica.
PALABRAS CLAVES: SOC, Open Source, Wazuh, Hardware, Software, Magerit.

RESUMEN: Básicamente este proyecto de titulación se enfoca en diseñar un centro de operaciones de
seguridad para el control y monitoreo de la seguridad informática, en busca de evitar el robo o el daño de
datos de la empresa Domobak por amenazas tecnológicas o terceras personas. El alto costo que implica
adquirir estos sistemas de seguridad o el simple descuido o desconocimiento hacen que el índice de daño
informático crezca diariamente a nivel mundial. Por ello herramientas como las Open Source que no
demandan mayor inversión en el caso de la Pymes y son seguras y de fácil manejo, que al instalarlas
protegen el sistema y evitan perjuicios, permiten crear una red confiable, detectando a tiempo cualquier
amenaza y evitando la perdida de confiabilidad en la misma. Para la ejecución del proyecto se realizó un
análisis de la información, los recursos técnicos existentes, y la necesidades básicas de la empresa,
posterior a esto se realizaron las políticas de seguridad en base a dichas necesidades, y se procedió con el
diseño del modelo del SOC aplicando las políticas ya establecidas, se realizaron las pruebas y monitoreo a
la herramienta SIEM seleccionada y se verificaron los resultados obtenidos, logrando la satisfacción del
personal de la empresa ya que se obtuvieron los beneficios planteados al inicio del proyecto. Finalmente se
plantearon las conclusiones y recomendaciones necesarias para el trabajo realizado.
N° DE REGISTRO: N° DE CLASIFICACIÓN:
DIRECCIÓN URL:
SI NO
ADJUNTO PDF X
CONTACTO CON AUTORES: Teléfono:

E-mail:
CHAVEZ BORJA KATLEEN ANDREINA 0939037796
katleen.chavezb@ug.edu.ec
MORENO VERA JOHNNY MANUEL 0969460906
johnny.morenov@ug.edu.ec
CONTACTO DE LA INSTITUCIÓN:
Universidad de Guayaquil, Nombre: Ab. Juan Chá vez Atocha, Esp.
Facultad de Ciencias
Matemá ticas y Físicas,
Carrera de Ingeniería en
Networking y Teléfono: 04-3843915
Telecomunicaciones.
Víctor Manuel Rendó n 434 entre
Baquerizo Moreno y Có rdova.
II
APROBACION DEL TUTOR
En mi calidad de Tutor del trabajo de titulación, “DISEÑO DE UN MODELO DE

CENTRO DE OPERACIONES DE SEGURIDAD (SOC) PARA EL CONTROL Y
MONITOREO DE NORMATIVAS DE SEGURIDAD INFORMÁTICA,
UTILIZANDO HERRAMIENTAS OPEN SOURCE, PARA LA EMPRESA
DOMOBAK EN LA CIUDAD DE GUAYAQUIL” elaborado por los Srs.
CHAVEZ BORJA KATLEEN ANDREINA y MORENO VERA JOHNNY
MANUEL, Alumnos no titulados de la Carrera de Ingeniería en Networking y
Telecomunicaciones, Facultad de Ciencias Matemáticas y Físicas de la
Universidad de Guayaquil, previo a la obtención del Título de Ingeniero en
Networking y Telecomunicaciones, me permito declarar que luego de haber
orientado, estudiado y revisado, la Apruebo en todas sus partes.
Atentamente
Ing. Karina Paola Real Avilés, MSc.

TUTOR
III
DEDICATORIA
Dedico el proyecto de titulación a Dios ya que sin su bendición no hubiese

logrado llegar hasta aquí, a mis padres y maestros quienes con su guía, amor y
dedicación me han conducido hacia el éxito haciendo posible lograr una meta
más en mi vida.
Atentamente,
Katleen Chavez Borja.
Dedico este proyecto primeramente a Dios, a mis padres y a mi familia que han
sido mi inspiración para seguir adelante y que siempre han estado presentes en
cada uno de mis pasos dándome ánimos para poder alcanzar cada uno mis
objetivos.
Atentamente,
Johnny Moreno Vera.
IV
AGRADECIMIENTO
Agradezco a Dios por darme su bendición día a día y ayudarme a culminar una
etapa más, a mis padres por su amor y apoyo incondicional durante todo el
proceso, a la Ing. Karina Real por compartir sus conocimientos y ser un pilar
fundamental en el desarrollo de esta tesis y a cada persona que ha sido participe
en el logro de culminar mi proyecto.
Atentamente,
Katleen Chavez Borja
Agradezco a mis padres, mi familia y amigos que siempre han está alentándome
a conseguir cada objetivo y superar cada obstáculo de mi vida, además también
a los docentes que me han brindado sus cátedras que me han permitido
alcanzar esta etapa e inspirarme a investigar y aprender mucho más, también a
la Ing. Karina Real por sus grandes enseñanzas como docente y tutora quien
nos brindó la guía para poder realizar este proyecto.
Atentamente,
Johnny Moreno Vera.
V
TRIBUNAL PROYECTO DE TITULACIÓN
Ing. Douglas Iturburu S., M.Sc. Ing. Francisco Palacios Ortíz, Mgs
DECANO DE LA FACULTAD DE DIRECTOR DE LA CARRERA DE
CIENCIAS MATEMATICAS Y INGENIERÍA EN NETWORKING
FISICAS Y TELECOMUNICACIONES
Ing. Mitchell Vásquez B., M.Sc. Ing. Fausto Orozco Lara., M.Sc.
PROFESOR REVISOR PROFESOR DEL ÁREA
TRIBUNAL TRIBUNAL
Ing. Karina Real Avilés, M.Sc

PROFESOR TUTOR DEL PROYECTO
DE TITULACION
Ab. Juan Chávez Atocha, Esp.

SECRETARIO (E) FACULTAD
VI
DECLARACIÓN EXPRESA
“La responsabilidad del contenido de este

Proyecto de Titulación, me corresponden
exclusivamente; y el patrimonio intelectual de
la misma a la UNIVERSIDAD DE
GUAYAQUIL”

FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERIA EN NETWORKING Y

TELECOMUNICACIONES
DISEÑO DE UN MODELO DE CENTRO DE OPERACIONES DE SEGURIDAD

(SOC) PARA EL CONTROL Y MONITOREO DE NORMATIVAS DE
SEGURIDAD INFORMÁTICA, UTILIZANDO HERRAMIENTAS
OPEN SOURCE, PARA LA EMPRESA DOMOBAK
EN LA CIUDAD DE GUAYAQUIL
Proyecto de Titulación que se presenta como requisito para optar por el título
de INGENIERO EN NETWORKING Y TELECOMUNICACIONES
Autores: KATLEEN ANDREINA CHAVEZ BORJA

C.I. 0944341270
JOHNNY MANUEL MORENO VERA
C.I. 0919377101
Tutor: Mg. Karina Paola Real Avilés
Guayaquil, marzo de 2021
2
CERTIFICADO DE ACEPTACIÓN DEL TUTOR
En mi calidad de Tutor del proyecto de titulación, nombrado por el Consejo

Directivo de la Facultad de Ciencias Matemáticas y Físicas de la Universidad
de Guayaquil.
CERTIFICO:
Que he analizado el Proyecto de Titulación presentado por el/la

estudiante KATLEEN ANDREINA CHAVEZ BORJA Y JOHNNY MANUEL
MORENO VERA, como requisito previo para optar por el título de Ingeniero en
Networking y Telecomunicaciones cuyo problema es:
“DISEÑO DE UN MODELO DE CENTRO DE OPERACIONES DE

SEGURIDAD (SOC) PARA EL CONTROL Y MONITOREO DE NORMATIVAS
DE SEGURIDAD INFORMATICA, UTILIZANDO HERRAMIENTAS OPEN
SOURCE, PARA LA EMPRESA DOMOBAK EN LA CIUDAD DE
GUAYAQUIL”
Considero aprobado el trabajo en su totalidad.
Presentado por:
CHAVEZ BORJA KATLEEN ANDREINA 0944341270

MORENO VERA JOHNNY MANUEL 0919377101
Guayaquil, marzo de 2021
3
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERIA EN NETWORKING Y
TELECOMUNICACIONES
Autorización para Publicación de Proyecto de Titulación en

Formato Digital
1. Identificación del Proyecto de Titulación
Nombre Alumno: CHAVEZ BORJA KATLEEN ANDREINA

Dirección: GUASMO CENTRAL COOP. CARLOS CASTRO 2
Teléfono: 0939037796 E-mail: katleen.chavezb@ug.edu.ec
Nombre Alumno: MORENO VERA JOHNNY MANUEL
Dirección: BOYACA 1116 Y 9 DE OCTUBRE
Teléfono: 0969460906 E-mail: johnny.morenov@ug.edu.ec
Facultad: CIENCIAS MATEMATICAS Y FISICAS
Carrera: INGENIERIA EN NETWORKING Y TELECOMUNICACIONES
Proyecto de titulación al que opta: INGENIERO EN NETWORKING Y
TEELCOMUNICACIONES
Profesor tutor: MG. KARINA PAOLA REAL AVILES
Título del Proyecto de titulación:
DISEÑO DE UN MODELO DE CENTRO DE OPERACIONES DE
SEGURIDAD (SOC) PARA EL CONTROL Y MONITOREO DE NORMATIVAS
DE SEGURIDAD INFORMÁTICA, UTILIZANDO HERRAMIENTAS OPEN
SOURCE, PARA LA EMPRESA DOMOBAK EN LA CIUDAD DE GUAYAQUIL
Tema del Proyecto de Titulación: (Palabras claves 5 a 8)

DISEÑO DE MODELO SOC UTILIZANDO HERRAMIENTAS OPEN SOURCE
4
2. Autorización de Publicación de Versión Electrónica del
Proyecto de Titulación
A través de este medio autorizo a la Biblioteca de la Universidad de Guayaquil

y a la Facultad de Ciencias Matemáticas y Físicas a publicar la versión
electrónica de este Proyecto de titulación.
Publicación electrónica:
Inmediata Después de 1 año
Firma Alumno:
________________________ ______________________
Katleen Andreina Chavez Borja Johnny Manuel Moreno Vera
C.I. 0944341270 C.I. 0919377101
3. Forma de envío:
El texto del proyecto de titulación debe ser enviado en formato Word, como
archivo .Doc. O .RTF y. Puf para PC. Las imágenes que la acompañen pueden
ser: .gif, .jpg o .TIFF.
DVDROM CDROM
5
ÍNDICE GENERAL
APROBACION DEL TUTOR........................................................................................III

DEDICATORIA..............................................................................................................IV
AGRADECIMIENTO......................................................................................................V
ÍNDICE GENERAL..........................................................................................................6
ÍNDICE DE CUADROS...................................................................................................9
ÍNDICE DE GRÁFICOS................................................................................................10
Resumen..........................................................................................................................12
Abstract............................................................................................................................13
INTRODUCCIÓN...........................................................................................................14
CAPÍTULO I...................................................................................................................16
EL PROBLEMA.............................................................................................................16
PLANTEAMIENTO DEL PROBLEMA........................................................................16
Ubicación del Problema en un Contexto....................................................................16
Situación Conflicto Nudos Críticos............................................................................16
Causas y Consecuencias del Problema.......................................................................17
Delimitación del Problema.........................................................................................17
Formulación del Problema.........................................................................................18
Evaluación del Problema............................................................................................18
OBJETIVOS....................................................................................................................19
ALCANCES DEL PROBLEMA....................................................................................20
JUSTIFICACION E IMPORTANCIA............................................................................20
METODOLOGÍA DEL PROYECTO.............................................................................21
CAPÍTULO II..................................................................................................................22
MARCO TEÓRICO........................................................................................................22
ANTECEDENTES DEL ESTUDIO...............................................................................22
FUNDAMENTACIÓN TEÓRICA.................................................................................22
Seguridad de la información.......................................................................................22
Pilares de la seguridad de la información...................................................................23
Vulnerabilidades, Amenazas y Ataques Informáticos................................................24
6
Seguridad Informática................................................................................................29
La seguridad informática en Ecuador.........................................................................30
Seguridad Informática en PYMES.............................................................................31
Normativas de seguridad informática.........................................................................32
Centro de operaciones de seguridad (SOC)................................................................36
SIEM (Security Information and Event Manager).....................................................45
FUNDAMENTACIÓN LEGAL.....................................................................................47
Constitución de la República del Ecuador..................................................................47
Código Orgánico Integral Penal (COIP)....................................................................47
Ley Orgánica de Telecomunicaciones........................................................................49
PREGUNTA CIENTÍFICA A CONTESTARSE...........................................................50
DEFINICIONES CONCEPTUALES.............................................................................51
CAPÍTULO III................................................................................................................53
PROPUESTA TECNOLÓGICA.....................................................................................53
Análisis de factibilidad...............................................................................................53
Factibilidad Operacional............................................................................................53
Factibilidad técnica.....................................................................................................54
Factibilidad Legal.......................................................................................................56
Factibilidad Económica..............................................................................................57
Etapas de la metodología del proyecto.......................................................................58
ENTREGABLES DEL PROYECTO..............................................................................69
CRITERIOS DE VALIDACIÓN DE LA PROPUESTA...............................................69
CAPÍTULO IV................................................................................................................84
CRITERIOS DE ACEPTACIÓN DEL PRODUCTO O SERVICIO.............................84
CONCLUSIONES...........................................................................................................85
RECOMENDACIONES.................................................................................................86
BIBLIOGRAFÍA.............................................................................................................87
ANEXOS.........................................................................................................................90
7
ABREVIATURAS
SOC Centro de Operaciones de Seguridad

ISO Organización Internacional de Normalización
SIEM Gestión de información y eventos de seguridad
TI Tecnología de la información
TIC’S Tecnologías de la información y la comunicación
IDS Sistema de detección de intrusos
IPS Sistema de prevención de intrusos
HIDS Sistema de detección de intrusos en un Host
ISP Proveedor de Servicio de Internet
PCI Interconexión de Componentes Periféricos
GDPR Reglamento General de Protección de Datos
NIST Instituto Nacional de Estándares y Tecnología
8
ÍNDICE DE CUADROS
Cuadro 1. Relación entre causas y consecuencias...........................................................17

Cuadro 2. Delimitación del Problema.............................................................................17
Cuadro 3. Tipos de Vulnerabilidades..............................................................................25
Cuadro 4. Amenazas Frecuentes.....................................................................................26
Cuadro 5. Malwares por Familia.....................................................................................28
Cuadro 6. Tipos de Seguridades......................................................................................29
Cuadro 7. Dominios y Objetivos de Control de la Norma ISO 27002............................34
Cuadro 8. Características de un IDS................................................................................39
Cuadro 9. Tipos de IDS...................................................................................................40
Cuadro 10. Ventajas de Desventajas de un HIDS...........................................................40
Cuadro 11. Tipos de IPS..................................................................................................42
Cuadro 12. Ventajas de un IPS........................................................................................43
Cuadro 13. Diferencias entre un IDS y un IPS................................................................43
Cuadro 14. Ventajas de usar IDS y IPS para Ciberseguridad.........................................44
Cuadro 15. Características del Hardware........................................................................54
Cuadro 16. Requisitos Mínimos de Hardware para implementación..............................55
Cuadro 17. Características del Software.........................................................................56
Cuadro 18. Prepuesto de Implementación.......................................................................57
Cuadro 19. Inventario de Equipos Informáticos de la Empresa......................................60
Cuadro 20. Cálculo del Impacto en situaciones de Riesgo.............................................62
Cuadro 21. Capacidades de Wazuh.................................................................................65
Cuadro 22. Resultados de las Pruebas Realizadas...........................................................82
Cuadro 23. Criterios de Aceptación del Producto o Servicio..........................................84
9
ÍNDICE DE GRÁFICOS
Gráfico 1. Pilares de la Seguridad de la Información......................................................23

Gráfico 2. Vulnerabilidades, Amenazas y Ataques Informáticos...................................24
Gráfico 3. Funciones de un SOC.....................................................................................37
Gráfico 4. Características de un SIEM............................................................................45
Gráfico 5. Logo de Wazuh..............................................................................................46
Gráfico 6. Etapas de la Metodología para la elaboración del proyecto...........................59
Gráfico 7. Interfaz de Wazuh..........................................................................................64
Gráfico 8. Interfaz de Pfsense.........................................................................................66
Gráfico 9. Interfaz de Wireshark.....................................................................................67
Gráfico 10. Pruebas en los Agentes de Wazuh................................................................69
Gráfico 11. Panel de monitoreo de eventos de seguridad...............................................70
Gráfico 12. Evento de Seguridad generados en el sistema..............................................70
Gráfico 13. Estándar PCI DSS........................................................................................71
Gráfico 14. Visualización de actividad en medios electrónicos......................................71
Gráfico 15. Nivel de actividad según estándar de Pagos Online.....................................72
Gráfico 16. Requerimientos existentes por usuarios.......................................................72
Gráfico 17. Requerimientos TSC....................................................................................73
Gráfico 18. Actividad de procesos..................................................................................73
Gráfico 19. Generación de Alertas recientes...................................................................74
Gráfico 20. Estándar GDPR............................................................................................74
Gráfico 21. Estándar NIST 800-53 (Pantalla superior)...................................................75
Gráfico 22. Estándar NIST 800-53 (Pantalla inferior)....................................................75
Gráfico 23. MITRE ATT&CK........................................................................................76
Gráfico 24. Estadísticas de actividad...............................................................................76
Gráfico 25. Técnicas y Tácticas para contrarrestar ataques cibernéticos........................77
Gráfico 26. Monitoreo de Integridad...............................................................................77
Gráfico 27. Actividad Reciente de uno de los Agentes...................................................78
Gráfico 28. Reglas implementadas en el administrador..................................................78
10
Gráfico 29. Estado del Administrador.............................................................................79
Gráfico 30. Estado de los Agentes..................................................................................79
Gráfico 31. Estadísticas de eventos procesados (Syscheck-Syscollector)......................80
Gráfico 32. Estadísticas de eventos procesados (Rootcheck-SCA)................................80
Gráfico 33. Estado del Agente JOOVM54J(007) (Parte Superior).................................81
Gráfico 34. Estado del Agente JOOVM54J(007) (Parte Inferior)..................................81
11
CARRERA DE INGENIERIA EN NETWORKING Y TELECOMUNICACIONES
DISEÑO DE UN MODELO DE CENTRO DE OPERACIONES DE SEGURIDAD (SOC)
PARA EL CONTROL Y MONITOREO DE NORMATIVAS DE SEGURIDAD
INFORMÁTICA, UTILIZANDO HERRAMIENTAS OPEN SOURCE, PARA LA
EMPRESA DOMOBAK EN LA CIUDAD DE GUAYAQUIL
Autores: Katleen Andreina Chavez Borja

Johnny Manuel Moreno Vera
Resumen
Básicamente este proyecto de titulación se enfoca en diseñar un centro de

operaciones de seguridad para el control y monitoreo de la seguridad informática, en
busca de evitar el robo o el daño de datos de la empresa Domobak por amenazas
tecnológicas o terceras personas. El alto costo que implica adquirir estos sistemas de
seguridad o el simple descuido o desconocimiento hacen que el índice de daño
informático crezca diariamente a nivel mundial. Por ello herramientas como las Open
Source que no demandan mayor inversión en el caso de la Pymes y son seguras y de
fácil manejo, que al instalarlas protegen el sistema y evitan perjuicios, permiten crear
una red confiable, detectando a tiempo cualquier amenaza y evitando la perdida de
confiabilidad en la misma. Para la ejecución del proyecto se realizó un análisis de la
información, los recursos técnicos existentes, y la necesidades básicas de la empresa,
posterior a esto se realizaron las políticas de seguridad en base a dichas necesidades,
y se procedió con el diseño del modelo del SOC aplicando las políticas ya
establecidas, se realizaron las pruebas y monitoreo a la herramienta SIEM
seleccionada y se verificaron los resultados obtenidos, logrando la satisfacción del
personal de la empresa ya que se obtuvieron los beneficios planteados al inicio del
12
proyecto. Finalmente se plantearon las conclusiones y recomendaciones necesarias
para el trabajo realizado.
CARRERA DE INGENIERIA EN NETWORKING Y TELECOMUNICACIONES
DESIGN A MODEL OF SECURITY OPERATION CENTRE (SOC)
TO CONTROLING AND MONITORING OF COMPUTER SECURITY REGULATIONS
USING OPEN-SOURCE TOOLS, TO DOMOBAK COMPANY, IN THE CITY OF
GUAYAQUIL
Author: Katleen Andreina Chavez Borja

Johnny Manuel Moreno Vera
Abstract
Basically, this degree project focuses on designing a security operations centre for the
control and monitoring of computer security, in order to prevent the theft or damage of
Domobak's data by technological threats or third parties. The high cost of acquiring
these security systems or the simple carelessness or lack of knowledge make the rate
of computer damage grow daily worldwide. For this reason, tools such as Open Source
that do not require a major investment in the case of SMEs and are safe and easy to
use, which when installed protect the system and prevent damage, allow the creation
of a reliable network, detecting any threat in time and avoiding the loss of reliability in
the same. For the implementation of the project an analysis of the information, the
existing technical resources, and the basic needs of the company was carried out, after
this the security requirements were made based on these needs, and we proceeded
with the design of the SOC model applying have already established policies, the tests
and monitoring of the selected SIEM tool were carried out and the results obtained
were verified, achieving the satisfaction of the company's personnal since the profits
13
proposed at the beginning of the project were obtained. Finally, the necessary
conclusions and recommendations for the work performed were presented.
INTRODUCCIÓN
En la actualidad gracias a los avances tecnológicos la responsabilidad referente

a la defensa de seguridad de la información en la infraestructura y los activos de
los clientes es un tema que debe ser tratado con sumo detenimiento, análisis y
control; dado que la información es uno de los activos más valiosos en las
organizaciones, no obstante esta con el pasar del tiempo se ha considerado
accesible para todo individuo capaz de infiltrase en sistemas de comunicaciones
en la internet e inclusive individuos propios de las mismas organizaciones.
Por ello se ha convertido en una necesidad activar métodos de seguridad que

permitan garantizar la integridad, disponibilidad y confidencialidad de la
información, por ende para poder gestionar correctamente estas actividades o
procesos es posible diseñar un Centro de Operaciones de Seguridad (SOC)
utilizando herramientas de código libre, flexibles, potentes y de bajo presupuesto,
para las empresas que requieran un sistema seguro que permita analizar, actuar
y responder de manera oportuna sin perdida alguna de información sensible.
Sin embargo, ante las posibles amenazas o vulnerabilidades que se puedan

presentar en cuanto a la pérdida o robo de los activos y la información dentro de
una empresa, es necesario conocer cómo crear y adaptarse a nuevos métodos
de seguridad utilizando herramientas accesibles que estén dentro de nuestro
alcance; es por ello que este proyecto va dirigido a un ámbito tan esencial
actualmente que va ligado a la seguridad informática, en la cual ya existen
lineamientos que permiten que los activos e información existente de una
empresa logren alcanzar normas o estándares de seguridad óptimos para estas.
Para ello este trabajo está enfocado a la protección y seguridad de los activos
informáticos de la empresa como tal, teniendo en cuenta los tres pilares
esenciales de la seguridad informática que conllevan a un sistema seguro que
brinde las capacidades de proteger estos aspectos tan esenciales como lo son;
la confidencialidad, la integridad y la disponibilidad de la información, lo cual se
convierte en un beneficio para la empresa, al reflejar estos tres aspectos
14
primordiales en sus procesos, hacen de cualquier organización una fortaleza
capaz de proteger y garantizar la seguridad de dicha información.
El desarrollo de este proyecto de tesis consta de cuatro capítulos que se

resumen a continuación:
Capítulo I: Se determina la problemática, la necesidad de abordar el tema, se
plantea el mismo y se ubica en un contexto, además, se detalla las causas y
consecuencias de seguirse manteniendo. Se delimita el alcance que tendrá la
investigación, su objetivo general y específicos que respaldan y justifican la
importancia del estudio.
Capítulo II: Se desarrolla el marco teórico, en el que se exponen los

antecedentes de la investigación, fundamentación teórica y legal, a su vez se
detallan los conceptos más relevantes para el desarrollo de la investigación.
Capítulo III: En este capítulo se describe la metodología que se utilizara, se

abarcan todos los temas conceptuales que permitan el entendimiento de la
propuesta de solución, así como también la factibilidad operacional, técnica,
económica y legal.
Capítulo IV: Se muestra los resultados obtenidos una vez realizadas las pruebas
necesarias, conclusiones que darán respuesta a los objetivos planteados, y
recomendaciones para la operatividad del prototipo.
15
CAPÍTULO I
EL PROBLEMA
PLANTEAMIENTO DEL PROBLEMA
Ubicación del Problema en un Contexto
Las pequeñas y medianas empresas (PYMES), no cuentan con sistemas de

seguridad de la información o centros de operaciones de seguridad (SOC) que
les permita monitorear la integridad del manejo de información sensible puesta a
su disposición para la realización o puesta en marcha de los servicios brindados.
DOMOBAK es una pequeña empresa perteneciente a la ciudad de Guayaquil
que ofrece a sus clientes servicios de domótica e inmótica, su principal falencia
es la falta de políticas de seguridad, además del uso de herramientas para el
análisis, control y respuesta ante posibles amenazas o vulnerabilidades de la red
que puedan presentarse en el trascurso de la realización de sus actividades.
Situación Conflicto Nudos Críticos
Dentro de las Pymes los sistemas informáticos son un tema de preocupación por
los costos tanto en hardware como software por lo cual no suelen implementar
dichas tecnologías en sus organizaciones. La empresa ante una evidente
carencia de un sistema capaz de ejercer un debido control de su red que ayude
a cumplir con las correctas normativas de seguridad informática se encuentra
expuesta frente a algún ataque cibernético que se pudiera presentar.
El no contar con herramientas que garanticen el monitoreo constante de la red
generará posibles fugas o brechas en el sistema; además de no poder detectar a
tiempo alguna vulnerabilidad presentada causando retraso en las actividades y el
uso extra de recursos para generar soluciones ante estas posibles o ya
presentadas amenazas.
Dentro de la empresa es relevante que el personal tenga conocimiento de la
importancia de las políticas de seguridad en cuanto a la gestión de la información
utilizada, puesto que, representan inconscientemente una vulnerabilidad, lo cual
no garantiza el contar correctamente con los pilares esenciales de la seguridad
informática dentro del negocio, dañando así su imagen frente a los clientes.
16
Causas y Consecuencias del Problema
En el siguiente cuadro se presentarán las causas y consecuencias existentes

dentro de la empresa Domobak.
Cuadro 1. Relación entre causas y consecuencias
CAUSAS CONSECUENCIAS
Falta de políticas de seguridad Ingreso fácil al sistema por los
de la información ciberdelincuentes.
Mayor exposición a amenazas.
Carencia de herramientas No contar con respuestas ante posibles
destinadas a Operaciones de amenazas detectadas.
Seguridad Informática. Mayor exposición a usuarios externos.
Carencia de monitoreo Aumento de vulnerabilidades en los
constante de la red. accesos al sistema.
No cuenta con código de Riesgo elevado de exposición a
buenas prácticas para la amenazas que atenten en contra de la
gestión de la seguridad de la confidencialidad, disponibilidad e
información. integridad de la información.
Carencia de respaldos o Perdida de información o procesos
Backups realizados dentro de la organización
Elaboración: Katleen Chavez Borja & Johnny Moreno Vera
Fuente: Trabajo de Investigación
Delimitación del Problema
En el siguiente cuadro se presentará la delimitación del problema planteado.
Cuadro 2. Delimitación del Problema
CAMPO Tecnología de la Información
AREA Seguridad Informática
Modificación, perdida o suplantación de la

ASPECTO información, falta de disponibilidad de servicios,
costes agregados para los backup de datos.
17
Diseño de un Modelo de Centro de Operaciones de
seguridad (SOC) para el control y monitoreo de
TEMA normativas de seguridad informática, utilizando
herramientas open Source, para la empresa
Domobak en la ciudad de Guayaquil.
Formulación del Problema
¿Como puede la empresa Domobak garantizar la integridad de la información

existente y la gestión de normativas de seguridad informática, para el control,
monitoreo y prevención de ataques informáticos?
Evaluación del Problema
Los aspectos generales de evaluación son:
Delimitado: El estudio se enfocará en la empresa Domobak ubicada en la

ciudad de Guayaquil, con el propósito de determinar y diseñar un modelo de
centro de operaciones de seguridad (SOC) que permita analizar y optimizar el
rendimiento de la infraestructura tecnológica.
Claro: Disponer normas de seguridad, para un manejo responsable de la

información tanto externa como interna de la organización, además del
monitoreo constante de la red para la identificación oportuna de vulnerabilidades
o amenazas.
Evidente: La seguridad informática es un punto crítico en la empresa, ante

amenazas o vulnerabilidades informáticas ya que no cuenta con respuestas o
acciones que permita mitigar dichos sucesos.
Concreto: Aspira aportar con recursos que incrementen el nivel de seguridad

informática de manera competente dentro de la organización.
18
Original: Pretende proporcionar herramientas de seguridad informática mediante
el uso completo de recursos open source.
Factible: El diseño de un modelo de centro de operaciones de seguridad

informática mediante herramientas open source permite la reutilización de la
infraestructura existente de la organización, el bajo presupuesto necesario en
caso de desear implementarse; además de la preparación del equipo de trabajo
en lo referente a las buenas prácticas de seguridad informática en cuanto a la
gestión correcta de la información.
Identifica los productos esperados: Políticas de seguridad basadas en

normativas de seguridad informática que se ajusten a las necesidades de la
empresa, con el conocimiento de las buenas prácticas referentes a los pilares
fundamentales de la seguridad de la información en el personal.
OBJETIVOS
Objetivo General
Diseñar un modelo de centro de operaciones de seguridad (SOC) para el control

y monitoreo de normativas de seguridad informática, utilizando herramientas
Open Source, para la empresa Domobak en la ciudad de Guayaquil.
Objetivos Específicos
 Analizar los beneficios que brinda un centro de operaciones de seguridad

(SOC) dentro de una organización.
 Determinar las herramientas Open Source a utilizar para el diseño del
SOC.
 Identificar los eventos a monitorear por el SOC dentro de una empresa.
 Establecer las operaciones y estrategias de seguridad a utilizar en el
diseño propuesto.
19
ALCANCES DEL PROBLEMA
El presente proyecto de titulación tendrá como primicia las vulnerabilidades y

carencias concerniente a la seguridad informática de la empresa Domobak,
realizando un análisis de la información de todos los servicios y procesos
empleados en la organización para determinar los riesgos y amenazas que
puedan atentar en contra de información sensible.
Diseñar controles para monitoreo de normativas de seguridad informática, entre

las cuales su enfoque se centrará en los siguientes dominios:
 Políticas de seguridad de la información.

 Control de accesos
 Seguridad de las operaciones
 Seguridad de las comunicaciones
 Adquisición, desarrollo y mantenimiento del sistema.
 Gestión de incidentes en la seguridad de la información.
El propósito es aumentar la seguridad de la empresa ante amenazas

cibernéticas que pudieran afectar los pilares de la seguridad de la información.
Finalmente se realizarán las pruebas de la propuesta ejecutando el modelo
diseñado que permitirá garantizar la seguridad y preservación de la información,
a través de la mitigación de los puntos críticos que necesiten la implementación y
administración de un SOC, teniendo en cuenta el bajo costo que favorecería su
aplicación.
JUSTIFICACION E IMPORTANCIA
El diseño e implementación de seguridades en las organizaciones hoy en día es

un punto de suma importancia; el poder garantizar la seguridad y preservación
de la información de forma global dentro de una empresa es algo de carácter
primordial, ya que no solo aportará credibilidad y confianza al negocio, sino
también atraerá potenciales clientes del mercado; para ello gracias a la
constante evolución tecnológica es posible contar con alternativas que sirvan de
ayuda , una de estas es el poder diseñar un Centro de Operaciones de
Seguridad (SOC) utilizando herramientas de código libre (Open Source), que
20
ayuden no solo a alertar de posibles amenazas informáticas existentes sino
también a detectar alguna nueva vulnerabilidad dada dentro de la red,
gestionando acciones de mejora y creando alternativas que reduzcan posibles
riesgos que puedan atentar en contra de la información interna y externa de la
organización, basándose en las normativas de seguridad previamente
establecidas.
El contar con políticas de seguridad establecidas por las necesidades de la

organización permitirá y ayudará a crear estrategias que controlen la gestión de
las acciones o medidas necesarias que se deban aplicar para evitar posibles
fugas o perdidas dentro de la organización, ayudando a su vez a mantener una
administración acertada. Las pruebas necesarias para comprobar la eficacia del
diseño propuesto serán realizadas dentro de la empresa Domobak, ya que la
información sensible se encuentra dentro de la misma empresa, como cartera
de clientes, listas de nómina, registros de procesos, entre otras, siendo relevante
contar con un sistema capaz de brindar la seguridad necesaria para el control y
monitoreo de accesos, de los procesos e incidentes constantes que pudiesen
presentarse en la red para el análisis de amenazas informáticas.
METODOLOGÍA DEL PROYECTO
Dentro del trabajo a realizarse se evaluará inicialmente los puntos críticos de la

empresa Domobak en lo concerniente a la Seguridad informática. Mediante el
análisis del trabajo realizado se determinó que la metodología a emplearse es
MAGERIT, este método permite analizar y tratar riesgos en sistemas de
información en el área de las Tecnologías de la Información (TI), además de esto
se describió el estado del arte acerca de los Centros de Operaciones de
Seguridad (SOC), investigando a su vez las herramientas Open Source útiles
para crear el diseño del modelo propuesto.
21
CAPÍTULO II
MARCO TEÓRICO
ANTECEDENTES DEL ESTUDIO
En la actualidad, las empresas han alcanzado un nivel de evolución tecnológica

considerable, no obstante este gran avance es una puerta de muchas
posibilidades en donde la información se vuelve un punto clave que priorizar, por
ende requiere de herramientas capaces de monitorear y controlar de manera
centralizada o distribuida dicha información a través de procesos, políticas y/o
estrategias que permitan garantizar la seguridad de dicha información, lo cual se
traducirá en un mejor desenvolvimiento de los recursos tecnológicos de la
empresa a través de procesos que permitan un manejo de la información de
manera segura y óptima.
Sin embargo, se debe tener en cuenta que en las organizaciones existen activos
que tienen relación constante con las TIC´s. Como lo indica (Bonilla Blanco &
Rojas Paternina, 2019): “El bien más preciado de las organizaciones en la
actualidad es su información y la tecnología se ha convertido en la herramienta
para mantener su confidencialidad, integridad, disponibilidad, transmisión,
almacenamiento entre otros”
La seguridad informática es relevante en cualquier empresa actualmente por su

gran necesidad de garantizar la integridad de su información ante las
deficiencias notorias por la reducción de costes en este apartado de las
organizaciones, esta se vuelve un punto critico a tener en cuenta.
FUNDAMENTACIÓN TEÓRICA
Seguridad de la información
La información íntegramente es un activo de vital importancia de una

organización, por ello es necesario tener un estricto uso y manipulación correcta
de los datos. No obstante, existen riesgos que permiten la filtración, robo,
modificación e inclusive suplantación o perdida de datos que puedan atentar
ante los pilares de la seguridad de la información.
22
Information Security es la disciplina que se encarga de proporcionar la
evaluación de riesgos y amenazas, trazar el plan de acción y adecuación
para minimizar los riesgos, bajo la normativa o las buenas practicas con
el objetivo de asegurar la confidencialidad, integridad y disponibilidad del
manejo de la información de activos. (Figueroa-Suárez, Rodríguez-
Andrade, Bone-Obando, & Saltos-Gómez, 2018, p.149)
Por lo tanto, es necesario contar con procesos o estrategias que permitan tener
un nivel de seguridad de la información acorde a normativas que rigen en la
actualidad, que permitan garantizar un nivel óptimo de la seguridad de dicha
información dentro de las organizaciones, certificando el compromiso para con
sus usuarios y con ellos como entidad.
Pilares de la seguridad de la información
La seguridad de la información es un apartado que se encarga de proteger los

datos y sistemas de información y organización de una empresa, sin embargo,
esta se encuentra en constante riesgo al ser actualmente uno de los activos más
importantes en cualquier entidad, por ello mantiene una estrecha relación con los
pilares de la seguridad de la información que son de imprescindibles tenerlos en
cuenta, y se detallan a continuación.
Gráfico 1. Pilares de la Seguridad de la Información
Elaboración: Katleen Chávez Borja & Johnny Moreno Vera

Confidencialidad
La confidencialidad es la cualidad de la información que permite controlar el
manejo de los datos para que no puedan ser divulgados a usuarios o sistemas
23
no autorizados y solo pueda acceder a esta, quienes cuenten con las
credenciales correctas.
Integridad
La integridad consiste en mantener la información intacta sin ninguna
manipulación, protegiéndola en procesos de transferencia, y evitando que se
encuentre comprometida ante algún ataque.
Disponibilidad
Es uno de los pilares que se deben considerar para tener un nivel de seguridad
mínimo de la información, ya que, sin esta cualidad tan esencial, los datos que
se compartan podrían no estar disponibles para la interacción o uso de los
usuarios finales, por ende, el acceso a dicha información se podría volver
imposible. (Castro, y otros, 2018) afirman: “La información y sistemas son
seguros si solo accede a la información y recursos quien debe, si se puede
detectar y recuperar de manipulaciones voluntarias o accidentales de la
información y si se puede garantizar un nivel de servicio y acceso a la
información aceptable según las necesidades” (p.27).
Vulnerabilidades, Amenazas y Ataques Informáticos
La creciente innovación en el área informática, ha traído consigo la búsqueda de

formas o alternativas que desestabilicen los sistemas ya establecidos. Dentro de
las acciones que se conocen se encuentran todas y cada una de las amenazas
que podrían estar presentes dentro de la red y que ayudarían a desencadenar
ataques informáticos, tomando como punto débil las vulnerabilidades presentes
en el sistema.
Gráfico 2. Vulnerabilidades, Amenazas y Ataques Informáticos

24
Vulnerabilidades
Las vulnerabilidades informáticas son todas las debilidades que se pueden o
podrían encontrar dentro de un sistema informático, que a su vez ponen en
riesgo la seguridad y estabilidad de nuestra red. “Constituye un hecho o una
actividad que permite concretar una amenaza. Se es vulnerable en la medida en
que no hay suficiente protección como para evitar que llegue a suceder una
amenaza” (Urbina, 2016, p. 30). A continuación, se detallarán los tipos de
vulnerabilidades que pueden presentarse en los sistemas informáticos, según
(Romero et al. , 2018):
Cuadro 3. Tipos de Vulnerabilidades
Este tipo de vulnerabilidades son aquellas que

impactarán la infraestructura de la empresa de forma
física, dentro de este grupo podemos encontrar los
Vulnerabilidades desastres naturales, como ejemplo se tiene a situaciones
Físicas en las que la empresa se encuentra en una zona de alto
riesgo y en caso de presentarse un desastre natural
traería consigo un sin número de consecuencias.
Este tipo engloba aquellos sucesos que impactarían de

forma directa no solo la infraestructura sino también la
ejecución de las operaciones que se dan en las
Vulnerabilidades organizaciones, en este grupo encontramos:
Lógicas -Configuración. -aquellas configuraciones por defecto
que no cubren todas las necesidades del sistema.
-Actualización. -aquellas actualizaciones que no se
tienen en cuenta y que harán que las operaciones no se
ejecuten en caso de ser necesarias.
-Desarrollo. – se tienen el Cross Site Scripting, las
inyecciones de código en SQL que variarán
considerando el tipo de aplicación y la validación de
datos.
Fuente: (Romero et al. , 2018, p. 41)
25
Amenazas
Las amenazas informáticas son sucesos que se pueden producir dentro de los
sistemas informáticos surgiendo de cualquier vulnerabilidad que se encuentre
presente dentro del mismo teniendo en cuenta que estos podrían causar daños
significativos dentro de una organización. En definición (Urbina, 2016) afirma:
Se entiende por amenaza una condición del entorno de los sistemas,

áreas o dispositivos que contienen información importante (persona,
equipo, suceso o idea) que ante determinada circunstancia podría dar
lugar a que se produjese una violación de seguridad, afectando parte de
la información y de la TI de la organización. (p. 29)
Al existir la posibilidad de que alguna amenaza sea puesta en marcha

desencadenaría lo que se conoce como riesgo informático, según (Carpentier,
2016) “El riesgo es la posibilidad de que un evento crítico aparezca. Su
evaluación permite establecer las acciones para reducir y mantener la amenaza
a un nivel razonable y aceptable” (p. 41). A continuación, se detallará un poco
las amenazas que se presentan con mayor frecuencia en los sistemas
informáticos, según (Carpentier, 2016):
Cuadro 4. Amenazas Frecuentes
Amenazas que pueden presentarse al darse la

manipulación de cualquier persona que tenga acceso al
sistema, desde usuarios hasta administradores y que
Errores y ponen en riesgo la integridad de los datos
Omisiones pertenecientes a la red informática. Suelan darse por
errores humanos que contribuirán ya sea de forma
directa o indirecta a que estas se susciten.
Amenazas que pueden darse por personas

pertenecientes o no a la organización, que tomarán o
Fraude y Robo alterarán información valiosa del sistema. En muchos
casos se dan por personal propio de la empresa ya que
tienen contacto directo con los activos de la
organización, además de contar con ingresos
privilegiados al sistema.
26
Amenazas que se presentan por el personal propio de
la organización, que generarán sabotajes y daños
Sabotaje dentro de la red informática, por ello es necesario
ocasionado por mantener un control constante y medidas apropiadas
los Empleados que eviten que lo eviten.
Hacker o cracker son términos utilizados para referirse

a aquellas personas que sin autorización alguna
ingresan al sistema informático de una empresa, para
Hackers generar daños ya sea a una aplicación o algún dato
especifico. Suelan ejecutar sus acciones desde el
interior o exterior de la organización, en ocasiones es
complicado determinar la magnitud de los daños
generados o incluso su presencia.
Conocido como ingeniería social o en ingles social

engineering, hace referencia al hecho de tomar datos
privados de una empresa ya sea por rivalidad industrial
Espionaje o económica, esta amenaza menciona la vulnerabilidad
Industrial o de dispositivos importantes dentro del sistema, ya que
Comercial poseen datos o información privada, por ello es
necesario tener en cuenta las debidas precauciones
que ayuden a evitar que se dé.
Hace mención a todo software indeseable, sea este

Programas algún caballo de troya, virus, bomba lógica u otro; que
Maliciosos ingresa al sistema por algún dispositivo que se
encuentre mal protegido al darse una conexión a
internet, su impacto puede ampliarse contaminando
otros dispositivos de la red, generando más daños.
Fuente: (Carpentier, 2016, p. 44-45)
Ataques
Lo ataques informáticos o también conocidos como ciberataques son aquellos
eventos que se producen al explotar alguna vulnerabilidad presente en el
27
sistema o red, que alteran las actividades continuas dentro de una organización,
además de afectar los pilares fundamentales de la seguridad informática.
Los ataques pueden presentarse de dos formas, comprometiendo no solo los

activos físicos de la empresa sino también aquellos que se encuentran de
forman lógica, según (Urbina, 2016) estos se pueden definir de la siguiente
forma:
Ataques No Intencionados. - cuando un hecho perjudica la información, a

la TI o a la empresa sin que ocurra por las acciones intencionales de
alguien. Por ejemplo, un incendio, una inundación debida al mal tiempo,
la falla de suministro de energía (…).
Ataques Intencionados. - Accesos no autorizados al sistema, donde el
atacante consigue acceder a los recursos del sistema sin tener
autorización para ello, con el fin de robar información o alterar registros o
emplearlos con fines inapropiados (…). (pág. 31)
Ante la creciente posibilidad de estos ataques es necesario el poder contar con

acciones que contrarresten sus efectos, entre las medidas existentes aplicadas a
estos incidentes estan las preventivas que se aplicarán para evitar su ocurrencia,
las de detección rastrearán y controlarán a las mismas y las correctivas que se
implementarán una vez ya hayan ocurrido además de ayudar a evitar que se
presenten de nuevo y permitan restaurar todo a la situación previa al suceso.
(Teada, 2015). A continuación, se describirán un poco los malwares clasificados
por familias, según (Rascagneres, 2016):
Cuadro 5. Malwares por Familia
Permiten que el sistema de una organización sea infectado y

tomado por un atacante, en sus inicios permitían que en las
máquinas se abriera un puerto por donde lograr la conexión
Backdoor que diera paso a su administración, sin embargo, para poder
adquirir un sistema completo se debía de realizar la conexión
de una en una, hoy en día han evolucionado a los Botnet que
permite tomar un conjunto completo que se encuentre
vinculado por un servidor.
28
Ransomwares ataque que tiene como objetivo que los
sistemas no puedan ser utilizados ni consultados sin
Ransomware necesidad de un rescate. Sin embargo, cuando los
y locker ransomware se encargan de cifrar los datos hasta recibir el
rescate se denominaran locker.
Ataques encargados de robar información sensible de

Stealer máquinas importantes de un sistema informático, pueden
darse ya sea mediante la web, correos electrónicos entre
otros, copiando lo necesario para uso del atacante.
Ataques que disimulan la actividad realizada por el atacante,

ocultando y eliminando su existencia, logran también detener
Rootkit cualquier antivirus o firewalls que genere algún contratiempo
a su objetivo, generalmente son drivers del núcleo que
encienden con el arranque del dispositivo, se han encontrado
también como firmware o a nivel de la BIOS haciendo que
sean más difíciles de encontrar.
Fuente: (Rascagneres, 2016, p. 10-13)
Seguridad Informática
La constante evolución informática ha ayudado a poder crear acciones

preventivas y correctivas ante eventos cibernéticos que ponen en riesgo los
activos de una organización, el contar con estas medidas ayudará a evitar daños
y pérdidas importantes dentro de estas. A continuación, se describirá los tipos de
seguridad que se pueden aplicar dentro de los sistemas informáticos para la
prevención de posibles ataques, según (Tejada, 2019):
Cuadro 6. Tipos de Seguridades
Encargada de la protección de los elementos de

Seguridad Física hardware de una organización, sean estos las
instalaciones o entornos informáticos y todos los
dispositivos físicos que se posean.
29
Encargada de la protección de elementos de software
de una organización, sean estos programas,
aplicaciones o elementos del sistema, tomando
acciones de protección y manteniendo las
Seguridad Lógica actualizaciones necesarias de los componentes,
preservando la integridad de los datos que se
encuentran dentro del mismo.
Fuente: (Tejada, 2019)
La seguridad informática en Ecuador
El mundo y su constante crecimiento en el área informática ha generado que se

creen normas y medidas de prevención en cuanto a la ciberseguridad. Países
como Estados Unidos, Canadá, Reino Unido, Corea son considerados
potenciales en esta área ya que cuentan con iniciativas y estrategias que
precautelan la Seguridad Informática y ayudan a evitar la generación de daños o
alteraciones dentro de las organizaciones provocadas por este tipo de acciones.
El término ciberataque cada vez es más escuchado, conforme la innovación y

descubrimiento en el área, estos sucesos también crecen en cuanto a
complejidad y detección. Hoy en día las empresas encargadas a la seguridad
cibernética crean y establecen nuevas estrategias de prevención y corrección,
los países latinoamericanos no estas libres de estos ataques, según la ESET
campaña de seguridad informática en un informe del 2016 presento que el 49%
de pequeñas empresas y el 30% de empresas medianas y grandes notificaron
problemas de malwares, en mayor cantidad aquellas ubicadas en el sector
público, sin tener en cuenta aquellos ataques a la red que hoy en día son
considerados de gran impacto siendo un riesgo latente. (Chang, 2020)
El 43% de habitantes del Ecuador cuentan con acceso a internet, según

Kaspersky Lab en un informe presentado de amenazas ocurridas en tiempo real
en el año 2017 ubico al país en primer lugar en el grupo de países de América
del Sur con un porcentaje de 2,8% y a nivel mundial en quinto lugar en lo
referente a ataques de redes, en donde se consideró que el 49,05% fueron
dados por ataques de fuerza bruta a servidores de RDP. (Chang, 2020).
30
Es importante que todo tipo de tácticas que ayuden a crecer al país sean
tomadas en cuenta, según el Ministerio de Telecomunicaciones y de la Sociedad
de la Información en un artículo posiciona al Ecuador en el sexto lugar en cuanto
a Ciberseguridad dentro de un grupo de 19 países latinoamericanos. (Ministerio
de Telecomunicaciones y de la Sociedad de la Información, 2017) indica lo
siguiente:
Según el Índice Global de Ciberseguridad (IGC), de la Unión Internacional

de Telecomunicaciones (UIT), (…). De acuerdo con la puntuación en este
sondeo, la ubicación de los países de Latinoamérica analizados, en
temas de Ciberseguridad, es la siguiente: Uruguay, Brasil, Colombia,
Panamá Argentina, Ecuador, Perú, Venezuela, Chile, Costa Rica,
Paraguay, El Salvador, República Dominicana, Nicaragua, Bolivia,
Guatemala, Cuba y Honduras.
Sin embargo, es de conocimiento la necesidad de seguir creando estrategias a

usar en cuanto a la Seguridad de la Información, toda acción que se encargue
de proteger los derechos de los individuos y que precautele el bienestar de las
organizaciones es de suma importancia y servirán de ayuda para seguir
creciendo en este campo.
Seguridad Informática en PYMES
La búsqueda de nuevas fuentes de ingreso a dado lugar a la creación de las

conocidas Pymes que no son más que empresas pequeñas y medianas, esta
nueva forma de emprender no solo ha ayudado como fuente de ingreso, sino
también como fuente de trabajo, ya que, aunque se cuente con cierta cantidad
de empleados ha servido para crear nuevas plazas y ofertas laborales.
El uso de medios digitales ha ayudado a captar en mayor volumen la atención

del público. Con ayuda de páginas web, redes sociales, catálogos en línea, se
ha podido llegar a muchos más clientes del mercado, pero a su vez esto ha
traído consigo una mayor exposición a posibles atacantes. Al ser empresas
pequeñas y medianas, buscan tener la menor cantidad de gastos posibles, lo
que hace que sus propietarios no inviertan en medidas de seguridad informática,
ya que estas herramientas generan un gasto considerable para ellos, sin
31
embargo, al no hacer uso de estrategias de seguridad sus empresas quedan
expuestas a ataques que podrían llegar a alterar la continuidad constante de sus
actividades o generar perdidas de activos o información sensible de sus
registros.
Zuñiga, Serrano y Molina (2020) es su artículo indican:
Se conoce que muchas empresas son amenazadas constantemente en

su ambiente informático, lo que pudiera representar miles y millones de
dólares en pérdidas según edición anual número 14 por el CSI (Computer
Security Institute) (…). Las vulnerabilidades en los sistemas de
información representan problemas graves, por ello es muy importante
comprender los conceptos necesarios para combatir y defender de
posibles ataques a la información, normas ISO para PYMES y su relación
con la seguridad informática. (p. 235)
Es importante contar con herramientas de seguridad informática, y a su vez

mantener en constante capacitación a los miembros del personal, ya que así
tendrán conocimiento de cómo actuar en caso de que se presente algún ataque
o exista alguna vulnerabilidad dentro del sistema; todas estas medidas no solo
ayudarán a reforzar la seguridad, sino también a crecer como institución
procurando impedir este tipo de sucesos.
Normativas de seguridad informática
En un mundo digital, actualmente se hace eco de las tecnologías que se

presentan constantemente que permiten evolucionar y adaptarse a cualquier
ámbito a través del tiempo, los avances en cuanto a la seguridad de la
información presentes en las TIC se fundamentan en normativas o estándares
que permiten ejercer un control de la manipulación y uso del gran cúmulo de
datos que circula a través de diversos medios, convirtiéndose en una
herramienta necesaria para la seguridad de la información.
Además, las organizaciones hacen uso de muchas aplicaciones que están en

constante unión con la información propiamente a través de diferentes medios
que interactúan entre si, pero que a pesar de la transportación de la información
32
recurrente cuenta con vulnerabilidades sean propias de cada aplicación e
inclusive de los mismos medios por la que esta se transporta.
En efecto es imprescindible para las organizaciones actualmente contar con

regulaciones que permitan ejercer un control y monitoreo de la información con
la que cuenta, no obstante se debe tener presente las normativas de seguridad
que hacen de este un apartado que beneficiara de manera positiva la imagen de
la empresa al contar con normativas y políticas de seguridad informática, lo cual
permitirá una correcta gestión de la información de cualquier organización con la
capacidad de una mejora latente en este paraje a futuro.
Norma ISO/IEC 27002
Esta norma se enfoca en el establecimiento del código de buenas prácticas que

permitan regir un control estandarizado de los datos de las empresas que a su
vez esté ligado a la implementación de un Sistema de Gestión de la Seguridad
de la Información (SGSI). “ISO/IEC 27002:2013 código de buenas prácticas para
la gestión de la Seguridad. Recomendaciones sobre qué medidas tomar para
asegurar los sistemas de información de una organización Describe los objetivos
de control (aspectos a analizar para garantizar la seguridad de la información) y
especifica los controles recomendables a implantar (medidas a tomar)”
(Guerrero Cueva, 2017)
Además, esta norma se encuentra constituida por un código de buenas prácticas

para la gestión de la seguridad de la información, que nos permitirá abordar un
control y monitoreo de apartados a tener en cuenta referente a los usuarios y los
equipos dentro de la organización, basándose en dominios, objetivos de control
y controles de referencia.
Políticas de seguridad informática
El desarrollo vertiginoso de las TIC en el basto mundo digital y la internet que

promueve la transferencia de información en grandes cantidades con sus
diversos servicios dan paso a una vida más fácil, no obstante, es necesario que
las empresas implementen políticas de seguridad de informática.
El concepto de las políticas de seguridad informática se rige en un marco

estrictamente legal basado en normas como la ISO/IEC 27001 y 27002, que se
33
enfoca en la seguridad de la información a través de estrategias o métodos que
permitan mantener al mínimo el impacto de los riesgos que se pudiesen generar
sobre los recursos informáticos.
Las politicas de seguidad informatica muchas veces ayudan a tomar decisiones

sobre otros tipos de politica (propiedad intelectual, destruccion de la informacion,
etc.). Tambien son utiles a la toma de decisiones sobre las adquisiciones porque
algunos equipos o programas no seran aceptables en terminos de las politicas
mientras que otras la sustentaran. (Rojas Sánchez, Padilla Torres, & Peña
Gomez, 2019, p.35)
Además, al tratarse de políticas de seguridad se debe tener en cuenta algunos

principios, tales como la separación de obligaciones de acuerdo con las
funciones, backups de la información, disminución de riesgos, responsabilidad
individual del personal con sus actividades, autorización de acceso a información
por usuario, y privilegios mínimos.
Sin embargo, hay que tener en cuenta que estas políticas cuentan con diversos
dominios que aportan un gran valor a las organizaciones para con sus clientes; a
continuación, se detallaran los dominios a tener en cuenta referentes a la
seguridad de la información en este trabajo.
Cuadro 7. Dominios y Objetivos de Control de la Norma ISO 27002
DOMINIO OBJETIVOS DE CONTROL

A.5 POLITICAS DE  Definir, gestionar y revisar las políticas
SEGURIDAD DE LA para la seguridad de la información.
INFORMACION
A.6 ORGANIZACIÓN  Garantizar la seguridad del trabajo a
DE LA SEGURIDAD distancia y del uso de los equipos
DE LA INFORMACION móviles.
 Garantizar que los trabajadores y los
A.7 SEGURIDAD DE contratistas sean conscientes y cumplan
LOS RECURSOS con las responsabilidades de la
HUMANOS seguridad de la información.
 Proteger los intereses de la
organización como parte del proceso de
cambio o término del empleo.
34
 Identificar los activos de la organización
y definir las responsabilidades
adecuadas de protección.
 Garantizar que la información reciba un
nivel de protección de acuerdo a su
A.8 GESTION DE LOS importancia dentro de la organización.
ACTIVOS  Prevenir la divulgación, modificación,
retiro o destrucción no autorizada de la
información almacenada en los medios
de comunicación.
 Garantizar el acceso al usuario
autorizado para evitar el acceso no
autorizado a los sistemas y servicios.
 Hacer a los usuarios responsables de
salvaguardar la autenticación de su
A.9 CONTROL DE información.
ACCESO  Evitar el acceso no autorizado a los
sistemas y aplicaciones.
 Evitar acceso físico no autorizado, daño

e interferencia a la información e
A.11 SEGURIDAD instalaciones de procesamiento de la
FISICA Y información de la organización.
MEDIOAMBIENTAL  Evitar la pérdida, daño, robo o actos en
los que se comprometan activos y la
interrupción de las operaciones de la
organización.
 Garantizar que la información y las

instalaciones de procesamiento de la
información estén protegidos contra el
A.12 SEGURIDAD DE malware.
LAS OPERACIONES  Proteger la información contra la
pérdida.
 Registrar eventos y generar evidencias.
 Garantizar la integridad de los sistemas
operacionales.
 Evitar la explotación de las
vulnerabilidades técnicas.
35
 Garantizar la protección de la
información en las redes y de sus
A.13 SEGURIDAD DE instalaciones de procesamiento de la
LAS información.
COMUNICACIONES  Mantener la seguridad de la información
transferida dentro de la organización y
con cualquier entidad externa.
 Mantener un nivel acordado de
A.15 RELACION CON seguridad de la información y de la
LOS PROVEEDORES prestación del servicio alineado a los
acuerdos del proveedor.
 Garantizar una aproximación
A.16 GESTION DE consistente y efectiva a la gestión de los
LOS INCIDENTES DE incidentes de seguridad de la
SEGURIDAD DE LA información, incluyendo la comunicación
INFORMACION sobre los eventos y debilidades de la
seguridad.
A.17 GESTION DE LOS  Garantizar la disponibilidad de las
ASPECTOS DE LA instalaciones de procesamiento de la
SEGURIDAD DE LA
información.
INFORMACION PARA
LA CONTINUDAD DEL
NEGOCIO
 Evitar el incumplimiento de las

obligaciones legales, regulatorias o
contractuales relacionadas a la
seguridad de la información y al
A.18 CUMPLIMIENTO cualquier requisito de seguridad.
 Garantizar que la seguridad de la
información sea implementada y
operada de acuerdo con las políticas y
procedimientos organizacionales.
Fuente: ISO International Organitation for Standardization
Centro de operaciones de seguridad (SOC)
La evolución de la tecnología ocurre de manera exponencial cambiando, la

forma de vivir de las personas, integrándose en diversos ámbitos de la sociedad
en general, migrando todos sus servicios físicos hacia un ambiente virtual día a
36
día más amplio a través de las diferentes tecnologías que se arraigan en la
sociedad como pilares para compartir grandes conglomerados de información.
Las tecnologías de la información y las comunicaciones (TIC) son la base de un

cúmulo inmenso de información que se intercambia de manera constante a
través de sistemas de comunicaciones, traspasando las barreras del tiempo y la
distancia a los que comúnmente se vivió años atrás, no obstante, esta evolución
se desarrolla con rapidez que dificulta establecer mecanismos, procesos o
estrategias que permitan tener una seguridad óptima para la protección de las
TIC.
Para la protección de la Información y de los sistemas que la manejan, se

hace necesario disponer de un centro de operaciones de seguridad COS
o SOC en inglés). Un COS tiene como principal misión la gestión de la
seguridad operacional de los sistemas de información, en consecuencia,
se encarga de la prevención, detección, corrección e investigación de los
incidentes de seguridad. (Quintero Villarroya, 2019)
Gráfico 3. Funciones de un SOC

37
Un SOC íntegramente se encarga de centralizar los roles comprometidos con la
gestión de la seguridad de la información como tal dentro de cualquier
organización, este debe proveer un ascenso de la seguridad de manera general
a la organización, brindando una respuesta oportuna ante eventos que puedan
amenazar en contra de la información interna o externa de la organización,
otorgando una visión completa de la seguridad e implementar métodos de
mejora continua de las TIC.
Herramientas Open Source

Las herramientas Open Source o software de código libre, es decir son públicas
y se transforman en una gran opción a tener en cuenta para las organizaciones
debido a sus grandes beneficios que aportan en materia tecnológica al poder
realizar procesos que suelen ser tediosos e inclusive dificultosos, no obstante,
estas herramientas al tener un costo casi nulo permiten cumplir con las
necesidades que se requieran de acuerdo al software a implementar.
Al ser una herramienta de código abierto se considera un software más flexible,

que permite a las organizaciones agregar ciertas restricciones referentes a su
uso, con el fin de preservar la integridad del código y de su información, lo cual
beneficia la manipulación para su implementación de acuerdo con las
necesidades de la organización.
Además, es necesario destacar que todas herramientas Open Source que la

sociedad de la información y su constante evolución ha permitido que estos
proyectos de código abierto puedan realizarse teniendo como primicia la base de
dicho software, sin embargo, se debe tener en cuenta que existen herramientas
muy conocidas capaces de brindar una seguridad en ciertos apartados de los
sistemas informáticos tales como; Nessus, Snort, Wireshark, entre otros. Estos
programas permiten aumentar la seguridad de los sistemas de comunicación y la
información de estos.
Sin embargo, para este trabajo se tendrá relevancia la implementación de un

SIEM que ofrezca las capacidades requeridas por la organización para la
realización de su diseño basado en la estructura de sus sistemas informáticos
enfocado a la seguridad informática y su respectiva importancia en el aumento
de la seguridad de la información, salvaguardando la integridad, disponibilidad y
confidencialidad de los datos que existan y se manejen en la organización.
38
IDS
Según (Clavei, 2018), IDS (Intrusion Detection System) es una especie de
software de seguridad cuya función es detectar el acceso no autorizado al
sistema o red informática, y en base a esto generar un cierto tipo de alarma o
registro, para que pueda ser gestionado por el sistema correspondiente.
Cuadro 8. Características de un IDS
 Debe funcionar continuamente sin

supervisión humana. El sistema debe
ser lo suficientemente confiable para
ejecutarse en segundo plano como parte
del dispositivo o red que se está
monitoreando.
 En cierto sentido, debe ser capaz de
Características resistir las caídas del sistema para ser
de un IDS tolerante a las fallas.
 Debería imponer una sobrecarga mínima
al sistema. No se debe utilizar un
sistema que consume muchos recursos
informáticos.
 Debe ser fácil de adaptar al sistema
operativo instalado, porque cada sistema
operativo tiene diferentes modos de
operación, y el mecanismo de defensa
debe ser fácil de adaptar a estos modos.
 A medida que se agregan nuevas
aplicaciones, debe adaptarse a los
cambios en el comportamiento del
sistema.
Fuente: (Infotecs, 2019)
Este es uno de los mecanismos más usados en la actualidad por sus beneficios
en términos de seguridad informática, por su gran capacidad de identificar o
detectar la presencia de alguna actividad que pudiese vulnerar la seguridad de
un sistema de comunicaciones; sin embargo, existen dos tipos de IDS a tener en
39
cuenta según el ámbito que se lo quiera implementar, en el siguiente cuadro se
observara los tipos de IDS.
Cuadro 9. Tipos de IDS
Existen dos tipos de IDS:
HIDS (Host Se centra en comprobar el registro de

Intrusion auditoría para realizar la detección basada en
Detections System) host de una máquina. Algunos ejemplos de
HIDS: Ossec, Wazuh, Samhain.
NIDS (Network Se centra en el descubrimiento mediante el

Intrusion seguimiento del tráfico de la red a la que está
Detections System) conectado el host. Algunos ejemplos de NIDS:
Snort, Suricata, Bro, Kismet.

Fuente: (Concha, 2019)
HIDS
Es un sistema de detección de intrusos basado en host puede ayudar a las
organizaciones a monitorear los procesos y aplicaciones que se ejecutan en
dispositivos como servidores y estaciones de trabajo. HIDS rastrea los cambios
en la configuración del registro y la configuración clave del sistema, los archivos
de registro y el contenido para alertarlo sobre cualquier actividad no autorizada o
inusual. Las tecnologías HIDS son de naturaleza "pasiva", lo que significa que su
propósito es identificar más que prevenir actividades sospechosas. Por lo tanto,
las soluciones HIDS se suelen combinar con sistemas de prevención de intrusos
(IPS) "activos".
Cuadro 10. Ventajas de Desventajas de un HIDS
Ventajas Desventajas
HIDS puede detectar eventos Cuando HIDS se configura y opera en

locales en el sistema host e cada host monitoreado, causa más
identificar ataques e problemas de administración. Esto
intervenciones de seguridad significa que el sistema requerirá más
que pueden eludir los IDS trabajo administrativo para instalar,
basados en la red configurar y operar HIDS
40
HIDS se ejecuta en un sistema HIDS no está optimizado para detectar
host, donde el tráfico cifrado se escaneos de múltiples hosts. Tampoco
descifra y se pone a puede informar escaneos de dispositivos
disposición de los procesos y de red no host (como enrutadores o
archivos del sistema que conmutadores). Si no se proporciona un
accede a los datos. análisis de correlación sofisticado, HIDS
ignorará los ataques que atraviesan
múltiples dispositivos en la red.
Las amenazas persistentes Es vulnerable a ciertos ataques de

avanzadas (APT) involucran a denegación de servicio (DoS).
los actores de amenazas que
permanecen en la red de la
víctima durante un período de
tiempo más largo al evadir los
mecanismos de detección. Una
ventaja de los IDS basados en
host es que puede ayudar a
detectar y prevenir APT.
Un HIDS puede detectar HIDS puede manejar la carga de

inconsistencias y desviaciones rendimiento en el sistema host y, en
sobre cómo se practicó una algunos casos, puede reducir el
aplicación y un programa de rendimiento del sistema por debajo de
sistema al revisar el registro un nivel satisfactorio.
recopilado en los archivos de
registro de auditoría. Permite
que el sistema reconozca
algunos tipos de ataques de
seguridad, incluido el programa
Caballo de Troya.

Fuente: (Cyphere Ltd, 2021)
41
IPS
IPS es un sistema de prevención / defensa de intrusiones, es una tecnología que
monitorea la red para detectar cualquier actividad maliciosa que intente explotar
vulnerabilidades conocidas. La función principal de un sistema de prevención de
intrusiones es identificar cualquier actividad sospechosa y detectar y permitir
(IDS) o prevenir (IPS) amenazas.
Este mecanismo se basa en ejercer un control de los accesos a la red y de esta

manera garantizar la protección de los sistemas informáticos ante ataques e
intrusiones que se puedan generar, mediante el análisis de datos de los ataques
para de esta manera poder actuar de manera oportuna; en el siguiente cuadro
se detallara los tipos de IPS existentes.
Cuadro 11. Tipos de IPS
Tipos de IPS
Basados en red, buscan tráfico de red

NIPS sospechoso.
Basados en Wireless, buscan en la red

WIPS inalámbrica tráfico sospechoso.
Verifican el tráfico anormal en función del
comportamiento de la red, como ciertas formas
NBA de malware, ataques de denegación de servicio o
violaciones de las políticas de seguridad.
HIPS Buscan actividades sospechosas en host únicos.

Fuente: (Concha, 2019)
Cabe tener en cuenta la importancia de estos mecanismos para la protección de

la información en sus ámbitos mas esenciales ante vulnerabilidades que pueda
darse a conocer en la red, no obstante, es primordial tener en cuenta las
ventajas de este sistema, para su correcta implementación a futuro en el
siguiente cuadro.
42
Cuadro 12. Ventajas de un IPS
La escalabilidad se logra administrando una gran cantidad de

dispositivos conectados a la misma red.
Protección preventiva al verificar automáticamente el

comportamiento anormal mediante el uso de reglas
preestablecidas.
Fácil de instalar, configurar y administrar, porque muchas

Ventajas
configuraciones predefinidas se pueden usar y administrar de
forma centralizada en un punto, aunque su escalabilidad puede
ser contraproducente.
Defensa contra múltiples ataques, como intrusión, ataques de

fuerza bruta, infección de malware o modificación del sistema de
archivos, etc.
Mejore la eficiencia y la seguridad para prevenir intrusiones o

ataques a la red.

Fuente: (incibe, 2020)
A través de los sistemas de seguridad informática IDS e IPS son términos muy
similares que cuentan con muchas similitudes, pero a su vez características
innatas de cada uno. A continuación, en el cuadro x se podrá observar
detalladamente la diferencia entre ambos.
Cuadro 13. Diferencias entre un IDS y un IPS
IDS IPS
Se enfoca en la detección de Detecta y reacciona automáticamente,

anomalías bloqueando comunicaciones y eliminando
paquete que considera malicioso.
Monitoriza el tráfico El IPS está en línea con las comunicaciones

generalmente conectándose al igual que un firewall o un proxy
a un puerto mirror de un
switch que replica todo el
tráfico de red.

43
Para ello, estos sistemas para prevenir y detectar intrusiones de terceros brindan
beneficios íntegros para los sistemas informáticos que permite cumplir con
normas aportando beneficios específicos para diferentes ámbitos en los que se
los ejecute, por ende, se vuelven parte esencial de cualquier que precautele la
seguridad de la información de cualquier empresa; en el siguiente cuadro se
detallara importancia de dichos mecanismos para la ciberseguridad
Cuadro 14. Ventajas de usar IDS y IPS para Ciberseguridad
AMBITO DESCRIPCION
Automatización: Los sistemas IDS / IPS son en gran medida

de no intervención, lo que les convierte en
candidatos ideales para su uso en la pila de
seguridad actual. IPS brinda la tranquilidad
de que la red está protegida contra
amenazas conocidas con requisitos de
recursos limitados.
Cumplimiento: Parte del cumplimiento a menudo requiere

demostrar que ha invertido en tecnologías y
sistemas para proteger los datos. La
implementación de una solución IDS / IPS
marca una casilla en la hoja de
cumplimiento y aborda una serie de
controles de seguridad CIS. Más importante
aún, los datos de auditoría son una parte
valiosa de las investigaciones de
cumplimiento.
Aplicación de IDS / IPS se pueden configurar para ayudar

políticas: a hacer cumplir las políticas de seguridad
interna a nivel de red. Por ejemplo, si solo
admite una VPN, puede usar el IPS para
bloquear otro tráfico de VPN.

Fuente: (PETTERS, 2020)
44
SIEM (Security Information and Event Manager)
Gráfico 4. Características de un SIEM

Los SIEM, software de grandes beneficios para la seguridad informática que

permiten la gestión y monitoreo de las actividades referentes a la seguridad
informática, en donde se tomara en cuenta los siguientes puntos; amenazas
internas, amenazas externas, protocolos vulnerables, fallos de configuración de
los administradores, vulnerabilidades e introducción de errores por el usuario de
forma consciente o no.
Sin embargo, este sistema se abre paso a través de un esquema de trabajo en

el cual el mantenimiento de los servidores, el análisis, monitoreo y la detección
de vulnerabilidades que se puedan generar; eran tareas de seguridad
normalmente realizadas por un solo individuo e inclusive por el propio
administrador de dicho equipo.
Nos permiten recopilar, normalizar y correlacionar eventos de

seguridad, proporcionan inteligencia en materia de seguridad, descartan
falsos positivos, evalúan el impacto de un ataque, unifican la gestión de
la seguridad, centralizan la información e integran herramientas de
detección de amenazas e intrusos. (Polo Cózar, 2020, p.9)
45
El SIEM íntegramente se fundamenta en la captura y centralización de la mayor
cantidad de recursos de la organización que lo forma, permitiendo la gestión de
incidentes que se puedan presentar, a través de un monitoreo y control
constante de la red y sus activos, ya que en la actualidad es un apartado casi
nulo que cuenta con un sistema capaz de reaccionar de manera oportuna ante
cualquier incidente a los endpoints.
WAZUH
Gráfico 5. Logo de Wazuh
Fuente: Pagina oficial de Wazuh
Existen herramientas capaces de brindar un nivel de seguridad optimo capaz de

satisfacer las necesidades de seguridad de las organizaciones, pero esto a
través de diversas herramientas, no obstante, Wazuh como tal se cataloga
inmersa en el grupo de HIDS, pero con capacidades que lo sumergen en los
SIEMs, todo esto debido a sus diferentes funcionalidades, entre las cuales
permite recolectar log de varios sistemas que lo convierten en una herramienta
con cualidades de un SIEM.
Además, se debe tener en cuenta que la gestión, monitoreo y responsabilidad de

este software permite el aumento de la seguridad considerablemente. Por ende,
Wazuh se convierte en una herramienta Open Source robusta del equipo Blue
Team para la detección, prevención y contención de ataques cibernéticos que
puedan generarse, además sus principales características a destacar son: la
detención de intrusos, análisis de datos de registro, seguridad en la nube, entre
otros. (Gomez Escobar, 2020). Asi se podrá garantizar una seguridad optima
con grandes beneficios para la organización, potenciando su red y equipos de
una manera segura.
Wazuh ser una herramienta open source y contar con funciones de gran
importancia para un SIEM le otorgan las capacicidades de analisis de seguridad,
deteccion de intrusos, monitorizacion de la integridad de ficheros, deteccion de
46
vulnerabilidades, analisis de datos de logs, evaluación de la configuración,
cumplimiento normativo, respuesta a incidentes, monitorización de seguridad en
la nube e inclusive seguridad de contenedores; lo transforman en una
herramienta idónea para las empresas Pymes que desean contar con grandes
beneficios enfocados a la seguridad de la información .
Finalmente Wazuh por sus grandes capacidades al ser parte de OSSEC permite
que todos sus funcionalidades integren otras herramientas tales como: elastik
stack y kibana y permitan que Wazuh se potencie de tal manera que alcance el
nivel de un SIEM capaz de brindar la seguridad que se requiera para protección
de los activos digitales y la integridad de la información de la organización.
FUNDAMENTACIÓN LEGAL
Constitución de la República del Ecuador

Art. 66.- Se reconoce y garantizará a las personas:
Numeral 19. El derecho a la protección de datos de carácter personal, que
incluye el acceso y la decisión sobre información y datos de este carácter, así
como su correspondiente protección. La recolección, archivo, procesamiento,
distribución o difusión de estos datos o información requerirán la autorización del
titular o el mandato de la ley.
Código Orgánico Integral Penal (COIP)
Artículo 178.- Violación a la intimidad. - La persona que, sin contar con el

consentimiento o la autorización legal, acceda, intercepte, examine, retenga,
grabe, reproduzca, difunda o publique datos personales, mensajes de datos,
voz, audio y vídeo, objetos postales, información contenida en soportes
informáticos, comunicaciones privadas o reservadas de otra persona por
cualquier medio, será sancionada con pena privativa de libertad de uno a tres
años. No son aplicables estas normas para la persona que divulgue grabaciones
de audio y vídeo en las que interviene personalmente, ni cuando se trata de
información pública de acuerdo con lo previsto en la ley.
Artículo 190.- Apropiación fraudulenta por medios electrónicos.- La persona

que utilice fraudulentamente un sistema informático o redes electrónicas y de
telecomunicaciones para facilitar la apropiación de un bien ajeno o que procure
47
la transferencia no consentida de bienes, valores o derechos en perjuicio de esta
o de una tercera, en beneficio suyo o de otra persona alterando, manipulando o
modificando el funcionamiento de redes electrónicas, programas, sistemas
informáticos, telemáticos y equipos terminales de telecomunicaciones, será
sancionada con pena privativa de libertad de uno a tres años. La misma sanción
se impondrá si la infracción se comete con inutilización de sistemas de alarma o
guarda, descubrimiento o descifrado de claves secretas o encriptadas, utilización
de tarjetas magnéticas o perforadas, utilización de controles o instrumentos de
apertura a distancia, o violación de seguridades electrónicas, informáticas u otras
semejantes.
Artículo 212.- Suplantación de identidad. - La persona que de cualquier forma

suplante la identidad de otra para obtener un beneficio para sí o para un tercero,
en perjuicio de una persona, será sancionada con pena privativa de libertad de
uno a tres años.
Artículo 229.- Revelación ilegal de base de datos. - La persona que, en

provecho propio o de un tercero, revele información registrada, contenida en
ficheros, archivos, bases de datos o medios semejantes, a través o dirigidas a un
sistema electrónico, informático, telemático o de telecomunicaciones;
materializando voluntaria e intencionalmente la violación del secreto, la intimidad
y la privacidad de las personas, será sancionada con pena privativa de libertad
de uno a tres años. Si esta conducta se comete por una o un servidor público,
empleadas o empleados bancarios internos o de instituciones de la economía
popular y solidaria que realicen intermediación financiera o contratistas, será
sancionada con pena privativa de libertad de tres a cinco años.
Artículo 230.- Interceptación ilegal de datos. - Será sancionada con pena

privativa de libertad de tres a cinco años:
1. La persona que, sin orden judicial previa, en provecho propio o de un tercero,
intercepte, escuche, desvíe, grabe u observe, en cualquier forma un dato
informático en su origen, destino o en el interior de un sistema informático, una
señal o una transmisión de datos o señales con la finalidad de obtener
información registrada o disponible.
2. La persona que diseñe, desarrolle, venda, ejecute, programe o envíe
mensajes, certificados de seguridad o páginas electrónicas, enlaces o ventanas
emergentes o modifique el sistema de resolución de nombres de dominio de un
48
servicio financiero o pago electrónico u otro sitio personal o de confianza, de tal
manera que induzca a una persona a ingresar a una dirección o sitio de internet
diferente a la que quiere acceder.
3. La persona que a través de cualquier medio copie, clone o comercialice
información contenida en las bandas magnéticas, chips u otro dispositivo
electrónico que esté soportada en las tarjetas de crédito, débito, pago o
similares.
4. La persona que produzca, fabrique, distribuya, posea o facilite materiales,
dispositivos electrónicos o sistemas informáticos destinados a la comisión del
delito descrito en el inciso anterior.
Artículo 234.- Acceso no consentido a un sistema informático, telemático o
de telecomunicaciones.- La persona que sin autorización acceda en todo o en
parte a un sistema informático o sistema telemático o de telecomunicaciones o
se mantenga dentro del mismo en contra de la voluntad de quien tenga el
legítimo derecho, para explotar ilegítimamente el acceso logrado, modificar un
portal web, desviar o redireccionar de tráfico de datos o voz u ofrecer servicios
que estos sistemas proveen a terceros, sin pagarlos a los proveedores de
servicios legítimos, será sancionada con la pena privativa de la libertad de tres a
cinco años.
Ley Orgánica de Telecomunicaciones
Art. 29.- Regulación técnica. - Consistente en establecer y supervisar las

normas para garantizar la compatibilidad, la calidad del servicio y solucionar las
cuestiones relacionadas con la seguridad y el medio ambiente.
Art. 83.- Control técnico.- Cuando para la realización de las tareas de control
técnico, ya sea para verificar el adecuado uso del espectro radioeléctrico, la
correcta prestación de los servicios de telecomunicaciones, el apropiado uso y
operación de redes de telecomunicaciones o para comprobar las medidas
implementadas para garantizar el secreto de las comunicaciones y seguridad de
datos personales, sea necesaria la utilización de equipos, infraestructuras e
instalaciones que puedan vulnerar la seguridad e integridad de las redes, la
Agencia de Regulación y Control de las Telecomunicaciones deberá diseñar y
establecer procedimientos que reduzcan al mínimo el riesgo de afectar los
contenidos de las comunicaciones.
49
Cuando, como consecuencia de los controles técnicos efectuados, quede
constancia de los contenidos, los soportes en los que éstos aparezcan no
podrán ser ni almacenados ni divulgados y serán inmediatamente destruidos y
desechados.
Art. 85.- Obligaciones adicionales.- La Agencia de Regulación y Control de las

Telecomunicación establecerá y reglamentará los mecanismos para supervisar
el cumplimiento de las obligaciones tanto de secreto de las comunicaciones
como de seguridad de datos personales y, en su caso, dictará las instrucciones
correspondientes, que serán vinculantes para las y los prestadores de servicios,
con el fin de que adopten determinadas medidas relativas a la integridad y
seguridad de las redes y servicios. Entre ellas, podrá imponer:
1. La obligación de facilitar la información necesaria para evaluar la seguridad y
la integridad de sus servicios y redes, incluidos los documentos sobre las
políticas de seguridad.
2. La obligación de someterse a costo del prestador, a una auditoría de
seguridad realizada por un organismo público, autoridad competente o, de ser el
caso, por una empresa privada o persona natural independiente.
Art. 140.- Rectoría del sector. - El Ministerio encargado del sector de las
Telecomunicaciones y de la Sociedad de la Información es el órgano rector de
las telecomunicaciones y de la sociedad de la información, informática,
tecnologías de la información y las comunicaciones y de la seguridad de la
información. A dicho órgano le corresponde el establecimiento de políticas,
directrices y planes aplicables en tales áreas para el desarrollo de la sociedad de
la información, de conformidad con lo dispuesto en la presente Ley, su
Reglamento General y los planes de desarrollo que se establezcan a nivel
nacional.
Los planes y políticas que dicte dicho Ministerio deberán enmarcarse dentro de
los objetivos del Plan Nacional de Desarrollo y serán de cumplimiento obligatorio
tanto para el sector público como privado.
PREGUNTA CIENTÍFICA A CONTESTARSE
¿Como puede la empresa Domobak garantizar la integridad de la información

existente y la gestión de normativas de seguridad informática, para el control,
monitoreo y prevención de ataques informáticos?
50
DEFINICIONES CONCEPTUALES
Amenaza: Eventos que provocarían el daño o perdida de elementos del sistema

informático, con el fin de alterar las medidas tomadas en cuanto a seguridad
informática.
Ataque Informático: Acciones o eventos que ponen en riesgo la seguridad de

los dispositivos informáticos de una empresa u organización.
Ciberseguridad: Protección de activos de información, a través de un conjunto

de acciones o medidas para el tratamiento de amenazas que ponen en riesgo
los datos que son almacenados, procesados y transportados por los sistemas de
información interconectados.
Confidencialidad: Uno de los pilares de la Seguridad Informática, término que

hace referencia a la seguridad y protección de la información almacenada en
alguna empresa y organización, disponible solo para el personal autorizado.
Diseño: Caracterización visual de elementos, para una idea concreta que se

desea plasmar, realizando la valoración del modelo y si es viable la
materialización del mismo.
Disponibilidad: Uno de los pilares de la Seguridad Informática, término que

hace referencia a que la información almacenada este a disposición de los
usuarios, siempre y cuando estos estén autorizados.
Estándar: Instrucciones documentadas que contienen procedimientos técnicos

tanto para productos o procesos, con el objetivo medir la calidad de alguna
práctica u objeto y que al final cumpla con su propósito.
Herramientas: Conjunto de aplicaciones o programas que permiten ejecutar una

tarea específica.
Integridad: Uno de los pilares de la Seguridad Informática, término que indica la

veracidad y fiabilidad de la información almacenada, sin que esta haya sufrido
alguna alteración o manipulación.
51
Monitoreo: Es un proceso continuo para el análisis y recolección de información,
realizando pruebas en busca de componentes que alteren el correcto
funcionamiento del sistema informático.
Open Source / Código Abierto: Término que implica tener total acceso a los
elementos esenciales de un producto de forma gratuita, ya sea para usarlo,
analizarlo, distribuirlo o modificarlo con total libertad, siempre que se sigan los
términos de licencia del software original.
Políticas de Seguridad: Normas que permiten garantizar la integridad,

confidencialidad y disponibilidad de la información minimizando los riesgos que
le afectan.
Respaldo / Backup: Copia de seguridad, son copias de archivos, documentos o

bases de datos con el objetivo de servir de apoyo en caso de daños al original.
Riesgo: Posibilidad de que una amenaza potencial se de en el sistema

informático, con lo cual desencadene un evento en específico que a su vez
genera una consecuencia.
SOC: Centro de operaciones de Seguridad
Sociedad de la Información. - La Sociedad de la Información es aquella que

usa y se apropia de las telecomunicaciones y de las TIC, para mejorar la calidad
de vida, la competitividad y el crecimiento económico.
Tecnologías de la información y comunicación – TIC. - Son un conjunto de

servicios, redes y plataformas integradas que permiten el acceso o generación
de datos a través del procesamiento, almacenamiento, análisis y presentación de
la información.
52
CAPÍTULO III
PROPUESTA TECNOLÓGICA
La propuesta tecnológica del trabajo a realizar consiste en elaborar un diseño de

un modelo de centro de operaciones de seguridad (SOC) para el control y
monitoreo de normativas de seguridad informática, utilizando herramientas open
source, para la empresa Domobak en la ciudad de Guayaquil, para esto se
realizó el análisis respectivo que permitió determinar las falencias presentes en
la empresa, ayudando a establecer las políticas de seguridad necesarias
utilizadas en la elaboración del diseño, teniendo en cuenta la norma ISO 27002.
Se busca mejorar la seguridad informática de la empresa, aportando ideas para
ello, manteniendo un constante control de la red que ayude a prevenir, detectar y
corregir cualquier tipo de amenaza que se pueda presentar dentro del sistema
informático.
Análisis de factibilidad
Al realizar el análisis respectivo se logró determinar la factibilidad y viabilidad del

proyecto en el momento que se desee implementar y poner en práctica, con este
trabajo se busca que la empresa cuente con un control constante ante posibles
ataques, logrando tener medidas de prevención, corrección y control de
amenazas o vulnerabilidades que ayuden a evitar daños o pérdidas de activos
de la empresa y precautelen los pilares de la seguridad informática, uno de los
puntos clave y de gran ayuda para que sea viable es el uso de herramientas
open source que no solo brindarán el servicio deseado sino que también
ayudará a que esta propuesta pueda ser ejecutada sin necesidad de un gran
presupuesto o de una gran inversión.
Factibilidad Operacional
El propósito de este trabajo es brindar a la empresa un diseño de un Centro de

Operaciones de Seguridad que precautele la seguridad informática de su red,
para lograr este objetivo se cuenta con la ayuda del Gerente General el Ing.
Willian Rodríguez que brindó información relevante para el diseño del modelo del
SOC deseado, dándonos la autorización para realizar las pruebas y evaluar los
resultados dentro de las instalaciones, se evidencia su aprobación y apoyo en el
53
Anexo II , además de esto se realizó una encuesta a los empleados en donde se
evidenció su apoyo para la elaboración del mismo, ya que consideran necesario
un diseño como el propuesto que controle posibles ataques y brinde mayor
seguridad al realizar sus actividades dentro del sistema.
Factibilidad técnica
Esta etapa percibe los recursos informáticos y tecnológicos que se encuentran

en uso dentro de la empresa, puesto que se llegará a realizar la implementación
del proyecto diseño de un modelo de centro de operaciones de seguridad (SOC)
para el control y monitoreo de normativas de seguridad informática.
Hardware
En este apartado de la factibilidad técnica se tendrá en cuenta los equipos
tecnológicos necesarios a futuro para la implementación y puesta en marcha del
proyecto, teniendo en cuenta la importancia de estos componentes para la
administración del SOC y garantizar las operatividad del sistema referentes a la
gestión, análisis y monitoreo de las vulnerabilidades, amenazas y ataques que
se pudieran suscitar, por ende, a través de estos equipos que se comercializan
en el país, como aquellos que se mencionan en el siguiente cuadro.
Cuadro 15. Características del Hardware
HERRAMIENTAS DESCRIPCIÓN
Equipo de gran capacidad de
procesamiento, robusto y potente que
contendrá las herramientas open Source y
SERVIDOR SIEM para la recolección, análisis,
correlación de logs, entro otros dentro del
mismo. (MAQUINA DEDICADA O
VIRTUALIZADA)
Primordiales para la visualización y
monitoreo de la red como tal y de las
MONITORES
herramientas open Source gráficamente que
se implementaran dentro del CPU.
Dispositivo capaz de garantizar el
abastecimiento de energía eléctrica de los
REGULADOR UPS
equipos físicos del SOC, ante cualquier
imprevisto en la red eléctrica.
54
Equipos necesarios para el manejo de las
PERIFERICOS/COMUNICACION comunicaciones y las herramientas
implementadas en el CPU.
Cabe recalcar que dicho hardware que funcionara como equipo de análisis,
monitoreo y gestión de la seguridad informática dentro de la empresa debe
cumplir con requisitos mínimos a tener en cuenta para un correcto
funcionamiento del mismo y mayor efectividad de los procesos que se vayan a
realizar.
A continuación, se especificará los requisitos mínimos atener en cuenta para una
futura implementación.
Cuadro 16. Requisitos Mínimos de Hardware para implementación
Especificaciones
CPU:
Core i7 7ma
16gb RAM
Tarjeta de red wifi 5
Ó servidor dedicado
Xeon E-2136
CARACTERISTICAS 16gb RAM
(Requisitos mínimos) SSD480gb+2TB HDD
2 monitores 20” FullHD
O 1 televisor 40” FullHD
UPS: 1000VA/500W
Router
CPU frecuencia: 650MHz
RAM: 32mb
Almacenamiento: 16mb

Software
El software como tal en este inciso se fundamenta en los aplicativos o software,

dichas herramientas intangibles necesarios para la gestión, monitoreo, análisis y
detección de amenazas, las cuales en su mayoría son herramientas open
Source con cero coste, capaces de brindar las mismas funcionalidades de
55
herramientas empresariales con una adaptabilidad a las necesidades de una
empresa, otorgando como beneficio principal la reducción de valores
económicos teniendo en cuenta que este punto garantiza una viabilidad para su
pertinente implementación y operación dentro de la infraestructura tecnológica; a
continuación se podrá ver reflejado en el cuadro 9.
Cuadro 17. Características del Software
HERRAMIENTA DESCRIPCIÓN
WAZUH 4.1.1: Potente herramienta para visualizar de
manera centralizada la gestión de información y eventos
de seguridad de la red que potenciara las capacidades
de análisis y respuesta ante casos que afecten la
SIEM seguridad informática.
Firewall open Source con grandes capacidades de
balanceo de carga, monitorización avanzada de la
actividad de la red, sistema IDS/IPS, entre otros para
implementación de reglas a ejecutar dentro del equipo,
para contrarrestar conexión o paquetes que atenten en
PFSENSE 2.5.0 contra del sistema.
Herramienta multiplataforma capaz de realizar análisis
exhaustivo de datos, protocolos, captura de tráfico en
WIRESHARK 3.4.3 tiempo real y solucionar problemas en la red.
Software de virtualización amigables con la capacidad
ORACLE de realizar pruebas en ambientes virtuales con archivos
VIRTUALBOX 6.1.10 iso, ova entre otros.
Distribución Linux destacada para el ámbito de la
seguridad informática, teniendo entre sus características
principales análisis forense y explotación de
KALI LINUX 2020.4 vulnerabilidades a sistemas.
Factibilidad Legal
Dentro del análisis de la factibilidad legal se pudo comprobar que el presente

trabajo no vulnera los reglamentos establecidos dentro del País, al contrario,
brinda soluciones para tratar posibles ataques cibernéticos que podrían sufrir las
Pymes.
56
Dentro de la elaboración y las pruebas realizadas del diseño no se infringe en las
políticas de la empresa ya que se cuenta con la aprobación de Gerente General
para ello; además de esto al hacer uso de herramientas Open Source no se
vulnera los derechos de autor, y se cuenta con la libertad de modificar la
herramienta de acuerdo con las necesidades presentadas.
Factibilidad Económica
Analizando los aspectos necesarios para validar la factibilidad económica se

concluyó que, sí es viable, el uso de herramientas de código libre son un pilar
importante para ello, puesto que la empresa como tal no necesitará una
inversión a gran escala para su realización, al contrario, contarían con una
amplia cantidad de beneficios que ayudarían a brindar mayor seguridad a sus
instalaciones y clientes. Además de esto al realizar una implementación se
reutilizaría la infraestructura existente no generando tampoco un mayor gasto.
Los beneficios son varios, en la actualidad se considera necesario el uso de
apoyos para la seguridad informática, el contar con ellos supone la certeza de no
tener daños a futuro por algún ataque no controlado que si genere grandes
pérdidas. A continuación, se detallarán los puntos necesarios a tener en cuenta
tanto en hardware como en software, incluyendo los valores de los dispositivos a
reutilizar:
Cuadro 18. Prepuesto de Implementación
SOFTWARE
EQUIPO CANTIDAD VALOR UNITARIO VALOR TOTAL
SIEM 1 $0,00 $0,00
PFSENSE 1 $0,00 $0,00
WIRESHARK 1 $0,00 $0,00
ORACLE VIRTUALBOX 1 $0,00 $0,00
KALI LINUX 1 $0,00 $0,00
HARDWARE
SERVIDOR 1 $1.499,00 $1.499,00
MONITORES 2 $95,00 $190,00
REGULADOR UPS 2 $58,00 $58,00
OTROS
SEÑALETICA 2 $4,00 $8,00
EXTINTOR 1 $18,00 $18,00
57
DISPOSITIVOS REUTILIZABLES
ROUTER MIKROTIK 1 $64,00 $64,00
MONITOR 32" 1 $320,00 $320,00
MOUSE 1 $14,00 $14,00
TECLADO 1 $20,00 $20,00
MANO DE OBRA
INSTALACION Y CONFIGURACION DE EQUIPOS $800,00
TOTAL $2.991,00

En el presente proyecto, al tener como base herramientas open Source, con un

costo nulo y adicionalmente reutilizar equipos tecnológicos ya existentes en la
organización, además de la mano de obra para la implementación de equipos
que estará supervisada por personal de telecomunicaciones de la ciudad de
Guayaquil, siendo parte del personal de la empresa; el coste total del proyecto
corresponde a $2.991,00. Por ende, el presupuesto de este proyecto resulta
factible por su coste total que no es excesivo teniendo en cuenta el coste
beneficio que aporta el mismo destinado para proyecto de Seguridad
Informática.
Etapas de la metodología del proyecto
Para la realización del trabajo se utilizó la Metodología Magerit, esta hace

referencia al análisis y gestión de riesgos referentes al uso te tecnologías de la
información ayudando a mitigar y controlar posibles riesgos existentes dentro de
un sistema informático, fue desarrollada en España por el Consejo Superior de
Administración Electrónica.
Para su comprensión existen tres guías con contenido dividido, para la

elaboración del proyecto se hizo uso de la guía número 1, que se basa en
detallar la estructura del análisis y los métodos o fases a considerar. En el
gráfico 6 se presentan las etapas tomadas en cuenta:
58
Gráfico 6. Etapas de la Metodología para la elaboración del proyecto

Fuente: Libro I Método - Magerit Versión 3.0
A continuación, se procede a detallar las etapas de la metodología junto con las

actividades realizadas en cada una:
Como punto inicial para la elaboración del proyecto de titulación se planteó el

tema, describiendo la problemática existente y los beneficios que traerían
consigo su implementación, una vez analizada y hecha la correspondiente
revisión se logró su aprobación, lo que permitió proceder con la ejecución de los
puntos más relevantes.
Etapa #1 - Método de Análisis de Riesgos

En esta etapa del proceso se socializó con el gerente de la empresa los puntos
claves para la realización del proyecto, además de analizar los riesgos o
vulnerabilidades existentes dentro de la organización determinando las falencias
existentes que se trataron en beneficio de la organización.
Dentro de las actividades realizadas se encuentran:

 Socialización con el Gerente de la empresa.
 Determinación y valoración de los activos informáticos de la empresa.
 Determinación de vulnerabilidades y posibles amenazas.
 Estimación del impacto en situaciones de riesgo.
Socialización con el Gerente de la empresa
59
Para la ejecución del proyecto se planteó una reunión con el Gerente General de
la empresa para socializar los detalles y puntos clave para la elaboración de la
propuesta del diseño, en dicha reunión también se realizó la solicitud formal para
la realización del levantamiento de la información y la ejecución de las pruebas
necesarias para verificar el correcto funcionamiento del diseño Anexo I.
Posterior a esto se recibió la carta de autorización a la solicitud presentada que
permitió poder llevar a cabo los procesos necesarios para la ejecución y
culminación del proyecto Anexo II.
Determinación y valoración de los activos informáticos de la

empresa.
Una vez aprobada la solicitud y contando con la autorización de la gerencia se
empezó con el levantamiento de información que permitió determinar y valorar
los activos informáticos con los que cuenta la empresa Anexo III. Dentro de los
dispositivos enlistados en el inventario realizado se encuentran los presentados
en el Cuadro 19, el conocer los equipos existentes permitió plantear los recursos
con los que contaría el diseño.
Cuadro 19. Inventario de Equipos Informáticos de la Empresa
EQUIPO EQUIPO CARACTERISTICAS

Frecuencia: 650MHz
RAM: 32mb
Router Mikrotik RB941-2nD-TC
Almacenamiento:
16mb
Procesador: Core i5
Dell Inspiron 3480 8va generación
RAM: 8gb
Procesador: Ryzen 3
Hacer Aspire S 3400
RAM: 4gb
Procesador: AMD A9
HP Pavilion 15Z-CDCCC
RAM: 8gb
Procesador: Core i5
HP 15-AY103DX 7ma generación
RAM: 8gb
Procesador: Core i7
Mac Macbook Pro 7ma generación
RAM: 8gb
60
Además de esto se logró conocer los siguientes datos:

Información General y esencial de la empresa, aquí encontramos:
 Número de Empleados.
 Información Básica de la empresa.
 Servicios Prestados.
 Actividades realizadas por el personal.
 Información de la red.
Servicios con los que cuenta la empresa, tenemos:
 Correo Electrónico con dominio Corporativo
 Almacenamiento en la Nube
 Página Web
Softwares utilizados por los dispositivos de la empresa, entre estos tenemos:

 Windows
 IOS
Determinación de vulnerabilidades y posibles amenazas.

Otro de los puntos importantes tratados fue la revisión de las políticas de
seguridad de la empresa, en este apartado se evidenció la carencia de estas, lo
que genera una latente vulnerabilidad dentro de la empresa. Al hacer uso de la
Metodología escogida se tomó en cuenta la clasificación propuesta por la misma.
Al recolectar la información brindada por el gerente y los empleados se

evidenciaron las siguientes vulnerabilidades:
 Falta de conocimientos de seguridad informática.

 Carece de departamento de sistemas
 No cuenta con herramientas de prevención de riesgos informáticos
 Ausencia de políticas de seguridad informática
 Carencia de Personal especializado en el área.
Estimación del impacto en situaciones de riesgo
Al tener conocimiento de las posibles amenazas existentes dentro de la empresa
se pudo evidenciar los puntos críticos e importantes, el impacto que generaría la
ejecución de algún ataque sería considerable ya que dentro de la empresa se
61
cuenta con información sensible en cuanto a datos de clientes, planos,
localidades e información económica manejada en los proyectos realizados, lo
que generaría pérdidas no solo a nivel económico sino también en cuanto a
clientes.
Cuadro 20. Cálculo del Impacto en situaciones de Riesgo
ACTIVO AMENAZAS PROBABILIDAD IMPACTO TOTAL

Divulgación de
3 4 12
información
Fugas de información 3 4 12
DATOS Modificación de
1 4 4
información
Destrucción de la
3 5 15
información
Errores de gestión 5 5 25
SERVICIOS
Errores de configuración 3 3 9
Desperfecto de origen
4 4 16
físico
Manipulación de equipos 1 5 5
HARDWARE
Errores de
mantenimiento o 3 4 12
actualización de equipos
Carencia de
3 3 9
monitorización
SOFTWARE
Difusión de software
1 4 4
dañino
Fuego 2 5 10
Corte servicio eléctrico 1 4 4
LOCACIONES
Condiciones ambientales
1 3 3
inadecuadas
Denegación de servicio 1 5 5
Caída del sistema por
2 3 6
COMUNICACIONES agotamiento de recursos
Intercepción de
3 5 15
información
PERSONAS Ingeniería social 2 4 8

Suplantación de 1 4 4
identidad
62
Errores de los usuarios 3 4 12

Etapa #2 - Proyecto de Análisis de Riesgos
Dentro de esta etapa encontramos las actividades preliminares tomadas en
cuenta para la elaboración del diseño del SOC, tenemos:
 Estudio Oportuno y determinación del alcance
 Planificación
 Lanzamiento
Estudio Oportuno y determinación del alcance

Una vez realizada la recopilación de la información necesaria se procedió a
evaluar y determinar el alcance del SOC para la elaboración del diseño
necesario y adecuado a las necesidades de la empresa.
Se logró determinar la necesidad de un sistema de monitoreo que permita

gestionar, supervisar y analizar la data de los sistemas y equipos que se
encuentran en la organización, además de la implementación de políticas de
seguridad de la información que permitan tener la certeza de la gestión, uso y
manipulación de la misma, garantizando el uso correcto de la información y de
los activos tecnológicos de la organización.
Planificación
Una vez determinado el alcance del diseño, se planifica la elaboración de este
teniendo en cuenta todos los requerimientos necesarios y evaluando la
factibilidad de lo planteado.
Ante el análisis previo se planificaron los procesos para la gestión de los equipos
y herramientas necesarias para la ejecución del proyecto y sus respectivas
pruebas de funcionamiento.
Lanzamiento
Ya realizada la planificación se presenta el diseño planteado teniendo en cuenta
todos los puntos claves presentes en el transcurso de la elaboración.
Etapa #3 - Plan de Seguridad
63
Dentro de esta etapa se establecen las acciones generadas para la elaboración
del plan de seguridad donde se detalla lo siguiente:
 Identificación de Plan de Seguridad
 Plan de Ejecución
 Ejecución
Identificación de Plan de Seguridad

Ya determinado todos los puntos preliminares y necesarios se da a conocer el
plan de seguridad a tomar en cuenta para la ejecución de los objetivos
previamente establecidos dentro del proyecto, para esto también se consideró la
elaboración de un manual de políticas de Seguridad basado en las necesidades
de la empresa y teniendo en cuenta los recursos que posee Anexo IV.
Dentro de las herramientas consideradas y tomadas en cuenta para la ejecución

de este se encuentran:
 Wazuh
Gráfico 7. Interfaz de Wazuh

Es una herramienta de monitoreo de seguridad, gratuita de código abierto que

brinda a una empresa la facilidad de detección de amenazas, además de ofrecer
soluciones a los incidentes que puedan producirse con respecto a la seguridad
de esta. (Wazuh)
Hoy en día las amenazas se vuelven más sofisticadas, por aquello esta
herramienta open Source se basa en los llamados endpoints instalados en los
64
agente de Wazuh en los usuarios en cada equipo dentro de la red que se va a
monitorear, lo cual proporciona la capacidad de un monitoreo y respuesta
oportuno gracias a un componente de servidor que es el encargado de
proporcionar la inteligencia de seguridad y un análisis de datos basado en
patrones, gracias a su extensa base de datos heredada de OSSEC, que en
conjunto con Elastick Stack y Kibana permiten crear una interfaz capaz de
brindar grandes capacidades para gestionar, analizar, monitorear y responder
ante ataques cibernéticos.
Esta herramienta está compuesta por puntos relevantes que hacen de este una
opción más que fiable para el análisis, monitoreo y gestión de la seguridad
informática de cualquier empresa, en el Cuadro 21 se detallan las capacidades
de Wazuh implementadas en el proyecto.
Cuadro 21. Capacidades de Wazuh
Recopilar, agregar y analizar datos de seguridad que

Análisis de
ayudaran en la detección de amenazas, intrusión y
seguridad
anomalías de comportamiento.
Mediante los agentes de wazuh se escanean los
sistemas monitoreados en busca de malware, rootkits y
Detección de
anomalías sospechosas, además de archivos ocultos,
intrusiones
procesos encubiertos o escuchas de redes no
registrados.
Los agentes de wazuh examinan los registros del
Análisis de datos sistema operativo y de las aplicaciones para enviarlos
de registro al administrador central para su respectivo análisis y
almacenamiento basado en reglas.
Esta herramienta supervisa el sistema de archivos e
identifica cambios en el contenido, los permisos, la
Supervisión de la
propiedad y los atributos de los archivos que se debe
integridad de los
vigilar; asimismo identifica de forma nativa a los
archivos
usuarios y aplicaciones que se utilizan para crear o
modificar archivos.
Detección de Los agentes extraen datos de inventario de software y
vulnerabilidades envían esta información al servidor, donde se
correlaciona con bases de datos CVE (Common
65
Vulnerabilities and Exposure) continuamente
actualizadas para identificar software vulnerable.
Wazuh supervisa la configuración del sistema y las
aplicaciones para asegurarse de que cumplan con
Evaluación de la
estándares, políticas, entre otros; los Agentes de esta
configuración
manera analizaran periódicamente las vulnerabilidades
en las aplicaciones o sistemas.
Se proporciona respuestas activas listas para usarse
Respuesta ante
referente a diferentes contramedidas para contrarrestar
incidentes
amenazas activas.
Cuenta con varios controles de seguridad necesarios
Cumplimiento de para cumplir con estándares y regulaciones de la
normativas industria, tales como PCI DSS, GDPR, NIST 800-53,
entre otras.
Monitoreo de la infraestructura de la nube a nivel de
Monitoreo de API, haciendo uso de módulos de integración que
seguridad en la puedan extraer datos de seguridad de proveedores de
nube nube, tales como Amazon AWS, Azure, Google Cloud,
entre otros.
Suministra visibilidad de la seguridad en hosts y
Seguridad de
contenedores Docker, monitoreando su actividad,
contenedores
detectando amenazas, vulnerabilidades y anomalías.
Fuente: (Wazuh)
Cada una de estas funcionalidades anidadas en esta herramienta SIEM como lo

es Wazuh, permitirá aportar el análisis, monitoreo y gestión de la seguridad
informática de manera estable y segura para la empresa y sus activos
informáticos.
 Pfsense
Gráfico 8. Interfaz de Pfsense
66
Es una plataforma open source basada en el sistema operativo FreeBSD.

(Netgate, 2020) Permite las mismas funcionalidades de los firewalls comerciales,
como por ejemplo un constante monitoreo y control sobre los datos que viajan a
través de la red, esto será posible con la correcta configuración de correos
electrónicos, navegadores web, y por supuesto el almacenamiento en la nube.
En el proyecto se realizaron tareas de monitoreo para el bloqueo y restricción del

tráfico web, con el objetivo de proteger la información de la empresa,
proporcionando una interfaz web de fácil configuración.
 Wireshark
Es un analizador de tráfico de la red, el cual contiene una interfaz gráfica que
permite capturar todo lo que entra y sale de un ordenador. Dicha información
luego puede ser estudiada y analizada. Wireshark es un software libre además
trabaja con la librería (libpap) la cual es responsable de la captura de paquetes.
(Universidad pública de Navárra).
Este software es ampliamente usado a nivel mundial por muchos profesionales,
al ser una herramienta multiplataforma y por su capacidad de monitoreo de
tráfico en la red en tiempo real, examinación de archivos o captura de respaldos
en disco.
Gráfico 9. Interfaz de Wireshark
67
Plan de Ejecución
En este apartado se establecieron las acciones necesarias para el correcto
cumplimiento de la propuesta presentada.
Ejecución
Se procedió a ejecutar el plan propuesto, cumpliendo con las acciones
establecidas; realizando la instalación de los agentes de Wazuh en los
dispositivos de la empresa necesarios para la evaluación del sistema informático
ANEXO V.
Etapa #4 - Proceso de Gestión de Riesgos

Por último, en la última etapa se tomaron en cuenta las siguientes actividades:
 Evaluación y tratamiento de los riesgos.
 Comunicación y consulta.
 Seguimiento y revisión.
Evaluación y tratamiento de los riesgos

Una vez ejecutado el plan de seguridad planteado y realizadas las pruebas
necesarias se procede a evaluar y tratar los posibles riesgos existente dentro de
la empresa, teniendo en cuenta la búsqueda de resultados positivos dentro de la
empresa y logrando la obtención de beneficios a futuro.
68
Comunicación y consulta
Evaluadas las vulnerabilidades y riesgos considerados se verifica la correcta
comunicación de los dispositivos dentro del sistema informático de la empresa,
comprobando la conexión entre ambas partes.
Seguimiento y revisión
Para evaluar y verificar el funcionamiento se hace el seguimiento necesario al
plan propuesto, revisando y ejecutando las pruebas oportunas que aseguren el
éxito de lo previamente planteado y además del cumplimiento de los objetivos y
puntos clave del proyecto.
ENTREGABLES DEL PROYECTO
Para la presentación del proyecto realizado, se establecieron los siguientes

entregables de acuerdo con lo planteado:
 Selección de herramientas Open Source a utilizar en el diseño del SOC.

 Diseño del SOC basado en las necesidades de la empresa.
 Elaboración de un manual de políticas de seguridad Anexo IV.
 Socialización con los empleados sobre los beneficios del SOC y las
políticas de Seguridad establecidas Anexo VI.
CRITERIOS DE VALIDACIÓN DE LA PROPUESTA
Informe de pruebas
A continuación, se procederá con la gestión, análisis y monitoreo de la actividad
de la red y sus agentes sincronizados con el administrador del SIEM Wazuh.
Interfaz de agente de Wazuh instalado en los endpoints, auténticados y en
ejecución de sus actividades.
Gráfico 10. Pruebas en los Agentes de Wazuh
69
Eventos de seguridad
A través del panel de monitoreo de eventos de seguridad a manera de
dashboards, se pudo visualizar un evento de autenticación fallido.
Gráfico 11. Panel de monitoreo de eventos de seguridad

A continuación, se puede observar el evento de seguridad propiciado por un
acceso al sistema con credenciales erróneas, por parte de uno de los usuarios.
70
Gráfico 12. Evento de Seguridad generados en el sistema

Estándar PCI DSS (Payment Card Industry Data Security Standard)

Este apartado cuenta con uno de los estándares que actualmente son
necesarios para la realización de transacciones online, que garanticen la
integridad, confidencialidad y disponibilidad de las transacciones que se realicen.
Gráfico 13. Estándar PCI DSS

71
También se puede observar la actividad a través de medios electrónicos que
requieran autenticación de procesos existentes de pagos online.
Gráfico 14. Visualización de actividad en medios electrónicos

A continuación, se observa el nivel de la actividad existente recientemente que

esté involucrada con este estándar de pagos con tarjetas de manera online.
Gráfico 15. Nivel de actividad según estándar de Pagos Online

72
Entre otra de las características podemos observar los requerimientos de la
existencia de dichos procesos por cada usuario. Se observan los controles a
tener en cuenta de acuerdo a cada requerimiento existente para la ejecución
correcta de las transacciones online.
Gráfico 16. Requerimientos existentes por usuarios

TSC
TSC es un estándar basado en criterio de servicios de confianza ligado a los tres
pilares de la seguridad informática; la disponibilidad, la integridad y la
confidencialidad de los servicios.
Gráfico 17. Requerimientos TSC

73
Se puede observar de manera gráfica a través de los dashboards (cuadros de
control), la actividad de procesos que tengan que ver con garantizar la
integridad, confidencialidad y disponibilidad.
Gráfico 18. Actividad de procesos

También permite visualizar los requerimientos de procesos que demanden la
ejecución de dicho estándar, adicional se visualizan la generación de alertas
recientes.
Gráfico 19. Generación de Alertas recientes

GDPR
74
Estándar europeo conocido como reglamento general de protección de datos
que tiene como objetivo la protección de información personales y la manera en
que se manipula, almacena, procesa y elimina de acuerdo con normativas.
Gráfico 20. Estándar GDPR

Se puede visualizar alertas sobre la ejecución de procesos existentes que

tengan que ver con este estándar
NIST 800-53 (National Institute of Standard and Technology)

Este estándar estadounidense para agencias federales, se basa en una
publicación espacial referente a controles de seguridad y privacidad de las
agencias y los ciudadanos para sus sistemas, a través de pautas que garanticen
y administren sus sistemas de seguridad de la información.
Gráfico 21. Estándar NIST 800-53 (Pantalla superior)

75
Gráfico 22. Estándar NIST 800-53 (Pantalla inferior)

MITRE ATT&CK
Este apartado es una de las herramientas integradas en el SIEM Wazuh más
importantes, debido a su relación con la ciberseguridad, ya que esta es una base
de conocimientos accesible mundialmente de técnicas y tácticas responsivas
contra amenazas que atenten con la seguridad informática.
Gráfico 23. MITRE ATT&CK

De manera estadística se puede visualizar la actividad referente a ámbitos tales
como:
 Validación de cuentas
76
 Nuevos servicios
 Servicios paralizados
 Destrucción de data
 Detención de ficheros
 Deshabilitación de seguridad.
Gráfico 24. Estadísticas de actividad

Adicionalmente cuenta con un conglomerado de técnicas y tácticas para
contrarrestar cualquier ataque cibernético, a través de un ID especifico, el tipo de
táctica a usar, la plataforma en la que se puede aplicar, versión y descripción tal
como se puede visualizar en el gráfico 25 sobre la validación de cuentas.
Gráfico 25. Técnicas y Tácticas para contrarrestar ataques cibernéticos

Integrity monitoring
Entre los apartados más importantes este cuenta con estricta relación con de la
integridad de los ficheros del sistema de cada usuario.
77
Gráfico 26. Monitoreo de Integridad

Se puede observar el monitoreo de la actividad reciente del agente LAPTOP-

JOOVM54J(007), basado en patrones referentes a la configuración del sistema
de dicho equipo.
Gráfico 27. Actividad Reciente de uno de los Agentes

Otro de los beneficios del SIEM es que permite mostrar las reglas
implementadas en el administrador para el monitoreo, análisis y respuesta ante
78
cualquier evento que se pudiese generar y atente en contra de la seguridad de la
información.
Gráfico 28. Reglas implementadas en el administrador

Gráfico 29. Estado del Administrador

Estatus de los agentes activos, desconectados y el porcentaje de estos

sincronizados con el administrador.
79
Gráfico 30. Estado de los Agentes

Visualización de los eventos procesados que se han presentado recientemente

en un periodo determinado, así como de los eventos abandonados.
Gráfico 31. Estadísticas de eventos procesados (Syscheck-Syscollector)

80
Gráfico 32. Estadísticas de eventos procesados (Rootcheck-SCA)

Se puede conocer la recolección estadística de syscheck, proceso encargado de

verificar la integridad de los datos en tiempo real y el syscollector, destinado al
escaneo del primer inicio de sesión en el sistema al encender. SCA, es el motor
encargado de demostrar y ejecutar procesos de comprobación de la
configuración en los sistemas, listas para su uso y poder fortalecer los sistemas.
A continuación, en el siguiente gráfico se puede observar en patrones la salud

del sistema del agente JOOVM54J(007).
Gráfico 33. Estado del Agente JOOVM54J(007) (Parte Superior)

Gráfico 34. Estado del Agente JOOVM54J(007) (Parte Inferior)
81
Pruebas de satisfacción
Ante las pruebas realizadas y políticas aplicadas a los colaborados y en la
infraestructura se ha podido evidenciar una mejora notable del uso de los
equipos, además de la optimización y seguridad del funcionamiento de la red a
nivel lógico con la implementación de diversas herramientas open Source que
son altamente eficaces en el ámbito de la seguridad informática, aportando
beneficios y una garantía de seguridad al sistema de archivos en los equipos y
en la nube.
Cabe recalcar que cuenta con un amplio repertorio de base de datos que
aplicables a patrones ya predefinidos las herramientas probadas en anteriores
días han respondido correctamente en su aplicación y rendimiento aportando
como una necesidad el aumento de la seguridad de la información.
Cuadro 22. Resultados de las Pruebas Realizadas
ACTIVO AMENAZAS PROBABILIDAD IMPACTO TOTAL
Divulgación de información 1 4 4
Fugas de información 1 4 4
DATOS Modificación de información 1 4 4
Destrucción de la información 2 5 10
Errores de gestión 2 5 10
SERVICIOS
Errores de configuración 2 3 6
HARDWARE Desperfecto de origen físico 3 4 12
Manipulación de equipos 1 5 5
Errores de mantenimiento o 1 4 4
82
actualización de equipos
Carencia de monitorización 2 3 6
SOFTWARE
Difusión de software dañino 1 4 4
Fuego 1 5 5
LOCACIONE Corte servicio eléctrico 1 4 4
S Condiciones ambientales
1 3 3
inadecuadas
Denegación de servicio 1 5 5
COMUNICACI Caída del sistema por
1 3 3
ONES agotamiento de recursos
Intercepción de información 1 5 5
Ingeniería social 1 4 8
PERSONAS
Suplantación de identidad 1 4 4
Errores de los usuarios 1 4 4

En conclusión, las pruebas realizadas han tenido un efecto positivo a nuestro

sistema a nivel de seguridad informática e inclusive referente al uso y
manipulación de equipos e información de la empresa, precautelando siempre el
bienestar de la organización y sus activos.
83
CAPÍTULO IV
CRITERIOS DE ACEPTACIÓN DEL PRODUCTO O SERVICIO
A continuación, se observarán los criterios de aceptación del proyecto realizado

y los alcances obtenidos con la ejecución que fueron tomados en cuenta al
momento de realizar la formulación y planteamiento del diseño, además se
evidencia los resultados obtenidos en la evaluación a cargo del Juez Experto
ANEXO IX.
Cuadro 23. Criterios de Aceptación del Producto o Servicio
Criterio Alcanza No alcanza Punto Medio

Recopilación de Información
para evaluar estado de la X
empresa.
Evaluación de Políticas de
Seguridad, basándose en X
necesidades existentes.
Diseño de Políticas de
Seguridad basadas en X
84
controles de la norma ISO
27002.
Diseño del Centro de
Operaciones de Seguridad. X
Pruebas realizadas a la
herramienta Open Source X
escogida.
Dialogo y socialización sobre
uso de la herramienta y
resultados obtenidos con X
gerente y empleados de la
empresa.
CONCLUSIONES
 Mediante la investigación y análisis se logró conocer los beneficios que

permite obtener la implementación de un centro de operaciones de
seguridad, además de conocer la necesidad existente en la actualidad
dentro de las Pymes en cuanto a Seguridad Informática.
 Gracias a la herramienta utilizada, se logró establecer el diseño del SOC

deseado, basándose en las necesidades de la empresa, brindando
respuestas oportunas ante situaciones que puedan alterar o dañar las
operaciones o actividades realizadas por los miembros de la
organización.
 Mediante la recolección de información se logró determinar las falencias

existentes dentro de la empresa, evidenciando la necesidad de un Diseño
de SOC que se encargue de ellas.
 Se logró determinar las políticas de seguridad adecuadas a las

necesidades existentes en la empresa, además de concluir determinando
la importancia del uso de herramientas informáticas que contrarresten
cualquier posible vulnerabilidad dentro de un sistema, brindando la
85
seguridad oportuna a información sensible y procesos confidenciales
utilizados por el personal de la organización.
 Con el uso de herramientas Open Source se logró conocer la amplia

variedad de recursos existentes basándose siempre en las necesidades
que se tiene, cabe recalcar que el costo del mismo dependerá de que
tanto se busque abarcar o la cantidad de recursos a utilizar dentro de la
herramienta.
RECOMENDACIONES
 Mantener un control constante del sistema de la organización que ayude

a determinar posibles brechas de seguridad, permitiendo determinar las
medidas de prevención necesarias para evitar a tiempo cualquier evento
que altere las actividades realizadas.
 Al momento de escoger las herramientas indispensables para la

elaboración del diseño del SOC conocer las falencias existentes dentro
de la organización para determinar los recursos necesarios a utilizar.
 Implementar políticas de seguridad de acuerdo a las necesidades de la

empresa, considerando su actualización ya sea por el crecimiento de la
empresa o en caso de considerarse oportuno.
 Realizar capacitaciones de forma periódica a todo el personal de la

empresa con el fin de mantener actualizados los conocimientos del área.
86
BIBLIOGRAFÍA
Bonilla Blanco, B. M., & Rojas Paternina, A. (Abril de 2019). DISEÑO Y

PLANIFICACIÓN DE UN CENTRO DE OPERACIONES DE SEGURIDAD
INFORMÁTICA APLICADO COMO SERVICIO POR LA ORGANIZACIÓN
A3SEC BAJO MARCOS DE TRABAJO PROPUESTOS POR SANS, ISACA
Y NIST. Bogotá, Colombia.
Carpentier, J. F. (2016). La seguridad informática en la PYME: Situación actual y
mejores prácticas. Ediciones ENI.
Castro, M. I., Morán, G. L., Navarrete, D. S., Cruzatty, J. E., Anzúles, G. R., Mero, C.
J., & Merino, M. A. (2018). Introducción a la seguridad informática y el
análisis de vulnerabilidades (Vol. 46). 3Ciencias.
Chang, J. E. (2020). Análisis de ataques cibernéticos hacia el Ecuador. Revista
Científica Aristas, 18-28.
Clavei. (16 de 04 de 2018). www.clavei.es. Obtenido de https://www.clavei.es/blog/que-
es-un-ids-o-intrusion-detection-system/#:~:text=Un%20IDS%20(Intrusion
%20Detection%20System,el%20administrador%20de%20sistemas
%20correspondiente.
Concha, F. (12 de 02 de 2019). a2secure. Obtenido de
https://www.a2secure.com/blog/ids-ips-hids-nips-siem-que-es-esto/
87
Cyphere Ltd. (18 de 02 de 2021). thecyphere. Obtenido de
https://thecyphere.com/blog/host-based-ids/
Espinoza Arias, A. M. (Agosto de 2019). Propuesta de mejora continua en el proceso de
producción de una planta de plásticos mediante la metodología PDCA y
manufactura esbelta. Lima.
Figueroa-Suárez, J. A., Rodríguez-Andrade, R. F., Bone-Obando, C. C., & Saltos-
Gómez, J. A. (2018). La seguridad informática y la seguridad de la información.
Polo del conocimiento, 2(12), 145-155.
Gomez Escobar, A. F. (2020). Capacidades técnicas, legales y de gestión para equipos
BlueTeam y RedTeam.
Guerrero Cueva, J. E. (2017). Desarrollo e implementación de políticas de seguridad
informática aplicando el estándar ISO/IEC 27002 para el departamento de
sistemas de una empresa del sector farmacéutico de Ecuador .
incibe. (03 de 09 de 2020). www.incibe.es. Obtenido de https://www.incibe.es/protege-
tu-empresa/blog/son-y-sirven-los-siem-ids-e-ips#:~:text=Las%20ventajas%20de
%20un%20IPS,el%20uso%20de%20reglas%20prefijadas%3B&text=aumento
%20de%20la%20eficiencia%20y,o%20ataques%20a%20la%20red.
infotecs. (12 de 03 de 2019). infotecs.mx. Obtenido de https://infotecs.mx/blog/sistema-
de-deteccion-de-intrusos.html
ISO, I. O. (s.f.). ISO/IEC 27002:2013. Obtenido de
https://www.iso.org/standard/54533.html
Ministerio de Telecomunicaciones y de la Sociedad de la Información. (1 de Agosto de
2017). Obtenido de https://www.telecomunicaciones.gob.ec/ecuador-ocupa-
sexto-lugar-en-la-region-segun-indice-de-ciberseguridad/
Netgate. (Diciembre de 2020). pfSense. Obtenido de
https://docs.netgate.com/manuals/pfsense/en/latest/the-pfsense-
documentation.pdf
PETTERS, J. (29 de 03 de 2020). varonis. Obtenido de
https://www.varonis.com/blog/ids-vs-ips/#:~:text=The%20main%20difference
%20between%20them,prevents%20traffic%20by%20IP%20address.
Polo Cózar, J. (Junio de 2020). Implementación de Wazuh en una organización pública.
Barcelona.
Públicas, M. d. (2012). MAGERIT – versión 3.0 Libro I - Método. España.
88
Quintero Villarroya, J. L. (2019). Diseño e implantación de un centro de operaciones de
seguridad (en el MINISDEF). España.
Rascagneres, P. (2016). Seguridad informática y malwares: análisis de amenazas e
implementación de contramedidas. Ediciones ENI.
Rojas Sánchez, D. C., Padilla Torres, N. S., & Peña Gomez, Y. L. (2019). Diseño de
políticas de seguridad informática para la empresa SOTRANSVEGA SAS.
Colombia.
Teada, E. C. (2015). Gestión de incidentes de seguridad informática. IFCT0109. IC
Editorial.
Tejada, E. C. (2019). Auditoría de seguridad informática. IFCT0109. IC Editorial.
Tierra Satán, J. P., & Buenaño Lliguin, Y. M. (2017). Efectos de la aplicación del ciclo
de Deming/pdca (planificar, hacer, verificar y actuar) de la organización de los ii
juegos deportivos nacionales estudiantiles Universitarios y Politécnicos.
Universidad pública de Navárra. (s.f.). Obtenido de
https://www.tlm.unavarra.es/~daniel/docencia/arss/arss10_11/practicas/
practica3.pdf
Urbina, G. B. (2016). Introducción a la seguridad Informática. Grupo Editorial
PATRIA.
Wazuh. (s.f.). Wazuh Docs. Obtenido de Wazuh Docs: https://wazuh.com/
89
ANEXOS
90
ANEXO I: Solicitud emitida a la empresa para la aprobación de la realización
del proyeco dentro de la empresa.
91
92
ANEXO II: Carta emitida por la empresa DOMOBAK donde se evidencia la
autorización recibida para el desarrollo del proyecto.
93
ANEXO III: Recopilación de Información dentro de las instalaciones, tanto de
los equipos existentes, como también de información general útil para la
elaboración del proyecto,
94
ANEXO IV: Manual de Politicas de Seguridad Basado en las necesidades de la
empresa.
95
OBJETIVOS
Definir e implementar las políticas de seguridad informática que dan las pautas
y rigen para la gestión, el uso adecuado y la seguridad de la información de los
sistemas informáticos y en general.
ALCANCE
El alcance de este manual de politicas de seguridad de la infromacion se basa
en algunos dominios de la norma ISO/IEC 27002, mencionados previamente en
el alcance del proyecto, por ende se delinearon políticas de seguridad
enfocadas a controles pertenecientes a los dominios ya mencionados en el
proyecto meramente para su análisis y posterior implementación de las mismas
para la empresa.
A continuación, se detallan las políticas de seguridad de la información,
referentes a cada dominio, objetivo de control, control y su respectiva política.
POLITICAS DE SEGURIDAD DE LA INFORMACION

Gestión de la gerencia para la seguridad de la información.
 La genrencia deberá definir, gestionar y revisar las políticas para la
seguridad de la información, proveyendo a todos los colaboradores de la
organización, tercaras partes (proveedores, cliente, socios de negocio,
entre otros) y personal externo (auditores, consultores, contratistas, etc.)
 Estas deberán ser revisadas en intervalos pertinentes planificados
previamente para garantizar su capacidad, conciliación y efectividad de
las mismas continuamente para bien de la organización con sus
procesos y activos.
Organización de la seguridad de la información.

 Garantizar la seguridad del trabajo a distancia y del uso de los equipos
móviles.
 Organización interna.
 Asignación de funciones y responsabilidades para la seguridad de la
información
96
 Se debe precisar y establecer todas las responsabilidades de la
seguridad de la información a los colaboradores y personal encargado
del área.
Segregación de tareas
 Analizar y definir procesos que tengan conflicto, los cuales deberán ser
segregadas para el seguimiento y uso idóneo de los activos físicos y
digitales de la información para la optimización de procesos de manera
controlada.
Seguridad de la información de la gestión de proyectos
 LA SEGURIDAD de la información debe adaptarse a la gestión del
proyecto a establecerse, independientemente del ámbito en que este se
relacione.
Equipos móviles y trabajo a distancia
 Se debe garantizar la seguridad del trabajo a distancia y del uso de los
equipos móviles.
Políticas de los equipos móviles
 Se debe tener en cuenta políticas que aporten una seguridad optima y
fiable para el manejo de riesgos derivados al uso de equipo s móviles,
tales como; autenticación mutua, no conectarse a redes de acceso
publico y sistemas operativos actualizados.
Trabajo a distancia
 Se debe adptar el uso de herramientas que permitan un acceso a través
de protocolos fiables para trabajo remoto como SCP y SSH, además de
optar por el uso de VPN (Virtual Private Network).
SEGURIDAD DE LOS RECURSOS HUMANOS

Garantizar que los trabajadores y los contratistas sean conscientes y cumplan
con las responsabilidades de la seguridad de la información, además se debe
proteger los intereses de la organización como parte del proceso de cambio o
término del empleo.
 Mantener reserva de la información confidencial a la que tiene acceso
por las actividades que desempeña.
97
 No acceder a información de carácter confidencial, sin la autorización
previa del funcionario competente de la organización.
Mantener reserva de la información confidencial, aún después de terminada la
relación laboral con la organización
 Conservar en buen estado y entregar oportunamente a la organización
todos los documentos, materiales, productos e información que se le
proporcionen con motivo de la relación contractual.
 tener como requisito de ingreso a la organización la aceptación y
compromiso de cumplir con la política, normativas y procedimientos de
Seguridad de la Información de la empresa.
GESTIÓN DE LOS ACTIVOS

Identificar los activos de la organización y definir las responsabilidades
adecuadas de protección.
 La información de organizacion, así como los activos donde ésta se
almacena y se procesa deben ser inventariados, asignados a un
responsable y un custodio, clasificados y tratados de acuerdo con los
requerimientos de la empresa, teniendo en consideración que son de
propiedad de la organización.
 Todos los activos de información entregados a los funcionarios para el
desarrollo de sus funciones como herramienta de trabajo, son de
propiedad de la organizacion y deben ser utilizados exclusivamente para
fines laborales.
Garantizar que la información reciba un nivel de protección de acuerdo a su

importancia dentro de la organización.
 Los Jefes o Gerentes de área en cualquier momento pueden solicitar el
respaldo de la información de los equipos asignados al personal a su
cargo. Este respaldo debe hacerse en presencia del funcionario y, si
este se niega, se procederá a reasignarle un nuevo equipo y a firmar el
Acta Entrega Recepción del equipo anterior.
98
 La información y los medios de procesamiento serán protegidos
considerando su nivel de acuerdo a la normativa de identificación,
clasificación, etiquetmianeto y tratamiento de la información.
 La protección se realizara para la preservación de las propiedades de
confidencialidad, integridad y disponibilidad de la información.
Prevenir la divulgación, modificación, retiro o destrucción no autorizada de la

información almacenada en los medios de comunicación.
 Los medios removibles no deben ser considerados como medio primario
de almacenamiento y transporte de la información de propiedad de la
organizacion
 El usuario que tenga en su equipo habilitado el puerto o unidades para
USB, CD/DVD entre otros, deberá velar por el buen uso y protección de
la información, el adecuado control y su distribución debe ser restringida
 El usuario que tenga asignado el medio removible debe asegurar que la
información allí almacenada provenga de una fuente segura y esté libre
de virus, software y/o código malicioso.
CONTROL DE ACCESO
Garantizar el acceso al usuario autorizado para evitar el acceso no autorizado a
los sistemas y servicios.
 Los funcionarios no deben compartir sus cuentas de usuario y
contraseñas con otros funcionarios o con personal provisto por terceras
partes
Hacer a los usuarios responsables de salvaguardar la autenticación de su
información.
 Cuando un funcionario se ausente de su puesto de trabajo, debe
bloquear su terminal o bien apagarla directamente.
Evitar el acceso no autorizado a los sistemas y aplicaciones.

 Los funcionarios de la organizacion (internos y externos), no deberán
tener permiso y acceso de administrador local del equipo a fin de
garantizar la confidencialidad, integridad y disponibilidad de la
99
información; únicamente las áreas de Microinformática, Seguridad
Informática y Seguridad de la Información podrán tener este privilegio de
acceso debido a sus funciones.
SEGURIDAD FISCA Y MEDIO AMBIENTAL

Evitar acceso físico no autorizado, daño e interferencia a la información e
instalaciones de procesamiento de la información de la organización.
 Para el acceso de alguien diferente a un funcionario, se deberá generar
las autorizaciones respectivas y estar acompañado en todo momento
por un funcionario autorizado.
 Los funcionarios deben asegurarse que en el momento de ausentarse
de su puesto de trabajo, sus escritorios se encuentren libres de
documentos y medios de almacenamiento.
 Al terminar la jornada laboral, los funcionarios deben recopilar y
asegurar el material Confidencial, cerrar con llave cajones y oficinas, y
apagar todos los equipos de cómputo que no vayan a ser utilizados.
Evitar la pérdida, daño, robo o actos en los que se comprometan activos y la

interrupción de las operaciones de la organización.
 Los documentos que contengan información Confidencial deben ser
guardados bajo llave cuando no se estén utilizando.
 Toda la información almacenada en los dispositivos móviles y
equipos de cómputo corporativos o personales que sea de propiedad y
uso de la organización debe ser eliminada de manera segura o
sobrescrita cuando el dispositivo o equipo sea retirado de operación o
sea reasignado a otro funcionario
SEGURIDAD DE LAS OPERACIONES

Garantizar que la información y las instalaciones de procesamiento de la
información estén protegidos contra el malware.
Proteger la información contra la pérdida.
100
 Los funcionarios de la organización deben almacenar toda la información
que gestionen (creación, modificación) debido a sus actividades diarias,
directamente en el espacio asignado a su área.
Registrar eventos y generar evidencias.

 Mantener una bitácora de los procesos y actividades realizadas en
diferentes operaciones
Garantizar la integridad de los sistemas operacionales.
 Control de los procesos a realizar dentro de la organización, teniendo en
cuenta la protección de la información.
SEGURIDAD DE LAS COMUNICACIONES

Garantizar la protección de la información en las redes y de sus instalaciones
de procesamiento de la información.
 Deben evitar la descarga de software, así como su instalación en las
estaciones de trabajo o dispositivos móviles asignados para el
desempeño de sus labores.
 No está permitido el intercambio no autorizado de información de
propiedad de la organizacion, de sus clientes y/o de sus funcionarios,
con terceros
Mantener la seguridad de la información transferida dentro de la organización y
con cualquier entidad externa.
 Los propietarios de la información son responsables por incluir en una
etapa temprana del ciclo de desarrollo de sistemas (desarrollo o
adquiridos), los requerimientos de seguridad necesarios para mantener
la integridad y confidencialidad de la información.
RELACION CON LOS PROVEEDORES

Mantener un nivel acordado de seguridad de la información y de la prestación
del servicio alineado a los acuerdos del proveedor.
 Todos los proveedores de la organizacion deben cumplir con los
lineamientos de Seguridad de la Información y desempeñar un papel
101
proactivo para la protección, atendiendo a los roles y responsabilidades
establecidos para sus actividades empresariales.
 Los proveedores con acceso a la información de la organizacion deben
velar por el cumplimiento de sus responsabilidades frente a la Seguridad
de la Información, dentro del marco organizacional y normativo definido.
 Los proveedores deben mantener la confidencialidad respecto de toda la
información a la que tengan acceso en el desempeño de sus funciones
en organizacion, aunque ésta no haya sido clasificada.
GESTION DE LOS INCIDENTES DE SEGURIDAD DE LA INFORMACION

Garantizar una aproximación consistente y efectiva a la gestión de los
incidentes de seguridad de la información, incluyendo la comunicación sobre
los eventos y debilidades de la seguridad.
 Todos los usuarios y terceros que tienen acceso a la información de la
Corporación tienen la obligación de reportar Incidentes de Seguridad de
la Información, esto se realiza por medio del envío de correo electrónico
GESTION DE LOS ASPECTOS DE LA SEGURIDAD DE LA INFORMACION

PARA LA CONTINUDAD DEL NEGOCIO.
Garantizar la disponibilidad de las instalaciones de procesamiento de la
información.
 Se debe garantizar la continuidad de la Seguridad de la Información para
los servicios más relevantes que brinda la organizacion, por lo que se
debe desarrollar planes de contingencia para los servicios identificados
como críticos en la Corporación.
CUMPLIMIENTO
Evitar el incumplimiento de las obligaciones legales, regulatorias o
contractuales relacionadas a la seguridad de la información y al cualquier
requisito de seguridad.
 Proteccion de los derechos de autor para los diferentes productos y
servicios.
102
 En todo momento prevalecerá el respeto por la privacidad de la
información de sus grupos de interés y clientes.
 La Alta Dirección se reservará el derecho de monitoreo de la información
almacenada en los equipos de cómputo con el fin de determinar su
correcto uso y disponibilidad.
Garantizar que la seguridad de la información sea implementada y operada de
acuerdo con las políticas y procedimientos organizacionales.
 Todos los funcionarios y proveedores de organizacion deben conocer la
política y normativas de Seguridad de la Información, por lo que su
incumplimiento podrán implicar sanciones disciplinarias.
 Todos los colaboradores deben mantener en sus equipos solo
información pertinente a sus funciones dentro de la organizacion.
Cualquier otra información de tipo personal debe ser eliminada.
103
ANEXO V: Instalación de los agentes de Wazuh en los dispositivos de la
empresa, necesarios para el analisis y monitoreo del sistema informatico.
104
ANEXO VI: Socialización con el Gerente y miembros del personal de la
empresa acerca del los beneficos presentes al hacer uso de la herramienta
escogida.
105
106
107
ANEXO VII: Presentación de los resultados obtenidos dentro de las pruebas
realizadas al Gerente de la empresa.
108
ANEXO VIII: Solicitud emitida para la evaluación a cargo del Juez Experto, Ing.
Blanca Fanny Chalen Pacay.
109
ANEXO IX: Resultados emitidos por el Juez Experto Ing. Blanca Fanny Chalen
Pacay.
110

Tesis Final (2802) 1

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Tesis Final (2802) 1

Cargado por

Copyright:

Formatos disponibles

UNIVERSIDAD DE GUAYAQUIL

FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS

DISEÑO DE UN MODELO DE CENTRO DE OPERACIONES DE SEGURIDAD

Previa a la obtención del Título de:

CARRERA: Ingeniería en Networking y Telecomunicaciones

FECHA DE PUBLICACIÓN: Marzo/2021 N° DE PÁGS.: 114

ÁREA TEMÁTICA: Seguridad Informá tica.

PALABRAS CLAVES: SOC, Open Source, Wazuh, Hardware, Software, Magerit.

CONTACTO CON AUTORES: Teléfono:

En mi calidad de Tutor del trabajo de titulación, “DISEÑO DE UN MODELO DE

Ing. Karina Paola Real Avilés, MSc.

Dedico el proyecto de titulación a Dios ya que sin su bendición no hubiese

Ing. Karina Real Avilés, M.Sc

Ab. Juan Chávez Atocha, Esp.

“La responsabilidad del contenido de este

CHAVEZ BORJA KATLEEN ANDREINA

MORENO VERA JOHNNY MANUEL

CARRERA DE INGENIERIA EN NETWORKING Y

DISEÑO DE UN MODELO DE CENTRO DE OPERACIONES DE SEGURIDAD

de INGENIERO EN NETWORKING Y TELECOMUNICACIONES

Autores: KATLEEN ANDREINA CHAVEZ BORJA

Tutor: Mg. Karina Paola Real Avilés

Guayaquil, marzo de 2021

En mi calidad de Tutor del proyecto de titulación, nombrado por el Consejo

Que he analizado el Proyecto de Titulación presentado por el/la

“DISEÑO DE UN MODELO DE CENTRO DE OPERACIONES DE

Considero aprobado el trabajo en su totalidad.

CHAVEZ BORJA KATLEEN ANDREINA 0944341270

Tutor: Mg. Karina Paola Real Avilés

Guayaquil, marzo de 2021

Autorización para Publicación de Proyecto de Titulación en

1. Identificación del Proyecto de Titulación

Nombre Alumno: CHAVEZ BORJA KATLEEN ANDREINA

Tema del Proyecto de Titulación: (Palabras claves 5 a 8)

A través de este medio autorizo a la Biblioteca de la Universidad de Guayaquil

Inmediata Después de 1 año

APROBACION DEL TUTOR........................................................................................III

SOC Centro de Operaciones de Seguridad

Cuadro 1. Relación entre causas y consecuencias...........................................................17

Gráfico 1. Pilares de la Seguridad de la Información......................................................23

DISEÑO DE UN MODELO DE CENTRO DE OPERACIONES DE SEGURIDAD (SOC)

PARA EL CONTROL Y MONITOREO DE NORMATIVAS DE SEGURIDAD

INFORMÁTICA, UTILIZANDO HERRAMIENTAS OPEN SOURCE, PARA LA

EMPRESA DOMOBAK EN LA CIUDAD DE GUAYAQUIL

Autores: Katleen Andreina Chavez Borja

Básicamente este proyecto de titulación se enfoca en diseñar un centro de

DESIGN A MODEL OF SECURITY OPERATION CENTRE (SOC)

TO CONTROLING AND MONITORING OF COMPUTER SECURITY REGULATIONS

USING OPEN-SOURCE TOOLS, TO DOMOBAK COMPANY, IN THE CITY OF

Author: Katleen Andreina Chavez Borja

En la actualidad gracias a los avances tecnológicos la responsabilidad referente

Por ello se ha convertido en una necesidad activar métodos de seguridad que

Sin embargo, ante las posibles amenazas o vulnerabilidades que se puedan

El desarrollo de este proyecto de tesis consta de cuatro capítulos que se

Capítulo II: Se desarrolla el marco teórico, en el que se exponen los

Capítulo III: En este capítulo se describe la metodología que se utilizara, se

PLANTEAMIENTO DEL PROBLEMA

Ubicación del Problema en un Contexto

Las pequeñas y medianas empresas (PYMES), no cuentan con sistemas de

Situación Conflicto Nudos Críticos

En el siguiente cuadro se presentarán las causas y consecuencias existentes

Cuadro 1. Relación entre causas y consecuencias

Delimitación del Problema