ELEMENTOS DE SEGURIDAD INFORMTICA PARA EL SISTEMA DE

MATRCULA DE LA UNAM - SEDE ILO

PRESENTADO POR:

PRESENTADO A:

UNIVERSIDAD NACIONAL DE MOQUEGUA

FACULTAD DE INGENIERIA
CRIPTOGRAFIA

INTRODUCCION

La seguridad informtica es fundamental para darle seguridad

a nuestros sistemas de informacin. En la actualidad, hay
gran
cantidad
de
cdigo
malicioso
y
personas
malintencionadas que quieran afectar nuestro sistema y es
nuestra labor como ingenieros de sistemas mitigar dichos
riesgos.
Por ello, se planea el anlisis y gestin de riesgos de la
Universidad Nacional De Moquegua, especficamente en la
divisin de sistemas, para aplicar los conceptos adquiridos en
el desarrollo de la materia.

ELEMENTOS DE SEGURIDAD INFORMTICA PARA EL SISTEMA DE

MATRCULA DE LA UNAM - SEDE ILO
OBJETIVO GENERAL
El objetivo general consiste en la realizacin de una Auditora Informtica en La
Universidad Nacional de Moquegua con el fin de relevar las vulnerabilidades
existentes en lo relativo a controles de seguridad, como medio para el desarrollo
de una Seguridad, donde se definirn los lineamientos para promover la
implementacin de un modelo de seguridad en toda la organizacin.
OBJETIVOS ESPECIFICOS
-

Analizar los activos de la dependencia.

Identificar los Activos protegibles del Dominio
Identificar el conocimiento de las Amenazas
Estimar Vulnerabilidades
Identificar Impactos del sistema
Identificar Riesgos

ALCANCE
EL anlisis y gestin de riesgos para la divisin de sistemas se limita a la
realizacin de un anlisis superficial de los niveles de seguridad, la cual es una
dependencia de la Universidad Nacional de Moquegua.
El trabajo es realizado por solicitud en la asignatura Criptografa en la cual se debe
aplicar conocimientos de seguridad para la aplicacin de una metodologa de
riesgos a una divisin de la universidad.
El alcance es limitado en la inspeccin del sistema de seguridad que hay
implementado y la creacin de un nuevo diseo de seguridad teniendo en cuenta
los riesgos encontrados en la planificacin.

IDENTIFICACION DE LOS ACTIVOS PROTEGIBLES

Los Activos son los recursos del sistema de informacin o relacionados con ste,
necesarios para que la organizacin funcione correctamente y alcance los
objetivos propuestos por la direccin.
-

Activos de Entorno:
Edificio de la divisin de sistemas
Energa elctrica
Climatizacin
Personal de la divisin de sistemas

Sistema de Informacin
Servidores
Terminales
Redes de computadoras
Base de datos

Informacin
Historial de cada estudiante
Materias matriculadas por el estudiante
Reporte de pagos de matricula
Informacin de las materias
Horarios de clases
Matricula automtica
Docentes vinculados a la universidad
Carga acadmica de los docentes
Documentos para el ingreso de la universidad -Aspirantes-

Funcionalidades del dominio

Facilitar a los estudiantes el proceso de matricula
Gestionar las Inclusiones y cancelacin de materias
Permitir asignar profesores a una determinada
Asignar las determinadas materias a un saln y horario determinado
Almacenar el historial de cada estudiante matriculado en la
universidad
Facilitar el proceso de ingreso a la universidad a los estudiantes
Gestionar las notas de los estudiantes impuestas por el profesor de
una materia
Gestionar el control de acceso al sistema

CONOCIMIENTOS DE AMENAZA
Las amenazas se definen como los eventos que pueden desencadenar un
incidente en la organizacin, produciendo daos materiales y/o prdidas
inmateriales en sus activos.
El Responsable del Dominio protegible tiene un papel de la identificacin de las
amenazas que pueden actuar sobre los activos de su Dominio. Se considera
distintos productores de las Amenazas (no humanos, humanos involuntarios o
humanos voluntarios) para tener en cuenta la diversidad de sus causas,
independientemente de sus consecuencias. Cada tipo de productores genera un
tipo de causas de los cambios del estado de seguridad en los Activos: accidentes,
errores e intervenciones intencionales, stas realizadas con presencia de la
agresor bien fsica bien por tele accin (usando medios de comunicacin). Las
Amenazas se clasifican as:
Grupo A de Accidentes
A1: Accidente fsico de origen industrial:
- Desorden pblico que pueda ocasionar un incendio producto de marchas
de estudiantes o de algn sector que quiera generar un estancamiento de
los procesos universitarios.
- Filtracin del agua debido a los torrenciales que se puedan presentar,
generando un corto circuito y posterior deterioro de los equipos fsicos del
sistema.
A3: Accidente fsico de origen natural:
- Movimiento Ssmico en la ciudad de gran impacto debido a la alta
probabilidad que hay de estos fenmenos naturales, destruyendo la
estructura fsica y tecnolgica de la Divisin de Sistemas.
A4: Interrupcin de servicios o de suministros esenciales:
-

Falta de suministro de energa elctrica a los dispositivos electrnicos,

debido al no pago del servicio o a cualquier dao en la red elctrica de la
compaa prestadora del servicio.

Grupo E de Errores
E2: Errores de diseo existentes desde los procesos de desarrollo del software
(incluidos los de dimensionamiento, por la posible saturacin)
- Existencia de errores de anlisis y diseo del sistema, generando
inconsistencias en la ejecucin de aplicaciones y sistemas.

Grupo P de Amenazas Intencionales Presenciales

P1: Acceso fsico no autorizado con inutilizacin por destruccin o
sustraccin (de equipos, accesorios o infraestructura).
-

Violacin de la seguridad de acceso y penetracin a las instalaciones

fsicas de personal no autorizado.

P3: Acceso lgico no autorizado con alteracin o sustraccin de la

informacin en trnsito o de configuracin; es decir, reduccin de la
confidencialidad para obtener bienes o servicios aprovechables (programas,
datos)
-

Filtracin de la informacin relevante debido a una penetracin en los

sistemas.

P4: Acceso lgico no autorizado con corrupcin o destruccin de

informacin en trnsito o de configuracin: es decir, reduccin de la integridad
y/o disponibilidad del sistema sin provecho directo (sabotaje inmaterial, infeccin
vrica.)
- modificacin y/o de informacin relevante debido a cdigo viral o actos
malintencionados de agentes externos al sistema.
Estimacin de Impactos
La cuantificacin de los Impactos es no slo uno de los procesos ms difciles del
Anlisis de Riesgos, sino que es el ms influyente en el clculo del propio Riesgo.
Como se ver en el Modelo de Eventos, el nivel del Riesgo depende directamente
de la Vulnerabilidad y del Impacto, pero se da a ste un peso mayor por todo el
mundo en el proceso de decisin que subyace al clculo del riesgo.
Se indica varias formas de valorar estos impactos:
Valoracin econmica directa de las Prdidas Cuantitativas N cuando es
posible. (La nica que es cuantitativa)
Estimacin por niveles usando una escala monetaria meramente orientativa que
representa las cantidades a emplear para paliar los daos producidos por una
amenaza materializada en la organizacin.
IMPLEMENTACION DE SEGURIDAD INFORMATICA
Una Funcin es una accin genrica que reduce el Riesgo mientras que un
Mecanismo de procedimiento o dispositivo, fsico o lgico, capaz de reducir el
riesgo. Acta de dos formas posibles, en general alternativas:

 neutralizando o bloqueando la materializacin de la Amenaza antes de ser

agresin
mejorando el estado de seguridad del Activo ya agredido, por reduccin
del Impacto.
-

Activos de Entorno:

Ejecutar un plan de seguridad fsica para la infraestructura de la

divisin de sistema
Implantar plantas elctricas para posibles problemas elctricos
Hacer una revisin constante de los enfriadores de los servidores y
dems aparatos de hardware
Capacitar el personal de la divisin de sistemas en las buenas
prcticas de la seguridad fsica de los sistemas de informacin

Sistema de Informacin
Mantener el servidor en buenas condiciones de uso y con nueva
tecnologa que soporte sus funciones
Descentralizar el funcionamiento del servidor en varios servidores
para funciones especificas
Hacer mantenimientos a la red frecuentemente
Encriptar la informacin que maneja el software para aumentar la
seguridad de los mismos.
Hacer backups de las bases de datos y la aplicacin.
Permitir la gestin de usuarios del sistema con niveles de seguridad
en la plataforma.
Encriptar la informacin o establecer controles de acceso a la
informacin recibida de otras dependencias para los procesos de
matrcula y gestin de profesores.
Establecer niveles de seguridad ms altos para los estudiantes al
momento de incluir y cancelar materias.
Contratar un canal dedicado de internet que permita la disponibilidad
de la red las 24 horas al da
Realizar formatos vlidos para las diferentes solicitudes de
modificacin de los datos de la base de datos
Establecer versiones de la base de datos y la aplicacin.
Ubicar cmaras de seguridad en el rea de los servidores para
conocer que personas tuvieron acceso al servidor.
Establecer protocolos de trasferencia con encriptacin en la red
externa.
Desarrollar un historial de actividades de cada usuario

RIESGOS
Pueden presentarse diferentes tipos de riesgos como los nombrados a
continuacin:
-

Filtracin en el sistema por medio de agentes externos con el fin de violar la

seguridad del sistema y acceder de manera ilcita a la informacin
protegida, sea para observarla como para modificarla y en casos extremos
eliminarla.
Destruccin de la infraestructura tecnolgica de la empresa debido a
alteraciones de orden pblico.
Acceso mal intencionado y no permitido de personas a las salas de
informacin y consecuentemente obtencin de informacin valiosa y
restringida.
Filtracin de cdigo viral en el sistema, interrumpiendo la funcionalidad del
sistema y destruyendo los datos almacenados en las bases de datos.
Dao masivo de equipos electrnicos ocasionados por altas descargas en
el sistema elctrico que alimenta energa para los equipos fsicos del
sistema.

CONCLUSION
Mediante la realizacin del trabajo se analiz el sistema de seguridad de la
divisin de sistemas de la Universidad Nacional de Moquegua, en la cual se
detect una serie de vulnerabilidades, las cuales fueron identificadas para disear
un plan de mitigacin en caso de presentarse un evento leve o fuerte que afecte
negativamente el sistema o un plan de prevencin para llevar esa vulnerabilidad a
sus niveles ms bajos, con el fin de evitar que estos eventos se produzcan.
En la actualidad se han realizado muchas comparaciones entre los diferentes
metodologas aplicables al anlisis y gestin del riesgos para elegir la ms
adecuada a las necesidades de la organizacin.
Adems el plan realizado ha consolidado los conceptos de riesgo, vulnerabilidad,
activo y vulnerabilidad. Conceptos importantes para el desarrollo de la profesin
de ingeniero de sistemas.