Professional Documents
Culture Documents
UNIVERSIDADES DE RISARALDA
1
PROTOCOLO DE POLTICAS DE SEGURIDAD INFORMTICA PARA LAS
UNIVERSIDADES DE RISARALDA
ASESOR
ING. JULIO CESAR CANO RAMREZ
2
DECLARACIN DE DERECHOS DE AUTOR
Por la presente se deja constancia de ser el autor del trabajo de grado titulado:
___________________________ ___________________________
3
AGRADECIMIENTOS
Primero que todo queremos agradecer a nuestro padre superior Dios, que fue quien nos
guio en todo momento con su sabidura y divinidad en el andar de esta experiencia.
Agradecemos inmensamente a nuestros padres que sin ellos no habra sido posible
empezar y culminar esta etapa tan importante de la vida, como lo es formarnos
profesionalmente y con sentido social apoyados por los valores inculcados en nuestro
hogar puestos a prueba en la universidad.
Igualmente le agradecemos al tutor, el ingeniero Julio Csar Cano Ramrez por compartir
tantos conocimientos y su constante colaboracin en la realizacin de este proyecto, y
tambin nuestro primer tutor el ingeniero lvaro Morales por iniciar este proceso y
orientarnos con sus aportes.
Por ltimo a todas aquellas personas, amigos y familiares que de alguna u otro manera
estuvieron involucradas en el transcurso de la carrera y de este proyecto agradecemos
toda su colaboracin y paciencia.
4
RESUMEN
5
ABSTRACT
For that reason, the aim of this work is to carry out a security protocol that
marks clear guidelines at moment to implement security in higher education
institutions, that provide them guidance and recommendations in tools choice .
6
NDICE
Tabla de Contenido
3. OBJETIVOS .............................................................................................................. 14
3.1 Objetivo general ................................................................................................................ 14
3.2 Objetivos especficos ......................................................................................................... 14
4. JUSTIFICACIN ....................................................................................................... 15
5. PLANTEAMIENTO DE LA HIPTESIS ....................................................................... 17
6. DELIMITACIN ....................................................................................................... 18
6.1 Espacial .............................................................................................................................. 18
6.2 Temporal ........................................................................................................................... 18
8. PRESUPUESTO ........................................................................................................ 20
9. CRONOGRAMA DE ACTIVIDADES........................................................................... 22
10. MARCO CONTEXTUAL ........................................................................................ 23
11. MARCO TERICO ................................................................................................ 24
11.1 Antecedentes .................................................................................................................... 24
11.2 Conceptos claves ............................................................................................................... 25
7
11.2.1 Seguridad de la informacin ..................................................................................... 25
11.2.2 Seguridad informtica ............................................................................................... 25
11.2.3 Mecanismos de seguridad......................................................................................... 25
11.2.4 Seguridad pasiva........................................................................................................ 26
11.2.5 Seguridad activa ........................................................................................................ 26
11.2.6 Seguridad fsica ......................................................................................................... 26
11.2.7 Seguridad lgica ........................................................................................................ 26
11.2.8 Arquitectura de seguridad OSI .................................................................................. 27
11.2.9 Servicios de seguridad ............................................................................................... 27
11.3 Normas ISO sobre gestin de seguridad de la informacin. ............................................. 30
11.3.1 ISO 27000 .................................................................................................................. 31
11.3.2 ISO 17000 .................................................................................................................. 32
11.4 Consideraciones al abordar la construccin del Protocolo para elaborar polticas de
seguridad ....................................................................................................................................... 35
11.4.1 Seguridad Informtica ............................................................................................... 35
11.4.2 Anlisis de Riesgos..................................................................................................... 37
11.4.3 Evaluacin de Riesgos ............................................................................................... 37
11.4.4 Importancia de la seguridad ...................................................................................... 40
11.4.5 Funciones de la seguridad informtica ..................................................................... 41
11.4.6 Polticas generales de seguridad ............................................................................... 44
11.4.7 Protocolos ................................................................................................................. 49
12 MODELOS TERICOS.............................................................................................. 53
12.1 Sistema de Gestin de la Seguridad de Informacin (SGSI) .............................................. 53
12.1.1 Modelo PDCA ............................................................................................................ 53
12.1.2 Otra proposicin de una forma de realizar el anlisis para llevar a cabo un sistema
de seguridad informtica .......................................................................................................... 55
14 CONCLUSIONES ...................................................................................................... 77
15 RECOMENDACIONES .............................................................................................. 78
16 REFERENCIAS BIBLIOGRFICAS .............................................................................. 79
17 GLOSARIO ............................................................................................................... 82
18 ANEXOS .................................................................................................................. 88
8
Listado de Ilustraciones
Listado de Tablas
9
1. INTRODUCCIN
10
2. DESCRIPCIN DEL PROBLEMA
11
Robo fsico de activos (6%).
Ataques por fuerza bruta (4%).
RAM scraper (4%).
Phishing (4%).
12
poco ms acerca de estos ataques, cmo operan, de qu manera se pueden
combatir, entre otros.
Cules son los puntos principales que deben ser incluidos en el protocolo de
poltica de seguridad para las universidades de Risaralda?
13
3. OBJETIVOS
Consultar sobre las normas ISO 17000 e ISO 27000 como metodologas
para la seguridad informtica.
14
4. JUSTIFICACIN
15
Recientes estudios han relevado que el 73% de las empresas han sufrido
un ataque informtico, y que estas compaas mueven el 96% de la economa del
pas, es evidente la falta de aseguramiento informtico segn artculos de revistas
especializadas en el tema, como lo es la revista digital Enter donde publican
expertos en seguridad .
16
5. PLANTEAMIENTO DE LA HIPTESIS
17
6. DELIMITACIN
6.1 Espacial
6.2 Temporal
18
7 IDENTIFICACIN DE VARIABLES
TIPO DE OPERACIN
VARIABLE VARIABLE NALIZACIN CATEGORAS DEFINICIN
El seguimiento de
La presencia o
Protocolo para un protocolo puede
ausencia de una
elaborar Normas garantizar la
Cualitativa gua de
polticas de Modelos elaboracin de
seguridad
Seguridad adecuadas normas
genera polticas
de seguridad
1 Variable independiente
TIPO DE OPERACIO
VARIABLE VARIABLE NALIZACIN CATEGORAS DEFINICIN
La implementacin
La presencia o
correcta de la
ausencia de la
Integridad poltica de
Poltica de poltica de
Cualitativa Confidencialida seguridad minimizan
Seguridad seguridad causa un
d Disponibilidad los riesgos en la
impacto positivo en
seguridad
las universidades
informtica
2 Variable dependiente
19
8. PRESUPUESTO
3 Presupuesto
Costo
Materia Fungible Unidades Unidad Costo
Costo
Comunicaciones Unidades Unidad Costo
Costo
Gastos Varios Unidades Unidad Costo
Total $887.810
20
Fuente: Elaboracin Propia
Comunicacion
es
27%
Materia
Fungible Gastos Varios
14% 50%
Imprevisto
9%
21
9. CRONOGRAMA DE ACTIVIDADES
Agosto Septiembre Octubre Noviembre Diciembre Enero Febrero Marzo Abril Mayo
Nro Actividad 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
1 Formuacion del proyecto
2 Investigacion
3 Marco Teorico
4 Entrevistas
5 Encuestas
6 Diseo del Protocolo
7 Conclusiones
8 Resumen
9 Organizacin de documento
2 Cronograma
22
10. MARCO CONTEXTUAL
23
11. MARCO TERICO
11.1 Antecedentes
Las normas en seguridad informtica como la ISO 27000 se han gestado a partir
de entidades normalizadores britnicas como lo es la (British Standards Institution)
que publicaron documentos sobre prcticas en Seguridad para empresas desde
1995, a partir de esto se empez a gestar la familia 27000 el ao 200 como
requisito para un Sistema de gestin de la seguridad de Informacin o SGSI, que
puede ser adoptado en el mbito internacional, de all siguen surgiendo
complementos como la norma ISO 17000.
Pero no existe en el momento una gua para que las propias universidades, es
decir los encargados del rea de sistemas puedan revisar todo lo relacionado con
la seguridad y a partir de all generar su propia poltica basados en los pasos
planteados en el presente trabajo, as como concientizarse de la importancia de
tener esto implementado, actualizado y socializado con toda la comunidad
acadmica.
24
11.2 Conceptos claves
Todo aquello de naturaleza hardware como software que se utiliza para crear,
reforzar y mantener la seguridad informtica.
Se clasifican en:
25
11.2.4 Seguridad pasiva
26
11.2.8 Arquitectura de seguridad OSI
27
No Repudio: Al ser transferido un conjunto de datos, el receptor no puede
rechazar la transferencia, y el emisor debe poder demostrar que envi los
datos correspondientes.
Auditora: Capacidad para determinar todos los movimientos del sistema, como
accesos, transferencias, modificaciones, etc., en el momento en que fueron
llevados a cabo (fecha y hora).
28
De interrupcin: El objetivo de la amenaza es deshabilitar el acceso a la
informacin; por ejemplo, destruyendo componentes fsicos como el disco duro,
bloqueando el acceso a los datos, o cortando o saturando los canales de
comunicacin.
29
Ataques Pasivos: Consiste en slo observar comportamientos o leer informacin,
sin alterar sin alterar el estado del sistema ni la informacin. En este sentido, un
ataque pasivo slo afecta la confidencialidad o privacidad del sistema o de la
informacin.
30
El ISO (International Organization for Standardization, Organizacin Internacional
para la Estandarizacin) es un organismo internacional que se dedica a desarrollar
reglas de normalizacin en diferentes mbitos, entre ellos la informtica.
El IEC (International Ellectrotechnical Commision) es otro organismo que publica
normas de estandarizacin en el campo de la electrnica.
Serie de normas:
ISO 27002: que se corresponde con la ISO 17799, y que describe un cdigo de
buenas prcticas para la gestin de la seguridad de la informacin y los controles
recomendados relacionados con la seguridad.
31
ISO 27003: que contiene una gua para la implementacin de la norma.
ISO 27004: que contiene los estndares en materia de seguridad para poder
evaluar el sistema de gestin de la seguridad de la informacin.
ISO 27005: que recoge el estndar para la gestin del riesgo de la seguridad.
32
Enfoque funcional a la evolucin de la conformidad
Seleccin:
Especificacin de las normas u otros documentos en los cuales se
evaluar la conformidad.
Seleccin de los ejemplos del objeto que se debe evaluar.
Especificacin de tcnicas de muestreo estadstico si es aplicable.
Determinacin:
33
Ensayos para determinar las caractersticas especficas del objeto de
evaluacin.
Inspeccin de las caractersticas fsicas del objeto de la evaluacin.
Auditora de los sistemas y registros relacionados con el objeto de la
evaluacin.
Examen de las especificaciones y los planos para el objeto de la
evaluacin.
Revisin y atestacin:
Revisin de las evidencias relevantes en la etapa de determinacin para
resolver las no conformidades.
Elaborar y emitir una declaracin de conformidad
Coloca una marca de conformidad de productos conformes
Vigilancia:
Llevar a cabo actividades de determinacin en el punto de produccin o
en la cadena de suministro al mercado
Llevar a cabo actividades de determinacin en el mercado
Llevar a cabo actividades de determinacin en el lugar de uso
Revisar los resultados de las actividades de determinacin
Volver a la etapa de determinacin para resolver no conformidades
Elaborar y expedir confirmacin de continuidad de la conformidad
Iniciar acciones correctivas y preventivas en el caso de no
conformidades. (ISO/IEC 17000(ES),2004)
34
11.4 Consideraciones al abordar la construccin del Protocolo para elaborar
polticas de seguridad
35
Segn las caractersticas o fuente de las amenazas, la seguridad se podr
dividir en seguridad lgica y seguridad fsica.
36
Usuarios: Son aquellos individuos que hacen uso de la estructura
tecnolgica y comunicacional y son quienes manejan la informacin.
37
necesario hacer una distincin en cuanto al gasto incurrido en el sistema de
seguridad y el gasto ocasionado por la implantacin o restauracin del dao
ocasionado.
Hay que estar conscientes de la probabilidad de que surjan los problemas, con
el fin de desarrollar medidas o planes de accin adecuados. Tomar en
consideracin los programas existentes, evaluar de cada uno las amenazas que
se puedan presentar y tratar de minimizar estos riesgos, bajo medidas adecuadas
y efectivas.
38
3. Planificacin de las medidas y reduccin de los riesgos: se clasifican en los
siguientes elementos: evaluacin de los riesgos, estrategia de proteccin,
ponderacin de los riesgos y plano de reduccin de los riesgos.
2. Identificacin de amenazas.
3. Identificacin de vulnerabilidades.
4. Control de anlisis.
6. Anlisis de impacto.
8. Recomendaciones de control.
Mehari
Diagnstico de Seguridad
Anlisis de Riesgos
39
11.4.4 Importancia de la seguridad
40
la investigacin de operaciones y con los conceptos de psicologa cognitiva. (p.
39)
Se puede, por lo tanto tambin detallar que hay que tomar la seguridad ms
en serio ya que est en juego la informacin y los equipos lo que se refleja en un
tema financiero crtico para las instituciones.
Hay que tener en cuenta que la seguridad informtica est en estrecha relacin
con la forma, modo o lugar en que se emplea, de all que sea importante traer a
colacin a tres autores que se han ido identificando con el tema.
41
Realizar campaas de capacitacin, difusin y concientizacin que
eleven el nivel de recepcin, entendimiento y conocimiento del personal
en general sobre la materia.
Entre las existentes, es una de las mejores opciones para reas donde el
control resulta esencial aunque se tenga que sacrificar algo de desempeo en
produccin a costa de una mejor vigilancia. Algunos sectores donde este
42
esquema puede ser benfico son: Financiero, Farmacutico, Salud, Gobierno,
Organismos Militares y Organismos Policiales.
43
La inversin en seguridad informtica es un reto para los encargados de
este tema en las organizaciones. Surgen preguntas alrededor del tema de
presupuesto, impacto y retorno de la inversin que en la actualidad causan revuelo
y establecen muchos interrogantes para aquellos que se halla en la tarea de
justificar presupuestos de seguridad informtica. (p.86)
44
Rango de accin de las polticas. Esto se refiere a las personas sobre
las cuales se posa la ley, as como los sistemas a los que afecta.
45
11.4.6.2 Caractersticas de las PSI
Cada poltica redactada, debe explicar por qu se toma dicha decisin y por
qu se protegen esos servicios o conocimientos particulares
Toda PSI debe ser vigilada por un ente, una autoridad, que la haga cumplir
y apique los correctivos necesarios. Sin embargo, no debe confundirse una PSI
con una ley, y no debe verse como tal.
46
Antes que nada, se debe hacer una evaluacin de riesgos informticos, para
valorar los elementos sobre los cuales sern aplicadas las PSI.
El siguiente paso es determinar quines son las personas que dan las
rdenes sobre los elementos valorados en la empresa. Ellos deben conocer el
proceso de las PSI, ya que sobre ellos recae la responsabilidad de los activos
crticos.
47
Al momento de realizar una poltica de seguridad se debe tener en cuenta
algunos aspectos tales como:
Para que un sistema est seguro, se debe contar con algunos servicios de
seguridad, que nos ayuden a minimizar los riesgos de fuga de informacin, sin
embargo, implementar cada uno de estos servicios en un hardware diferente,
implicas gastos y muchas horas de trabajo. Afortunadamente en la actualidad se
cuenta con appliances o utm's las cuales se caracterizan por ofrecer todos los
servicios de seguridad en un solo equipo.
48
Lo postulado con antelacin ayudar a mitigar los problemas causados por
el abordaje en cuanto a esta temtica, cabe resaltar que esto no reducir en 100%
los factores externos como son los ataques y amenazas.
11.4.7 Protocolos
49
toman como referencia todas estas disposiciones, usos, tradiciones y
costumbres.
Tipos de protocolos
Arbitrados.
Adjudicados.
Los protocolos adjudicados son una variante de los arbitrados. Tambin se basan
en una tercera parte confiable, pero esta parte, sin embargo, no siempre es
requerida.
50
Auto implementado
Estos son los mejores protocolos. Se disean de tal manera que hacen
virtualmente imposible el engao. No requieren ni arbitro ni juez. Garantizan lo
siguiente: si cualquier participante en el protocolo engaa, el engao es
descubierto inmediatamente por el otro u otros participantes.
51
encuestas y entrevistas. Son muy pocas las entidades que se dedican a la
prestacin de este servicio, y quienes la prestan no han evolucionado al ritmo en
cmo estn evolucionando estos peligros de seguridad informtica.
52
12 MODELOS TERICOS
5 Modelo PDCA
1
PDCA por sus siglas en ingls Plan Do Check - Act
53
Fuente:
http://www.inteco.es/Formacion/SGSI/Conceptos_Basicos/Modelos_PDCA_SG
SI/
Planificar:
Definir el alcance del SGSI
Definir la poltica de seguridad
Elegir la metodologa de evaluacin de riesgos
Realizacin del inventario de activos
Identificar amenazas y vulnerabilidades
Identificar impactos
Anlisis y evaluacin del riesgo
Seleccin de controles
Ejecutar:
Definir plan de tratamiento de los riesgos
Implantar plan de tratamiento de riesgos
Implementar los controles
Formacin y concienciacin
Operar el SGSI
Verificar:
Revisar el SGSI
Medir eficacia de los controles
Revisar riesgos residuales
Realizar auditoras internas del SGSI
Registrar acciones y eventos
Actuar
Implantar mejoras
54
Acciones correctivas
Acciones preventivas
Acciones de mejora
Comprobar eficacia de las mejoras
12.1.2 Otra proposicin de una forma de realizar el anlisis para llevar a cabo un
sistema de seguridad informtica
Antes que nada, se crea una base de anlisis para el sistema de seguridad, que
est basada en varios elementos:
55
Consecuencias posibles si falla la seguridad de la empresa
Amenazas posibles de la empresa.
Luego de evaluar este conjunto de elementos, que conforman la base del anlisis
del sistema de seguridad se procede a realizar el programa de seguridad, el cual
contiene todos los pasos a tomar para definir la seguridad deseada. Luego de
terminar este programa, se pasa al plan de accin, que posee todas las acciones a
llevar a cabo para implantar el programa de seguridad.
56
13 CONCRECIN DEL MODELO
Para el desarrollo del objetivo general del proyecto es necesario abordar unos
puntos especficos con acciones que se definirn a continuacin.
57
sistemas, el acceso al data center, la cantidad de estudiantes y
trabajadores para as poder establecer los principales pasos de un
protocolo de poltica de seguridad informtica.
Las amenazas que se pueden surgir y las vulnerabilidades que se den por
el descuido de lo anterior, abren paso a que los atacantes las exploten ya
que es sabido que no hay un sistema 100% efectivo, por lo cual es
indispensable tener estos puntos crticos controlados por la inmensa
cantidad de incidencias del exterior y del interior de las empresas o
universidades.
58
Es importante conocer en el sector productivo cules son las tcnicas
utilizadas en cuanto a la seguridad informtica, estas deben ser muy
rigurosas por la criticidad de su activo principal que es la informacin y
cuentan con polticas de seguridad informticas que pueden servir de base
para la formulacin del protocolo porque son aplicables a cualquier
empresa o institucin de educacin superior. stas son las empresas a las
cuales se pudo obtener acceso al rea de sistemas y conocer sus polticas.
Es entonces aqu donde se definen las acciones que se van a tomar en cuanto a
las universidades y empresas escogidas para conocer y analizar su informacin y
los sistemas de seguridad informticos implementados por ellas:
59
plataformas tecnolgicas utilizadas (Software, Hardware, redes y
comunicaciones).
Con sta informacin ya clara, hay que analizar y establecer las amenazas
y vulnerabilidades a la que estos sistemas estn expuestos, al momento de
un ataque informtico.
Todo esto se convertir en una gua o protocolo que pueden seguir las
universidades para asegurar su informacin, desde como determinar los activos, la
informacin, sus sistemas y plataforma tecnolgica, como identificar las
amenazas, vulnerabilidades y ataques que pueden tener hasta observar los
mtodos para elaborar una buena poltica de seguridad completa que mitigue al
mnimo el riesgo de tener ofensivas a sus sistemas de informacin.
60
13.2 Resultados de las encuestas y entrevistas
53%
52%
51%
50%
49% 52,500%
48%
47% 6 Resultados Pregunta 1
46% 47,500% Acadmicos
45%
61
Si No
Se puede apreciar que ms de la mitad de los estudiantes de todas las
universidades no sabe sobre el tema.
120%
98%
100%
78%
80% 70%
60%
38%
40%
25%
20%
0%
Estudio Redes sociales Descargar Musica Juegos en linea
informacin
62
Se puede observar que no solo dentro de la red de la universidad se utilizan los
recursos para estudio, tambin para otras actividades que pueden acrecentar los
peligros de ataques informticos.
63
10 Resultados pregunta 1 Administrativos
En este punto los empleados de las instituciones han escuchado un poco ms
sobre el tema.
64
En sta pregunta se denota que un 93% de los encuestados de las reas
administrativas de las instituciones no conocen las polticas de seguridad
informtica, lo que acarrea que no las implementen y aumenten los riesgos.
65
Se debe mencionar que las muestras no han sido muy representativas, pero se
escogi aleatoriamente buscando en todos los programas y dependencias, ya que
la intencin es conocer la opinin sobre la seguridad en las universidades. Lo
realmente importante del estudio fueron las entrevistas a las personas encargadas
del departamento de sistemas con un tipo semiabierto, es decir, preguntas
cerradas y otras abiertas con acompaamiento de los investigadores.
El pblico objetivo de las entrevistas fueron los jefes de cada rea de sistemas
y eventualmente colaboradores en el departamento de las 4 universidades
escogidas, Universidad Catlica de Pereira, Universidad Tecnolgica de Pereira,
Universidad Libre de Pereira, Fundacin Universitaria del rea Andina. De igual
manera las encuestas se disearon para otros dos pblicos as:
Encuesta
Universidad Entrevistas Acadmica Encuesta Administrativa
Universidad Catlica de Pereira 2 20 10
Universidad Libre de Pereira 1 20 10
Universidad Tecnolgica de Pereira 1 20 10
Fundacin Universitaria de rea Andina 1 20 10
4 Total Entrevistas y Encuestas
Fuente: Elaboracin propia
66
13.3 Proposicin del protocolo para elaborar polticas de seguridad informtica
67
Que no hay unas buenas prcticas de seguridad implementadas en todas las
instituciones ni un conocimiento por parte del personal acadmico y administrativo.
1. Normatividad:
Se debe seleccionar el tipo de normatividad a seguir para garantizar la
seguridad informtica, se recomienda utilizar la Norma ISO 17000 y la
27000 ya que una es complemento de la otra. La Norma 17000 establece
los requisitos especficos que cada organismo debe cumplir para demostrar
su competencia tcnica. Un requisito de esta norma es el sistema de
gestin de calidad, la norma ISO 27000 consiste en una serie de
documentos referentes a gestin de seguridad de la informacin.
Las instituciones deben revisar los servicios que se prestan tanto a nivel
acadmico como a nivel administrativo. Algunos servicios que se prestan
en las instituciones por la parte acadmica son: Pagina Web, matrcula en
lnea, consulta de notas en lnea, correo institucional, inscripcin de
materias en lnea y por la parte administrativa: servicio de conexin a mi
planilla, servicio de terminal virtual, entre otros. Se debe realizar un modelo
donde describa la aplicacin, su uso, el nivel de importancia, los usuarios
que acceden a ella, su disponibilidad, los riesgos, puntos de control y
responsable entre otras caractersticas.
68
tecnolgica. Comunicaciones: UTM2, firewall, antivirus, tipo de conexin a
internet.
personal de
Nombre de la sistemas y
Nombre del Nro. de la dependencia a Nro. serial administrativo
bloque o del oficina o del la que de los DVD- CD- (nombres y
campus 2 saln pertenece equipos 80 GB 2 MB Intel, Amd Micro SD apellidos)
personal de
sistemas y
Nro. serial administrativo
de los DVD- CD- (nombres y
Kabai 3 315 Sistemas equipos 1 TB 16 MB Intel Xeon Micro SD apellidos)
Piso
Bloque Nro. Nro. Oficina Dependencia Nro. Serial Equipo Marca Responsable
personal de
Nombre de la sistemas y
Nombre del Nro. de la dependencia a Nro. serial Impresoras, Nombre administrativo
bloque o del oficina o del la que de los Scanner, del (nombres y
campus 1 saln pertenece equipos Telfonos IP fabricante apellidos)
personal de
sistemas y
administrativo
(nombres y
Nro. serial
apellidos)
de los
Biblioteca 1 105 Biblioteca equipos Scanner HP
6 Inventario Terminales
2
Siglas de Uniefed Threat Management o en espaol Gestin Unificada de Amenazas. Es un dispositivo
Hardware utilizado en las redes de datos para proveer varios servicios de seguridad.
69
Piso Nombre de
Bloque Nro. Nro. Oficina red Nro. Serial Equipo Marca Responsable
personal de
Router, sistemas y
Nombre del Nro. de la Nro. serial Switches, Nombre administrativo
bloque o oficina o del Nombre de la de los Access Point, del (nombres y
del campus 1 saln red equipos UTM fabricante apellidos)
personal de
sistemas y
Nro. serial administrativo
Nombre de la de los (nombres y
Biblioteca 1 105 red equipos Switch 5500G 3Com apellidos)
7 Dispositivos de Red
3. Inventario de Servicios:
Para este punto es adecuado realizar una tabla de aclaraciones sobre los
servicios prestados por la institucin, se anexa un ejemplo a seguir.
ataques por
permite registrar personal de
parte de revisiones
las notas a los docentes, sistemas y
usuarios mal peridicas y
consulta de notas docentes y ser por periodos media estudiantes y administrativo
intencionados, pruebas de
consultadas por administrativos (nombres y
perdida de pen testing
los estudiantes apellidos)
informacin
permite registras
ataques por
las materias por personal de
parte de revisiones
internet a los sistemas y
matricula en estudiantes y usuarios mal peridicas y
estudiantes y ser por periodos media administrativo
lnea administrativos intencionados, pruebas de
organizado por (nombres y
perdida de pen testing
los apellidos)
informacin
administrativos
8 Inventario de Servicios
Este primer paso es muy importante porque permite tener claridad sobre
qu?, cmo? y de quin se debe proteger la informacin, as como el nivel
de importancia del riesgo y el impacto para la institucin que esta aplicacin
o servicios dejen de funcionar.
70
4. Clasificacin de usuarios:
Se deben clasificar los tipos de usuarios que van acceder a la red. Se
recomienda clasificar la parte Administrativa y la parte acadmica en dos
actores importantes.
72
Actualizacin del Software: Se deben ejecutar las ltimas
actualizaciones en los sistemas operativos disponibles en todas las
mquinas de las instituciones.
Inalmbrica:
73
Ocultar el SSID (Identificador de redes inalmbricas)
Cifrado WEB, WPA o WAP2
Se debe configurar restricciones de acceso a la red ya sea por
autenticacin de Mac, servidores radius, o por usuario y contraseas.
Segmentacin de la red por VLANS.
Firewall a nivel de red.
8. Control de acceso:
Se deben asignar roles de acceso a la informacin, controlar acceso y
salida de la informacin, generando contraseas de acceso a los
computadores, aplicaciones administrativas las cuales se recomienda que
cumplan con las siguientes caractersticas:
9. Restricciones de acceso:
Se debe restringir el acceso a sitios crticos como: el data center, oficinas
administrativas, salas de sistemas; para personal autorizado, se
74
recomienda utilizar, equipos de biometra, equipos lectores de tarjetas,
lectores de cdigo de barras, equipos con claves, etc.
75
Se debe pagar una pliza de seguro por lo menos a los equipos ms
costosos de la plataforma tecnolgica como los servidores, y equipos Core,
es decir los ms importantes dentro del sistema de informacin.
76
14 CONCLUSIONES
Por otra parte se detect que los usuarios tanto administrativos como
acadmicos no tienen claro el concepto de seguridad informtica, por
consiguiente no lo aplican. Lo anterior conlleva a que no dimensionen la
importancia del tema y los problemas que pueden ocasionar su mal uso de
los entornos tecnolgicos.
77
15 RECOMENDACIONES
78
16 REFERENCIAS BIBLIOGRFICAS
Garca, Alfonso. Hurtado Cervign. Alegre Ramos, Mara del Pilar. (2011)
Seguridad informtica. Madrid Espaa: Paraninfo SA.
79
Sophos, "los anlisis de virus de Sophos." Consultado el 23 de mayo de 2012.
Disponible desde: http://www.sophos.com/virusinfo/analyses/]
Garca, Alfonso. Hurtado, Cervign. Algre Ramos, Mara del Pilar. (2011).
Seguridad informtica. Espaa. Paraninfo.
80
Modelo PDCA ISO 27000, Instituo Uruguayo de normas tcnicas, 2012
Disponible en: http://www.unit.org.uy/iso27000/iso27000.php?&imprimir=1
81
17 GLOSARIO
Backup: Se refiere a la copia de datos de tal forma que estas puedan restaurar
un sistema despus de una perdida de informacin.
Cifrado: Encriptacin de una seal por el proveedor del programa para evitar
su uso no autorizado. La seal puede ser recuperada para ser utilizada con
autorizacin.
82
macros y cdigos que se ejecutan directamente, como los que suelen
emplearse en las pginas web (scripts).
Fuerza bruta: La fuerza bruta es una tcnica empleada para descubrir claves
en sistemas donde el mtodo sea posible. La fuerza bruta se implementa con
83
un programa que se encarga de probar mltiples claves hasta descubrir la
correcta. Por lo general, las claves que se prueban son distintas
combinaciones de caracteres, pero tambin se pueden probar palabras de un
diccionario predefinido.
84
OSI: Siglas que significan Open Systems Interconnection o Interconexin de
Sistemas Abiertos. Es un modelo o referente creado por la ISO para la
interconexin en un contexto de sistemas abiertos. Se trata de un modelo de
comunicaciones estndar entre los diferentes terminales y host. Las
comunicaciones siguen unas pautas de siete niveles preestablecidos que son
Fsico, Enlace, Red, Transporte, Sesin, Presentacin y Aplicacin.
85
algn tipo de sistema de transmisin de informacin que usa ondas
electromagnticas, como las ondas de radio.
86
Tecnologas de la Informacin: Son un conjunto de tcnicas, desarrollos y
dispositivos avanzados que integran funcionalidades de almacenamiento,
procesamiento y transmisin de datos.
87
18 ANEXOS
Semestre actual
Si
No
Alto
Medio
88
C Bajo
D No importante
Propios
No utiliza
Antivirus
Firewall
C - Contraseas
No utiliza
ACTIVIDAD Si No
Estudio
89
Redes
sociales
Descargar
informacin
Msica
Juegos en
lnea
Personal
Acadmica
Pblica
A Si
B No
90
Cuales?________________________________________________________
____________________
_______________________________________________________________
_______________________________________________________________
______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
______________________________
91
Formato encuesta para personal administrativo
Si
No
Alto
Medio
C Bajo
D No importante
92
Qu tipo de Recursos informticos utiliza en la universidad?
Porttil
Equipos de escritorio
Antivirus
Firewall
Contraseas
No utiliza
No sabe
Si
No
Cual?__________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
___________________________
93
Usualmente en qu actividades se desempea dentro de la red de la
universidad (seale con una X):
ACTIVIDAD Si No
Estudio
Trabajo
Redes
sociales
Descargar
informacin
Msica
Personal
94
A Si
B No
Cules?
_______________________________________________________________
____________________
_______________________________________________________________
_______________________________________________________________
______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
______________________________
95
Formato entrevista para encargados del rea de sistemas
Cargo:
_______________________________________________________________
_____________________
A- Alto
B- Medio
C Bajo
D No importante
__________________________________________________________
______________________________
2.
96
__________________________________________________________
______________________________
__________________________________________________________
______________________________
__________________________________________________________
______________________________
__________________________________________________________
______________________________
__________________________________________________________
______________________________
__________________________________________________________
______________________________
__________________________________________________________
______________________________
__________________________________________________________
______________________________
__________________________________________________________
______________________________
Si
No
97
Otra:
_______________________________________________________________
_______________
_______________________________________________________________
___________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
98
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_________________________
_______________________________________________________________
_______________________________________________________________
______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
____________________________
99
Ha habido algn suceso sobre perdida de informacin o delito informtico?
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
____________________________
INFORMACIN DE LA UNIVERSIDAD
Dependencias de la Universidad:
___________________________________
___________________________________
___________________________________
___________________________________
100