ESCUELA SUPERIOR POLITECNICA DEL LITORAL

FACULTAD DE INGENIERÍA EN ELECTRICIDAD Y COMPUTACIÓN

MAESTRÍA EN SEGURIDAD INFORMATICA APLICADA

(MSIA)

Tema:
“DESARROLLO DEL ESQUEMA DE SEGURIDAD, PLAN DE
RECUPERACIÓN ANTE DESASTRES INFORMÁTICOS Y SOLUCIÓN PARA
EL NIVEL DE EXPOSICIÓN DE AMENAZAS Y VULNERABILIDADES
APLICADA A LOS SERVIDORES Y EQUIPOS DE COMUNICACIÓN DEL
CENTRO DE DATOS DE LA MUNICIPALIDAD DE LA CIUDAD DEL ESTE.”

TESIS DE GRADO

Previa a la obtención del Título de:

MAGÍSTER EN SEGURIDAD INFORMÁTICA APLICADA

Presentada por:

LSI. DANIEL IVÁN QUIRUMBAY YAGUAL

GUAYAQUIL – ECUADOR

AÑO: 2015
 ii

AGRADECIMIENTO

Agradezco a Dios y a cada uno de los profesores

de esta maestría que fueron guías esenciales en

el desarrollo y culminación de esta nueva meta

profesional.
  
 
 
iii

DEDICATORIA

Este trabajo está dedicado a mi familia, a mi

esposa e hijos, así como también a mis Padres,

Suegros y Hermanos quienes han sido los

pilares fundamentales de apoyo a la obtención

de este logro profesional.

 iv

TRIBUNAL DE GRADUACIÓN

_____________________ ___ _______________________

Msig. Robert Andrade Msig. Albert Espinal

DIRECTOR DE LA TESIS MIEMBRO PRINCIPAL

 
 v

DECLARACIÓN EXPRESA

“ La responsabilidad del contenido de esta Tesis de Grado, me corresponde

exclusivamente; y el patrimonio intelectual de la misma a la ESCUELA
SUPERIOR POLITÉCNICA DEL LITORAL.“

(Reglamento de Graduación de la ESPOL.)

___________________________________

Lsi. Daniel Iván Quirumbay Yagual

 vi

RESUMEN

Este documento identifica una propuesta para implementar un plan piloto de

recuperación de desastres y respaldo que sea viable y factible;encaso de que

ocurra algún tipo de incidente la Institución pueda poner en operatividad el

Plan, ayudando inmediatamente a la reactivación y funcionamiento de todos

sus sistemas informáticos, redes y servidores de manera

oportunaminimizando costos.

Conjuntamente se realizó un análisis de Riesgo y Vulnerabilidades al área

TIC’s del Municipio, que permita ver resultados eidentificar unacorrecta y

oportuna preparación al personal demostrando un empoderamiento de sus

responsabilidades y saber cómo actuar ante amenazaso

siniestrosinformáticos a la que se está expuesto hoy en día toda Institución

Pública.

Además se diseñópolíticas, normas y procedimientos de protección de datos

y recursos informáticos basados en estándares ISO, permitiendo minimizar

los riesgos de los activos físicos y lógicos informáticos más críticos de la

Institución.
 vii

Finalmente el aporte profesional que se realiza a esta Institución Pública,

está enfocado a optimar recursos tecnológicos y económicos, utilizando

software adecuados como medios de soporte para la ejecución y continuidad

del Sistema de Seguridad Institucional.

 viii

ÍNDICE GENERAL

AGRADECIMIENTO……………………………………………………………. ii

DEDICATORIA….………………………………..…………………………….. iii

TRIBUNAL DE GRADUACIÓN ……………………………………………... iv

DECLARACIÓN EXPRESA …………………………………………………… v

RESUMEN…………………………………………………………………......... vi

ÍNDICE GENERAL……………………………………………………………... viii

ÍNDICE DE TABLAS……………………………………………………………. xvii

ÍNDICE DE FIGURAS…………………………………….……………………. xx

ABREVIATURAS Y SIMBOLOGÍAS……………………….……………….... xxiii

INTRODUCCIÓN………………………………………….……………………. xxiv

1. ANTECEDENTES Y DIAGNÓSTICO DE LA

INFRAESTRUCTURA DE TICs…….............................................. 1

1.1. ANTECEDENTES ........................................................................, 1

1.2. MISIÓN........................................................................................ 3

1.3. VISIÓN.......................................................................................... 4

1.4. OBJETIVOS GENERALES ........................................................... 4

1.5. DESCRIPCIÓN DEL PROBLEMA................................................ 5

1.6. SOLUCIÓN PROPUESTA ............................................................ 6

1.7. E valuación de la Infraestructura Tecnológica y Software.............. 6

1.7.1. Hardware ..................................................................................... 7

1.7.1.1. Roles .......................................................................................... 8

 ix

1.7.1.2. Características de Servidores..................................................... 9

1.7.2. Software ...................................................................................... 10

1.7.2.1. Catálogo de Sistemas Informáticos ............................................ 11

1.8. E valuación de la Infraestructura de Red ...................................... 13

1.8.1. Red LAN ...................................................................................... 13

1.8.1.1. Características del Cable UTP ................................................... 16

1.8.1.2. Acceso al Internet ....................................................................... 17

1.8.1.3. Topología.................................................................................... 17

1.8.1.4. Dispositivos de Conmutación ................................................... 20

1.8.1.5. Características de Equipos....................................................... 21

1.8.1.6. Dispositivo de Enrutamiento .................................................... 23

1.8.2. Red MAN .................................................................................. 24

1.8.2.1. Arquitectura de la Red MAN ..................................................... 25

1.8.2.2. Dispositivos de Radio Enlace ................................................... 27

1.9. Seguridad de la Información ..................................................... 30

1.9.1. Introducción .............................................................................. 30

1.9.2. Seguridad Perimetral e Interna................................................. 31

1.9.3. Firewall Lógico.......................................................................... 31

1.9.4. DMZ………………………..………………………………………… 32

1.9.5. Diseño lógico del DMZ ............................................................... 33

2. Marco Teórico. ............................................................................ 34

2.1. Introducción ................................................................................ 34

2.2. Análisis del Riesgo del Sistema de Información.......................... 36

2.2.1. El Riesgo Informático................................................................... 36

 x

2.2.2. Características ............................................................................. 37

2.2.3. Clasificación de Riesgo de TI (Tecnología de la Información)..... 40

2.2.4. Metodología ................................................................................. 41

2.2.5. La Norma as/nzs iso 31000:2009 ................................................ 44

2.2.5.1. Estructura de la ISO 31000 ......................................................... 46

2.3. Análisis de Vulnerabilidades ...................................................... 49

2.3.1 Tipos de Análisis .......................................................................... 49

2.4. Plan de Recuperación ante Desastres .................................... 52

2.4.1. Tipos de Contingencia ................................................................ 52

2.4.2. Diferencia entre Emergencia y Contingencia ............................. 53

2.5. P olíticas de Seguridad Informática ............................................ 54

2.5.1. Descripción de la Norma 27002.................................................. 55

2.5.2. Parámetros para establecer Políticas de Seguridad de

Información. ................................................................................ 67

2.6. Cifrado de los Sistemas de Información .................................... 69

2.6.1. Criptografía ................................................................................ 69

2.6.2 Métodos de Encriptación y Protección de la Información ......... 70

2.6.3. Clave Privada (simétrica) ........................................................... 71

2.6.4. Clave Pública (asimétrica) .......................................................... 72

2.6.5 Diferencias entre los Algoritmos Simétricos y los Asimétricos.. 75

2.6.6. Criptoanálisis .............................................................................. 78

2.6.7 Implementación del Algoritmo en Encriptación AES ................. 80

2.6.8 Cifrado de Disco para Linux ....................................................... 81

2.6.9. Cifrado de Disco para Windows.................................................. 82

 xi

2.6.10. Control de Inventarios y monitoreo de PCs................................. 83

3. Evaluación de Riesgos, Amenazas y Vulnerabilidades

Tecnológicas………………………………………………………… 84

3.1. Identificación de Riesgos ............................................................ 84

3.1.1. Análisis de Riesgos...................................................................... 89

3.1.1.1. Magnitud del Riesgo.................................................................... 90

3.1.1.2. Matriz de Priorización y Probabilidades ...................................... 90

3.1.2. Evaluación de Riesgo .................................................................. 95

3.1.2.1. Prioridades o Criterios................................................................. 95

3.1.3. Tratamientos de Riesgos ............................................................. 97

3.1.3.1. Identificación de Alternativas....................................................... 98

3.1.4. Evaluación de las Alternativas .................................................... 98

3.1.5. Preparación de Planes de Tratamiento ...................................... 103

3.1.6. Resultados y Ejecución.............................................................. 106

3.2. Seguridad Física ........................................................................ 107

3.3. S eguridad Lógica ....................................................................... 109

3.4. P robabilidades de Amenazas y Vulnerabilidades Críticas …… 111

3.4.1. Herramientas utilizadas para Detección de Vulnerabilidades..... 114

3.5. Intento de Intrusión Externa ...................................................... 117

3.5.1. Identificación de Objetivos y Recolección de Información ............ 117

3.5.2. Recolección de Información a través de herramientas de la red .. 118

3.5.3. Reconocimiento Pasivo ............................................................... 120

3.6. Intento de Intrusión Interna ........................................................ 135

3.6.1. Escaneo de Red LAN .................................................................. 135

 xii

3.6.2. Scanning de Puertos.................................................................... 137

3.6.3. Análisis de Vulnerabilidades ......................................................... 149

3.6.4. La explotación dentro de la auditoría Técnica ............................. 151

3.6.4.1. Riesgos en el Proceso de Explotación........................................ 151

3.7. E valuación y Valoración de Resultados .................................... 162

3.7.1. Eliminación de Vulnerabilidad.................................................... 163

3.7.2. Filtrado y Bloqueo de Puertos................................................... 166

3.7.3. Evaluación de Vulnerabilidades................................................. 171

3.7.4. Plan de Acción .......................................................................... 172

3.7.5. Implementación de Software IDS .............................................. 173

4. Desarrollo del Plan de Recuperación de Desastres y

Respaldo de Información......................................................... 177

4.1. Introducción............................................................................. 177

4.2. O bjetivo y Alcance del Plan.................................................... 179

4.3. Planificación E stratégica ....................................................... 180

4.3.1. Identificación de Procesos Críticos ......................................... 180

4.4. Plan de Acción ........................................................................ 182

4.5. Actividades previas al Desastre ............................................. 184

4.5.1. Establecimiento de Procedimientos de Acción y Prevención. 185

4.5.1.1. Entorno delos Sistemas y Equipos ......................................... 185

4.5.1.2. Sistemas de Información......................................................... 187

4.5.1.3. Administración de Respaldos.................................................. 190

4.5.1.4. La Obtención y Almacenamiento de los Respaldos de

Información, Backups, Políticas, Normas y Procedimientos

 xiii

de Backups. ........................................................................... 192

4.5.1.5. Modalidad de Respaldo y Tiempo de Ejecución .................... 194

4.5.1.6 Tipos de Respaldo a Utilizar ................................................... 196

4.5.1.7. Secuencia de Respaldo GFS (Grandfather-Father-Son) …… 197

4.5.1.8. Políticas, Normas y Procedimientos de Backups .................... 198

4.5.2. Formación de Equipos Operativos ......................................... 201

4.5.3. . Formación de Equipos Operativos y de Evaluación .............. 203

4.5.3.1. Auditoria de Cumplimiento de los Procedimientos sobre

Seguridad …………………………………………….…………… 203

4.6. A ctividades durante el desastre …......................................... 204

4.6.1. Plan de Emergencias .............................................................. 204

4.6.2. Formación de Equipos ............................................................ 206

4.6.3. Entrenamiento .......................................................................... 206

4.7. A ctividad después del Desastre ............................................. 207

4.7.1. Evaluación de Daños .............................................................. 208

4.7.2. Priorización de Actividades del Plan de Acción ..................... 209

4.7.3. Ejecución de Actividades ....................................................... 210

4.7.4. Evaluación de Resultados ...................................................... 211

4.7.5. Retroalimentación del Plan de Acción .................................... 213

4.7.6. Acciones frente a los tipos de Resgo ..................................... 213

5. Implementación de Políticas de Seguridad aplicables

a la TICs. ................................................................................. 217

5.1. N ormas y Estándares de Seguridad de la TI ........................ 217

5.1.1. Introducción ............................................................................ 217

 xiv

5.1.2. Políticas Generales de Seguridad ........................................... 219

5.1.3. Consideraciones Generales .................................................... 219

5.1.4. Objetivos Generales ................................................................ 220

5.1.5. Beneficios de la Implementación de Políticas de Seguridad

Informática…………………………………………………………... 221

5.2. Diseño de controles de seguridad informática ……………….. 222

5.2.1. Alcance de las Políticas a Diseñar ............................................ 225

5.2.2. Etapas para el Desarrollo de una Política …….......................... 226

5.3. P lan de Implementación de las Políticas de Seguridad

Informática ……………………………………………………...…... 226

5.3.1. Responsabilidad y Tiempo de Ejecución .................................. 226

5.3.2. Diagrama de Planificación para la Implementación de Políticas

de Seguridad............................................................................... 229

5.3.3. Recursos Tecnológicos y Talento Humano............................... 230

5.3.4. Costos de Implementación ........................................................ 231

5.3.5. Análisis de la Política de Seguridad para el Área Tics

Municipal …………………………………………………………………… 233

5.4. G uía para el establecimiento del Plan de Políticas de

S eguridad …………………………………………………………... 234

5.4.1. Políticas de Seguridad para Instalaciones Físicas................... 234

5.4.1.1. Robo de Equipo ....................................................................... 236

5.4.1.2. Mantenimiento y Protección Física........................................... 237

5.4.2. Políticas de Control de Acceso a la Información...................... 238

5.4.2.1. Políticas de Contraseñas ......................................................... 240

 xv

5.4.2.2. Prohibición en Política de Contraseña .................................... 242

5.4.2.3. Perfiles de Acceso en la Red................................................... 243

5.4.2.4. Asegurando el Acceso ............................................................. 244

5.4.3. Políticas de Seguridad para Cuentas de Usuario del Sistema

Institucional …………………………………………………………... 245

5.4.3.1. Tipos de Cuentas de Usuario .................................................. 246

5.4.3.2. Criterios en la Construcción de Contraseñas Seguras ............ 249

5.4.4. Políticas de Seguridad para el uso de Equipos Informáticos .. 250

5.4.5. Políticas de Seguridad para el Uso del Internet ....................... 253

5.4.5.1. Difusión .................................................................................... 256

5.4.6. Políticas de Seguridad Inalámbrica ........................................... 256

5.4.6.1. Asignación del Servicio ............................................................. 258

5.4.6.2. Disponibilidad del servicio........................................................ 258

5.4.6.3. Suspensión del Servicio............................................................ 259

5.4.7. Política de Seguridad para el manejo de Correo Electrónico 259

5.4.7.1. Restricciones para el Servicio de Correo Electrónico ............. 262

5.4.7.2. Privacidad en los Servicios de Correo:.................................... 265

5.4.8. Políticas de Seguridad de Respaldo y Recuperación ............ 265

5.4.8.1. Consideraciones Generales ................................................... 267

5.5. R esponsabilidades del Usuario............................................ 270

5.6. R esponsabilidad del Administrador de la TI ………........... 271

5.7. Implementación, Administración, Configuración de

Servicios, procedimientos y protocolos de seguridad ………. 272

5.8. Aplicación de Métodos de Encriptación y Protección de la

 xvi

Información ……………………………………………………… 273

CONCLUSIONES Y RECOMENDACIONES xxvi

BIBLIOGRAFÍA xxix
GLOSARIO xxiii
  
 
 
xvii

ÍNDICE DE TABLAS

Tabla 1-1. Roles………………………………………………………………............... 8

Tabla 1-2. Características de Servidores………………….…………………………. 10

Tabla 1-3.Catálogos de Sistemas Informáticos..……………………………………. 12

Tabla 1-4. Categorización de la Transacionabilidad de las operaciones………… 12

Tabla 1-5. Características del Cable UTP……………………………………………. 16

Tabla 1-6. Dispositivos de Conmutación …………………………………………….. 20

Tabla 1-7. Dispositivos de Conmutación1………………………………………….... 21

Tabla 1-8. Dispositivos de Conmutación 2…………………………………………… 23

Tabla 1-9. Dispositivo de Enrutamiento ……………………………………………... 24

Tabla 1-10. Dispositivo de Radio Enlace 1 .............………………………………... 27

Tabla 1-11. Dispositivo de Radio Enlace 2 .............………………………………… 28

Tabla 1-12. Dispositivo de Radio Enlace 3 .............………………………………… 29

Tabla 2.13 Normativa ISO 27002:2013 ……………………………………………... 65

Tabla 2-14. Tabla comparativa entre criptografía simétrica y asimétrica………… 78

Tabla 3-15. Identificación de Riesgos ……………………………………………….. 89

Tabla 3-16. Matriz de Priorización ………………………………………................... 91

Tabla 3-17. Análisis de Riesgo ……………………………………………………….. 95

Tabla 3-18. Evaluación de Riesgos ………………………………………………….. 97

Tabla 3-19. Alternativas de Manejo de Riesgo ……………………...……………… 98

Tabla 3-20. Evaluación de Alternativas …………………...………………............... 103

Tabla 3-21. Índice de Magnitud y prioridad esperada ……………………………… 105

Tabla 3-22. Herramientas utilizadas para la detección de vulnerabilidades …….. 116

  
 
 
xviii

Tabla 3-23. Tabla de IP Pública encontrada Servidor Firewall …………………… 134

Tabla 3-24. Tabla de IP Pública encontrada Servidor de Correo ………………… 135

Tabla 3-25. Tabla de Servidor Administrador de Virtuales ………..………………. 141

Tabla 3-26. Tabla de Servidor de la Base de Datos Oracle ………………………. 142

Tabla 3-27. Tabla de Servidor de Cámaras IP ……………………………………… 143

Tabla 3-28. Tabla de Servidor de Respaldos ……………………………………….. 144

Tabla 3-29. Tabla de Servidor de Documentación twiki …………………………… 144

Tabla 3-30. Tabla de Servidor Web Institucional ………………………….............. 145

Tabla 3-31. Tabla de Servidor DNS ………………………………………………….. 146

Tabla 3-32. Tabla de Servidor Firewall y Proxy …………………………………….. 146

Tabla 3-33. Tabla de Servidor de Aplicaciones 1…………………………………… 148

Tabla 3-34. Tabla de Servidor de Aplicaciones 2…………………………………… 149

Tabla 3-35. Tabla de Identificación de Vulnerabilidad # 1 ………………………… 156

Tabla 3-36. Tabla de Identificación de Vulnerabilidad # 2 ………………………… 157

Tabla 3-37. Tabla de Identificación de Vulnerabilidad # 3 ………………………… 159

Tabla 3-38. Tabla de Identificación de Vulnerabilidad # 4 ………………………… 161

Tabla 3-39. Tabla de Identificación de Vulnerabilidad # 5 ………………………… 162

Tabla 4-40. Nivel de Criticidad de los Procesos en caso de evento de

Interrupción………………………………………………………................................. 181

Tabla 4-41. Etapas de Plan de Recuperación de Desastres y Respaldos ……… 184

Tabla 4-42. Sistemas de Información Municipal……………………….……………. 189

Tabla 4-43. Secuencia de Respaldo GFS (Grandfather-Father-Son)…………….. 197

Tabla 4-44. Tabla de Prioridad de Respaldo de Aplicativos……...….……………. 201

Tabla 4-45. Tabla de Ejecución de Procedimiento……………….…………………. 210

  
 
 
xix

Tabla 4-46. Acciones frente a Riesgo # 1 ……….……………….…………………. 214

Tabla 4-47. Acciones frente a Riesgo # 2 ……….……………….…………………. 215

Tabla 4-48. Acciones frente a Riesgo # 3 ……….……………….…………………. 216

Tabla 4-49. Acciones frente a Riesgo # 4 ……….……………….…………………. 216

Tabla 5-50. Tabla de Dominios a Implementar…………………….………………... 224

Tabla 5-51. Tabla de responsabilidades y tiempo de ejecución…………………... 228

Tabla 5-52. Tabla de Costo de Diseño …..………………………….………………. 231

Tabla 5-53. Tabla de Costo de Implementación…………………….………………. 232

Tabla 5-54. Tabla de Costo Total Inversión………………………….………………. 232

Tabla 5-55. Proceso de Auditoría Informática ……………….……………….…….. 234

Tabla 5-56. Perfil del Sistema Municipal ……………….……………………………. 244

  
 
 
xx

ÍNDICE DE FIGURAS

Figura 1-1. Cableado Estructurado del Centro de Procesamiento de Datos …... 15

Figura 1-2. Topología lógica de la Red LAN…………………………………………. 17

Figura 1-3. Organizador de Fibra Óptica Edificio Principal …….………………….. 18

Figura 1-4. Organizador de Fibra Óptica Edificio Segundo …..…..……………….. 19

Figura 1-5. Topología física de la Red LAN..………………………………………... 19

Figura 1-6. Swtich TP-Link Manager TL-SG3424…………………………………... 21

Figura 1-7. Swtich ZyXel - GS1910-24……………………….................................. 22

Figura 1-8. Unicom Smart GST2402G…............................................................... 22

Figura 1-9. Router Cisco 1841…………………...................................................... 23

Figura 1-10. Red MAN ..……………………………………………………………...... 24

Figura 1-11. Arquitectura de Red Metropolitana …………………………….……... 26

Figura 1-12. Airmax5N……..……………………………………………………..……. 27

Figura 1-13. Canopy Backhaul 5.7 Ghz 5700bh20…………………….…………. 28

Figura 1-14. Ubiquiti NS2 NanoStation2 2.4 GHz 10 dBi 400mW ……………… 29

Figura 1-15. Diseño Lógico del DMZ ..……………………………………………….. 33

Figura 2-16. Elementos del Análisis de Riesgo Informático…..………………….... 39

Figura 2-17. Estructura procedural de la normativa ISO 31000…………………… 46

Figura 2-18. Estándar ISO 31000:2009 de Gestión de Riesgo …………………… 48

Figura 2-19. ISO 27002:2005 vs. ISO 27002:2013………………………............... 66

Figura 2-20. Clave Privada ………………………………..………...………………... 72

Figura 2-21. Clave Pública …………………………………………………................ 73

Figura 3-22. Criterios de Evaluación de riesgo…………………………..………….. 95

  
 
 
xxi

Figura 3-23. Encuestas sobre seguridad y crimen informático ………………….... 112

Figura 3-24. Productos más afectados por las vulnerabilidades ………................ 113

Figura 3-25. Fabricantes más afectados por las vulnerabilidades …..…………… 114

Figura 3-26. Comando Ping …………………………………………………………... 118

Figura 3-27. Portal de Registro de Dominios del Ecuador ……………….............. 119

Figura 3-28. Traceroute portal web “ciudaddeleste.gob.ec”…………………….…. 120

Figura 3.29. Búsqueda con google hacking1 ……………………………………….. 121

Figura 3-30. Búsqueda con google hacking2 ……………………………................ 122

Figura 3-31. Instalación de la Extensión PassiveRecon 2.00 ………..…………. 123

Figura 3-32. Opción del PassiveRecon ………………………………...……………. 124

Figura 3-33. Análisis Web con Netcraft ……………………...…………………….… 125

Figura 3-34. Herramienta domaintools ………………………………………………. 126

Figura 3-35. Herramienta Domaindossier …………………………………………… 127

Figura 3-36. Utilidad theharvester en backtrack 5 r3 .……………………………… 128

Figura 3-37. Manejo de NMAP ……………………………………………………….. 129

Figura 3-38. Ejecución comando NMAP …………………………………………….. 129

Figura 3-39. Comando Telnet ……………………………………………………..….. 130

Figura 3-40. Comando FTP …………………………………………………………… 130

Figura 3-41. Mapa de enlaces externo Sitio Web ………………………………….. 131

Figura 3-42. Análisis de vulnerabilidades Portal Web Municipal …………………. 132

Figura 3-43. Vulnerabilidad portal Web #1 ………………………………………….. 133

Figura 3-44. Vulnerabilidad portal Web # 2 …………………………………………. 133

Figura 3-45. Escaneo de puerto con software NetScan …..……………………… 136

Figura 3-46. Análisis NMAP, Puertos abiertos ……………………………………… 138

  
 
 
xxii

Figura 3-47. Análisis NMAP, Puertos, servicios y versión ………………………… 138

Figura 3-48. Banner con el nombre de la institución y tipo de administrado

portal Web………………………………………........................................................ 139

Figura 3-49. Trazado de ruta al momento de hacer ping desde una máquina

externa …………………………………………………………………………………... 139

Figura 3-50. Análisis de vulnerabilidad con Nessus ……………………………….. 153

Figura 3-51. Niveles de Vulnerabilidades con Nessus…………………………….. 154

Figura 3-52. Vulnerabilidad PHP encontrada por Nessus ………………………... 164

Figura 3-53. Actualización de Paquetes PHP ……………………………………..... 164

Figura 3-54. Renombrar archivo htaccess.txt ………………………...................... 165

Figura 3-55. Prueba de vulnerabilidad en Joomla ………………………………….. 166

Figura 3-56. Bloque de puertos en Servidor ………………………………………… 167

Figura 3-57. Inhabilitar servicios innecesarios en Servidor de Aplicaciones …… 168

Figura 3-58. Configuración de Puertos específicos para el Servidor de

Aplicaciones ……………………………………………………..……………………… 168

Figura 3-59. Habilitar firewall de Centos 5.3 ……..……………...…………………. 169

Figura 3-60. Configuración de Firewall Linux ……………………………………….. 170

Figura 3-61. Cierre de puertos en Servidor DNS …………………….…………….. 171

Figura 3-62. Diagrama de Ubicación del IDS en el Centro de Datos

Municipal…………………………………………………………….…………………… 176

Figura 5-63. Desarrollo de Políticas de Seguridad………………………………….. 226

Figura 5-64. Diagrama de GANTT…………………………………………................ 229

  
 
 
xxiii 

ABREVIATURAS Y SIMBOLOGÍA

AS/NZS Estándar Australiano/Neozelandés

Ciberataque Ataque Informático

DBA Administrador de la Base de Datos

DMZ Zona desmilitarizada

DNS Sistema de nombres de Dominio

Firewall Corta fuego o pared de fuego

FTP Protocolo de Transferencia de Archivos

Full Duplex En redes: transmisión y recepción de datos simultáneos

GPL Licencia Pública General

IDS Sistema de Detección de Intrusos

IPS Sistema de Prevención de Intrusos

ISO/IEC Organización de Estándares Internacionales /Comisión

Electrotécnica Internacional

NIST Instituto Nacional de Estándares y Tecnología

NMAP Rastreo de puertos escrito originalmente por Gordon

Lyon

Pentesting Método mediante el cual se evalúa la seguridad de un

sistema informático, mediante un ataque simulado.

TICs Tecnología de la Información y la Comunicación

Wireshark Analizador de Tráfico en la red

 
  
 
 
xxiv 

INTRODUCCIÓN

Este documento contiene la realización del análisis de riesgos, amenazas y

vulnerabilidades al área tecnológica del Municipio de la Ciudad del Este,

permitiendo garantizar la integridad y disponibilidad de la información,

basado en un estudio previo de posibles amenazas utilizando como guía la

normativa AS/NZS ISO 31000:2009 de riesgos Informáticos.

La detección de vulnerabilidades basada en la técnica de ethical hacking y la

utilización de herramientas de Pentesting, permite salvaguardar los sistemas

informáticos de cualquier amenaza sea esta interna o externa a la que hoy en

día se encuentra expuesta toda Institución Pública, para dar solución a toda

inseguridad detectada con el objetivo de minimizar el riesgo y su impacto

económico.

El desarrollo de un plan de recuperación de desastres y respaldo de la

información permite establecer responsabilidades a los usuarios dueños de

los procesos y tener la capacidad operacional para la recuperación inmediata

ante cualquier incidente que suceda en la institución

  
 
 
xxv 

Finalmente la implementación dela política de seguridadalineadabajo la guía

del estándar Británico ISO/IEC 27002:2013, se orienta específicamente a

una institución pública municipal, permite entonces enfocarse a la

capacitación y socialización de buenas prácticas del manejo de Servicios y

equipos tecnológicos pertenecientes a la institución.

 1

CAPÍTULO 1

1. ANTECEDENTES Y DIAGNÓSTICO DE LA

INFRAESTRUCTURA DE TIC.

1.1. ANTECEDENTES

La Ciudad del Este a consecuencia del crecimiento notable de la población

fue elevado a parroquia rural del Cantón Santa María el 11 de diciembre de

1935, luego cuando la población de la parroquia Salinas se cantonizó, La

Ciudad del Este se convirtió en parroquia de esta localidad en 1937.

 2

El crecimiento poblacional y económico fue acelerado gracias a la

exportación del petróleo, esto hizo que se desarrolle rápidamente y el 14 de

abril de 1993, “Ciudad del Este” se convirtió oficialmente en Cantón de la

Provincia de Santa María mediante Decreto No. 23 publicado en el Registro

Oficial No. 168 del 14 de abril de 1.993, con una superficie de 25,6 Km2.

Una vez convertida la Ciudad del Este en cantón fue el inicio de la Ilustre

Municipalidad Ciudad del Este, la Constitución de la República del Ecuador

aprobada en el 2008 da la apertura a nuevos esquemas de descentralización

planteados por el gobierno actual a través de la Constitución Política, los

Municipios de los Cantones de cada una de las Provincias, componentes de

la división política del Ecuador, ahora se denominan “Gobiernos Autónomos

Descentralizados (GAD´s) ” y tienen competencias exclusivas en

planificación territorial, obras públicas y movilidad.

Estos Gobiernos Autónomos Descentralizados gozan de autonomía política,

administrativa y financiera, y se deben regir a los principios de solidaridad,

subsidiariedad, equidad interterritorial, integración y participación ciudadana.

Actualmente está establecido en la Constitución de la República del Ecuador

que los Gobiernos Autónomos Descentralizados deben generar sus propios

recursos financieros, conjuntamente también participarán de las rentas del

 3

Estado; además, se prevé que participen de al menos el quince por ciento de

ingresos permanentes y de un monto no inferior al cinco por ciento de los no

permanentes correspondientes al Estado Central. Los principios que rigen

estas participaciones son: asignaciones anuales que sean predecibles,

directas, oportunas y automáticas

Los criterios para la distribución de los recursos entre los Gobiernos

Autónomos Descentralizados son los siguientes:

1. Tamaño y densidad de la población.

2. Necesidades básicas insatisfechas, jerarquizadas y consideradas en

relación con la población residente en el territorio de cada uno de los

Gobiernos Autónomos Descentralizados.

3. Logros en el mejoramiento de los niveles de vida, esfuerzo fiscal y

administrativo, y cumplimiento de metas del Plan Nacional de

Desarrollo y del plan de desarrollo del Gobierno Autónomo

Descentralizado.

1.2. MISIÓN

Somos un gobierno local líder, que promueve el desarrollo humano

sostenible, entregando a la comunidad servicios de calidad y calidez; con tal

 4

propósito desarrolla una gestión eficiente, transparente y participativa;

contribuyendo de esta manera, al bienestar material y espiritual de la

colectividad.

1.3. VISIÓN

El Gobierno Autónomo Descentralizado Municipal del Cantón Ciudad del

Este, con la participación activa de la ciudadanía y la planificación articulada

con los distintos o iguales niveles de gobierno, contribuirá a construir un

modelo de desarrollo humano sostenible y equitativo, que privilegia la

consecución del buen vivir; constituyéndose de esta manera, en el motor del

progreso Cantonal y Provincial. Su talento humano es solidario, altamente

competitivo, honesto y comprometido con su institución y su cantón.

1.4. OBJETIVOS GENERALES

Mejorar la calidad de vida del Cantón Ciudad del Este garantizando el

ejercicio de los derechos de la ciudadanía, en iguales condiciones, mediante

la capacitación e integración familiar en un ambiente social, aplicando

políticas de manejo ambiental, conservando los espacios naturales y

desarrollndo actividades sosteniblemente que garanticen el buen vivir de las

 5

ciudadanas y ciudadanos de este cantón, a través de la ejecución de

proyectos de biodiversidad.

1.5. DESCRIPCIÓN DEL PROBLEMA

La rápida evolución informática en estos tiempos requiere que todas las

organizaciones privadas y estatales adopten un conjunto mínimo de controles

de seguridad para proteger sus sistemas de información. En vista de esta

situación el GAD Municipal del Cantón Ciudad del Este tiene la necesidad de

implementar políticas y normas de seguridad basados en estándares que

permita regular los servicios que ofrece a través de todo el equipo

tecnológico utilizado en la Institución Municipal.

La falta de estos controles de seguridad informática causan que esta área se

encuentre expuesta a un nivel de amenaza muy alto que a su vez pudiera

provocar la pérdida de información crítica y originar la paralización de todos

los servicios que ofrece la institución, adicionalmente es importante destacar

que las Instituciones Públicas dispongan además de un Plan de

Recuperación ante Desastres que permita de una manera oportuna y optima

mantener la continuidad operativa y que sea aplicable específicamente al

Centro de Procesamiento de Datos Municipal.

 6

1.6. Solución Propuesta

Como solución se propone implementar un plan de recuperación ante

desastres que sea viable y factible, y en caso de que ocurra algún tipo de

incidente, el GAD Municipal pueda poner en operatividad el Plan que permita

ayudar a la reactivación del funcionamiento de todos sus sistemas

informáticos, redes y servidores.

Conjuntamente se propone diseñar, implantar y mantener políticas, normas y

procedimientos de protección de datos y recursos informáticos basados en

estándares internacionales que minimicen los riesgos de los activos físicos y

lógicos informáticos más críticos de la Institución, además de implementar

medidas de seguridad en el Centro de Datos que mitiguen las

vulnerabilidades y amenazas informáticas a la que se está expuesto todo

equipo informático.

1.7. Evaluación de la Infraestructura Tecnológica y Software

El GAD Municipal del Cantón Ciudad del Este, actualmente cuenta con una

infraestructura básica, estable y robusta que le permite estar a la vanguardia

en el desarrollo tecnológico que ésta demanda, con el fin de ofrecer un buen

 7

servicio a la comunidad de una forma óptima y ágil, tal y como se detalla a

continuación en cada una de las descripciones técnicas.

1.7.1. Hardware

El crecimiento continuo de la Institución en estos últimos años ha permitido

generar grandes cambios en el área del Centro de Procesamiento de Datos

Municipal, actualmente cuenta con su propio espacio físico y sistema de

enfriamiento. Los equipos Informáticos tales como Servidores Datos, Voz y

Video son mantenidos gracias al constante Mantenimiento preventivo y

actualización de Software al que son sometidos, para que de esta manera

garanticen la continuidad de la gestión administrativa y se pueda brindar un

servicio de excelente calidad a la comunidad.

El Centro de Procesamiento de Datos cuenta con Servidores de la línea de

IBM y HP, los mismos que cumplen distinto roles para brindar los servicios de

base de datos, internet, correo electrónico, respaldo, entre otros.

 8

1.7.1.1. Roles

Rol de Servidores Sistema Operativo

Servidor de Base de Datos

Windows 2003 Server R2
Servidor de Aplicaciones2

Server de Aplicaciones 1

Server Web

Server de Respaldo

Server DNS

Servidor de Impresiones Linux Centos 5.3

Server de Correo Electrónico

Server Proxy

Server Firewall

Server FTP

Server PBX Software Libre

Tabla 1-1. Roles

En la Institución se promueve la utilización del software libre tanto en los

servidores y los equipos de oficina, generando de esta manera un ahorro

considerable en la compra de licencias y como se observa en la tabla 1-1

Roles la mayoría de los Servidores de Datos poseen este tipo de Software.

 9

Es importante recalcar que los Sistema Operativos con Licencia y que

cumplen un rol especifico, son utilizados por que aún no se han encontrado

dentro de la paquetería Software Libre algún aplicativo que los reemplace.

1.7.1.2. Características de Servidores

PROCESADOR Tipo de
Característica
# MEMORIA
ROL MARCA MODELO Tarjeta s
Tipo Núcleo RAM
de Red Disco Duro
s

APLICACIONE System 1Xeon 3.0 1 Gbps Disco 1:

IBM 2 6 GB.
S1 X3200 M2 Ghz. 250GB.

1 Gbps Disco 1: 300Gb

APLICACIONE System 1Xeon 2.0
IBM 2 4 GB. Disco 500Gb.
S2 X3650 Ghz.
Disco3: 1 TB.

Proliant 1 Gbps Disco1: 250Gb.

2 Xeon 3.2
WEB HP ML 150 4 8 GB. Disco2: 250Gb.
Ghz.
G2

Proliant 1 Gbps Disco1:146.8

1 Xeon 3.06
Base de Datos HP ML 370 1 4 GB. Disco2: 36.4
Ghz.
G3 Disco3: 36.4

1 Xeon 1.86 1 Gbps Cuatro

Server Backup IOMEGA NAS 450R 2 2 GB.
Ghz. Disco:500 Gb.

Dual
DENWA 1 Intel 1.8
Server PBX DENWA 2 Gigabit 1GB. 32GB.
MICRO Ghz.
Ethernet

PC Clon 1 Gbps Disco: 500Gb.

Server DNS y ATX 1 QuadCore
Genéric 2 3 GB.
FTP Tower 2.33 Ghz.
o
 10

PC Clon 1 Gbps Disco: 500Gb.

Server Proxy- ATX 1QuadCore
Genéric 2 4 GB.
Firewall Tower 2.33 Ghz.
o

Tabla 1-2.Características de Servidores

Cabe indicar que en la actualidad el Centro Procesamiento de Datos cuenta

con un UPS de 10 KVA monofásico que mantiene la continuidad de la

energía eléctrica cuando existen los cortes imprevistos de la misma. Además

de que se cuenta con un generador trifásico 200 KW 208-120V, con un

transformador 400 KVA, 13200/208-120V que mantiene la continuidad de

energía eléctrica al Centro de Procesamiento de Datos Municipal de los

cortes de energía repentinos que sufre la Ciudad.

1.7.2. Software

El equipamiento lógico o Sistemas Informáticos con la que cuenta el

Municipio se centra específicamente en las siguientes plataformas que

enlistamos en la Tabla 1-3.Catálogos de Sistemas Informáticos

 11

1.7.2.1. Catálogo de Sistemas Informáticos

Sistema S.O. Plataforma Función Transaccionabilidad

Sistema de Linux Oracle 10g Sistema de MEDIA- ALTA

Gestión CentOS Información para la

Municipal 5.3 Gestión

Administrativa de

todo el Municipio,

los módulos son los

siguientes: Ordenes

de Pago, Control de

Multas, bodega,

Catastro, Coactiva,

Seguridad y Control,

Terrenos,

Contabilidad,

Planificación,

Presupuesto,

Nomina, Rentas,

Recaudación,

Centro Medico
 12

SITAC ( Windows FOXPRO Software diseñado MEDIA ALTA

SISTEMA 2003 para exigencias

INTEGRADO Server tributarios, con este

DE sistema puedes

TRIBUTACION obtener lo siguiente:

ASESOR - anexos

CONTABLE) transaccionales y

reoc - formularios

103. 104. 107

Sistema de Windows Visual Sistema de control MEDIA

Información 2003 Studio y de los cambios en la

Registral (SIRE) Server Access. información de

dominios que

experimenta un bien

inmueble registrado

dentro del Cantón.

Tabla 1-3.Catálogos de Sistemas Informáticos

Categorización de la Transacionabilidad de las operaciones

ALTA Aproximadamente 80,000 Transacciones

MEDIA-ALTA Aproximadamente 50,000 Transacciones

MEDIA Menores a 50,000 transacciones

Tabla 1-4. Categorización de la Transacionabilidad de las operaciones

 13

Cabe mencionar que el Sistema Municipal fue desarrollado por personal que

laboró en el mismo Municipio en el año 2002 y actualmente se realiza

mantenimiento a la Base de Datos y actualizaciones de acuerdo como se

vaya reformando las ordenanzas o leyes gubernamentales.

1.8. Evaluación de la Infraestructura de Red

Actualmente la Institución Pública cuenta con una infraestructura de Red

confiable, que permite agilitar la gestión administrativa, a través de la RED

LAN y MAN, mantiene enlaces de datos desde varias dependencias internas

y externas del GAD Municipal, de las cuales se describe en la continuidad del

documento.

1.8.1.Red LAN

En lo que concierne a la Red LAN, el Municipio cuenta con un cableado

estructurado certificado de 25 años por los tipos de conectividad y sistema de

cableado, cuya marca del cable UTP utilizado es “Signamax” de categoría 6

solido con una velocidad de transmisión de 10/100/1000 Mbps, que garantiza

la fiabilidad en conectividad de la estructura informática, permitiendo acceder

a los servicios y recursos de forma rápida y segura.

 14

En relación a la Certificación del Cableado Estructurado instalada en todo el

Edificio se evaluaron los siguientes parámetros tanto para los puntos de

datos, como de voz.

 Diafonía

 Perdida de Retorno

 Atenuación

 ACR

 ELFEXT

 Diafonía power sum

 Power Sum ACR

 ELFEXT Power Sum

Estándares Aplicados:

IEEE 802.3 10 BaseT

IEEE802.3u 100BaseTX

IEEE 802.3ab 1000BaseT

IEEE 802.3 z 1000BaseSX

IEEE 802.3z 1000BaseLX

IEEE 802.3x Flow Control

 15

Cantidad de Puntos de Red Certificados e instalados en los dos Edificios

Administrativos:

 Por dato Edificio Principal: 210 puntos

 Por voz Edificio Principal: 210 puntos

 Por dato Edificio Segundo: 28 Puntos

 Por voz Edificio Segundo: 28 Puntos

Figura 1-1. Cableado Estructurado del Centro de Procesamiento de Datos

 16

1.8.1.1. Características del Cable UTP

Tipo de Cable Descripción General

RENDIMIENTO DE TRANSMISIÓN:

ANSI/TIA/EIA-568-C.2: supera la categoría

6 (1-250MHz) ISO / IEC 11801,

CENELEC EN 50173: supera la categoría

6 (1-250 MHz)

COMPORTAMIENTO:

Impedancia: 125 Ohm ± 20% @ 64 kHz

CONDUCTOR: Material de cobre desnudo

Tamaño 23 AWG, 1000Ft.

FUNDA: PVC CMR material

Media Espesor: 0,50 mm (0,020 in), min

en cualquier punto: 0,40 mm (0,016 in)

Diámetro 6,3 ± 0,3 mm (0,25 ± 0,01 in)

Color de 7 colores estándar

Cable Categoria 6-4pares UTP

solido

Tabla 1-5. Características del Cable UTP

 17

1.8.1.2. Acceso al Internet

En la actualidad el servicio de internet es facilitado por la Corporación

Nacional de Telecomunicaciones(CNT) que a través de una línea de Fibra de

tipo dedicada 1:1, monomodo, con un ancho de banda de 6 Mbps es

conectado a través de un Servidor Proxy con el Sistema Operativo CentOS

versión 5.3 que a través del servicio de Nateo o encaminamiento de

paquetes es enviado a la red LAN de la Institución para que todas las

máquinas clientes pueda obtener el servicio de internet, así como también los

departamentos que se encuentran en puntos remotos.

1.8.1.3. Topología

Figura 1-2. Topología lógica de la Red LAN

 18

Tal como se puede visualizar en la Figura 2, el tipo de topología utilizado es

el Tipo Estrella, el mismo que le permite una comunicación rápida y

redundante entre cada uno de los piso del edificio Municipal, capaz de tener

un rendimiento alto y totalmente disponible al momento de realizar alguna

transacción.

Debido a la existencia de dos edificios contiguos, la conectividad entre

edificios Municipales está realizada a través de fibra óptica Monomodo y

fusionados en un organizador de fibra en ambos extremos de conexión, con

6 hilos activos de las cuales 2 son para transmisión de datos y dos para

transmisión de voz ambos transmiten a 1000Base BX, quedando 2 puntos de

respaldo.

Figura 1-3. Organizador de Fibra Óptica Edificio Principal

 19

Figura 1-4. Organizador de Fibra Óptica Edificio Segundo

TOPOLOGÍA FÍSICA DE LA RED LAN

SW-PB-1

PB
SW-PB-2

Leyenda

SW-P1-1 Dispositivo de
Conmutación
ACCESO/DISTRIBUCIÓN

P1
Cable UTP

Fibra Óptica
SW-P1-2 Monomodo

CORE

P2
SW-P2-1

Segundo Edificio Municipal

SW-EM2-1

Figura1-5. Topología física de la Red LAN

 20

Como se observará en la Figura 5, la red LAN se divide en cuatro sub redes

principales, Planta Baja, Primer Piso, Segundo Piso y Segundo Edificio

Administrativo que son administrados a través de redes segmentadas. La

velocidad de transmisión de esta red es de 1000 Mbps y la Categoría del

Cable es de tipo 6. Solo en la interconexión del Core y el Segundo Edificio es

por Fibra Óptica.

1.8.1.4. Dispositivos de Conmutación

Todos los dispositivos de conmutación con los que cuenta el Municipio de

Ciudad del Este se encuentra distribuidos en la capa Core, Capa Distribución

y Capa de Acceso, de las cuales se pasan a detallar en la siguiente forma:

Capa Core Capa Distribución Capa de Acceso

SW-PB-1

Switch Administrables Switch Administrables Switch UNICOM SMART

TP-LINK TL-SG3424 ZyXel - GS1910-24 GST2402

Tabla 1-6. Dispositivos de Conmutación

 21

1.8.1.5. Características de Equipos

Figura 1-6. SWTICH TP-LINK MANAGER TL-SG3424

Descripción General

Interfaces: Listas de Control de Acceso:

24 puertos RJ45 a 10/100/1000 Mbps Filtrado de paquetes L2～L4 basado en el

(Negociación automática, MDI/MDIX origen y destino de las direcciones MAC,

automático) IP, puertos TCP/UDP, 802.1p, DSCP,

4 slots SFP combo a 100/1000 Mbps* protocolo e identificador VLAN
1 puerto de consola Seguridades: Vinculación IP-MAC-puerto-
Ancho de banda/Backplane: 48Gbps VID

Tabla de direcciones MAC:8K Autenticación según puerto IEEE

VLAN: Soporte IEEE802.1Q con 4000 802.1X/MAC, Radius, VLAN para invitados

grupos VLAN y 4000 VIDs Defensa contra ataques DoS

VLAN basada en puerto/MAC/protocolo Inspección ARP dinámica (DAI)

GARP/GVRP SSH v1/v2

SSL v2/v3/TLSv1

Tabla 1-7. Dispositivos de Conmutación 1

 22

Figura 1-7. SWITCH ZyXel - GS1910-24

Descripción General

Gestión de Red: Gestión basada en Seguridades: IEEE 802.1x, Seguridad

web, SNMP v1, v2c, v3, Grupos RMON 1, 2, Portuaria, Autenticación MAC, Límite de

3, 9, NTPv4,Relé DHCP, Syslog, Duplicación direcciones MAC, Layer 2 filtrado MAC,

de puertos, DNS, sFlow Filtrado IP de nivel 3,Capa 4 filtrado socket

Gestión y QoS de tráfico: VLAN basada TCP / UDP, Guardia BPDU, Reenvío MAC
estática, Múltiples servidores RADIUS, Varios
en puerto, VLAN basada en MAC VLAN
servidores TACACS +, RADIUS, TACACS +
basada en protocolo- IEEE 802.1Q
,SSL, Snooping DHCP, Inspección ARP

,UPNP, Filtrado de paquetes ACL

Figura 1-8. UNICOM SMART GST2402G

Descripción General

 Velocidad de Transmisión  IGMP Snooping

10/100/1000  Port mirroring

 23

 Gestión de red SNMP  Port security.

 Static VLANs

 GVRP

 VLAN tagging

Tabla 1-8. Dispositivos de Conmutación 2

1.8.1.6. Dispositivo de Enrutamiento

Equipo

Figura 1-9. Router Cisco 1841

Descripción General

Memoria RAM: 256 MB (instalados) / 38 4 MB (máx.) - SDRAM

Memoria Flash: 64 MB (instalados) / 128 MB (máx.)

Conexión de Redes

Ethernet, Fast Ethernet

IPSec

SNMP

Protección firewall, criptografía 128 bits, cifrado del hardware, VPN,

soporte
 24

VLAN, Sistema de prevención de intrusiones (IPS), cifrado de 256 bits

Sistema Operativo, Cisco IOS Advanced Security

Tabla 1-9. Dispositivo de Enrutamiento

1.8.2. Red MAN

Todas las conexiones que se realicen de forma inalámbrica a través de

equipos de comunicación a una distancia mínima de 200 mts. hasta una

distancia máxima de 3 Km aproximadamente, es identificado como una Red

Metropolitana para el Municipio de la Ciudad del ESTE, por tal motivo se ha

considerado identificar mediante la Figura 10 la siguiente información.

Figura 1-10. Red MAN

 25

1.8.2.1. Arquitectura de la Red MAN

La existencia de oficinas corporativas cercanas en una ciudad, genera la

presencia de este tipo de arquitectura dentro de la Institución, para esto se

cuenta con un nodo de retransmisión de datos ubicada en el Cerro de

nombre Engoroy que permite la conexión con 4 oficinas externas que

pertenecen al Municipio.

Esta red privada cuya distancia entre nodo de conexión no es mayor 2.5 milla

(4 Kms), medio de comunicación se realiza a través de equipos de Radio

frecuencia de 2.4 a 5 Ghz. A continuación se muestra una gráfica detallando

la forma de Comunicación en la Red MAN y la recepción del Servicio de

Internet, dando una visión global a fin de posteriormente determinar los

puntos de riesgo y debilidades tecnológicas a nivel de la infraestructura.

 26

Arquitectura de RED Metropolitana

Figura 1-11. Arquitectura de Red Metropolitana

 27

1.8.2.2. Dispositivos de Radio Enlace

Equipo

Figura 1-12. Airmax5N

Descripción General y Ubicación

Hardware

1 Puerto LAN 10/100Mbps compatible con estándar IEEE802.3af,

AUTO MDI/MDI‐X

8MB Flash, 32MB SDRAM

Carcasa resistente al agua y radiaciones UV

Antena

Incluye antena direccional 14dBi

Angulo de emisión: 30 grados sobre plano vertical y horizontal

R‐SMA conector para antenna externa

Modos de funcionamiento

Soporta Modo Cliente,ModoAP,Modo Bridge WDS, Modo

Repetidor, Bridge, Infrastructura ,Router y WISP

Seguridad

Soporte 802.1x Radius, Soporte WPA con PSK/TKIP/AES ,WPA2

Ubicación:

Enlace Municipio- Centro de Datos Engoroy

Tabla 1-10. Dispositivo de Radio Enlace 1

 28

Equipo

Figura 1-13. CanopyBackhaul 5.7 Ghz 5700bh20

Descripción General y Ubicación

Description 5.7 GHz Backhaul, 20 Mb

CanopyPartNumber 5700BH20USG

MarketAvailability North America, Europe, South America, Asia

SignalingRate 20 Mbps

Typical LOS Range 1 mi (1.6 km)

TypicalAggregateUsefulThroughput 14.0 Mbps

Frequencyrange of band ISM 5725-5850 MHz

Non-overlappingChannels 3

ChannelWidth 20 MHz

ChannelSpacing every 5 MHz

Encryption DES capable

ProtocolsUsed IPV4, UDP, TCP, ICMP, Telnet, HTTP, FTP, SNMP

Network Management HTTP, TELNET, FTP, SNMP Version 2c

Ubicación:

Enlace Centro de Desarrollo Humano(CDH) y Centro de Comunicaciones Engoroy

Tabla 1-11. Dispositivo de Radio Enlace 2

 29

Equipo

Figura 1-14. Ubiquiti NS2 NanoStation2 2.4 GHz 10dBi 400mW

 Processor Specs - Atheros AR2315 SOC, MIPS 4KC, 180MHz

 Memory Information - 16MB SDRAM, 4MB Flash

 Networking Interface - 1 X 10/100 BASE-TX (Cat. 5, RJ-45)

Ethernet Interface

 Wireless Approvals - FCC Part 15.247, IC RS210

 RoHS Compliance - Yes

 Antenna - Integrated 10dBi Dual Pol + External RP-SMA

 Outdoor Range - over 15km

Ubicación: Enlace Centro de Comunicaciones Engoroy y

Centro Comercial Buenaventura

Tabla 1-12. Dispositivo de Radio Enlace 2

 30

1.9. Seguridad de la Información

1.9.1. Introducción

La seguridad de los datos para una Institución Pública es fundamental,

debido que la divulgación de la información puede ocurrir a través de

publicaciones en redes sociales, correo electrónico o a través de filtración de

información por parte de los empleados.

El costo de las infracciones de seguridad de datos, en términos monetarios y

de credibilidad de las Institución siempre es muy alto, por tanto es necesario

considerar soluciones integrales a esta problemática para el beneficio de la

Institución.

EL GAD Municipal cuenta con las seguridades básicas y con configuraciones

de equipos de comunicación personalizadas necesarias para garantizar la

integridad de los datos, es importante identificar que el concepto de

“Seguridad de la Información” no debe ser confundido con el de “Seguridad

Informática”, ya que este último sólo se encarga de la seguridad en el medio

informático, pudiendo encontrar información en diferentes medios o formas.

 31

1.9.2. Seguridad Perimetral e Interna

La seguridad lógica sea esta interna o externa son aspectos fundamentales a

tener en cuenta dentro del Municipio, así como también el disponer de los

equipos y configuraciones necesarias para dar la debida seguridad de la

información.

El filtrado de Paquetes se realiza a través de un servidor con sistema

operativo CentOS 5.3 que tiene configurado el Servicio de firewall a través

del software “Shorewall” que permite que el equipo se convierta en un

Cortafuego lógico y pueda prestarlas debida seguridad y salvaguardar la

integridad de la información de la red LAN

1.9.3. Firewall Lógico

En la actualidad el software firewall Shorewall, es una herramienta de alto

nivel para la configuración de Netfilter y permite la configuración de un

firewall de host, de un servidor, un firewall enrutador, y lograr manejar

complejas configuraciones. Esta herramienta cuenta con soporte para IPV4 e

IPV6.
 32

1.9.4. DMZ

DMZ (zona desmilitarizada) es un diseño conceptual de red donde los

servidores de acceso público se colocan en un segmento de red aislado. La

intención de DMZ es asegurar que los servidores de acceso público no

puedan comunicarse con otros segmentos de la red interna, en el caso de

que un servidor se encuentre comprometido., tal es el caso del Servidor de

Correo electrónico, Servidor de Pagina Web y el Servidor de respaldo, cabe

recalcar que las empresas por lo general al momento de ingresar un

empleado, establece acuerdos de confianza y niveles de acceso controlados,

sin embargo si se presentara algún intento de acceso no autorizado hacia

LAN (red interna) estos son bloqueados por el firewall.

A continuación se observa a través de la siguiente Figura la estructura lógica

de cómo se encuentra instalados los equipos de seguridad de la institución:

 33

1.9.5. Diseño lógico del DMZ

Figura1-15. Diseño Lógico del DMZ

 34

CAPÍTULO 2

2. MARCO TEÓRICO.

2.1. Introducción

El Implementar Seguridad Informática a las infraestructuras Tecnológicas

específicamente para el Centro de Procesamiento de Datos se ha convertido

en necesarias debido a que si se logra estimar la frecuencia con la cual se

materializan los riesgos o vulnerabilidades, así como determinar la magnitud

de sus posibles consecuencias considerando las debidas precauciones,

 
 
 35

podemos de modo preventivo tomar medidas para reducir su impacto y evitar

la paralización de las organizaciones o empresas.

Con la realización de un análisis de riesgo informático como también la

Implantación de Políticas de Seguridad basados en estándares

ISO(Organización Internacional por la Normalización)se puede identificar

fácilmente sus vulnerabilidades y amenazas a la que se encuentra expuesta,

permitiendo a las organizaciones o empresas minimizar pérdidas económicas

y maximizar oportunidades de negocio dentro de los parámetros de una

Institución Pública.

Conocedores de que la tecnología de la información actual facilita las

operaciones de negocio, es necesario considerar siempre que aquellas

tecnologías pueden presentar riesgos que causan que la información se

pierda o se modifique perjudicando a los interesados. Entre las amenazas

que pueden aumentar el riesgo de una Institución depende de la zona donde

se encuentre ubicada, para este caso se está analizando los siguientes:

cortes de energía eléctrica, ciberataques, sucesos de origen físico,

negligencia o decisiones institucionales, entre otros.

 
 
 36

2.2. Análisis del Riesgo del Sistema de Información

El Análisis de riesgos de la Información tiene la intención de garantizar la

seguridad de los datos, aplicar políticas de acceso a los diferentes niveles de

autorización de acceso a la información, identificar las amenazas,

vulnerabilidades y riesgo operativos de la Infraestructura Tecnológica

Municipal con la que cuenta actualmente.

2.2.1. El Riesgo Informático

Se entiende como la gestión de riesgo Informático a la probabilidad de

ocurrencia de incidentes que causen la paralización a los Sistemas

Informáticos o de la red de comunicación, de forma que imposibilite el

cumplimento de un objetivo o ponga en peligro a los bienes de la

Organización, ocasionando de esta manera pérdidas o daños económicos

irreversibles.

La Organización Internacional por la Normalización (ISO) define el riesgo

tecnológico como: “La probabilidad de que una amenaza se materialice,

utilizando vulnerabilidad existentes de un activo o un grupo de activos,

generándole pérdidas o daños” (Guías para la gestión de la seguridad de TI

/TEC TR 13335-1, 1996).Otras de las normativas con una madurez para la

 
 
 37

definición del riesgo es la de origen Australiana y Nueva Zelandia AS/NZS

4360:2004 que lo define como “Posibilidad de que un suceso tenga un

impacto en los objetivos”(AS/NZS 4360:2004),normativa que ha sido

incorporada y actualizada internacionalmente como ISO 31000:2009,

aplicada mundialmente y que define al riesgo como: “efecto de la

Incertidumbre en los objetivos” (ISO 31000:2009).

2.2.2. Características

En el análisis de riesgo es importante reconocer que cada proceso de riesgo

tiene características, tales como:

 Activos: Elementos que forman parte de los sistemas informáticos y

redes de comunicación.

 Amenazas: Todo tipo de circunstancias que puede suceder a los

sistemas y redes de comunicación. Las amenazas pueden ser de

carácter físico como por ejemplo un incendio o lógico como por

ejemplo acceso no autorizado a una base de datos.

 Probabilidad: Establecer la probabilidad de ocurrencia que puede

realizarse de manera cuantitativa o cualitativa, pero siempre

 
 
 38

considerando que la medida no debe contemplar la existencia de

ninguna acción paliativa, o sea, debe considerarse en cada caso qué

posibilidades existen que la amenaza se presente independientemente

del hecho que sea o no contrarrestada.

 Vulnerabilidades: Agujeros de seguridad, debilidad de los activos que

son aprovechadas por las amenazas para dañar un activo.

 Impacto: Consecuencia de la materialización de una amenaza sobre

un activo.

 Controles: Mecanismos que permiten reducir las vulnerabilidades de

equipos y sistemas informático.

 
 
 39

Figura2-16. Elementos del Análisis de Riesgo Informático

Además al hablar de la Seguridad de la Información es necesario considerar

para el análisis de riesgo informático los siguientes componentes:

 Integridad: mantener la información libre de modificaciones no

autorizadas.

 Confidencialidad: La información solo puede ser legible y modificado

por personas autorizadas, tanto en el acceso a datos almacenados

como también durante la transferencia de ellos.

 Disponibilidad: La información debe estar disponible cuando se

necesite

 Autenticación: Que no se pueda negar la autoría (irrefutabilidad, no

repudio).

 
 
 40

2.2.3. Clasificación de Riesgo de TI (Tecnología de la Información)

Según el ambiente en el que se desenvuelve la empresa u organización

investigada se puede identificar y relacionar los cuatro siguientes tipos de

riesgo:

Riesgo Inherente: Es la posibilidad de errores o irregularidades en la

información financiera, administrativa u operativa, antes de considerar la

efectividad de los controles internos diseñados y aplicados por la institución.

Riesgos Financieros: Es todo lo relacionado a la parte financiera de la

entidad, dicho riesgo se relaciona con el manejo de los recursos de la

empresa.

Riesgo Operativo: Comprende tanto el riesgo en sistemas como operativo

provenientes de deficiencias en los sistemas de información, procesos,

estructura, que conducen a ineficiencias, oportunidad de corrupción o

incumplimiento de los derechos fundamentales.

Riesgos de Tecnológico: Riesgo que se asocia con la capacidad

tecnológica disponible por la entidad, con el objetivo de satisfacer sus

necesidades actuales, futuras y de soporte al cumplimiento de su misión.

 
 
 41

2.2.4. Metodología

Para la gestión de riesgo tecnológico, existen varios estándares que pueden

servir como apoyo al análisis de riesgo de la TICs, para el Municipio de la

Ciudad del Este, para la cual es importante destacar los siguientes:

Estándares orientados al Riesgo Tecnológico

 BS 31100

 ISO/IEC 27005

 ITGI-Risk IT Framework

 NIST-SP800-30

 AS/NZS ISO 31000:2009

 ISO 31010:2009

 AS/NZS 4360

 MAGERIT

 CRAMM

 UNE 71504

Desde un principio una de las normas aplicadas mundialmente a todo tipo de

Instituciones es la norma AS/NZS 4360, pero este no cubre los mismos

espectros que la ISO 27001 en sus disciplinas, ya que solo afecta a la forma

 
 
 42

de cómo se deben analizar los riesgos, y en consecuencia planificar las

medidas de seguridad, mientras que la ISO 27001 determina

específicamente como gestionar el Sistema de la Gestión de la Seguridad

Informática comúnmente llamado Plan de Seguridad.

Sin embargo, según Alfonso Bilbao Iglesias, en su artículo llamado “La

Necesaria Normativa ISO sobre la Seguridad” elaborado en junio del

20101, expresa lo siguiente: “Desde la Empresa Cueva valiente Ingenieros,

hemos participado algunas veces en el establecimiento de un Sistema de

Gestión de Seguridad conjunto de Seguridad Física y Seguridad Lógica (por

llamarlo de alguna manera) y hemos vivido las contradicciones de que la

norma ISO 27001 se adapte como una protección a las necesidades de la

gestión de la Seguridad Lógica (o Seguridad de la Información) y que no hay

forma de encajar en ese modelo las particularidades de la gestión de la

Seguridad Física”.

La necesidad de esta Institución Pública para el Centro de Procesamiento de

Datos no solo requiere la implementación de seguridad lógica, sino también

llegar a un punto de evaluar todos los riesgo posibles a nivel tecnológico que

                                                            
1
 Alfonso Bilbao and De Cuevavaliente Ingenieros, “La Necesaria Normativa ISO Sobre Seguridad 
Artículo Técnico”, 2010 <http://www.cuevavaliente.com/es/documentos>. 

 
 
 43

puedan ocurrir al momento ofrecer servicios a la comunidad a través de los

Sistemas Informáticos.

Basados en estos antecedentes se ha considerado la mejor alternativa del

listado de normas antes presentado para la implementación de la gestión de

riesgo, esta normativa es AS/NZS ISO 31000:2009 orientada a Riesgos,

remplazando a la conocida mundialmente AS/NZS 4360, que tiene como

objetivo ayudar a las organizaciones de todo tipo y tamaño a gestionar el

riesgo con efectividad y posibilitar una mejora continua en el proceso de toma

de decisiones en todo lo relacionada a la Gestión de Riesgo Tecnológico.

La ISO 31000 da una mejor alternativa para los riesgos deliberados en el

ámbito de la Seguridad tanto físico como lógico que puedan suscitarse en

cualquier momento en el Municipio de la Ciudad del Este, y que están

basados en dos razones fundamentales:

 Cubrir todo el espectro de la Gestión de la Seguridad (tal como el ISO

27001).

 Orientación a la mejora continua con el esquema Plan-Do-Check-Act,

PDCA (Planificar, Realizar, Comprobar y Reaccionar), comúnmente

utilizado por la norma ISO.

 
 
 44

Es importante dejar en claro que al alinearnos a la normativa ISO 31000 no

significa que la ISO 27005 de Riesgo de la Seguridad de la Información,

pierda relevancia debido a que su uso se puede justificar para tratar riesgos

técnicos, mientras que la ISO 31000 provee un marco abierto y adecuado a

los riesgo de una institución Pública si lo aplicamos correctamente a los

equipos y sistemas informáticos.

2.2.5. La Norma AS/NZS ISO 31000:2009

Esta normativa que surge en noviembre del 2009 y tiene su origen

Australiano y de Nueva Zelanda, permitió paralelamente la Actualización de

la Guía ISO 73 que ofrece una lista de 50 términos referidos a la gestión de

riesgo, además la AS/NZS ISO 31000:2009 suministra orientaciones

genéricas para la gestión de riesgos y puede aplicarse a una gran variedad

de actividades, decisiones u operaciones de cualquier Institución pública,

privada, organizaciones sin fines de lucro, asociación, grupo o individuo.

Esta norma pueden ser aplicada a cualquier tipo de riesgo, cualquiera sea su

naturaleza, causa u origen, así presente resultados positivas o negativas

para la organización.

 
 
 45

A partir de la ISO 31000, la palabra riesgo se define en términos del “Efecto

de la incertidumbre en los objetivos”, esta nueva definición implica que se

refiera tanto a las situaciones negativas tradicionales de riesgo que provocan

perdidas, como a las situaciones positivas de riesgos, que constituyen

oportunidades, cada uno de estos conceptos han sido incorporados

actualmente por la ISO 270012, Esta norma provee de principios, el marco de

trabajo (framework) y un proceso destinado a gestionar cualquier tipo de

riesgo en una manera transparente, sistemática y creíble dentro de cualquier

alcance o contexto.

La implementación de esta norma en el Municipio de la Ciudad del Este

permitirá contar con un conjunto de procedimiento y normativas internas que

garantizaran lo siguientes aspectos:

 Contar con un cuerpo normativo especifico, armonizado y relacionado

con la política interna de la institución.

 Disponer de un Análisis de riesgo consensuado con los responsables

de la Organización que determinaran de forma directa la disposición

de los recursos de seguridad necesarios.

                                                            
2
 ISO, “Consejos de Implantación Y Métricas de ISO/IEC 27001 Y 27002” 
<http://www.iso27000.es/download/ISO_27000_implementation_guidance_v1_Spanish.pdf> 
[accessed 8 March 2015]. 

 
 
 46

 Disponer de una métrica de desempeño de la seguridad, que permita

analizar las desviaciones sobre objetivos propuestos.

 Contar con procedimientos de análisis de desempeño (a partir de la

métrica) y de las consiguientes tomas de decisiones tendentes a

corregir las desviaciones.

2.2.5.1. Estructura de la ISO 31000

La norma ISO propone un esquema procedural, tal como se presenta en la

siguiente Figura.

Figura 2-17. Estructura procedural del la normativa ISO 31000

 
 
 47

Decisión y Compromiso: Para la implementación de un plan de seguridad

se requiere un fuerte compromiso e implicación de la Dirección en los

niveles más altos posibles.

Diseño del Marco de Actuación: Disponer de una serie de documentos en

las que se determine los mecanismos y Políticas de Seguridad de la

Institución.

Implementación del Plan de Seguridad: Se aplica el marco de Actuación,

y se pondrá en marcha el modelo definido por la ISO 31000 muy parecido al

norma AS/NZS 4360)

Seguimiento y Revisión: Es considerado los informes de Seguridad sobre

los progresos de implementación del Plan de Seguridad.

Mejora Continua del Plan de Seguridad: Esto se consigue con las

actuaciones de redefiniciones del Plan que permitan readecuar la política de

Seguridad, el propio Plan y el marco de actuación.

 
 
 48

Figura 2-18. Estándar ISO 31000:2009 de Gestión de Riesgo

Los planes de seguridad de acuerdo con la norma ISO 310003 son los

siguientes:

 Redacción de las directivas y normas internas del Marco de Actuación

del Plan de Seguridad, adecuándolas a las estructuras de normativa

interna existente.

 Desarrollo del Plan de Seguridad, utilizando herramienta de Análisis

de riesgo y propuesta de medidas de seguridad, adaptada a las

normas ISO 31000.

                                                            
3
 ISOTOOLS, “Norma ISO 31000:2009. Gestión de Riesgos. Principios Y Directrices.”, 2013 
<http://www.isotools.com.co/norma‐iso‐310002009‐gestion‐de‐riesgos‐principios‐y‐directrices/> 
[accessed 15 October 2014]. 

 
 
 49

 Determinación de los indicadores de desempeño del Plan de

Seguridad y diseño de los informes de medición y de información

sobre incidentes.

 Asesoramiento para la organización de las reuniones periódicas de

seguimiento y mejora continua del Plan de Seguridad.

2.3. Análisis de Vulnerabilidades

Antes de realizar cualquier estudio o análisis de seguridad a la Institución se

debe tomar en cuenta cuales son los estándares que van a servir de guía

para identificar de forma ordenada y diversa a las auditorias Informáticas que

se vayan a ejecutar al Municipio.

2.3.1. Tipos de Análisis

1. Análisis de vulnerabilidades (Vulnerability Assessment)

Este tipo de análisis no es intrusivo, el objetivo es buscar vulnerabilidades en

los sistemas evaluados, con el fin de clasificarlas y presentarlas de forma

estructurada.

 
 
 50

2. Test de Intrusión (Penetration Testing)

Consiste en realizar varios tipos de pruebas, aprovechando las

vulnerabilidades encontradas y de esta manera comprometer los sistemas.

Este tipo de auditorías de seguridad es más invasiva que el análisis de

vulnerabilidades y puede ser dirigido a un solo objetivo.

3. Hacking Ético:

La diferencia específica con el test de intrusión, es que es más completa la

auditoria en relación con los dispositivos (Servidores de Datos, Firewall, IDS,

router) las pruebas que se realizan son más rigurosas, además de la

existencia de un pacto previo con el cliente, para poder hacer pruebas de tipo

de “denegación de Servicio e Ingeniería social” en horarios planificados que

no perjudique el normal funcionamiento laboral de la Institución.

Existen varios documentos de este tipo reconocidos como metodologías

para el proceso de Auditoría de Seguridad Ofensiva o Hacking ético que nos

puede servir de guía para este proyecto, las mismas que enlistamos a

continuación:

 Open Source Security Testing Methodology Manual (OSSTMM)

 
 
 51

 The Penetration Testing Execution Standard (PTES)

 About the Open Web Application Security Project (OWASP)

 VulnerabilityAssessment.co.uk

Se debe dejar especificado que para la ejecución de este trabajo también

existe la necesidad de realizar acuerdos de confidencialidad y pactos sobre

el trato de la información, esto antes de realizar cualquier prueba de

Seguridad en los sistemas evaluados. Este tipo de procedimiento es un

proyecto de seguridad informática que ayudará a garantizar el trabajo

realizado sobre la auditoria a los sistemas operativos o aplicaciones.

La Metodología que se utilizará para el Análisis de Seguridad que se

ejecutara al Municipio de la Ciudad del Este es una auditoria de tipo

“Hacking Ético” con el apoyo de la documentación OWASP, las mismas

que tiene las siguientes fases:

 Definición de reglas de auditoria

 Recolección de información

 Network Mapping, Scanning de Puertos y Enumeración

 Análisis y Clasificación de Vulnerabilidades

 Explotación de Vulnerabilidades

 Post-explotación de vulnerabilidades

 
 
 52

 Presentación de Reportes y resultados

Cada una de estas fases es documentada en el capítulo 3, ilustrando de

mejor manera el desarrollo de cada una de ellas.

2.4. Plan de Recuperación ante Desastres

El plan de recuperación ante desastres no es más que procedimientos,

políticas y procesos que se deben establecer en una Institución para actuar

en caso de eventos adversos o siniestros inesperados que afecten a sus

operaciones diarias. Para esto se debe constituir un plan que permita al

Municipio restaurar con sus operaciones críticas en el menor tiempo posible y

actuar de manera adecuada ante el problema suscitado.

2.4.1. Tipos de Contingencia

Existen diferentes tipos de contingencia de acuerdo a los daños sufridos:

Menor: es la que tiene repercusiones solo en las operaciones diarias y se

puede recuperar en menos de 8 horas laborables.

 
 
 53

Grave: Es la que causa daños a las instalaciones, pero puede reiniciar

operaciones en menos de 24 horas.

Critica: Afecta a las operaciones y las instalaciones, este no es recuperable

en corto tiempo y puede suceder porque no existe normas preventivas o bien

porque estas no son suficientes; relacionado también con desastres

naturales incendios, inundación o terremoto, etc.

2.4.2. Diferencia entre Emergencia y Contingencia

Según Elio Ríos4, la diferencia entre Contingencia y Emergencia es la

siguiente:

a. Es Contingencia (lo que puede o no suceder) si se tenía previsto por

los organismos de atención y/o por la comunidad de los afectados que

esto pudiera ocurrir y si se adquirió logística, se prepara personal

especializado y a la comunidad para atenderlo en forma integral.

b. Es Emergencia el caso que este hecho no esté contemplada por los

organismos de atención y/o por la comunidad de los afectados la

posibilidad de aparición y desarrollo de la eventualidad, con todos los

                                                            
4
 Elio Ríos Serrano, “Los Desastres ‐ Por: Elio Ríos Serrano” 
<http://www.aporrea.org/actualidad/a13255.html>. 

 
 
 54

rasgo de la sorpresa y por supuesto sin tener una logística, sin

preparación de personal especializado ni a la comunidad para

atenderlo en forma integral.

Es importante saber que la pérdida de información provoca daño de fondo en

la Institución como los mencionados a continuación:

 Contribuyentes decepcionados y molestos

 Perdida de Reputación Institucional

 Retraso en gestiones administrativas

Es importante destacar esta información para la creación de un Plan de

Recuperación ante Desastres y Respaldo de Información eficiente, y que se

llegue a ejecutar de forma óptima al momento de suscitarse el siniestro.

2.5. Políticas de Seguridad Informática

Para conseguir mejoras en el campo de la Seguridad Tecnológico se debe

implementar Políticas que fomente la buena práctica y el correcto manejo de

la información para el Centro de Procesamiento de Datos de esta institución

 
 
 55

Pública, por tal situación es necesario trabajar con la normativa ISO

27002:20135

2.5.1. Descripción de la Norma 27002

Esta Norma contiene 35 objetivos de control y 114 controles que se

encuentran agrupados en 14 dominios principales. A continuación se

presenta un resumen de la Norma ISO/IEC 27002:

5. Políticas de Seguridad.

5.1 Directrices de la Dirección en seguridad de la información.

5.1.1 Conjunto de políticas para la seguridad de la información.

5.1.2 Revisión de políticas para la seguridad de la información.

6. Aspectos organizativos de la Seguridad de la Información

6.1 Organización interna.

6.1.1 Asignación de responsabilidades para la segur. de la

información.

6.1.2 Segregación de tareas.

6.1.3 Contacto con las autoridades.

                                                            
5
 Iso27000.es, “ControlesISO27002‐2013”, 2013, 27002 
<http://iso27000.es/download/ControlesISO27002‐2013.pdf>. 

 
 
 56

6.1.4 Contacto con grupos de interés especial.

6.1.5 Seguridad de la información en la gestión de proyectos.

6.2 Dispositivos para movilidad y teletrabajo.

6.2.1 Política de uso de dispositivos para movilidad.

6.2.2 Teletrabajo.

7. Seguridad ligada a los Recursos Humanos.

7.1 Antes de la contratación.

7.1.1 Investigación de antecedentes.

7.1.2 Términos y condiciones de contratación.

7.2 Durante la contratación.

7.2.1 Responsabilidades de gestión.

7.2.2 Concienciación, educación y capacitación en seguridad de

la información

7.2.3 Proceso disciplinario.

7.3 Cese o cambio de puesto de trabajo.

7.3.1 Cese o cambio de puesto de trabajo.

8. Gestión de Activos.

8.1 Responsabilidad sobre los activos.

8.1.1 Inventario de activos.

 
 
 57

8.1.2 Propiedad de los activos.

8.1.3 Uso aceptable de los activos.

8.1.4 Devolución de activos.

8.2 Clasificación de la información.

8.2.1 Directrices de clasificación.

8.2.2 Etiquetado y manipulado de la información.

8.2.3 Manipulación de activos.

8.3 Manejo de los soportes de almacenamiento.

8.3.1 Gestión de soportes extraíbles.

8.3.2 Eliminación de soportes.

8.3.3 Soportes físicos en tránsito.

9. Control de Accesos.

9.1 Requisitos de negocio para el control de accesos.

9.1.1 Política de control de accesos.

9.1.2 Control de acceso a las redes y servicios asociados.

9.2 Gestión de acceso de usuario.

9.2.1 Gestión de altas/bajas en el registro de usuarios.

9.2.2 Gestión de los derechos de acceso asignados a usuarios.

9.2.3 Gestión de los derechos de acceso con privilegios

especiales.

9.2.4 Gestión de información confidencial de autenticación de

 
 
 58

usuarios.

9.2.5 Revisión de los derechos de acceso de los usuarios.

9.2.6 Retirada o adaptación de los derechos de acceso

9.3 Responsabilidades del usuario.

9.3.1 Uso de información confidencial para la autenticación.

9.4 Control de acceso a sistemas y aplicaciones.

9.4.1 Restricción del acceso a la información.

9.4.2 Procedimientos seguros de inicio de sesión.

9.4.3 Gestión de contraseñas de usuario.

9.4.4 Uso de herramientas de administración de sistemas.

9.4.5 Control de acceso al código fuente de los programas.

10. Cifrado

10.1 Controles criptográficos.

10.1.1 Política de uso de los controles criptográficos.

10.1.2 Gestión de claves.

11. Seguridad Física y Ambiental.

11.1 Áreas seguras.

11.1.1 Perímetro de seguridad física.

11.1.2 Controles físicos de entrada.

11.1.3 Seguridad de oficinas, despachos y recursos.

 
 
 59

11.1.4 Protección contra las amenazas externas y ambientales.

11.1.5 El trabajo en áreas seguras.

11.1.6 Áreas de acceso público, carga y descarga.

11.2 Seguridad de los equipos.

11.2.1 Emplazamiento y protección de equipos.

11.2.2 Instalaciones de suministro.

11.2.3 Seguridad del cableado.

11.2.4 Mantenimiento de los equipos.

11.2.5 Salida de activos fuera de las dependencias de la empresa.

11.2.6 Seguridad de los equipos y activos fuera de las

instalaciones.

11.2.7 Reutilización o retirada segura de dispositivos de

almacenamiento.

11.2.8 Equipo informático de usuario desatendido.

11.2.9 Política de puesto de trabajo despejado y bloqueo de

pantalla.

12. Seguridad en la Operativa.

12.1 Responsabilidades y procedimientos de operación.

12.1.1 Documentación de procedimientos de operación.

12.1.2 Gestión de cambios.

12.1.3 Gestión de capacidades.

 
 
 60

12.1.4 Separación de entornos de desarrollo, prueba y producción.

12.2 Protección contra código malicioso.

12.2.1 Controles contra el código malicioso.

12.3 Copias de seguridad.

12.3.1 Copias de seguridad de la información.

12.4 Registro de actividad y supervisión.

12.4.1 Registro y gestión de eventos de actividad.

12.4.2 Protección de los registros de información.

12.4.3 Registros de actividad del administrador y operador del

sistema.

12.4.4 Sincronización de relojes.

12.5 Control del software en explotación.

12.5.1 Instalación del software en sistemas en producción.

12.6 Gestión de la vulnerabilidad técnica.

12.6.1 Gestión de las vulnerabilidades técnicas.

12.6.2 Restricciones en la instalación de software.

12.7 Consideraciones de las auditorías de los sistemas de

información.

12.7.1 Controles de auditoría de los sistemas de información.

13. Seguridad en las telecomunicaciones.

13.1 Gestión de la seguridad en las redes.

13.1.1 Controles de red.

 
 
 61

13.1.2 Mecanismos de seguridad asociados a servicios en red.

13.1.3 Segregación de redes.

13.2 Intercambio de información con partes externas.

13.2.1 Políticas y procedimientos de intercambio de información.

13.2.2 Acuerdos de intercambio.

13.2.3 Mensajería electrónica.

13.2.4 Acuerdos de confidencialidad y secreto

14. Adquisición, Desarrollo y Mantenimiento de los Sistemas

de Información.

14.1 Requisitos de seguridad de los sistemas de información.

14.1.1 Análisis y especificación de los requisitos de seguridad.

14.1.2 Seguridad de las comunicaciones en servicios accesibles

por redes públicas.

14.1.3 Protección de las transacciones por redes telemáticas.

14.2 Seguridad en los procesos de desarrollo y soporte.

14.2.1 Política de desarrollo seguro de software.

14.2.2 Procedimientos de control de cambios en los sistemas.

14.2.3 Revisión técnica de las aplicaciones tras efectuar cambios

en el sistema operativo.

14.2.4 Restricciones a los cambios en los paquetes de software.

14.2.5 Uso de principios de ingeniería en protección de sistemas.

 
 
 62

14.2.6 Seguridad en entornos de desarrollo.

14.2.7 Externalización del desarrollo de software.

14.2.8 Pruebas de funcionalidad durante el desarrollo de los

sistemas.

14.2.9 Pruebas de aceptación.

14.3 Datos de prueba.

14.3.1 Protección de los datos utilizados en pruebas.

15. Relaciones con Suministradores.

15.1 Seguridad de la información en las relaciones con

suministradores.

15.1.1 Política de seguridad de la información para

suministradores.

15.1.2 Tratamiento del riesgo dentro de acuerdos de

suministradores.

15.1.3 Cadena de suministro en tecnologías de la información y

comunicaciones.

15.2 Gestión de la prestación del servicio por suministradores.

15.2.1 Supervisión y revisión de los servicios prestados por

terceros.

15.2.2 Gestión de cambios en los servicios prestados por

terceros.

 
 
 63

16. Gestión de Incidentes en la Seguridad de la Información.

16.1 Gestión de incidentes de seguridad de la información y

mejoras.

16.1.1 Responsabilidades y procedimientos.

16.1.2 Notificación de los eventos de seguridad de la

información.

16.1.3 Notificación de puntos débiles de la seguridad.

16.1.4 Valoración de eventos de seguridad de la información y

toma de decisiones.

16.1.5 Respuesta a los incidentes de seguridad.

16.1.6 Aprendizaje de los incidentes de seguridad de la

información.

16.1.7 Recopilación de evidencias.

17. Aspectos de Seguridad de la Información en la Gestión de

la Continuidad del Negocio.

17.1 Continuidad de la seguridad de la información.

17.1.1 Planificación de la continuidad de la seguridad de la

información.

17.1.2 Implantación de la continuidad de la seguridad de la

información.

 
 
 64

17.1.3 Verificación, revisión y evaluación de la continuidad de la

seguridad de la información.

17.2 Redundancias.

17.2.1 Disponibilidad de instalaciones para el procesamiento de

la información.

18. Cumplimiento.

18.1 Cumplimiento de los requisitos legales y contractuales.

18.1.1 Identificación de la legislación aplicable.

18.1.2 Derechos de propiedad intelectual (DPI).

18.1.3 Protección de los registros de la organización.

18.1.4 Protección de datos y privacidad de la información

personal.

18.1.5 Regulación de los controles criptográficos.

18.2 Revisiones de la seguridad de la información.

18.2.1 Revisión independiente de la seguridad de la información.

18.2.2 Cumplimiento de las políticas y normas de seguridad.

18.2.3 Comprobación del cumplimiento.

La descripción de los 14 dominios son:

1. Políticas de seguridad (1 control)

 
 
 65

2. Aspecto Organizativos de la seguridad de Información (2

controles)

3. Seguridad ligada a recursos humanos (3 controles)

4. Gestión de activos (3 controles)

5. Control de acceso (4 controles)

6. Cifrado (1 control)

7. Seguridad física y ambiental (2 controles)

8. Seguridad en la Operativa (7 controles)

9. Seguridad en las Telecomunicaciones (2 controles)

10. Adquisición, desarrollo y Mantenimiento de los Sistemas de

Información (3 controles)

11. Relaciones con suministradores (2 controles)

12. Gestión de Incidentes en la Seguridad de la Información (1

control)

13. Aspectos de la Seguridad de la Información en la Gestión

de la Continuidad del Negocio (2 control)

14. Cumplimiento (2 controles)

Tabla 2.13 Normativa ISO 27002:2013

 
 
 66

Figura2-19. ISO 27002:2005 vs. ISO 27002:2013

En la gráfica antes observada se identifica que en la Normativa ISO

27002:2013 posee menos controles tecnológicos que la ISO 27002:20056,

adicionalmente se cuenta con políticas de control más claras y se debe

considerar esta actualización para la aplicación en este documento.

La Normativa ISO 27002:2013, es una herramienta que permite establecer

políticas y controles con el objetivo de disminuir los riesgos informáticos en la

Institución.
                                                            
6
 Iso/iec 27002:2005., “Iso/iec 27002:2005.”, 2011, 27002 
<http://www.iso27000.es/download/ControlesISO27002‐2005.pdf>. 

 
 
 67

Al implementar esta normativa lograremos reducir las amenazas y riesgos

hasta llegar a un nivel considerable de seguridad para la Institución, luego del

análisis de la normativa se ha considerado necesario enfocarse

principalmente en aplicar tres controles:

a) Documentos de la Política de Seguridad de la información

b) Asignación de responsabilidades relativas a la seguridad de la

información

c) Cumplimiento de la Política y normas de seguridad

2.5.2. Parámetros para Establecer Políticas de Seguridad de

Información.

Para la generación de la política debe ser considerado como un proceso

técnico administrativo que debe contar siempre con el Apoyo administrativo y

en especial de la máxima autoridad de la Entidad, sin este apoyo este

proceso puede fracasar o no llegar a su término de forma satisfactoria.

Es importante que al diseñar las políticas de seguridad basados en una

Institución Pública se considere primeramente los siguientes aspectos:

 
 
 68

 Reunirse con los Departamentos que poseen mayor experiencia

para establecer el alcance y definir las violaciones a las Políticas.

 Identificar a los líderes de áreas para la toma de decisión a fin de

que ellos son los más interesados por preservar la integridad de la

información que manejan

 Monitorear constantemente los procedimientos y operaciones que

realiza el área de Tecnología.

 Detallar explícitamente y concretamente el alcance de la política

con el propósito de evitar tensiones por parte del personal de área

y de toda la institución.

Finalmente el principal objetivo de estos aspectos ya expresados, es lograr

que sea aprobado cada una de las políticas, las mismas que deben

integrarse a la estrategia de negocio que lleva el Municipio, a su misión y

visión con el fin de que las altas autoridades de la Institución reconozcan de

forma inmediata la importancia y utilidad para el Municipio.

Es Importante recalcar que las políticas por sí solas no constituyen una

garantía para la Seguridad del Municipio, ellas deben responder a intereses y

necesidades Institucionales basadas en su visión, que lleven a un esfuerzo

conjunto de sus actores por administrar correctamente sus recursos, factor

 
 
 69

que facilita la formalización y materialización de los compromisos adquiridos

como Institución Pública.

2.6. Cifrado de los Sistemas de Información

2.6.1. Criptografía

Criptografía7 (del griego (criptos), «oculto», y (grafé), «escritura», literalmente

«escritura oculta»). Tradicionalmente se ha definido como el ámbito de la

criptografía que se ocupa de las técnicas de cifrado o codificado destinadas a

alterar las representaciones lingüísticas de ciertos mensajes con el fin de

hacerlos ininteligibles a receptores no autorizados. Estas técnicas se utilizan

tanto en el arte como en la ciencia. Por tanto, el único objetivo de la

criptografía es conseguir la confidencialidad de los mensaje, para ello se

diseñaban sistemas de cifrado y códigos. En esos tiempos la única

criptografía existente era la llamada criptografía clásica.

Actualmente la tecnología más apropiada dentro de la criptografía para

defender servicio de Correo Electrónico y hoy en día el más utilizado para

envió de información es la firma digital.

                                                            
7
 Wikipedia.org, “Criptografía ‐ Wikipedia, La Enciclopedia Libre” 
<http://es.wikipedia.org/wiki/Criptografía>. 

 
 
 70

Es necesario que los usuarios aprendan a proteger su información de los

peligrosde la nube del Internet, seleccionando contraseñas adecuadas para

sus cuentas y cifrando la información que almacenan en los servidores.

Además deben saber cómo observar lasanomalías que se aprecian en el

uso de los servicios y reportarlas oportunamente, Esto puede alertar sobre

cualquiera de las variantes de ataques que se utilizan hoy en día.

2.6.2. Métodos de Encriptación y Protección de la Información

En la actualidad se han incrementado precipitadamente los Ciberataques

dirigidas a las Instituciones Públicas debido a que el volumen de información

que se maneja en el Internet en muchas situaciones es muy grande,

situación por la que se requiere garantizar transmisiones segura de datos

dentro de la nube de internet, razón por la cual debemos emplear técnicas de

forma que los datos que se envían de una computadora a otra sea de forma

segura, en cuanto a que el receptor lo comprenda de acuerdo al algoritmo

establecido y sea idéntico al enviado por el emisor y que este a su vez este

codificado para evitar que sea interpretado por usuarios ajenos a la

comunicación realizada.

Este proceso es completamente transparente para el usuario final, no

incrementa el tamaño de los paquetes y solo puede ser desencriptado por

 
 
 71

quien tenga la clave para realizar esta acción. De esta manera estaremos

considerando los siguientes puntos de seguridad informática:

 Autenticidad de los usuarios.

 Confidencialidad.

 Integridad.

 No repudio.

Los métodos de encriptación8 existentes se dividen en dos grandes grupos

los cuales son:

 Clave secreta o privada (simétrica).

 Clave pública (asimétrica).

2.6.3. Clave Privada (Simétrica)

Utiliza una clave para la encriptación y desencriptación del mensaje a

transmitir, esta clave se debe intercambiar entre los equipos por medio de un

canal seguro; ambos extremos deben tener la misma clave para cumplir con

el proceso.

                                                            
8
Textoscientificos.com, “Encriptación” <http://www.textoscientificos.com/redes/redes‐
virtuales/tuneles/encriptacion> . 

 
 
 72

Figura 2-20. Clave Privada

Entre los principales algoritmos simétricos tenemos los siguientes: DES,

IDEA y RC5.

Las principales desventajas de los métodos simétricos son la distribución de

las claves, el peligro de que muchas personas deban conocer una misma

clave y la dificultad de almacenar y proteger muchas claves diferentes.

2.6.4. Clave Pública (Asimétrica)

También llamada asimétrica, se basa en el uso de dos claves diferentes, que

 
 
 73

poseen una propiedad fundamental: una clave puede desencriptar lo que la

otra ha encriptado.

Una de las claves de la pareja, llamada clave privada, es usada por el

propietario para cifrar los mensajes, mientras que la otra, llamada clave

pública, es usada para desencriptar el mensaje.

El primer sistema de clave pública que apareció fue el de Diffie-Hellman, en

1976, y fue la base para el desarrollo de los que después aparecieron, entre

los que cabe destacarel RSA (el más utilizado en la actualidad).

Figura 2-21. Clave Pública

 
 
 74

Las claves públicas y privadas tienen características matemáticas especiales,

de tal forma que se generan siempre a la vez por parejas, estando cada una

de ellas ligada intrínsecamente a la otra, mientras que la clave privada debe

mantenerla en secreto de su propietario, ya que es la base de la seguridad

del sistema, la clave pública es difundida, para que esté al alcance del mayor

número posible de personas, existiendo servidores que guardan, administran

y difunden dichas claves.

Para que un algoritmo de clave pública sea considerado seguro debe cumplir

con los siguientes puntos:

 Conocido el texto cifrado no debe ser posible encontrar el texto en

claro ni la clave privada.

 Conocido el texto cifrado (criptograma) y el texto en claro debe resultar

más caro en tiempo o dinero descifrar la clave, que el valor posible de

la información obtenida por terceros.

 Conocida la clave pública y el texto en claro no se puede generar un

criptograma correcto encriptado con la clave privada.

 Dado un texto encriptado con una clave privada sólo existe una

pública capaz de desencriptarlo, y viceversa.

 
 
 75

2.6.5. Diferencias entre los algoritmos Simétricos y los Asimétricos.

Al hablar de los algoritmos simétricos estos permiten encriptar y desencriptar

con la misma llave. Las principales ventajas de los algoritmos simétricos son

su seguridad y su velocidad y tiene un nivel de seguridad de 128bits.

Los algoritmos asimétricos pueden encriptar y desencriptar con diferentes

llaves. Los datos se cifran con una llave pública y se desencriptan con una

privada, siendo ésta su principal ventaja. Los algoritmos asimétricos, también

conocidos como algoritmos de llave pública, necesitan al menos una llave de

3.000 bits para alcanzar un nivel de seguridad similar al de uno simétrico de

128 bits.

Los algoritmos asimétricos son increíblemente lentos, tanto que no pueden ni

se recomiendan ser utilizados para cifrar grandes cantidades de información.

Los algoritmos simétricos son aproximadamente 1.000 veces más rápidos

que los asimétricos.

En la siguiente tabla, se modela una comparativa entre los dos tipos de

criptografía:

 
 
 76

Tabla comparativa entre criptografía simétrica y asimétrica

Garantías de Algoritmos

Ventajas Desventajas seguridad Uso más usados

es necesario compartir

la clave entre emisor y

DES con
receptor por medios
tamaño de
que pueden no ser
sistema
clave de 56
seguros
eficiente en
bits.
grupos muy si se compromete la
Triple-Des
reducidos, clave, se compromete
con tamaño
ya que sólo toda la comunicación
de clave de
es necesaria
no permite autenticar 128 bits a
una única
al emisor ya que una 256 bits.
clave
misma clave la Blowfish

no es utilizan dos personas con tamaño

necesario de clave de
se necesita un
disponer de 128 bits a
elevado número de
una tercera 256 bits
claves: n*(n-1)/2;
parte AES con
siendo n el número de  cifrado
confiable confidencialida tamaños de
personas implicadas de
d clave de 128,
Infraestructu en una comunicación mensaje
192 o 256
ra sencilla cifrada integridad s
Simétrica bits.

número de alto coste RSA con

Asimétrica claves computacional en el confidencialida cifrado de tamaño de

 
 
 77

Garantías de Algoritmos

Ventajas Desventajas seguridad Uso más usados

reducido, ya proceso de d mensajes clave mayor

que cada generación de claves o igual a

integridad firma digital
individuo 1024 bits
la necesidad de un
necesitará autenticidad de intercambio DSA con
tercero (autoridad de
únicamente origen de claves tamaño de
certificación) en el
un par de clave de 512
proceso no repudio
claves bits a 1024
necesidad de una bits
computacion
gran infraestructura El Gamal
almente es
independientemente con tamaño
complicado
del número de de clave
encontrar la
individuos. Se precisa comprendida
clave
mayor tiempo de entre los
privada a
proceso y claves más 1024 bits y
partir de la
grandes los 2048 bits
pública

no es

necesario

transmitir la

clave

privada

entre emisor

y receptor

 
 
 78

Garantías de Algoritmos

Ventajas Desventajas seguridad Uso más usados

permite

autenticar a

quien utilice

la clave

privada

Tabla 2-14. Tabla comparativa entre criptografía simétrica y asimétrica

2.6.6. Criptoanálisis

Es el conjunto de técnicas que se pueden usar para romper los códigos

criptográficos, por tanto trata de comprometer la seguridad de un cripto

sistema, ya sea simétrico o asimétrico, sin embargo, aunque pueda identificar

que el criptoanálisis es el enemigo del cripto sistema ya que trata de

romperlo, la realidad es que ayuda a perfeccionar al cripto sistema, el mismo

que aplicando técnicas de criptoanálisis se puede ver cuáles son los puntos

débiles de un algoritmo, perfeccionarlo y dificultar el posible criptoanálisis

invasivo futuro o nuevo.

 
 
 79

El perfeccionamiento de los algoritmos ha provocado que para el

criptoanálisis suela ser necesaria una computadora ya que en general se

lleva a cabo analizando grandes cantidades de pares mensaje-criptograma.

Los principales tipos de análisis son:

 Texto claro escogido. Este tipo de ataque se basa en que

conocemos algunos mensajes elegidos por nosotros y sus respectivos

criptogramas. A partir de ahí se buscan relaciones para averiguar

cómo sería el mensaje sin cifrar a partir del cifrado.

 Fuerza bruta. El menos elaborado de todos, descifra el criptograma

con todas las posibles contraseñas y de las posibles soluciones

identifica las que tienen sentido.

 Análisis diferencial. Observa cómo afectan al criptograma ligeras

codificaciones en el mensaje para deducir el criptograma a descifrar.

 Análisis Lineal. Esta técnica consiste en realizar operaciones lógicas

a pares mensaje-criptograma de las que se pueden sacar

conclusiones sobre la clave de cifrado.Un tipo de ataque que solo se

 
 
 80

puede utilizar con los algoritmos asimétricos consiste en tratar de

deducir la clave privada a partir de la pública.

 Ataques de Canal lateral. Estudio de la potencia consumida por el

componente electrónico que realiza elcifrado. Este método se basa en

detectar qué operaciones está realizando el microprocesador a partir

de su potencia consumida. De esta manera, conociendo el

funcionamiento interno del algoritmo, si se observa la potencia que el

sistema electrónico consumen el momento de operar con la clave, se

puede identificar cual es la clave.

Según el análisis previo para la ejecución e implementación del proyecto en

el Municipio de la Ciudad del Este, trabajaremos con el algoritmo AES. Está

demostrado que este algoritmo es muy resistente a todos los ataques

comentados anteriormente, por tanto en la última parte de este proyecto

implementaremos técnicas que hagan el algoritmo más robusto frente a este

método de criptoanálisis.

2.6.7. Implementación del algoritmo en encriptación AES

Una de las ventajas del algoritmo Rijndael en relación a otra, se refiere a que

es el único que podía trabajar con claves y bloques de cifrado de 128, 192 y

 
 
 81

256 bits indistintamente, pudiendo usarse 9 configuraciones distintas fruto de

mezclar cualquier longitud de clave con cualquier longitud de bloque.

El algoritmo AES es uno de los utilizados para proteger la información del

gobierno de los EE.UU. usados también por el sector privado y se

estandarizaría en muchos países (Sobre todo en los europeos).

Si se comprende el funcionamiento del proceso de cifrado, el de descifrado

se puede resumir fácilmente. Consiste en sustituir las operaciones del

proceso de cifrado por sus inversas y alterar el orden en que estas se

aplican. El aplicar este algoritmo permitiría a la Institución Publica mejorar su

seguridad en relación a información crítica y confidencial a razón de poder

tener a buen recaudo toda la información de la institución una vez aplicada el

algoritmo.

2.6.8. Cifrado de Disco para Linux

LUKS9 es una implementación muy sencilla de utilizar para la gestión de

particiones y unidades de almacenamiento cifradas en GNU/Linux. Se

recomienda su uso en dispositivos móviles, computadoras portátiles y

                                                            
9
 Joel Barrios Dueñas, “Cifrado de Particiones Con LUKS. ‐ Alcance Libre” 
<http://www.alcancelibre.org/staticpages/index.php/ciframiento‐particiones‐luks>. 

 
 
 82

dispositivos de almacenamiento cuya información se desee proteger en caso

de extravío o robo.

2.6.9. Cifrado de Disco para Windows

BitLocker10 cifra todos los datos almacenados en el volumen del sistema

operativo Windows (y en los volúmenes de datos configurados). Esto incluye

el sistema operativo Windows, los archivos de paginación e hibernación, las

aplicaciones y los datos usados por las aplicaciones.

BitLocker está configurado para que use de manera predeterminada un

Módulo de plataforma segura (TPM) que ayude a garantizar la integridad de

los componentes de arranque inicial (los componentes utilizados en las

primeras fases del proceso de inicio), y "bloquea" los volúmenes que hayan

sido protegidos con BitLocker para que permanezcan protegidos aun en el

caso de que se altere el equipo cuando el sistema operativo no se esté

ejecutando.

                                                            
10
 “Cifrado de Unidad BitLocker ‐ Microsoft Windows” <http://windows.microsoft.com/es‐
419/windows7/products/features/bitlocker> . 

 
 
 83

2.6.10. Control de Inventario y Monitoreo de PC's

Belarc, Inc.11 es una empresa de clase mundial dedicada al desarrollo y

diseño de productos basados en arquitectura WAN que ayudan a hacer más

sencillo el control de inventario y monitoreo de PC's por medio de una

sencilla administración, tanto para usuarios pequeños como para los grandes

corporativos, dependencias de gobierno, agencias de seguridad,

universidades, etc.

La arquitectura en formato portal WEB de Belarc permite a los usuarios

simplificar y automatizar la administración de equipos de escritorio,

servidores y equipo portátil en cualquier lugar del mundo, utilizando una sola

base de datos y un servidor de Intranet. Los productos de Belarc crean

automáticamente una base de datos centralizada (CMDB), precisa y

actualizada que contiene información detallada de software, hardware y

configuraciones en seguridad.

                                                            
11
 Belarc, “PRODUCTOS DE BELARC” <http://www.belarc.com/es/products.html>. 

 
 
 84

CAPÍTULO 3

3. EVALUACIÓN DE RIESGOS, AMENAZAS Y

VULNERABILIDADES TECNOLÓGICAS.

3.1. Identificación de Riesgos

La siguiente evaluación de riesgo realizada al Municipio de la Ciudad del

Este está basada en la Normativa AS/NZS ISO 31000:2009. A continuación

en la siguiente tabla se realiza un análisis específico en donde se identifican

todos los riegos de tipo interno y externos que podrían afectar directa o

indirectamente en la administración del Centro de Procesamiento de Datos

Municipal, además incluye la preparación de planes de tratamiento de

riesgos.

 
 
 85

Tipos de Posibles
Nº Riesgo Descripción
riesgo consecuencias

1 Externo Cortes de Fallas en red eléctrica, Inoperatividad de

/Interno energía que alimenta al Centro los equipos de

de Datos Municipal comunicaciones y

servidores de

datos.

2 Interno Fallas de UPS Falla de equipos de Inoperatividad de

respaldo eléctrico los equipos de

comunicaciones y

servidores de

datos.

3 Interno Fallas en equipo Temperatura no Baja el desempeño

de ventilación adecuada para la de procesamiento

(aires operatividad de equipos y generación de

acondicionados) de Comunicación y daños por

Servidores recalentamiento en

equipos

4 Externos Terremotos Eventos naturales Daño total del

equipamiento de

comunicación y

servidores de datos

 
 
 86

5 Externo Tsunami Eventos naturales Daño total del

equipamiento de

comunicación y

servidores de datos

6 Externo Incendios Fuego en las Daño total del

/Interno instalaciones del equipamiento de

Centro de Datos comunicación y

Municipal servidores de datos

7 Interno Desconexión de Corte o daños en la Usuarios no

medio físico por fibra óptica de tendrán acceso al

interconexión interconexión servicio de internet

proveedor de

Internet

8 Interno Fallas en falla en los equipos Interrupción del

hardware de Informáticos de servicio

equipos del comunicación y Tecnológicos

Centro de Datos servidores de datos parcialmente

Municipal

9 Interno Fallas en Servicio no disponible Interrupción del

software de por problemas en el servicio

Equipos de Sistema Operativo o Tecnológicos

Centro de Datos Software de parcialmente

 
 
 87

Municipal Administración

10 Interno Falla en los Desperfecto eléctrico o Interrupción de la

equipos de cualquier problema red de

conmutación de interno en los equipos comunicación

la redes LAN de comunicaciones

11 Saturación en Problemas en Pérdida de

los equipos de saturación de paquetes desempeño hasta

comunicaciones de datos y posible

procesamiento entre desconexión o

otras saturación de la red

Interno interna

12 Interno Falla en los Desperfecto eléctrico o Interrupción de la

equipos de cualquier problema red de

radio interno en los equipos comunicación e

comunicación de comunicaciones internet

para la red MAN

13 Externo Interrupción Falla en el acceso al Usuarios no

servicio de servicio de internet tendrán acceso al

internet por servicio de internet

problemas de

ultima milla

 
 
 88

14 Interno Interrupción del Falla en el equipo de Vulnerabilidad de

/Externo servicio de filtraje acceso a

Firewall Información del

Centro de Datos

Municipal

15 Interno Acceso no Acceso de personas no Robo de

autorizado a los autorizada a los información

servidores del servidores

Centro de Datos

Municipal

16 Interno Acceso no Acceso de personas sin Robo de

autorizado a los permiso a la información

equipos de configuración del

comunicaciones núcleo de

comunicaciones

17 Interno El saboteador puede Interrupción de

/Externo ser un empleado o un Servicio

sujeto ajeno a la Tecnológicos y/o

empresa que utiliza robo de información

Actos de herramientas de

ciberataques Craqueo

 
 
 89

18 Interno Mantenimiento rutinario Interrupción del

que terminan en un servicio

Errores humanos
apagado no Tecnológicos

programado de equipos parcialmente

Tabla 3-15. Identificación de Riesgos

El proceso de administración de riesgo contempla la identificación de todos

los posibles riesgos, los cuales afectan a los estándares. Cabe destacar que

estos pueden ser directos o indirectos que inciden en la administración, como

por ejemplo el corte de energía se categoriza como un riesgo directo, debido

a que por un desperfecto eléctrico se suspende el servicio, entre los riesgos

indirectos se puede mencionar la interrupción o reinicio de un Servidor FTP.

3.1.1. Análisis de Riesgos

Es importante identificar los riesgos que afectan directamente a la institución

con el fin de que no existan dificultades en mantener una continuidad del

negocio y poder tener una clara realidad de los costos que se verían

involucrados, esto implica que se debe tener bien identificado las

probabilidades de ocurrencia y su impacto, evaluación de controles aplicados

a los procesos así como también sus debilidades.

 
 
 90

3.1.1.1. Magnitud del Riesgo

La magnitud de un riesgo se determina por la probabilidad de ocurrencia y

sus consecuencias o impactos asociados.

Magnitud= probabilidad * Impacto

3.1.1.2. Matriz de Priorización y Probabilidades

Para esto se debe considerar lo siguiente:

Probabilidad: Frecuencia que podría presentar el riesgo.

ALTA: Es muy factible que el riesgo se presente

MEDIA: Es factible que el riesgo se presente

BAJA: Es muy poco factible que el riesgo se presente

Impacto:Forma en la cual el riesgo podría afectar los resultados del proceso.

ALTO: afecta en alto grado la disponibilidad del servicio

MEDIO: afecta en grado medio la disponibilidad del servicio

BAJO: afecta en grado bajo la disponibilidad del servicio

 
 
 91

En la siguiente gráfica se presenta la matriz de priorización, con la cual se

clasificaran los riesgos de acuerdo a su magnitud:

Magnitud A: Nivel de Alto Riesgo

Magnitud B: Nivel Medio de riesgo

Magnitud C: Nivel Bajo de Riesgo

ALTA B A A
Probabilidad

MEDIA B B A

BAJA C B B

BAJO MEDIA ALTO

Impacto

Tabla 3-16. Matriz de Priorización

Basado en la matriz de priorización antes presentada, se realizará el análisis

de la magnitud del riesgo de acuerdo al nivel de probabilidad e impacto, para

luego sean clasificados según su grado de importancia.

 
 
 92

Control
Nº Riesgo Probabilidad Impacto Magnitud
existente

1 Cortes de energía UPS exclusivo Media Media B

para el Centro

de Datos

Municipal

2 Fallas de UPS Mantenimiento Baja Alto B

anual

3 Fallas en equipo Mantenimiento Baja Bajo C

de ventilación Anual

(aires

acondicionados)

4 Terremotos Plan de Baja Alto B

Contingencia

5 Tsunami Centro de Baja Alto B

datos el

Primer Piso

del Edificio

Municipal

6 Incendios Extintores y Baja Media B

detectores de

humo

 
 
 93

7 Desconexión de Monitoreo de Baja Alto B

medio físico por la red

interconexión

proveedor de

internet

8 fallas en el Mantenimiento Media Alto A

hardware de Anual

Equipos del Centro

de Datos Municipal

9 Fallas en software Respaldo en Media Media B

de Equipos del contingencia

Centro de Datos diario

Municipal

10 Falla en los Monitoreo de Media Alto A

equipos de redes disponibilidad

comunicación LAN de equipos de

comunicación

11 Saturación en los Monitoreo de Media Alto A

equipos de tráfico de red

comunicaciones

 
 
 94

12 Falla en los Monitoreo de Media Alto A

equipos de radio disponibilidad

comunicación para de equipos de

la red MAN comunicación

13 Interrupción del Monitoreo Baja Alto B

Servicio de Internet

por problemas de

última milla

14 Interrupción del Monitoreo Baja Alto B

servicio de

Firewall

15 Acceso no Lista de Media Alto A

autorizado a los acceso y

servidores del conexión a

Centro de Datos través de

SSH2

16 Acceso no Lista de Baja Alto A

autorizado a los acceso y

equipos de conexión a

comunicaciones través de

protocolos de

Seguridad

 
 
 95

WPA2

17 Actos de Software de A

ciberataques Monitoreo Media Alto

18 Errores Humanos - Baja Alto B

Tabla 3-17. Análisis de Riesgo

3.1.2. Evaluación de Riesgo

Luego de realizarse la matriz de priorización de riesgo, es importante evaluar

los riesgos principales con el propósito de tomar decisiones en base a los

resultados obtenidos previamente.

3.1.2.1. Prioridades o Criterios

Riesgo con Magnitud alta (A), sin controles efectivos, requieren 
acciones preventivas inmediatas.

Riesgo con Magnitud alta (A), y Media(B) con controles no 
efectivos, requieren acciones de preventivas.

Riesgo con Magnitud alta (A), y Media(B) con controles efectivos, 
pero no documentados, requieren acciones preventivas.

Riesgo con priorizacion baja (C) o alta (A) y media (B) que tienen 
controles fundamentados y efectivos, requieren seguimiento.

Figura 3-22. Criterios de Evaluación de riesgo

 
 
 96

Tratar
Nº Riesgo Criterio
riesgo

1 Cortes de energía 3 SI

2 Fallas de UPS 3 SI

Fallas en equipo de ventilación

3 4 NO
(aires acondicionados)

4 Terremotos 3 NO

5 Tsunami 3 NO

6 Incendios 2 SI

Desconexión de medio físico por

7 interconexión proveedor de 4 NO

internet

fallas en el hardware de Equipos

8 2 SI
del Centro de Datos Municipal

Fallas en software de Equipos del

9 3 SI
Centro de Datos Municipal

Falla en los equipos de

10 2 SI
conmutación de la redes LAN

Saturación en los equipos de

11 1 SI
comunicaciones

Falla en los equipos de radio

12 2 SI
comunicación para la red MAN

 
 
 97

Interrupción del Servicio de

13 Internet por problemas de ultima 3 SI

milla

Interrupción del servicio de

14 2 SI
Firewall

Acceso no autorizado a los

15 1 SI
servidores del Centro de Datos

Acceso no autorizado a los

16 1 SI
equipos de comunicaciones

17 Actos de ciberataques 1 SI

18 Errores Humanos 4 NO

Tabla 3-18. Evaluación de Riesgos

3.1.3. Tratamientos de Riesgos

El tratamiento de riesgos permite preparar alternativas y planes que ayuden

a mitigar incidentes que afecten a la continuidad del negocio. Cada una de

las alternativas identificadas a continuación permitirá combatir los riesgos

más evidentes dentro de esta Institución Municipal.

 
 
 98

3.1.3.1. Identificación de Alternativas

Alternativas Descripción

Reducir Bajar la cantidad de veces que se presenta el riesgo en

probabilidad un periodo de tiempo

Reducir impacto Mitigar las consecuencias negativas cuando se

presenta el riesgo

Transferir el riesgo Traspasar el resigo a otra compañía(contrato de

outsourcing, póliza de seguro)

Compartir el riesgo Consiste en intentar extender el riesgo de un área en

concreto, a diferentes secciones, con el fin de impedir

la perdida de todo el negocio

Evitar el riesgo Si prestar de un servicio supone un gran riesgo, el

servicio se deja de entregar

Tabla 3.19Alternativas de Manejo de Riesgo

3.1.4. Evaluación de las Alternativas

En el proceso de evaluación de las alternativas se debe apuntar a la

mitigación o disminución de incidentes de alto riesgo que tiene la Institución y

lograr ejecutar estos procesos en coordinación con las áreas responsables.

 
 
 99

Luego del análisis de riesgo se identifican las alternativas a implementar y

sus responsables a ejecutar dentro de esta entidad Municipal, esto previa la

autorización de la máxima autoridad:

Alternativas Área
Nº Riesgo Alternativas
de manejo responsable

1 Cortes de Reducir Mantenimiento periódico Dpto. de

energía Impacto del generador eléctrico Servicios

Generales

2 Fallas de UPS Reducir Disponibilidad de UPS Dpto. de

Impacto redundantes en el Centro Informática

de Datos Municipal y

Mantenimiento Periódicos

6 Incendios Reducir Revisión de las Dpto. de

probabilidad, Instalaciones Eléctricas Servicios

impacto y periódicamente. Generales

evitar riesgo Mantenimiento de

extintores y sistema de

detección de incendio

8 Fallas en el Reducir Mantenimiento Dpto. De

hardware de probabilidad, Preventivos periódicos Servicios

Equipos del impacto y Generar Generales e

Centro de evitar riesgo Documentación, para Informática

 
 
 100

Datos Municipal traspaso de servicio a

contingencia

Remplazo del Equipo de

ser necesario

9 Fallas en Reducir Mantenimiento Dpto. de

software de probabilidad, Preventivos periódicos Informática

Equipos del impacto y Actualización de

Centro de evitar riesgo Software y Antivirus

Datos Municipal Implementar un plan

efectivo de recuperación y

copias de seguridad

Generar Documentación,

para traspaso de servicio a

contingencia

10 Falla en los Reducir Revisión de las Dpto. De

equipos de Impacto Instalaciones Eléctricas Servicios

redes periódicamente. Generales e

comunicación Mantenimiento Periódico Informática

del Centro de de UPS de los Equipos de

Datos Municipal Comunicación

Remplazo del Equipo de

ser necesario

 
 
 101

11 Saturación en Reducir Monitoreo y testeos Dpto. de

los equipos de Impacto periódico de la red LAN y Informática

comunicaciones MAN de la Institución

Generación de políticas

de Navegación y acceso a

la información

Distribución de Carga

con otro equipo de

comunicación

12 Falla en los Reducir Revisión de las Dpto. De

equipos de Impacto Instalaciones Eléctricas Servicios

radio periódicamente. Generales e

comunicación Mantenimiento Periódico Informática

para la red de UPS de los Equipos de

MAN Comunicación

Remplazo del Equipo de

ser necesario

13 Interrupción del Reducir Solicitar al proveedor de Dpto. de

Servicio de impacto y Internet un plan de Informática

Internet por probabilidad contingencia o respaldo del

problemas de Servicio

ultima milla

 
 
 102

14 Interrupción del Reducir Reinicio del Servidor Dpto. de

servicio de impacto y Revisión de las políticas Informática

Firewall y Proxy probabilidad de acceso

Server Pentesting del Servidor

15 Acceso no Reducir Revisión de las políticas Dpto. de

autorizado a los Impacto de protección de datos Informática

servidores del Pentesting del Servidor

Centro de

Datos

16 Acceso no Reducir Revisión de las políticas Dpto. de

autorizado a los impacto de acceso Informática

equipos de Pentesting del Servidor

comunicaciones de Comunicación

17 Actos de Reducir Revisión de las políticas Dpto. de

ciberataques probabilidad, de acceso Informática

impacto y Pentestingde los

evitar riesgo equipos de Comunicación

Capacitar a los

empleados sobre el

phishing

Proteger el servidor de

correo electrónico.

 
 
 103

Implementar un plan

efectivo de recuperación y

copias de seguridad

Aplicar plan de

contingencia

Tabla 3-20. Evaluación de Alternativas

3.1.5. Preparación de Planes de Tratamiento

Al preparar el plan de tratamiento se debe identificar las responsabilidades,

los resultados esperados de los tratamientos, las medidas de desempeño y el

proceso de revisión a establecer.

Se ha considerado para el alcance de este proyecto, que se fundamente en

desarrollar medidas de gestión de riesgo específicamente para las áreas de

Infraestructura y Comunicación del Municipio y dentro de la implementación

de las alternativas establecida para los riesgos más críticos e identificados en

la tabla de Evaluación son las siguientes:

Riesgos de prioridad alta:

 Saturación en los equipos de comunicación

 
 
 104

 Acceso no autorizado a los servidores del Centro de Procesamiento

de Datos

 Acceso no autorizado a los equipos de comunicación

 Actos de ciberataques

Riesgo de prioridad media:

 Fallas en el hardware de Equipos del Centro de Datos Municipal

 Falla en los equipos de conmutación de las redes LAN

 Falla en los equipos de radio comunicación para la red MAN

 Interrupción del servicio de Firewall

Con la información antes destacada se presenta a continuación el índice de

magnitud y prioridad cambiante, una vez que se implemente los planes o

alternativas de tratamientos.

Sin Tratamiento Con Tratamiento

Riesgo
Magnitud Prioridad Magnitud Prioridad

Saturación en los equipos de

comunicaciones A 1 B 3

Acceso no autorizado a los servidores A 1 B 3

 
 
 105

del Centro de Datos

Acceso no autorizado a los equipos

de comunicaciones A 1 B 3

Actos de ciberataques A 1 B 3

Fallas en el hardware de Equipos del

Centro de Datos Municipal A 2 B 4

Falla en los equipos de conmutación

de la redes LAN A 2 B 4

Falla en los equipos de radio

comunicación para la red MAN A 2 B 4

Interrupción del servicio de Firewall A 2 B 4

Tabla 3-21. Índice de Magnitud y prioridad esperada

Para la verificación de estas alternativas que se adoptaran de forma efectiva

dentro de un tiempo específico, se presenta el siguiente plan de pruebas:

 Pruebas de conectividad de toda la redes interconexión.

 Pruebas de conexión red de servidores de forma directa, sin la

utilización de filtros, con desconexión del servicio de Internet.

 Pentesting de los servidores de datos Municipales

 Pentesting de conmutadores de red

 Pruebas del plan efectivo de recuperación y copias de seguridad.

 
 
 106

 Cumplimiento de Políticas de Seguridad de la Información

3.1.6. Resultados y Ejecución

Para la ejecución de las alternativas de tratamiento del plan de riesgo que

permita evitar problemas críticos en lo físico y lógico, es necesario considerar

el permiso previo de la máxima autoridad, para que en su posterior se pueda

ejecutar paulatinamente todos los procesos con el objetivo primordial de

mantener la continuidad del negocio.

Se debe conocer que al ser ejecutada dentro una Institución Pública se debe

considerar la optimización de recursos económicos y el presupuesto del área

TICs. El ser un ente Municipal no es la excepción, por tal motivo se ha

considerado que para la implementación de todo este proceso se necesita el

apoyo de todo el personal de la Jefatura de Informática que a su vez cuenta

con conocimientos calificados para ejecutar al 100% esta propuesta.

El tiempo que se tomaría la implementación de las alternativas es estimado

en tres meses aproximadamente y podría verse afectada de acuerdo a los

siguientes factores:

 
 
 107

 Proceso de Adquisición de Equipos redundantes (Servidores de

Datos, UPS) para el Centro de Procesamiento de Datos.

 Proceso de Contratación de Mantenimientos Periódicos para

Servidores y Equipos electicos del Centro de Procesamiento de

Datos.

 Capacitación del Personal de la Jefatura incluyendo a líderes de

cada Departamento con el fin de replicar políticas y normativas

internas.

Las otras alternativas descritas en el Plan de Riesgo se las pueden realizar

de forma inmediata una vez autorizado por parte del Departamento de

Informática y no demanda costo alguno porque se lo realizaría de forma

planificada dentro de las actividades diarias del área.

El espíritu de la gestión de riesgo es que se logre ejecutar en su totalidad

cada una de las alternativas de tratamiento y mantener el servicio de los

Sistemas Informáticos de forma continua y sin interrupciones.

3.2. Seguridad Física

La importancia de la seguridad física radica en que la institución pública

pueda ser una de las más seguras, desde el punto de vista en que se pueda

 
 
 108

minimizar las vulnerabilidades de cualquier tipo de ataques sean estos

internos o externos, a pesar de que en la actualidad estos aspectos no son

tomados en cuenta, se mantiene una lucha por parte de la TI hacia la

máxima autoridad de la Institución para que sean priorizados, porque

actualmente en el mundo tecnológico en que vivimos estamos propensos a

sabotajes , desastres naturales o cyberataque. Al crear formas de detección

preventivas a favor de la seguridad física dentro del Centro de

Procesamiento de Datos hace que la Institución pueda tener mecanismos de

mitigación que permitan la continuidad de las actividades administrativas a

pesar del riesgo de ataques Informáticos.

Es indispensable que el entorno en donde se ubican a los Servidores y

equipos de conmutación deben estar protegidos por barreras y controles

físicos, para evitar de esta manera intrusión física o cualquier otro tipo de

amenazas que afecten su normal operación, para esto actualmente la

institución cuenta con un área solo para el Centro de Procesamiento de

Datos donde están ubicados todos los Servidores y Equipos de

comunicación, además de la existencia de una cámara de monitoreo con

visión nocturna que captura la imagen del personal que ingresa a este lugar.

 
 
 109

Los mecanismos de seguridad física que se puedan implementar en la

Institución deben resguardar de amenazas producidas tanto por el hombre

como por eventos adversos, y estar basados en un estándar utilizado de

forma nacional o internacional tal como se lo está realizando a través de la

normativa AS/NZS ISO 31000:2009 orientada a Riesgos.

Los riesgos físicos de altas prioridades detectadas y mencionados en los

puntos anteriores son los siguientes:

 Acceso no autorizado a los servidores del Centro de Procesamiento

de Datos

 Cortes de Energía que provoquen problemas a los Servidores y

Equipos de Comunicación.

 Desperfectos por falta de mantenimiento periódicos a los Equipos

Informáticos.

3.3. Seguridad Lógica

Para el tema de seguridad lógica es importante resaltar que en el Centro de

Procesamiento de Datos no solo se debe identificar los niveles de daños

físicos que puedan sufrir, sino también los daños lógicos que pueda tener la

 
 
 110

información crítica almacenada y procesada en los Servidores de Datos

ubicados en esa área.

Para la seguridad lógica se necesita de la generación de barreras y

procedimientos que resguarden el acceso a los datos y que sólo puedan

tener acceso personas autorizadas. El Municipio como Institución contiene

información crítica relacionada con el catastro de predios cantonal, así como

también el registro de pagos de varios impuestos que se realizan año a año

por los contribuyentes, entre otros.

Con el fin de salvaguardar, toda esta información valiosa y de tipo crítica se

haplanteado a la máxima autoridad de la Institución los siguientes objetivos:

1. Restringir el acceso a los programas y archivos.

2. Garantizar que la información recibida sea la misma que ha sido

transmitida.

3. Garantizar que la información transmitida sea recibida sólo por el

destinatario al cual ha sido enviada y no a otro usuario desconocido.

4. Asegurar la integridad, confidencialidad y disponibilidad de la

información almacenada.

5. Disponer de sistemas alternativos secundarios de transmisión de

datos entre diferentes puntos también conocido como redundancia.

 
 
 111

6. Establecer niveles de autenticación en los accesos de datos.

7. Definir un Plan de mantenimiento de software para los servidores de

datos existentes.

Se debe considerar que adicional a estos objetivos, al realizar una

evaluación y determinación los procedimientos adecuados con respecto a

la asignación de permisos, modificaciones de configuración a los equipos

de comunicaciones o sistemas operativos, el National Institute for

Standars and Tecnology (NIST) plantea los siguientes requisitos mínimos

de seguridad que también son considerados para la aplicación en esta

Institución Pública:

 Identificación y autenticación

 Asignación de roles

 Limitación de servicios

 Modalidad de acceso

 Controles de acceso interno y externo

3.4. Probabilidades de amenazas y vulnerabilidades críticas

Las amenazas y vulnerabilidades hoy en día pueden producir mucho daño a

una institución pública si no se toma las precauciones debidas de seguridad

informática, este tipo de amenaza puede ser externo, tales como las

 
 
 112

agresiones naturales o humanas, así como también las internas, como

negligencia del propio personal, condiciones, procesos operativos internos,

entre otros. En lo referente a las amenazas más alarmantes que según la

“Encuesta sobre Seguridad y Crimen de Computación – 2008″ del Instituto de

Seguridad de Computación (CSI por sus siglas en inglés) encuesta basada

en base en 433 respuestas de diferentes entidades privadas y estatales en

los EE.UU, se presenta la siguiente gráfica.

Figura 3-23. Encuestas sobre seguridad y crimen informático.

Por tal motivo se debe tomar con mucha seriedad el tema de seguridad por

parte de la máxima autoridad Municipal, porque en caso de existir un ataque

severo a la Institución, este puede tener un impacto alto y afectar

económicamente. Cabe entender que actualmente existen herramientas de

libre descarga en el Internet que han hecho más fácil la identificación y

 
 
 113

explotación de los recursos de la red, Sistemas Operativos, servicios, entre

otros, causando que los atacantes puedan vulnerar sin necesidad de ser

expertos en área.

A continuación se presenta en la siguiente figura los productos más

afectados por vulnerabilidades informáticas según INTECO12 en su informe

de Vulnerabilidades del 2011.

Figura 3-24. Productos más afectados por las vulnerabilidades

Además es importante citar los fabricantes más afectados por las

vulnerabilidades según INTECO

                                                            
12
 INTECO Cert, “Informe de Vulnerabilidades 2011” 
<http://www.inteco.es//extfrontinteco/img/File/intecocert/Formacion/EstudiosInformes/Vulnerabili
dades/cert_inf_vulnerabilidades_semestre_1_2011.pdf>. 

 
 
 114

Figura3-25. Fabricantes más afectados por las vulnerabilidades

Estas estadísticas identifican claramente que las aplicaciones de los

fabricantes más reconocidos son vulneradas, por tanto se hace necesario

realizar una evaluación del tipo de vulnerabilidades que puedan existir en el

centro de datos Municipal que arroje resultados reales y basados en los

resultados obtenidos de plantear políticas de seguridad que garanticen la

integridad de la información y la continuidad de la Institución

3.4.1. Herramientas utilizadas para detección de vulnerabilidades

Para la detección de vulnerabilidades o amenazas se ha utilizado las

siguientes herramientas:

 
 
 115

Tipo de Herramienta Descripción

Linux Backtrack 5 r3 Sistema Operativo de distribución GNU/Linux

diseñada para la auditoría de seguridad

Informática

Metas ploitable Versión de Ubuntu Linux intencionalmente

vulnerable diseñada para probar herramientas

de seguridad y demostrar vulnerabilidades

comunes.

Wireshark Analizador de Protocolo utilizado para realizar

análisis y solucionar problemas en redes de

comunicaciones, para desarrollo

de software y protocolos

Network Scan Utilidad gratuita que permite el análisis de la

red LAN

Nmap Programa de código abierto que sirve para

efectuar rastreo de puertos y IP especificas

Zenmap Utilidad grafica de código abierto que facilita el

uso del comando nmap en los sistemas

operativos Windows

Ubuntu 12.04 sistema operativo basado en Linux y que se

distribuye como software libre

Foca Herramienta de análisis de metadata, utilizada

 
 
 116

para encontrar información oculta en

documentos de Microsoft Office, Open

Office y documentos PDF/PS/EPS,

extraer todos los datos de ellos exprimiendo

los ficheros al máximo y una vez extraídos

cruzar toda esta información para obtener

datos relevantes de una empresa.

NeXpose Herramienta grafica que permite el análisis y

clasificación de vulnerabilidades, aplicación de

meta exploit, generación de reportes

estadísticos en base a las vulnerabilidades

encontradas.

Nesuss Nessus es un programa de escaneo de

vulnerabilidades en diversos sistemas

operativos

Maltego Programa que recopila información de

internet y la representa de forma gráfica para

que sea sencilla de analizar, es una

herramienta muy potente, llena de opciones

que pueden ser muy útiles para investigar

empresas, sitios, personas y mucho más.

Tabla 3-22. Herramientas utilizadas para la detección de vulnerabilidades

 
 
 117

3.5. Intento de Intrusión Externa

3.5.1. Identificación de Objetivos y Recolección de Información

Para la identificación de los objetivos con la empresa o Institución se debe

tratar el tema de confidencialidad de la información y el alcance del testeo, es

decir que hay que identificar cuáles van a ser las reglas del negocio con los

encargados de la Institución, de tal forma que se pueda llegar a acuerdos

que permitan en horas determinadas realizar todo tipo de análisis sin que la

Institución sufra problemas de saturación o incidentes que pueda paralizar

las actividades administrativas.

La recolección de información consiste en la aplicación de varias técnicas

para el reconocimiento de información del objetivo, previo a la auditoria de

tipo hacking ético que se realizará al Municipio. A mayor información

recolectada, mayor probabilidad de detección de vulnerabilidades.

La recolección de información, también se puede considerar como la

construcción de un perfil básico de la entidad u organización utilizando

información que está disponible de forma pública en la Web.

 
 
 118

3.5.2. Recolección de Información a través de herramientas de la red

Nuestra primera prueba es básicamente a través del comando ping y la

consola de comando CMD de una máquina con Sistema Operativo Windows

y así lograr obtener la IP del servidor Web, el mismo que dio como resultado

la IP 186.42.198.98, que es la dirección pública en la que se encuentra

alojado el portal Web de la institución sin permitirme hacer pruebas ICMP,

diagnosticar las condiciones de transmisión, a continuación se ilustra en la

siguiente gráfica.

Figura 3-26. Comando Ping

Para la siguiente actividad se utilizó el portal de Registro de Dominio en el

Ecuador “NIC.EC”,que consiste en una base de datos de todas las

instituciones que existen en Ecuador que tiene Sitio o Portal Web. Este Portal

posee una herramienta llamada Whois, el mismo que permite la extracción

de información de la institución a través del registro de su dominio, se ilustra

en la siguiente gráfica.

 
 
 119

Figura

3-27. Portal de Registro de Dominios del Ecuador

Cabe indicar que esta información que aparece en el portal de registro de

dominio es pública, la misma que es solicitada mediante formulario por la NIC

previo al registro del Portal Web sea esta para entidades públicas o privadas.

En continuación de este proceso de footprinting utilizamos la URL

http://cqcounter.com/traceroute/?query=ciudaddeleste.gob.ec y

escogemos la opción de Traceroute, el mismo que permitirá identificar donde

se encuentra configurado el servidor de ruteo al Portal Web Institucional, no

su ubicación física.

 
 
 120

Mediante la siguiente gráfica se identifica que su ubicación del servicio de

ruteo por parte del proveedor de internet está en la Ciudad de Quito.

Figura 3-28. Traceroute Portal Web “ciudaddeleste.gob.ec”

3.5.3. Reconocimiento Pasivo

Una de las técnicas para el reconocimiento pasivo es utilizar el buscador

Google con técnicas de Hacking; esta herramienta ha demostrado ser un

potente buscador de información pública. Google Hacking es muy utilizada

para la investigación de fuga de información a través de Sitios o Portales

Web en especial si estamos realizando recolección de información.

 
 
 121

Para esta prueba ingresamos al navegador de google y digitamos en el

buscador los siguientes sufijos tal y como se muestra en la Figura 3.15, el

resultado de esta prueba dio como resultado que el SitioWeb Institucional

tiene un entorno administrativo montado en la Web, así como también que la

plataforma de desarrollo es Joomla.

Figura 3.29. Búsqueda con google hacking1

 
 
 122

Figura 3-30. Búsqueda con google hacking2

Otra importante herramienta en el proceso de recolección de información es

utilizar un Plug-in de Firefox llamado PASSIVERECON, esta herramienta

permite a los Analistas de Seguridad realizar proceso de recolección de

información automáticamente de varios sitios Web. Para el proceso de

instalación solo se debe ingresar a la dirección https://addons.mozilla.org/en-

us/firefox/addon/passiverecon/. Y descargar la extensión en el navegador

 
 
 123

Figura 3-31. Instalación de la Extensión PassiveRecon2.00

Luego de la instalación la extensión Passive Recon 2.00, podemos abrir el

navegador de firefox e ingresar en la URL del sitio web que quiera evaluar,

posterior a esto dar clic derecho y escoger el aplicativo con la opción “show

all”, esto genera veinte y tres operaciones, es decir llama a veinte y tres

ventanas en firefox con aplicativos web como netcraft, DNS tool, robtex entre

otros.

 
 
 124

Figura 3-32. Opción del PassiveRecon

NetCraft es una herramienta de análisis de seguridad que permite presentar

información relevante de la institución, entre ellas:

 Proveedor ISP de la Institución

 Dirección IP del Servidor que administra el Portal Web

 Si estas en lista negra

 Reverse DNS

 
 
 125

Figura 3-33. Análisis Web, Netcraft

Así también se puede apreciar que la siguiente dirección

http://whois.domaintools.com/ciudaddeleste.gob.ec, permite realizar un

whois del Dominio de la institución extrayendo la siguiente información:

representante legal y responsable de áreas administrativas de la Institución,

fecha de caducidad del dominio, etc., material que puede servir para

posteriormente realizar un proceso de Ingeniería Social.

 
 
 126

Figura 3-34. Herramienta domaintools

Otra de las herramientas de evaluación Domain Dossier que permite

confirmar la información descrita por otras herramientas mencionadas en

este documento, el mismo que hace un análisis por IP, extrayendo de esta

manera información como son: Network Whois record, DNS records, entre

otros.

 
 
 127

Figura 3-35. Herramienta Domain dossier

Finalmente unas de las herramientas muy utilizada por los Analistas de

Seguridad para el levantamiento de información basado en la metodología de

numeración es Theharvester.py que está instalado en el BackTrack 5R3 y

que permite auditar el dominio de la Institución a partir de correos

electrónicos, nombres de dominios, subdominios y listados de IP's

 
 
 128

Figura 3-36. Utilidad the harvester en backtrack5r3

Los resultados que presenta esta utilidad son las IP públicas relacionadas al

dominio de la institución, de las cuales la IP 186.42.198.99 es identificado por

esta herramienta como el servidor de correo electrónico, ambas IP sirve para

poder realizar un mapeo de puerto y lograr identificar cuales están abierto y

su grado de riesgo.

Para identificar el estado de los puertos, se utilizará el comando “nmap” para

cada una de las IP de los equipos encontrados.

 
 
 129

Figura 3-37. Manejo de NMAP

El resultado del comando nmap para la IP 186.42.198.99 ha encontrado 4

puertos abiertos (Servicios FTP, http, pop3, https) que posteriormente serán

evaluados y se verificara si es necesario mantenerlos con ese estado o de lo

contario serán cerrados.

Figura 3-38. Ejecución comando NMAP

El resultado del comando nmap para la IP 186.42.198.98 ha encontrado 2

puertos abiertos (Servicios FTP, http) y tres filtrados (SMTP, HTTPS, SIP-

TLS) que al igual que el anterior serán evaluados y se verificara si es

necesario mantenerlos con ese estado o de lo contario serán cerrados.

 
 
 130

Para confirmar el resultado anterior con el Servicio POP3 que se encontraba

abierto para la IP 86.42.198.99 se realizó una prueba de conectividad a

través del comando telnet, el cual se logró conectar con el servidor a través

del puerto 110, como se demuestra en la siguiente gráfica.

Figura 3-39. Comando Telnet

Para confirmar que el resultado anterior con el servicio FTP se encontraba

abierto para la IP 186.42.198.98 se realizó una prueba de conectividad a

través del comando ftp, cuyo resultado fue una conexión exitosa y lista para

ingresar usuario y contraseña, se observa en la siguiente gráfica.

Figura 3-40. Comando FTP

A través del software Maltego versión 3.1.1 que viene incorporado en

Backtrack 5 r3, se logró identificar cuáles son los enlaces o links externos

 
 
 131

que tiene el Portal Web, como parte de la recopilación de información sobre

nuestro target u objetivo de evaluación actual.

Figura 3-41. Mapa de enlaces externo Sitio Web

Esta evaluación permite identificar vínculos o enlaces externos que puede

tener la institución y de esta manera generar algún tipo de ataque de

ingeniería social.

Luego se realizó un análisis de vulnerabilidad del Portal Web que fue

realizado a través de la herramienta instalada en el Backtrack llamado

“WhatWeb” esto en relación a que el portal fue desarrollado en joomla. El

comando que se ejecutó es el siguiente:

/pentest/enumeration/web/whatweb# ./whatweb -v www.ciudaddeleste.gob.ec

 
 
 132

Los resultados de este análisis identificaron que la plataforma de desarrollo

del Porta Web es Joomla, razón por la cual se realizó un análisis más

profundo de las vulnerabilidades del Portal Web a través de la herramienta

“joomscan” de BackTrack, esto se muestra en la siguiente gráfica:

Figura 3-42. Análisis de vulnerabilidades Portal Web Municipal

Los resultados visualizados luego de la ejecución del comando son los

siguientes:

 
 
 133

Figura 3-43. Vulnerabilidad portal Web # 1

Esta vulnerabilidad identifica que se debe corregir el archivo htaccess.txt

con el fin de evitar ataques exitosos desde la nube del internet.

Figura 3-44. Vulnerabilidad portal Web # 2

Este reporte identifica que se debe corregir errores en la configuración del

componente de correo electrónico de Joomla con el objetivo de que no se

convierta en un bypass por parte de una persona no autorizada.

Luego del testeo externo previo se logra identificar dos IP públicas que están

ligadas a la institución, las mismas que son 186.42.198.98/29 y

186.42.198.99/29. A estas IP se les realizó el levantamiento de información

 
 
 134

de los puertos abiertos que poseen cada una de ellas, para el siguiente

proceso se utilizó la herramienta de mapeo de puertos NMAP

Línea de comando para obtención de información es:

Nmap -sS –sV –O 186.42.198.98Nmap -sS –sV –O 186.42.198.99

Nmap –sV –sU –O 186.42.198.98Nmap –sV –sU –O 186.42.198.99

Una vez ejecutada la instrucción a las direcciones de IP Públicas se logra

obtener los siguientes resultados:

Dirección IP: 186.42.198.98/29

Actividad del Servidor: Servidor Firewall y Proxy

Sistema Operativo: Linux 2.6.18

Puerto Protocolo Servicio Versión

21 TCP FTP Vsftpd 2.0.5

25 TCP SMTP

80 TCP HTTP Apache httpd 2.2.17

443 TCP HTTPS

5061 TCP SIP-TLS

1900 UDP upnp

Tabla 3-23. Tabla de IP Pública encontrada Servidor Firewall

 
 
 135

Dirección IP: 186.42.198.99/29

Actividad del Servidor: Servidor de Correo Electrónico

Sistema Operativo: Microsoft Windows 2003 SP2

Puerto Protocolo Servicio Versión

21 TCP FTP Microsoft Ftpd

80 TCP HTTP Microsoft IIS Httpd 6.0

110 TCP POP3 Mail Max

443 TCP SSL/HTTP Kerio Mail Server

Tabla 3-24. Tabla de IP Pública encontrada Servidor de Correo

3.6. Intento de Intrusión Interna

Uno de los primeros pasos que se deben realizar en el levantamiento de

información para identificar vulnerabilidades en la red LAN o MAN en una

Institución, es realizar un Network Mapping (Mapeo de la Red), que consiste

en tratar de identificar la arquitectura de la red a la cual vamos a realizar

pruebas de auditoría a nivel intrusivo.

3.6.1. Escaneo de Red LAN

A través de la herramienta “Network Scanner ”instalado en una máquina con

Windows ubicado dentro de la red LAN y además conocedores de que la

 
 
 136

dirección de red de la Institución es 120.40.64.0 /20, se logra realizar un

escaneo a toda la red para identificar las IP vivas, de las cuales

específicamente nos interesan extraer las IP de los servidores y equipos de

comunicación del Centro de Datos Municipal, de esta manera se está

cumpliendo con el objetivo de este proyecto.

Figura 3-45. Escaneo de puerto con software NetScan

Luego del testeo con la herramienta NetScan, se logró identificar que la

mayoría de los equipos que empieza con la dirección de red 120.40.69.XX

son Servidores de Datos de la institución que fue constatado por el Jefe del

Área, así como también se identificó que los equipos con la dirección de red

 
 
 137

120.40.71.XX que en su mayoría son equipos de comunicación, que solo en

ciertos casos son IP pertenecen a servidores, luego de haber hecho esta

actividad es importante identificar los puertos abiertos, cerrados o filtrados de

cada uno de los servidores del target a evaluar.

3.6.2. Scanning de Puertos

Para la exploración de puertos se ha considerado realizar este tipo de

actividad con el comando NMAP incluyendo parámetros que no sean

ruidosos, es decir que no sean fácil de detectar por Firewall o detectores de

intrusos IDS.

Los principales objetivos del escaneo de puerto para la red LAN de la

institución son las siguientes:

 Detectar sistemas vivos corriendo o ejecutando procesos en la red

 Descubrir que puertos están abiertos o tienen programas/servicios en

ejecución

 Descubrir huellas de sistemas operativos, o lo que se conoce como OS

fingerprinter

 Descubrimiento de direcciones IP en la red o sistemas planteados como

objetivos

 
 
 138

 Identificación de Banners

 Arquitectura del Sistema Evaluado

Una vez identificado los objetivos de un escaneo de puerto, se debe extraer

información de todos los equipos del Centro de Datos Municipal a través de

comando “nmap”.

La primera prueba la realizaremos utilizando el comando antes mencionado

pero con los siguientes parámetros: nmap -v -A 186.42.198.98, a una IP

pública de la Institución, el mismo que ilustró los siguientes resultados:

Figura 3-46. Análisis NMAP, Puertos abiertos

Figura 3-47. Análisis NMAP, Puertos, servicios y versión

 
 
 139

Figura 3-48. Banner con el nombre de la institución y tipo de administrado portal Web

Figura 3-49. Trazado de ruta al momento de hacer ping desde una máquina externa

La Línea de ejemplo utilizado para este levantamiento de información de

puertos abiertos para los protocolos TCP /UDP de todos los Servidores del

Centro de Datos Municipal en la red LAN son:

Nmap –sV–sS–O 120.40.69.241

Nmap –sV –sU –O 120.40.69.241

Los parámetros del comando indican lo siguiente:

-sV: Busca puertos abiertos para determinar el servicio/versión e información

-sS: escaneo de tipo SYN/Connect

 
 
 140

-O: Detección del Sistema Operativo

-sU: escaneo de puertos UDP

Tabla de Servidores del Centro de Datos Municipal

Dirección IP: 120.40.69.241/20

Actividad de Servidor: Administrador de Virtuales

Sistema Operativo: Linux 2.6.13 -2.6.32(Open Suse)

Puerto Protocolo Servicio Versión

22 TCP SSH OpenSSH 5.1(protocol

2.0)

111 TCP rpcbind Rpc #100000

139 TCP Netbios-ssn Samba smbd 3.X

445 TCP Netbios-ssn Samba smbd 3.X

873 TCP rsync Protocol versión 30

5801 TCP Vnc-http TightVNC 1.2.9

5802 TCP Vnc-http TightVNC 1.2.9

5901 TCP vnc Vnc (protocol 3.7)

5902 TCP vnc Vnc (protocol 3.7)

111 UDP rpcbind Rpc #100000

137 UDP Netbios-ns Microsoft Windows XP

138 UDP Netbios-dgm

177 UDP xdmcp XDMCP host virtual

 
 
 141

willing

5353 UDP mdns Apple mDNSResponder

Tabla 3-25. Tabla de Servidor Administrador de Virtuales

Dirección IP: 120.40.69.242/20

Actividad de Servidor: Servidor de la Base de Datos Oracle

Sistema Operativo: Windows 2003 Server (Enterprise Edition)

Puerto Protocolo Servicio Versión

53 TCP domain Microsoft DNS

80 TCP HTTP Microsoft IIS Web

server 6.0

135 TCP msrpc Microsoft Windows RPC

139 TCP Netbios-ssn

445 TCP Microsoft-ds Microsoft Windows

2003

1025 TCP msrpc Microsoft Windows RPC

1026 TCP msrpc Microsoft Windows RPC

1029 TCP msrpc Microsoft Windows RPC

1043 TCP Oracle Oracle Database

1521 TCP Oracle -tns Oracle TNSListener

5560 TCP HTTP Oracle Aplication

5800 TCP Vnc-hhtp RealVNC 4.0

 
 
 142

137 UDP Netbios-ns Microsoft Windows

netbios

445 UDP Microsoft-ds

1028 UDP Domain Zoom X5 ADSL modem

DNS

1645 UDP radius

1813 UDP radacct

4500 UDP Nat-t-ike

Tabla 3-26. Tabla de Servidor de la Base de Datos Oracle

Dirección IP: 120.40.69.243/20

Actividad de Servidor: Servidor de Cámaras IP

Sistema Operativo: Microsoft Windows Server 2003

Puerto Protocolo Servicio Versión

135 TCP msrpc Microsoft W

139 TCP Netbios-ssn

445 TCP Microsoft-ds Microsoft Windows

2003

1025 TCP msrpc Microsoft Windows RPC

5800 TCP VNC-HTTP VNC(protocol 3.8)

8080 TCP HTTP WebCamXPhttpd 5

137 UDP Netbios-ns Microsoft Windows NT

 
 
 143

445 UDP Microsoft-ds

500 UDP isakmp

1027 UDP unknown

3702 UDP unknown

4500 UDP Nat-t-ike

Tabla 3-27. Tabla de Servidor de Cámaras IP

Dirección IP: 120.40.69.244/20

Actividad de Servidor: Servidor de Respaldos

Sistema Operativo:Linux 2.6.9-2.6.28 (CENTOS 5.3)

Puerto Protocolo Servicio Versión

21 TCP FTP Vsftpd 2.0.5

22 TCP SSH OpenSSH 4.3

80 TCP HTTP Apache httpd 2.2.3

111 TCP rpcbind Rpc #100000

139 TCP Netbios-ssn Samba smbd 3.X

443 TCP ssl/http Apache httpd 2.2.3

445 TCP Netbios-ssn Samba smbd3.X

901 TCP Tcpwrapped

5801 TCP Vnc-http RealVNC 4.0

5901 TCP VNC VNC(protocol 3.8)

6001 TCP X11

 
 
 144

111 UDP Rpcbind Rpc #100000

137 UDP Netbios-ns Samba nmbd

5353 UDP mdns Apple mdnsResponder

Tabla 3-28. Tabla de Servidor de Respaldos

Dirección IP: 120.40.69.247/20

Actividad de Servidor: Servidor de Administración Documentación twiki

Sistema Operativo: Linux 2.6.23-2.6.28 CENTOS

Puerto Protocolo Servicio Versión

21 TCP FTP Vsftpd 2.0.5

22 TCP SSH OpenSSH 4.3

80 TCP HTTP Apache httpd 2.2.3

111 TCP rpcbind Rpc #100000

443 TCP ssl/http Apache httpd 2.2.3

3306 TCP Mysql MYSQL

10000 TCP http MiniServ 0.01 (Webmin)

111 UDP rpcbind Rpc #100000

123 UDP ntp NTP v4

631 UDP Ipp

657 UDP status Rpc #100024

5353 UDP mdns Apple MdnsResponder

Tabla 3-29. Tabla de Servidor de Documentación twiki

 
 
 145

Dirección IP: 120.40.69.248/20

Actividad de Servidor: Servidor Web Institucional Local

Sistema Operativo: Linux 2.6.18-2.6.27 CENTOS

Puerto Protocolo Servicio Versión

22 TCP SSH OpenSSH 4.3

80 TCP http Apache httpd 2.2.3

443 TCP Ssl/http Apache httpd 2.2.3

3306 TCP Mysql MySQL

Tabla 3-30. Tabla de Servidor Web Institucional

Dirección IP: 120.40.69.251/20

Actividad de Servidor: Servidor DNS

Sistema Operativo: Linux 2.6.9-2.6.28 CENTOS

Puerto Protocolo Servicio Versión

21 TCP ftp Vsftpd 2.0.5

22 TCP Ssh OpenSSH 4.3

53 TCP domain ISC BIND 9.3.4P1

80 TCP http Apache httpd 2.2.3

111 TCP rpcbind Rpc #100000

443 TCP Ssl/http Apache httpd 2.2.3

3306 TCP Mysql MySQL

53 UDP domain ISC BIND 9.3.4P1

 
 
 146

111 UDP rpcbind Rpc #100000

123 UDP NTP NTP v4

657 UDP Status Rpc # 100024

Tabla 3-31. Tabla de Servidor DNS

Dirección IP: 120.40.69.252/20

Actividad de Servidor: Servidor Firewall y Proxy

Sistema Operativo: Linux 2.6.23-2.6.28 CENTOS

Puerto Protocolo Servicio Versión

22 TCP SSH Open SSH 4.3

80 TCP http-proxy Squid web proxy 2.6

8080 TCP http-proxy Squid web proxy 2.6

3128 TCP http-proxy Squid web proxy 2.6

1900 UDP UPNP

Tabla 3-32. Tabla de Servidor Firewall y Proxy

Dirección IP: 120.40.69.253/20

Actividad de Servidor: Servidor de Aplicaciones 1

Sistema Operativo: Linux 2.6.23-2.6.28 CENTOS

Puerto Protocolo Servicio Versión

21 TCP Ftp Vsftp 2.0.5

22 TCP SSH Open SSH 4.3

111 TCP rpcbind Rpc #100000

 
 
 147

139 TCP Netbios-ssn Samba smbd 3.x

445 TCP Netbios-ssn Samba smbd 3.x

631 TCP ipp CUPS 1.2

2049 TCP NFS 2-4

5801 TCP Vnc-http RealVNC 4.0

5901 TCP VNC VNC (protocol 3.8)

7777 TCP http Oracle Application Server

10g

7778 TCP http Oracle Application Server

10g

1156 TCP http Oracle Manager

10000 TCP http Miniserv 0.01(Webmin)

20000 TCP http Miniserv 0.01(Webmin)

9102 TCP Jetdirect?

69 UDP tftp

111 UDP rpcbind Rpc #100000

137 UDP Netbios-ns Samba nmbd

177 UDP xdmcp XDMCP host willing

631 UDP ipp

2049 UDP nfs

10000 UDP webmin Httpson TCP port 10000

 
 
 148

32768 UDP nlockmgr 1-4 RPC # 100021

Tabla 3-33. Tabla de Servidor de Aplicaciones 1

Dirección IP: 120.40.69.254/20

Actividad de Servidor: Servidor de Aplicaciones 2

Sistema Operativo:Windows 2003 Server SP2

Puerto Protocolo Servicio Versión

19 TCP charger

21 TCP Ftp Microsoft Ftpd

25 TCP smtp Microsoft ESMTP 6.0.3790

42 TCP wins Microsoft Windows Wins

53 TCP domain Microsoft DNS

80 TCP http Microsoft IIS webserver 6.0

135 TCP msrpc Microsoft Windows RPC

139 TCP Netbios-ssn

445 TCP Microsoft-ds Microsoft Windows 2003

902 TCP Ssl/vmware- VMwareAuthenticationDaemon1.10

auth

1025 TCP msrpc Microsoft Windows RPC

5800 TCP Vnc-http RealVNC 4.0

5900 TCP VNC VNC(protocol 3.8)

8222 TCP http Microsoft IIS webserver 6.0

 
 
 149

8333 TCP Ssl/http Microsoft IIS webserver 6.0

53 UDP domain

123 UDP NTP

137 UDP Netbios-ns Microsoft Windows netbios

445 UDP Microsoft-ds

1645 UDP Radius

1646 UDP radacct

3456 UDP IISrcp-or-vat

4500 UDP Nat-t-ike

Tabla 3-34. Tabla de Servidor de Aplicaciones 2

3.6.3. Análisis de Vulnerabilidades

Para el proceso de análisis de vulnerabilidades el objetivo primordial es la

identificación y documentación de vulnerabilidades del software y equipos

host a utilizar por el cliente. Este tipo de auditoría de Seguridad nos permite

identificar fácilmente problemas críticos por la cual un intruso puede vulnerar

o extraer información no autorizada de la Institución evaluada.

Este proceso se realiza posterior a la exploración de puertos delos equipos

que previamente se ha definido como blanco de ataque, y posteriormente el

 
 
 150

siguiente paso será analizar las vulnerabilidades asociadas a los servicios

que hay en los puertos abiertos y la búsqueda de solución más óptima a la

debilidad presentada según la herramienta a utilizar; para la ejecución de

este proceso es necesario utilizar una herramienta que cuente con base de

datos de vulnerabilidades previamente identificadas y publicadas en el

internet, de las cuales las más conocidas son:

 National Vulnerability Databases

 Security Tech Center de Microsoft

 Simantec Connect

Las vulnerabilidades se pueden categorizar según su criterio en:

 Críticos

 Altos

 Medio

 Bajos

 Información

Para el proceso de análisis de vulnerabilidad utilizaremos la herramienta

Nessus Home, versión gratuita de la empresa Tenable Network Security que

cuenta con una base de datos de vulnerabilidades ,el mismo que será

 
 
 151

instalada en una máquina que servirá de monitor dentro de la red LAN de la

Institución como parte del proceso recolección y que permitirá obtener

información acerca de las vulnerabilidades más críticas que puedan tener los

Servidores del Centro de Procesamiento de Datos Municipal.

3.6.4. La explotación dentro de la Auditoría Técnica

Es necesario mencionar que esta etapa de Auditoría de Seguridad, o del

ataque, se considera altamente importante, ya que es aquí donde el auditor

de seguridad demuestra al cliente cuales con las vulnerabilidades

identificadas y reportadas en la fase anterior, pueden afectar de forma

representativa a la integridad, confidenciabilidad y disponibilidad de los

Sistemas de Información que utiliza la Institución. Cuando se ejecuta un

proceso de explotación, el cliente entenderá que las vulnerabilidades no solo

se reportan en un informe técnico, sino también se intenta explotar, logrando

así un ataque real pero controlado en el sistema del cliente o usuario.

3.6.4.1. Riesgos en el Proceso de Explotación

Entre los riesgos más frecuente al momento de realizar el proceso de

explotación son los siguientes:

 Caída de servicio

 
 
 152

 Caída del sistema

 Denegación de servicios

 Perdida de confidencialidad en datos

 Perdida de disponibilidad

 Exposición de información confidencial

 Impacto en la estabilidad del sistema evaluado

Basado en esta recomendación se definió que la explotación de

vulnerabilidades se realice en horas de almuerzo y al finalizar la jornada

laboral, que a su vez debe ser coordinado con la Administración de la

Institución y el Jefe Departamental del área de Informática.

La ejecución de este proceso se realizara en un tipo estimado de un mes y

puede ser extendido de acuerdo a los situaciones que se presente en la

auditoria a los equipos Informáticos.

A continuación a través de la siguiente gráfica se muestra las

vulnerabilidades encontradas en el servidor de datos con la IP 120.40.69.254

las mismas que son visualizadas y documentadas según la base de datos del

Software NESSUS

 
 
 153

Figura 3-50. Análisis de Vulnerabilidad con Nessus

Luego que se identifican las vulnerabilidades por parte del Software Nessus

se compara con la base de datos integrado especificándolas por colores, se

procede a examinar los niveles de severidad y complejidad con que son

definidas por esta herramienta en relación ala inseguridad informática

encontrada.

El análisis al equipo antes mencionado, implica que el Auditor de Seguridad

puede realizar el levantamiento de información y extraer del Servidor de

Datos un mínimo de cinco vulnerabilidades, que a su vez son categorizados

 
 
 154

de alta peligrosidad para el Municipio y de esta manera se mantiene un

control de la administración tecnológica con resultados efectivos.

Figura 3-51. Niveles de Vulnerabilidades con Nessus

Mediante la tabla que se muestra a continuación se ha extraído cinco

vulnerabilidades comunes y de alta peligrosidad que son considerados armas

letales por Crackers que quieran realizar algún tipo de acto ilícito a la

Institución para que posteriormente sea parchados o modificados,

conservando la integridad de los equipos vulnerados.

Tabla de Identificación de Vulnerabilidades

Nombre del Servidor: Servidor de Pagina Web

Vulnerabilidad # 1:

PHP < 5.3.11 MultipleVulnerabilities

 
 
 155

IP Equipo analizado: 120.40.69.248

Referencia:

CVE-2012-0831, CVE-2012-1172, Bug #60227 / CVE-2011-1398

Servicios-i tem afectados: Servicio Web, Portal Web

Descripción de la vulnerabilidad: De acuerdo a la bandera encontrado por

Nessus, la versión de PHP instalada en el host remoto es una versión inferior

a la5.3.11, y como tal está potencialmente afectada por múltiples

vulnerabilidades.

Detalles de la vulnerabilidad: Las versiones inferiores a 5.3.11 poseen

vulnerabilidades de SQL injection que permite ser explotados de manera

sencilla.

Riesgo: es de manejo fácil para los atacantes remotos realizar ataques de

inyección de SQL a través de una petición manipulada, relacionado con

principal / php_variables.c, SAPI / cgi / cgi_main.c y SAPI / FPM / FPM /

fpm_main.c.

Impacto: Alto y Critico

Evidencias:

Recomendaciones para solucionar esta vulnerabilidad: Instalación

versión actualizada del software PHP 5.4.17 o superior

 
 
 156

Referencia Web:

http://www.nessus.org/u?e81d4026

https://bugs.php.net/bug.php?id=61043

https://bugs.php.net/bug.php?id=54374

https://bugs.php.net/bug.php?id=60227

http://marc.info/?l=oss-security&m=134626481806571&w=2

http://www.php.net/archive/2012.php#id2012-04-26-1

http://www.php.net/ChangeLog-5.php#5.3.11

Observaciones: Mantener actualizado las versiones de PHP, Apache y

Mysqlen el Servidor de Web

Tabla 3-35. Tabla de Identificación de Vulnerabilidad # 1

Nombre del Servidor: Servidor de Aplicaciones 2

Vulnerabilidad # 2:

MS09-001: Microsoft Windows SMB Vulnerabilities Remote Code Execution

(958687)

IP Equipo analizado: 120.40.69.242

Referencia:

CVE-2008-4834, CVE-2008-4835, CVE-2008-4114

Servicios-item afectados: Sistema Operativo

Descripción de la vulnerabilidad: SMB en el servicio de servidor de

Microsoft Windows 2000 SP4, XP SP2 y SP3, Server 2003 SP1 y SP2, Vista

 
 
 157

Gold y SP1 y Server 2008 permite a atacantes remotos ejecutar código

arbitrario a través de los valores con formato incorrecto de "campos

contienen los paquetes SMB" no especificados en una solicitud de NT

Trans2, relacionados con "insuficientemente validar el tamaño del buffer,"

también conocido como "la validación de SMB Código vulnerabilidad de

ejecución remota."

Detalles de la vulnerabilidad: Proporciona acceso de administrador,

permite una total confidencialidad, integridad y disponibilidad de violación;

Permite la divulgación no autorizada de la información; Permite la

interrupción del servicio

Riesgo: Ataques de Denegación de Servicios

Impacto: Critico

Evidencias: ninguna

Recomendaciones para solucionar esta vulnerabilidad: Instalación de

parche para Windows 2003 Server

Referencia Web:

http://www.microsoft.com/technet/security/bulletin/ms09-001.mspx

Observaciones: Mantener actualizado los parches y paquetes del Servidor

de Datos 2003 Server

Tabla 3-36. Tabla de Identificación de Vulnerabilidad # 2

 
 
 158

Nombre del Servidor: Servidor de Aplicaciones 1

Vulnerabilidad # 3:

MS09-026: Vulnerability in RPC Could Allow Elevation of Privilege (970238)

IP Equipo analizado: 120.40.69.254

Referencia:

CVE-2009-0568

Servicios-item afectados: Sistema Operativo

Descripción de la vulnerabilidad: El motor de cálculo de referencias de

RPC instalada en el host remoto de Windows no se encuentra actualiza en

su estado interno apropiada, lo que podría conducirá un puntero se leen en

una ubicación incorrecta. Un atacante remoto podría aprovechar este

problema para ejecutar código arbitrario en la máquina afectada y tomar el

control completo de la misma.

Detalles de la vulnerabilidad: El motor de cálculo de referencias de RPC (

NDR) en Microsoft Windows 2000 SP4, XP SP2 y SP3, Server 2003 SP2,

Vista Gold, SP1 y SP2 y Server 2008 SP2 no mantiene adecuadamente su

estado interno, que permite a atacantes remotos sobrescribir arbitraria

posiciones de memoria a través de un mensaje RPC diseñada que provoca

la lectura puntero incorrecto, relacionados con "interfaces IDL que contiene

una matriz de variables no conformes" y FC_SMVARRAY, FC_LGVARRAY,

FC_VARIABLE_REPEAT y FC_VARIABLE_OFFSET, conocido como

"Vulnerabilidad RPC Marshalling Engine".

 
 
 159

Riesgo: Permisos, privilegios y control de acceso

Impacto: Alto, Critico

Evidencias:

Recomendaciones para solucionar esta vulnerabilidad: Instalación de los

parches respectivos para eliminar la vulnerabilidad del Servidor

Referencia Web:

http://technet.microsoft.com/en-us/security/bulletin/MS09-026

Observaciones: Mantener actualizado los parches y paquetes del Servidor

de Correo Electrónico

Tabla 3-37. Tabla de Identificación de Vulnerabilidad # 3

Nombre del Servidor: Servidor de Aplicaciones 1

Vulnerabilidad # 4:

MS KB2286198: Windows Shell Shortcut Icon Parsing Arbitrary Code

Execution

IP Equipo analizado: 120.40.69.254

Referencia:

CVE-2010-2568

Servicios-item afectados: Sistema Operativo

Descripción de la vulnerabilidad: Shell de Windows no valida

 
 
 160

correctamente los parámetros de un archivo de acceso directo al cargar su

icono. El intento de analizar el icono de un archivo de acceso directo

especialmente diseñado puede provocarla ejecución de código arbitrario.

Detalles de la vulnerabilidad: Un atacante remoto podría aprovechar

engañando a un usuario para que vea un archivo de acceso directo mal

intencionado a través del Explorador de Windows, o cualquier otra aplicación

que analiza el icono del acceso directo. Esto también puede ser aprovechado

por un atacante que engaña a un usuario para insertar un medio extraíble

que contiene un acceso directo malicioso(por ejemplo CD, unidad USB), y la

reproducción automática está habilitada.

Riesgo: Control del Equipo

Impacto: Alto, Critico

Evidencias:

Recomendaciones para solucionar esta vulnerabilidad: Instalación de

cualquier parcheMS10-046 o desactivar la visualización de los iconos de

acceso directo

Referencia Web:

http://technet.microsoft.com/en-us/security/advisory/2286198

http://technet.microsoft.com/en-us/security/bulletin/MS10-046

 
 
 161

Observaciones: Mantener actualizado los parches y paquetes del Servidor

Tabla 3-38. Tabla de Identificación de Vulnerabilidad # 4

Nombre del Servidor: Servidor de Correo Electrónico

Vulnerabilidad # 5:

MTA Open Mail Relaying Allowed

IP Equipo analizado: 120.40.71.1

Referencia:

CVE-1999-0512, CVE-2002-1278, CVE-2003-0285

Servicios-item afectados: Correo Electrónico

Descripción de la vulnerabilidad: El servidor SMTP remoto permitirla

retransmisión de correo. Esto significa que un usuario no autenticado, remoto

podría utilizar el servidor de correo de la Institución para enviar mensajes al

mundo, desperdiciando así recursos de ancho de banda de la redy de la

computadora. Estos servidores son el blanco de los spammers para enviar

correo electrónico masivo no solicitado (UBE).

Detalles de la vulnerabilidad: En algunos casos el número de mensajes

colapsara la entrega , podría ser de cientos de miles de personas, haciendo

que el servidor de correo se bloquee. Además, los servidores SMTP que

permiten la retransmisión de frecuencia se añaden a las listas de bloqueo en

tiempo real que mantiene sitios de seguridad y utilizados por las empresas en

todo el mundo. Si se añade a una lista de este tipo, la entrega del correo

 
 
 162

legítimo podría verse seriamente afectada, causando una forma denegación

de servicio.

Riesgo: bloqueo del envió de correo electrónico por presunto spammers

Impacto: Alto, Critico

Evidencias:

Recomendaciones para solucionar esta vulnerabilidad: Investigue si el

servidor debe permitirla retransmisión de correo.

Referencia Web: ninguna

Observaciones: Mantener actualizado los parches y paquetes del Servidor

de Correo Electrónico

Tabla 3-39. Tabla de Identificación de Vulnerabilidad # 5

3.7. Evaluación y Valoración de Resultados

Luego de realizar el levantamiento de información de cada uno de las

actividades expuestas en este documento se debe realizar el proceso de

evaluación y valoración de los resultados sobre estas cinco vulnerabilidades

más críticas y dar soluciones efectivas a cada uno de los incidentes,

 
 
 163

vulnerabilidades o problemas encontrados en los Servidores del Centro de

Datos Municipal.

3.7.1. Eliminación de Vulnerabilidad

Para el caso del Portal Web Municipal se realizó varias pruebas de SQL

injection los mismos que en su mayoría se obtuvo resultados de 0% de

vulnerabilidades a este tipo de ataques, descartando de esta manera

oportunidades de actos ilícitos de entes externos específicamente para este

Programa de Gestión de Contenidos Web “Joomla”, aplicativo utilizado por la

institución para la administración del Portal Web Municipal.

Específicamente se detectó que el problema esencial de este Servidor Web,

es la actualización de los paquetes de administración a nivel de Portales

Web, debido a que se detectó una versión de PHP que contiene múltiples

vulnerabilidades y errores.

Basado en el problema se procedió a realizar la actualización de los

paquetes del PHP y de esta manera dar seguridad al Portal Web antes

posibles ataques externos.

 
 
 164

Figura 3-52. Vulnerabilidad PHP encontrada por Nessus

El trabajo realizado es la actualización del paquete PHP de la versión 5.2.16

a la versión 5.4.27 a través de consola del Servidor del Portal Web Municipal,

versión que no es vulnerable a ataques de SQL injection y cuenta con

soporte actualmente por parte de sus autores.

Figura 3-53. Actualización de Paquetes PHP

 
 
 165

Para el caso del problema detectado de estar habilitado el archivo

htaccess.txt dentro de la estructura instalada por Joomla, se ingresó en el

servidor del Portal Web y se procedió a renombrar el archivo antes

mencionado por .htaccess para que de esta manera se pueda bloquear el

acceso público vía Web a determinados ficheros de Joomla. A continuación

se muestra la gráfica.

Figura 3-54. Renombrar archivo htaccess.txt

Para el problema encontrado de com_mailto, vulnerabilidad que se detectó

en joomla a través de la herramienta “joomscan” de BackTrack, se procedió a

realizar el bloqueo respectivo y la realización de otras pruebas de inyección

SQL de las cuales la vulnerabilidad resulto negativo, en la siguiente grafica

se observa.

Línea de inyección SQL utilizada:

http://www.lalibertad.gob.ec/index.php?option=com_mailto&amp;tmpl=mailto

&amp;article=550513+and+1=2+union+select+concat%28username,char%28

58%29,password%29KHG+from+jos_users--&amp;Itemid=1

 
 
 166

Figura 3-55. Prueba de Vulnerabilidad en Joomla

3.7.2. Filtrado y Bloqueo de Puertos

Para el proceso de Escaneo de Puertos de los Servidores del Centro de

Datos Municipal, previamente se procedió a realizar la verificación y análisis

de cada uno de los puertos abiertos para identificar cuál de ellos estaba

ligado con algún tipo de servicio que requería tenerlos en ese estado, caso

contrario se procedía a realizar el cierre de cada uno de los puertos

encontrados con el comando NMAP y configuración que se realizó con el

firewall del sistema operativo en mucho de los casos.

 
 
 167

Luego del bloqueo de los puertos del servidor 120.40.69.242 se procedió a

realizar un nuevo escaneo con el objetivo de identificar la existencia de

puertos abiertos. Claramente se observa en la siguiente gráfica.

Figura 3-56. Bloque de puertos en Servidor

Como se observa el resultado de la petición realizada a través del comando

nmap, el mismo que envía como resultado solo dos puertos abiertos que son

necesarios para la actividad del Servidor. Quedando de esta manera seguro

ante ataques que podrían realizarse por algún puerto abierto.

Para el caso del servidor con IP 120.40.69.254 cuyo sistema operativo

detectado es Windows se procedió a bloquear los puertos a través del

firewall y deshabilitar los servicios que no son utilizados por la actividad

detectada de estos servidores de Aplicaciones y compartición de recursos

Cartográficos.

 
 
 168

El bloqueo de los puertos específicamente se la realizo habilitando un firewall

para dichos servidores que solo de paso a tráfico por puerto que son

necesarios para la actividad diaria de dicho equipo.

Figura 3-57. Inhabilitar servicios innecesarios en Servidor de Aplicaciones

Figura 3-58.Configuración de Puertos específicos para el Servidor de Aplicaciones

 
 
 169

Para el caso del servidor DNS cuya IP es 120.40.69.251el mismo que

funciona con Sistema Operativo Linux Centos 5.3 se procedió a habilitar el

firewall, el mismo que es de vital importancia para el bloqueo de puertos, los

cuales no son necesarios que se encuentre abiertos y expuesto a cualquier

vulnerabilidad. En la configuración que se realizó se especificó mediante el

comando setup que envía a la consola de administración donde se puede

habilitar el Cortafuegos de este Sistema Operativo, esto se demuestra en la

siguiente gráfica.

Figura 3-59. Habilitar firewall de Centos 5.3

 
 
 170

Es necesario dejar habilitado el Servicio Domain de Centos debido a que

este sistema operativo hace la función de DNS y permite la ejecución del

sistema municipal que está levantado bajo la infraestructura de Oracle 10g.

Figura 3-60. Configuración de Firewall Linux

Luego de haber habilitado el firewall y dar apertura a los puertos necesarios

que utilizaran los servicios activos en este Servidor, nuevamente se procede

a ejecutar el comando NMAP para identificar si los cambios fueron

efectuados satisfactoriamente.

Los resultados como se muestran en la siguiente Figura son satisfactorios y

por ende tenemos un servidor asegurado a cualquier ataque

por puertos abiertos.

 
 
 171

Figura 3-61. Cierre de puertos en Servidor DNS

3.7.3. Evaluación de Vulnerabilidades

En este proceso se procedió a escoger cinco vulnerabilidades más críticas

que fueron identificados dentro de los Servidores del Centro de Datos

Municipal, las mismas que son las siguientes:

1. PHP < 5.3.11 Multiple Vulnerabilities

2. MS09-001: Microsoft Windows SMB Vulnerabilities Remote Code

Execution (958687)

3. MS09-026: Vulnerability in RPC Could Allow Elevation of Privilege

(970238)

4. MS KB2286198: Windows Shell Shortcut Icon Parsing Arbitrary Code

Execution

5. MTA Open Mail Relaying Allowed

 
 
 172

Para cada una de las vulnerabilidades se procedió a realizar los ajustes

necesarios para que los Servidores no presenten vulnerabilidades y no

existan agentes externos accediendo a la información sin autorización.

En el punto de Resultado de vulnerabilidades de Portal Web Municipal

de este documento ya procedió a realizar la actualización del PHP dentro del

servidor Web, para las vulnerabilidades del 2 hasta el 4 se procedió a la

instalación del parche y Service Pack adecuado para eliminar el problema

desde la raíz; y para el caso del Servidor de Correo se procedió a realizar

configuraciones en la administración del correo electrónico, cuyo nombre del

Software es Kerio Server, bajando de esta manera los índices de

vulnerabilidades encontrados en los Equipos del Centro de Procesamiento de

Datos y dando apertura a un Plan de acción para mantenerse alerta de

nuevas formas de CiberAtaques muy comunes hoy en día.

3.7.4. Plan de Acción

Finalmente se recomienda varias buenas prácticas que se deben seguir

para que en el futuro a pesar que se realizó un análisis de vulnerabilidad y se

ejecutó los parches necesarios no sean víctimas de Ciberataques, robo de

información o accesos no autorizados.

 
 
 173

Las recomendaciones y acciones a realizar se detallan a continuación:

 Mantener una constante capacitación a los usuarios en Ingeniería

Social acompañado de recordatorios de las Políticas de uso de

Herramientas y Servicios Tecnológicos que día a día utilizan en la

institución.

 Actualización periódica de los antivirus que son utilizado en los

servidores Windows.

 Control de Tráfico a través de software como Wireshark, con el

objetivo de evitar ataques de Denegación de Servicios, sean estos

internos o externos.

 Parchar periódicamente todos los servidores sean estos Windows o

Linux con nuevas actualización de acuerdo a las nuevas

vulnerabilidades que aparezcan en la Internet y reconocidas

mundialmente.

 Recomendar a la institución la adquisición de un equipo firewall y un

Servidor IDS y aumentar el nivel de seguridad de la institución.

3.7.5. Implementación de software IDS

En vista de la falta de recursos económicos para el área se instaló en un

equipo robusto el Software para Sistema Operativos de tipo Servidores Linux

llamado Snort que trabaja como un sistema de detección automática de

 
 
 174

intrusión ubicada dentro de la Red de la Institución Municipal, también

conocido como IDS. El significado de IDS13 es Intrusion Detection System,

es decir, un Sistema de Detección de Intrusos, que básicamente sirve para

detectar un comportamiento anómalo dentro de la red LAN es llamado

también NIDS (Network Intrusion Detection System), en un host es llamados

HIDS (Host Intrusion Detection System) o en una red WiFi llamados WIDS

(WiFi Intrusion Detection System).

Este comportamiento extraño dentro del Internet debe de ser detectado por

un Server IDS, suele basarse normalmente en patrones que buscara sea

esta en la red, host o red Wifi, y en el caso de coincidencia generara una

alarma advertencia de un posible ataque que también puede considerarse y

ser descartado por un falso positivo.

Snort utiliza un lenguaje flexible basado en reglas para describir el tráfico

que debería recolectar o dejar pasar, y un motor de detección modular. La

mayor parte de personas en el mundo de la Seguridad Informática sugiere

que la Consola de Análisis para Bases de Datos de Intrusiones (Analysis

Console for Intrusion Databases, ACID) sea utilizada con Snort.

                                                            
13
 Wikipedia.org, “Sistema de Detección de Intrusos ‐ Wikipedia, La Enciclopedia Libre” 
<http://es.wikipedia.org/wiki/Sistema_de_detecci%C3%B3n_de_intrusos>. 

 
 
 175

Para el caso de la institución la ubicación estratégica del IDS implementado,

fue considerada situarlo en el Centro de Datos Municipal, luego de receptar

tráfico de red a través del Router modelo 1841, tanto de Datos y Voz IP, esto

se debe a que también pueda cubrir la verificación del tráfico de la red a

través de las conexiones de Voz sobre IP como también la de Datos.

 
 
  
 
 
176

Diagrama de Ubicación del IDS en el Centro de Datos Municipal

Figura 3-62. Diagrama de Ubicación del IDS en el Centro de Datos Municipal

 
  
 
 
177

CAPÍTULO 4

4. DESARROLLO DEL PLAN DE RECUPERACIÓN DE

DESASTRES Y RESPALDO DE INFORMACIÓN

4.1. Introducción

El lograr prevenir un desastre a nivel informático para una institución pública

como lo es el GAD Municipal, puede significar evitar desde la pérdida de datos

muy importantes hasta cualquier interrupción en las operaciones sistemáticas

normales de la organización.

 
 
  
 
 
178

Para una institución púbica la acción de prevenir dañossean estos en hardware

o software es fundamental si se logra definir e implementarun plan de

recuperación ante desastres (del inglés Disaster Recovery Plan- DRP)14de

forma inmediata con el objetivo de obtener resultados rápidos, eficientes y con

el menor costo posible.

En recopilación a lo anunciado anteriormente, se ha diseñado para el Municipio

de la Ciudad del Este un Plan de Recuperación de Desastres y Respaldos

esencial que permita dar continuidad permanente a la Institución, disminuyendo

notablemente los diferentes posibles siniestros que pueden impactar

negativamente las operaciones normales de la organización.

Por tal motivo es importante identificar que cada entidad sea esta pública o

privada tiene necesidades y visiones distintas de cómo llevar la administración,

sin embargo existen tres factores claves para el éxito de un plan de

recuperación ante desastres y que puede adaptarse a todo tipo de empresa.A

continuación se menciona las siguientes:

                                                            
14
Ongei.gob.pe, “INEI ‐ PLAN DE CONTINGENCIAS Y SEGURIDAD DE LA INFORMACION” 
<http://www.ongei.gob.pe/publica/metodologias/lib5007/0300.HTM>. 

 
 
  
 
 
179

 Medidas Preventivas: Se deben identificar las diferente causas de un

evento de desastre o siniestro y tomar las medidas necesarias para

prevenirlo.

 Medidas de Detección: Se deben implementar mecanismos que permitan

detectar eventos de improviso o inesperados.

 Medidas de Corrección: Una vez ocurrido el evento de desastre o siniestro,

se deben tomar medidas para reparar los daños causados.

4.2. Objetivo y Alcance del Plan

El objetivo principal de contar con un Plan de Recuperación de Desastres y

Respaldo de información, es establecer responsabilidades concretas a los

usuarios dueños de los procesos,socializar las acciones y procedimientos

esenciales para recuperar la capacidad operacional del Municipio de la Ciudad

del Este de forma inmediata ante cualquier evento de interrupción no esperada.

El Plan de Recuperación de Desastres, pretende cubrir los siguientes objetivos

específicos:

 
 
  
 
 
180

 Recuperar la capacidad de gestión operativa en un tiempo determinado y

aceptado por la comunidad de usuarios según los recursos disponibles.

 Socializar y educar periódicamente a todo el personal que labora en la

institución para tener capacidad de reacción ante siniestros tecnológicos

que puedan suspender o interrumpir la gestión operacional.

4.3. Planificación Estratégica

La estrategia que se aplicará es la de incrementar el factor desatisfacción del

servicio al contribuyente, controlando los posibles factores de riesgo operativo,

con el fin de proteger, optimizar tiempo y mantener un nivel adecuado de calidad

en la entrega de servicios a la comunidad.

4.3.1. Identificación de Procesos Críticos

Se consideran procesos críticos aquellos que en menor o mayor grado pueden

impedir el normal funcionamiento de la institución y la consecución de los

objetivos planificados.

 
 
  
 
 
181

El tiempo máximo de recuperación con relación a los niveles de criticidad han

sido establecidos en función al grado de importancia de las máquinas, equipos,

sistemas entre otras herramientas que intervienen directa o indirectamente en el

proceso de producción:

Nivel de Descripción Tiempo máximo de

Criticidad recuperación

Baja Proceso cuya falla no afecta el 1 hora -2 horas

funcionamiento a corto plazo

Media Proceso cuya falla podría retrasar el 45 minutos a 1 hora

normal funcionamiento

Alta Proceso cuya falla podría impedir el 30 minutos a 45 minutos

normal funcionamiento

Extrema Proceso cuya falla impide el normal 30 minutos máximo

funcionamiento

Tabla 4-40.Nivel de Criticidad de los Procesos en caso de eventos de Interrupción

Cuando el problema está plenamente identificado como daños en él hardware

delequipo dentro de un proceso correctivo, el tiempo depende de lagestión en

importación del repuesto que esta desde 15 días hasta un mes

 
 
  
 
 
182

aproximadamente; teniendo presente el análisis de alternativas secundarias a

ejecutar hasta que se solvente el problema principal.

4.4. Plan de Acción

El paso inicial en el desarrollo del plan deprevención de desastres y respaldos,

es la identificación de las personas que serán las responsables de crear el plan

y coordinar las funciones específicas. Característicamente dentro de esta

institución las personas pueden sermiembros del área TIC, Analistas de

Seguridad o el personal directamente involucrado en el accionar del proceso.

Las actividades a realizar dentro de este Plan de Recuperación de Desastres y

Respaldos se clasifican en tres etapas o Fases:

 
 
  
 
 
183

ANTES DURANTE DESPUÉS

 Capacitación de  Aplicar las medidas  Normalizar las

personal ejecutivo, adoptadas, para la actividades

administrativo y
autoprotección en laborales, con una
empleados.
el momento del participación

 Señalizar las desastre. programada.

instalaciones de la
 Dar informe veraz  Evaluar la
empresa.
a través del Jefe de infraestructura
 Realización de
Informática sobre Tecnológica.
simulacros.
los hechos
 Rehabilitación de
 Implementar las sucedidos.
los servicios
instalaciones con
esenciales y áreas
Equipos de Seguridad.
afectadas.
 Cumplir las

recomendaciones

dadas por el personal

calificado del área TICs

Tabla 4-41. Etapas de Plan de Recuperación de Desastres y Respaldos

 
 
  
 
 
184

4.5. Actividades Previas al Desastre

En esta fase se realizatodas las actividades de planeamiento, preparación,

entrenamiento y ejecución de las actividades de resguardo tanto de la

infraestructura como en software delos Servidores del Centro de procesamiento

deDatos Municipalque aseguren un proceso de recuperación ordenado con el

menor costo y tiempo posible para la institución.

Para esta actividad es posible detallar las siguientes actividades generales:

 Establecimiento de Procedimiento de Acción y Prevención.

 Formación de Equipos Operativos.

 Formación de Equipos de Evaluación (auditoria de cumplimiento de los

procedimientos sobre Seguridad de la Información).

 
 
  
 
 
185

4.5.1. Establecimiento de Procedimientos de Acción y Prevención.

En esta parte de Planeamiento se debe implantar los procedimientos

relacionados a los activos de la institución, en este caso se establecerá este

accionar dirigido a las siguientes descripciones:

 Entorno de los Sistemas y Equipos.

 Sistemas de Información.

 La información. obtención y almacenamiento de los respaldos de

información, backups, políticas, normas y procedimientos de backups.

4.5.1.1. Entorno delos Sistemas y Equipos

El Municipio de la Ciudad del Este dispone para este procesodelos siguientes

ítems:

a) Inventario actualizado de los equipos de manejo de información: 5

Servidores de Datos, 8 switches, 1 router, y demás equipos de

comunicación.

 
 
  
 
 
186

b) Inventario en contenido especificado: Software que usa y principales

archivos que contiene.

c) Ubicación y nivel de uso institucional.Actualmente el Centro de

procesamiento de Datos tiene un área exclusiva para los Servidores

de datos y equipos de comunicación con la climatización adecuada.

d) El Municipio tiene una póliza de Seguros, como parte de la protección

de los activos Organizacionales que fue requerida en las Auditoria

Externas, la adquisición de una póliza pero haciendo la salvedad en

el contrato, que en caso de siniestros, la restitución de los equipos

siniestrados se podrá hacer por una mejor característica para realizar

la actualización tecnológica, siempre y cuando esté dentro de los

montos asegurados.

e) Se cuenta con la señalización o etiquetado de los computadores y

unidades de almacenamiento en relación al inventario y de acuerdo a

la importancia de su contenido, para ser priorizados en caso de

evacuación. Por ejemplo se encuentra etiquetado de color rojo a los

Servidores, color amarillo a los computadores con Información crítica

o estratégica y color verde a aquellos de contenidos normales. Para

la ejecución de este proceso se contó con la colaboración del

Departamento de Bodega y Activos Fijos.

 
 
  
 
 
187

El Municipio de la Ciudad del Este, a través de la jefatura de Tecnología deberá

comprometerse en hacer cumplir y mantener actualizado de forma periódica

cada uno de los puntos descritos anteriormente para garantizar el

emprendimiento correcto y continuidad de este procedimiento a ejecutar

Otra de las forma de garantizar la ejecución y el correcto desempeño del plan

de Acción, es tener presente el manual de funciones Institucional, que

establezca la participación de los usuarios del Sistema ysu compromiso con el

desarrollo de las responsabilidad asignadas y sus sanciones por parte de

Talento Humano en caso de no realizarlo.

4.5.1.2. Sistemas de Información

El Municipio cuenta coninformación disponible y actualizada de los Sistemasde

Información con losque cuenta la Institución. Debiendo identificar toda

información sistematizada o no, que seanecesaria para la buena marcha

Organizacional.

Dentro del Plan de Recuperación de Desastres y Respaldo se realizó el

levantamiento de información de los sistemas, basado en lascaracterísticas

 
 
  
 
 
188

dadas de planes ya elaborados tales como se cita en Documento “Información

15
General Acerca de la Recuperación ante Desastres” y que se encuentra

elabora en la siguiente tabla.

Sistema de Lenguaje Generador Administrador Volumen de Nivel de Fecha de

Información de Primario de del Sistema Transaccionalidad Importancia Reportes

Desarrollo diaria
Información

Sistema de Oracle Dpto. De Depto. De 10000 ALTA

Fin de
Gestión 10g Catastro y Informática
Mes
Municipal Tesorería

Función:Sistema de Información para la Gestión Administrativa de todo el Municipio, los

módulos son los siguientes: Ordenes de Pago, Control de Multas, bodega, Catastro, Coactiva,

Seguridad y Control, Terrenos, Contabilidad, Planificación, Presupuesto, Nomina, Rentas,

Recaudación, Centro Medico

SITAC ( FOXPRO Dirección Depto. De 2000 MEDIA

SISTEMA Financiera y Informática ALTA

INTEGRADO Dpto. De
Fin de
DE Contabilidad
Mes
TRIBUTACION

ASESOR

CONTABLE)

                                                            
15
Microsoft.com, “Información General Acerca de La Recuperación Ante Desastres” 
<http://technet.microsoft.com/es‐es/library/bb418909.aspx>. 

 
 
  
 
 
189

Función:Software diseñado para exigencias tributarios, con este sistema puedes obtener lo

siguiente: - anexos transaccionales y reoc - formularios 103. 104. 107

Sistema de Visual Registrador Depto. De 1000 MEDIA

Información Studio y de la Informática Fin de

Registral Access. Propiedad Mes

(SIRE)

Función: Sistema de control de los cambios en la información de dominios que experimenta un

bien inmueble registrado dentro del Cantón por el departamento del Registrador de la

Propiedad.

Tabla 4-42.Sistemas de Información Municipal

Actualmente para el correcto funcionamiento de los Sistemas informáticos se

cuenta con Servidores un poco antiguos pero robustos de marca IBM y HP, de

las cuales se realiza respaldos diarios y se está gestionando la contratación

anual de mantenimiento preventivos todo esto con el fin de cubrir con los

requerimientos establecidos en el Plan de recuperación de desastres.

Cabe destacar que se ha establecido responsabilidades con el personal

involucrado en dar soporte a estos equipos, determinado que diariamente se

realicen monitoreo que permitan identificar que los procesos internos de estos

equipos funcionen correctamente y en caso de suscitarse alguna incidencia, se

 
 
  
 
 
190

puede activar el proceso de levantamiento de una estructura virtualizada

(Sistema operativo y Aplicativo) como gestión de respaldo en caso de la

identificación de un problema críticoa nivel de hardware con el equipo original;

para la ejecución de este proceso el tiempo establecido en ellevantamiento de

esta infraestructurade un Servidor previamente definido es de 3 horas, y de la

Base de Datos de forma completa es de 2 horas aproximadamente, todo esto

bajo la responsabilidad del Analista de Infraestructura y el DBA de la Institución.

A este proceso se suma los simulacros periódicosque se realizan con el fin de

probar todo tipo de falencia de los procedimientos como por ejemplola

verificación de respaldosque se encuentre enóptimas condiciones para que en

el momento que suceda un siniestro tener la confiabilidad al 100% de estos

respaldos.

4.5.1.3. Administración de Respaldos

Toda la información respaldada debe estarubicada en el Departamento de

Informática Municipaly estar disponible en todo momento en un lugar seguro sea

este de forma local o remota,considerando los parámetros específicos y la

disponibilidad de recursos.

 
 
  
 
 
191

Los Servicios Informáticos que funcionan actualmente en el GAD Municipaly

administrados por parte del Departamento de Informática son los siguientes:

 Sistema de comunicación y redes

 Servicio de correo corporativo

 Servicios Web: Publicación de Páginas Web, servicios consulta deuda

predial en línea, ley de transparencia y Tramite Ciudadanos.

 Internet, Intranet.

 Servicios Proxy

 Servicio Firewall Software.

 Servicio de Monitoreo de la red: monitorea los equipos de comunicación

distribuidos en la red del Municipio de la Ciudad del Este.

 Servicios de telefonía IP

 Servicios de enseñanza de manera virtual. (en el caso de existir

capacitación)

 Servicio de Antivirus básico

 Soporte Técnico

 Servicio de Consulta en Línea Portal Web sobre “deuda de predios

Urbanos y Pagos a través de Entidad Bancaria”.

 
 
  
 
 
192

Cada uno de estos servicios son monitoreados diariamente y respaldados con el

objetivo de evitar incidentes o imprevistos, todo este proceso está bajo la

responsabilidad del Analista de Infraestructura y el DBA de la institución.

4.5.1.4. La Obtención y Almacenamiento de los Respaldos de

Información, Backups, Políticas, Normas y Procedimientos de Backups.

Previo a la administración y manejo de políticas de respaldo se debe identificar

que en el caso de ser necesario los sitios o lugares de respaldo con la que

cuenta la institución, estos deben serun sitio con climatización fría (Para este

caso interno sería Centro de Procesamiento de Datos, y externa del Municipio

como el Cerro de Engoroy).

Es necesario un sitio de respaldo frío ubicado en un edificio externo configurado

apropiadamente y que de las facilidades necesarias, se debe conseguir todo lo

que se necesite para restaurar el servicio a sus usuarios y entregar a este sitio

antes de comenzar el proceso de recuperación. 16

                                                            
16
 Eumed.net, “PLAN DE RECUPERACIÓN DEL DESASTRE Y RESPALDO DE LA INFORMACION” 
<http://www.eumed.net/libros‐gratis/2009c/605/PLAN DE RECUPERACION DEL DESASTRE Y RESPALDO 
DE LA INFORMACION.htm>. 

 
 
  
 
 
193

Una vez definido la ubicación del lugar físico paralos respaldos, el

Municipiodeberá establecer los procedimientos necesarios para la obtención de

copias de seguridad de todos los elementos de software o aplicativos necesarios

en el Centro de procesamiento de datos Municipal, para lo cual se cuenta con:

1. Backups del Sistema Operativo: En caso de tener varios sistemas

operativos oversiones, actualmente se cuenta con una copia de los

instaladores de cada uno de ellos tanto de software libre, como los

licenciados.

2. Backups del Software Base: Paquetes y/o Lenguajes de Programación

con los cuáles han sido desarrollados o interactúan los aplicativos

organizacionales, específicamente todo lo relacionado a las herramienta

Cliente/ Servidor de Oracle.

3. Backups del Software Aplicativo: Considerando tanto los programas

fuentes,como los programas objetos correspondientes, y cualquier otro

software oprocedimiento que también trabaje con la data, para producir

los resultados con los cuales trabaja el usuario final.

 
 
  
 
 
194

4. Backups de los Datos: Bases de Datos, Índices, tablas de validación,

passwords, y todo archivo necesario para la correcta ejecución del

Software Aplicativo utilizados en el Municipio de la Ciudad del Este.

5. Backups del Sitio Web: Aplicativo y Bases de Datos, índices, ficheros

dedescarga,herramientas multimedia, contraseñas del portal Web y

ambiente administrativo.

6. Backups de Sistemas Virtualizados: de respaldos semanal de los

aplicativos virtualizados.

7. Backups de Información de Equipos de Escritorios: Aplicación

instalada en Servidor de Respaldo cuyo Backups la realiza diariamente

mediante el método diferencial con la información de cada una las

máquinas activas en la red de la Institución.

4.5.1.5. Modalidad de Respaldo y Tiempo de Ejecución

Debido a que no se cuenta con la infraestructura y presupuesto necesaria, la

forma implementada para la extracción de respaldo de información se la

 
 
  
 
 
195

realizamediante la generación y configuración de archivos CRON en los

Servidores cuyo Sistema Operativo sonLinux y un archivo de tareas

programadas dentro de la Familia de Servidores Windows, procesos que todos

los días a partir de las 19H00 ejecuta instrucciones en batch, respaldando cada

uno de componentes registrado por el administrador de tareas programadas.

La información es procesada en las noches de tal forma que no genera tráfico o

saturación de la red optimizando tiempo y recursos de la institución, todos los

respaldos son almacenados en un servidor de Aplicaciones que posee,

instalando 3 discos duros de 1 tera cada uno para el uso exclusivo de esta

actividad.

El Analista de Infraestructura del Municipio como parte de sus responsabilidades

al término de la semana laboral extrae esta información en dispositivos

magnéticos que son enviados a centro de Comunicación de Datos ubicado en

una dependencia externa del municipio llamado “Cerro de Engoroy”.

Es importante insistir que en vista de la falta de recursos económicos destinadas

para el áreatecnológica, se ha tenido que implementar esta modalidad no sin

 
 
  
 
 
196

antes haber presentado propuestas ante la máxima autoridad de la Institución

que no son los procedimientos adecuados y que para la buena gestión del Plan

se requiere de servidores redundantes y sistemas de respaldo con brazos

mecánicos que realicen metódicamente los respaldos.

Los métodos utilizados por el Departamento de Informática en la actualidad son

considerando como valido dentro del Plan de recuperación de Desastres y

Respaldo hasta que se pueda obtener el presupuesto necesario para la

adquisición de los equipos adecuados para esta actividad.

4.5.1.6. Tipos de Respaldo a Utilizar

Es importe identificar que para este tipo de actividades es necesario utilizar los

siguientes tipos de respaldo:

Respaldo Completo ("Full"): Guarda todos los archivos que sean

especificados al tiempo de ejecutarse el respaldo. El archive bit es eliminado (o

bloques), indicando que todos los archivos ya han sido respaldados.

 
 
  
 
 
197

Respaldo Diferencial ("Differential"): es muy similar al "Respaldo de

Incremento", la diferenciaconsiste en que el archive bit permanece intacto y para

la aplicación de este Plan de recuperación de Desastres y Respaldos ambos

tipos son considerados.

4.5.1.7. Secuencia de Respaldo GFS (Grandfather-Father-Son)

Domingo Lunes (2) Martes (3) Miércoles Jueves (5) Viernes (6) Sábado (7)

(1) (4)

Respaldo Respaldo Respaldo Respaldo Respaldo Respaldo Respaldo

Diferencial Diferencial Diferencial Diferencial Diferencial Full Diferencial

Domingo Lunes (9) Martes (10) Miércoles Jueves Viernes Sábado

(8) (11) (12) (13) (14)

Respaldo Respaldo Respaldo Respaldo Respaldo Respaldo Respaldo

Diferencial Diferencial Diferencial Diferencial Diferencial Full Diferencial

Tabla 4-43. Secuencia de Respaldo GFS (Grandfather-Father-Son)

Una vez que se revisa la tabla de Secuencia de Respaldo GFS, utilizando este

tipo de metodología de respaldos de información,para el caso de tener

problemas con el sistema en el día 8 se puede utilizar el diferencial del día 7 o el

Respaldo a full de día 6.

 
 
  
 
 
198

Por tal situación, es importante realizar el respaldo diferencial todos los días y el

Tipo Full solo los viernes, opción recomendada para este tipo de Instituciones

que tiene una carga de información de tipo media y que hoy en día se la está

realizando así, de tal forma se optimizaría de una mejor forma la cantidad

espacio en los discos de almacenamiento disponibles en la institución,

garantizando la integridaddel respaldo de la información.

4.5.1.8. Políticas, Normas y Procedimientos de Backups

Para la aplicación de este proceso se establecen políticas, normas, y

determinación de responsabilidades en la obtención de los respaldos cuyos

procedimientos de ejecución fueron mencionados anteriormente, para la cual se

debe implementar en la Institución la siguiente Política:

1. Mantener y garantizar la periodicidad de Backup por parte del Analista de

Infraestructura y el DBA de la Institución.

2. Mantener Respaldo de Información de movimiento entre los períodos que

no se obtienen Backups (backups diferenciales). Responsabilidad por

parte del Analista de Infraestructura.

 
 
  
 
 
199

3. Uso obligatorio de un formulario estándar para el registro y control de los

Backups por parte del responsable del proceso dentro del Departamento

de Informática.

4. Almacenamiento de los Backups en condiciones óptimas y adecuados

equipos, esto dependiendo delmedio de almacenamiento empleado y

disponible

5. Reemplazo de los Backups, en forma periódica, antes que el medio

dealmacenamiento de soporte se pueda deteriorar.

6. Mantener el almacenamiento de los respaldos en locales diferentes de

donde reside la información primaria, evitando de esta manera la pérdida,

en caso de q ue el desastre alcanzara todo el edificio administrativo.

7. Realizar Pruebas periódicas de los Respaldos por parte de los

responsables del proceso, verificando su funcionalidad, a través delos

Sistemas, comparando contra resultados anteriores confiables.

 
 
  
 
 
200

Basado en estas política e implementadodentro del Plan de Recuperación de

desastres y respaldos, losSistemas Municipalesdesarrollados en Oracleson el

activo primario considerado en este proceso, los mismos que actualmente están

siendo respaldados según la disponibilidad de los recursos tecnológicos y

existentes, siendo de la siguiente manera:

Aplicativo Prioridad Respaldo Responsable

Sistema Municipal Alta diario Oficial de Seguridad

Informática o Analista de

Infraestructura

Sistema SITAC Alta diario Oficial de Seguridad

Informática o Analista de

Infraestructura

Respaldo de alta diario Oficial de Seguridad

Servidores DNS, Informática o Analista de

Firewall Infraestructura

Respaldo de alta diario Oficial de Seguridad

Servidor de Informática o Analista de

Correo Infraestructura

Electrónico

 
 
  
 
 
201

Portal Web Media Semanal Oficial de Seguridad

Informática o Analista de

Infraestructura

Cartografía Media diaria Oficial de Seguridad

Informática o Analista de

Infraestructura

Inspecciones Media diaria Oficial de Seguridad

Municipales Informática o Analista de

Infraestructura

Respaldo de media diaria Oficial de Seguridad

Información de Informática o Analista de

Usuarios Infraestructura

Tabla 4-44.Tabla de Prioridad de Respaldo de Aplicativos

4.5.2. Formación de Equipos Operativos

Para la formación de equipos operativos, se deberá designar un responsable de

la Seguridad de la Información; pudiendo ser el jefe de dicha Área Operativa

para lo cualsus labores y responsabilidades serán las siguientes:

 
 
  
 
 
202

1. Proporcionar soporte técnico necesario para las copias de respaldo de las

aplicaciones.

2. Planificar y establecer los requerimientos de los Sistemas Operativos en

cuanto aarchivos, bibliotecas, utilitarios, etc., para los principales

sistemas y subsistemas de la Institución.

3. Supervisar procedimientos de respaldo y restauración.

4. Supervisar la carga de archivos de datos de las aplicaciones, y la

creación de los respaldos diferenciales.

5. Coordinar, administrar y monitorear periódicamente redes, líneas,

terminales, equipos inalámbricos, otros aditamentos para las

Comunicaciones.

6. Establecer procedimientos de seguridad en los sitios de

recuperaciónexternao lugares remotos a la institución donde se almacena

la información.

 
 
  
 
 
203

4.5.3. Formación de Equipos Operativos y de Evaluación

4.5.3.1. Auditoria de Cumplimiento de los Procedimientos Sobre

Seguridad

Esta función será realizada de preferencia por personal de Auditoria del

Municipio, en caso de no serposible, la realizará el personal del área de

Informática, debiendoestablecerse claramente sus funciones, responsabilidades

y objetivos en los siguientes puntos:

1. Revisar que las normas y procedimientos con respecto a Respaldos y

Seguridad deequipos establecidos en el Municipio se cumpla con el fin de

dar la seguridad adecuada de la información.

2. Supervisar la realización periódica de los Respaldos, por parte de los

equiposoperativos, comprobando físicamente su realización, adecuado

registro, conservación de integridad y almacenamiento.

3. Revisar la correlación entre la relación de Sistemas de Información

necesariospara la buena marcha de la Organización, y los Backups

realizados.

 
 
  
 
 
204

4. Informar de los cumplimientos e incumplimientos de las Normas, así

como los correctivos a ejecutar en caso de incumplimiento, esto ante el

Departamento de Talento Humano.

4.6. Actividades Durante el Desastre

Es importante para la ejecución de este proceso y una vez presentada la

contingencia o el siniestro, se deberá ejecutar las siguientes actividades,

planificadas previamente:

 Plan de Emergencias.

 Formación de Equipos.

 Entrenamiento.

4.6.1. Plan de Emergencias

En este plan se establecerán las acciones quedeberán realizar cuando se

presente un siniestro, así como la difusión de las mismas. Es conveniente prever

los posibles escenarios de ocurrencia del siniestro, estos pueden ser

específicamente:

 
 
  
 
 
205

 Durante el día de labores.

 Durante la noche o madrugada.

Este plan deberá incluir la participación y actividades a realizar por todas y cada

una de las personas que se pueden encontrar presentes en el área donde

ocurre el siniestro para los dos Edificios Administrativos Municipales, debiendo

realizar el siguiente levantamiento de información que permita la efectividad de

ejecución del Plan:

1. Al no contar con un Plan de Evacuación para el Edificio, se ha solicitado

al Analista Administrativo, la creación de la misma.

2. Actualmente se encuentra identificada solo las vías de salida o escape

dentro de los dos edificios de la Institución Municipal.

3. Organizar capacitaciones al Personal Municipal para que puedan actuar

inmediatamente y ubicar a buen recaudo los activos, incluyendo los

deInformación de la Organización, siempre y cuando las circunstancias

del siniestro loposibiliten.

4. Familiarizar y Socializar con la ubicación y señalización de los elementos

contra el siniestro: extinguidores,cobertores contra agua, herramientas

entre otros.

 
 
  
 
 
206

5. Ejecución de la cadena de llamadas en caso de siniestro, para esto debe

tener a la mano: elementos de iluminación, lista de teléfonos de

bomberos, ambulancia, Jefatura de policía o Seguridad o del personal

responsable del proceso de la Gestión de riesgo Institucional.

4.6.2. Formación de Equipos

Es importante que a través del personal que labora en la Institución se logre

adaptar una cultura de conocimiento constante para que cuando sucedan los

siniestros puedan actuar rápida y directamente durante el mismos, protegiendo

de esta manera la integridad personal y en lo posible el salvamento de los

activos del sistema informático que a su vez este accionar deben de estar de

acuerdo a los lineamiento o clasificación de prioridades con las que cuenta la

Institución siendo un punto crítico la Base de Datos Municipal.

4.6.3. Entrenamiento

Este punto se centra con simulacros que apliquenen la prácticalas

responsabilidades y roles establecido para cada responsable de un determinado

proceso. Es importante que para este tipo de entrenamiento se debe

 
 
  
 
 
207

considerarse siempre minimizar costos aprovechando fechas de recarga de

extinguidores de incendio, exposiciones de los proveedores, capacitación del

manejo del sistema de información y charlas del uso correcto de los equipos de

comunicación, facilitados por el personal del área de Informática.

Otro aspecto importante es que el personal del Departamento de Informática,

tome en consideración todos los posibles siniestros (incendios, inundaciones,

terremotos, apagones, daños maliciosos, accidentes a la infraestructura) que

puedan ocurrir, y se actúe con seriedad y responsabilidad en estos

entrenamientos. Para llevar a cabo esto y lograr un impacto visible, es

conveniente que participen los directivos y líderes de procesos, para que sirva

de ejemplo y permitan crear una cultura de Seguridad Organizacional.

4.7. Actividad Después del Desastre

Después de suscitado el siniestro o desastre es necesario realizar las

actividades que se detallan, las cuales deben estar especificadas en el Plan de

Acción.

 Evaluación de Daños.

 
 
  
 
 
208

 Priorización de Actividades del Plan de Acción.

 Ejecución de Actividades.

 Evaluación de Resultados.

 Retroalimentación del Plan de Acción.

4.7.1. Evaluación de Daños

Después que el siniestro seha consumado, se deberá evaluar la magnitud del

daño que se ha producido, que sistemasInformáticos se encuentranafectados,

que equipos han quedado no operativos, cuales se pueden recuperar, y en

cuanto tiempo.

Para el caso del Municipio de la Ciudad del Este es prioritario el enfoque a

problemas que puedan suceder en los Servidores donde está alojado el Sistema

Municipal que permitenrealizar la recaudación diaria de los impuestos

municipales, ingreso que se obtienen a diario dentro de esta Institución.

 
 
  
 
 
209

Es importante para esta evaluación informar a la máxima autoridad y los

responsables de cada proceso el tiempo estimado de restablecimiento de los

servicios.

4.7.2. Priorización de Actividades del Plan de Acción

En este Plan de acción se está contemplando como punto primariola pérdida

total de la información, la evaluación de daños reales y su comparación contra el

Plan. Esta revisión nos dará la lista de las actividades que debemos realizar,

siempre priorizándola en vista a las acciones estratégicas y urgentes de nuestra

Institución.

Antes de la ejecución de todo accionar se debe dar a conocer a la máxima

autoridad el percance sucedido, para ejecutar el plan de acción de forma

inmediata controlando los tiempos que lleva el poner en marcha el sistema

operativo o equipo defectuoso.

 
 
  
 
 
210

Aplicativo Prioridad Tiempo Responsable Observación

de

Ejecución

Sistema ALTA 2 horas Analista de Se levanta estructura

Operativo Infraestructura Virtualizada

Base de ALTA 2 horas DBA Se ejecuta Instalación

Datos o restauración

Levantamient ALTA 2 horas DBA

o de

Respaldo

Full

Tabla 4-45.Tabla de Ejecución de Procedimiento

4.7.3. Ejecución de Actividades

Se debe realizar actividades previamente planificadas en el plan de acción,

mediante la creación de un único equipo de trabajo debido a que la Institución

pública es pequeña.

Este equipocontará con un coordinador que deberá reportar diariamente el

avance de los trabajos de recuperación y, en caso de producirse algún

 
 
  
 
 
211

problema, reportarlo de inmediato a la jefatura a cargo del Plan de

Contingencias para proceder de la mejor manera y con el consentimiento de la

máxima autoridad.

Los trabajos de recuperación tendrán dos etapas, la primera la restauración del

servicio usando los recursos de la Institución o local de respaldo disponibles, y

la segunda etapa es volver a contar con los recursos en las cantidades y lugares

propios del Sistema de Información, debiendo ser esta última etapa lo

suficientemente rápida y eficiente, contando con el presupuesto adecuadoen

caso del siniestro sinperjudicar el buen servicio de nuestro Sistema e imagen

Institucional.

4.7.4. Evaluación de Resultados

Una vez concluidas las labores de Recuperación del Sistema que fue afectado

por el siniestro, se debe evaluar en forma efectiva, todas las actividades

realizadas, la calidad con la que fue hecha, el tiempo utilizado, las

circunstancias que aceleraron o entorpecieron las actividades del plan de

acción, comportamientodel equipo de trabajo, etc.

 
 
  
 
 
212

De la evaluación de resultados y del siniestro en sí, se puede determinar que

son necesarios realizar previamentesimulacros en la Institución que sirvan como

retroalimentación, antecedentes y que permita el cálculo de presupuesto

presuntivo ante el Plan de Contingencia, teniendo como ejemplo que al ejecutar

este tipo de actividades se pueda identificar o detectar si se encuentra en óptima

condiciones la información respaldada, la Operatividad de los Servidores entre

otros, de tal forma que certifique la integridad y confiabilidad de los datos.

Al ejecutar estas actividades sin que suceda un siniestro real, permite identificar

cuáles son las falencias y debilidades ante el equipo de trabajo al momento de

actuar en un contingente, planificándose de mejor manera para su próxima

simulación, debiendoobligatoriamente documentar todos los sucesoscomo

soporte de apoyo y control tiempo por la paralización del servicio.

 
 
  
 
 
213

4.7.5. Retroalimentación del Plan de Acción

Con la evaluación de resultados, debemos de optimizar el plan de acción

original, mejorando las actividades que tuvieron algún tipo de dificultad y

reforzando los elementos que funcionaron adecuadamente.

Uno de los puntos evaluados previamente es la pérdida económica que

involucra el no tener un plan de acción en el caso de surgir un percance, esta

parte fue evaluada por el área Financiera en la que se enfatiza el caso de no

tener operativo el Servidor de Datos Municipal, afectará directamente a las

recaudaciones con un ingreso promedio por día de $10.000 que multiplicado por

los 20 días laborables del mes, daría el gran total de $200.000 en perdida por

recaudación de impuesto, siendo este un problema muy relevante para la

Institución que depende mucho de la recaudación diaria para la gestión y crédito

de nuevas obras Municipales.

4.7.6. Acciones Frente a los Tipos de Riesgo

Importante tener siempre presente las acciones frente a los tipos de riesgos

existentes conaltas posibilidades de ocurrir.

 
 
  
 
 
214

Clase de Riesgo: Robo común de equipos Informáticos y archivos.

Análisis realizado:

La institución se encuentra ubicada estratégicamente cerca de un área

comercial y de fácil acceso, muy cercano a la vía principal, de tal forma que

siendo una Entidad Pública se dé el libre acceso al área, creando una

preocupación por este riesgo, a pesar de que el Municipio cuenta con personal

de Seguridad Privada ubicada estratégicamente alrededor de los dos edificios

es importante considerar lo mencionado.

Las computadoras no son pueden ser observadas desde la calle, debido a que

la Institución cuenta con vidrios oscurecidos que dificulta ser observado desde

la parte exterior, descartando el riesgo.

La Base de Datos Municipal tiene un valor incalculable, debido a que se

encuentra registrado el catastro de alrededor de 27000 Predios Urbanos de

todos los ciudadanos del Cantón, siendo la principal razón de mantener activo

este Plan de Acción.

Actualmente Talento Humano realiza los contratos eventuales con cláusula de

Confidencialidad, que garantice la confianza y honestidad del personal al

momento de trabajar en área críticas.

Tabla 4-46.Acciones frente a Riesgo # 1

 
 
  
 
 
215

Clase de Riesgo: Equivocaciones.

Análisis realizado:

Para evitar esta clase de riesgo, periódicamente se está realizando

evaluaciones al personal sobre los procedimientos que deben conocer y

ejecutar en un Plan de contingencia, además se está constantemente

solicitando a la máxima autoridad de la Institución la priorización de

capacitación para el Área de Tecnología.

Se realiza la difusión de políticas y procedimiento en relación a la Seguridad de

la Información de forma periódica a través de correo electrónico y talleres

relámpagos realizados dentro del área de Tecnología con una duración máxima

de 2 horas en especial para el personal nuevo.

Durante el periodo de vacaciones el personal que tiene a cargo un proceso

debe de capacitar previamente con una semana de anticipación al encargado

del proceso, quien a su vez debe de ser monitoreado por el jefe Departamental

evitando de esta manera algún tipo de equivocación o falla humana.

Actualmente la Jefatura de Tecnología está dividido en 3 áreas específicas:

Soporte Técnico, Sistemas y Desarrollo, Infraestructura y Tecnología. Cada

una de estas áreas cuenta con personal calificado y con experiencia para el

buen desenvolvimiento de las actividades Departamentales.

Tabla 4-47.Acciones frente a Riesgo # 2

 
 
  
 
 
216

Clase de Riesgo: Fallas en los equipos.

Análisis realizado:

Las fallas del sistema de red o Servidores de Datos pueden deberse al mal

funcionamiento de los equipos ó la pérdida de configuración de los mismos, por

lo que se deben monitorear y evaluar para determinar si esto ha ocurrido por

variaciones de voltajes o desperfectos en el hardware.

Tabla 4-48.Acciones frente a Riesgo # 3

Clase de Riesgo: Vandalismo

Análisis realizado:

Para evitar todo tipo de vandalismo interno o externo el Municipio se procedió a

la instalación de 15 cámaras de video vigilancia con visión nocturna, ubicadas

en sitios estratégicos, que permita registrar todos los movimientos de entrada

del personal y sus alrededores.

Actualmente se está gestionando la adquisición por parte las áreas

Administrativa para la instalación de identificadores biométricas o tarjetas de

acceso para ingreso a ciertas áreas de la institución

Tabla 4-49.Acciones frente a Riesgo# 4

 
 
  
 
 
217

CAPÍTULO 5

5. IMPLEMENTACION DE POLITICAS DE SEGURIDAD

APLICABLES A LA TIC’S.

5.1. NORMAS Y ESTÁNDARES DE SEGURIDAD DE LA TI

5.1.1. INTRODUCCIÓN

El Municipio de la Ciudad del Este actualmente provee a todos los funcionarios y

empleados los recursos informáticos y servicios de comunicación necesarios

 
 
  
 
 
218

para que sean utilizados en las actividades laborales diarias, así como también

para el desarrollo, innovación y manejo óptimo de la gestión administrativa.

Todos los recursos y servicios informáticos con los que cuenta la Institución son

ampliamente utilizados a través de la red de comunicación de datos que se

integra incluso con otras dependencias ubicadas fuera del Edificio Principal,

evidenciándose de esta manera su amplia infraestructura tecnológica y la

necesidad urgente de implementar Políticas de Seguridad que se adapte a la

normativa vigente y garanticen la seguridad física y lógica de todos los servicios

que se ofrece a la comunidad, así como también de la infraestructura del Centro

de Procesamiento de Información.

En base a estos antecedentes el Municipio establecerá a través de este

documento los mecanismos para la implementación, difusión, actualización y

consolidación tanto de la política como también los componentes del Sistema de

Gestión de la Seguridad de la Información y alinearlos de forma efectiva al tipo

de servicio que ofrece esta Institución Pública a la comunidad, este proceso se

basa en la aplicación de políticas construidas y alineadas al estándar Británico

 
 
  
 
 
219

ISO/IEC 27002:2013, el mismo que fue tomado como una guía base para el

desarrollo de este capítulo.

5.1.2. Políticas Generales de Seguridad

La Política de Seguridad Informática requeridas para el Municipio permitirán

mostrar a cada uno de los usuarios la forma de cómo debe actuar frente a los

recursos y servicios informáticos de la Institución, sin pensar que la Política a

implementar es un conjunto de sanciones o disposiciones molestosas, sino más

bien identificarlas como un conjunto de normativas y reglas que permitan

salvaguardar la información crítica y no critica de la Entidad para la cual se está

trabajando.

5.1.3. Consideraciones Generales

Las políticas referidas en este documento están enfocadas para ser

implementadas específicamente dentro del Centro de Procesamiento de Datos

Municipal, además de estar orientada a la propiedad de la información creada y

usada por los usuarios del Municipio de la Ciudad del Este, con el ánimo de

evitar la inadecuada e improcedente utilización de los recursos informáticos que

 
 
  
 
 
220

se pone a disposición de los funcionarios y empleados para el cumplimiento de

sus labores diarias.

Es importante conocer que se cuenta con el apoyo de Talento Humano, quien

deberá cumplir con la función de notificar a todo el personal que se vincula

contractualmente con el Municipio de las obligaciones con respecto al

cumplimiento de la Política de Seguridad de la Información y de todos los

estándares, procesos, procedimientos, prácticas y guías que surjan de la

implementación de la política a través de la norma ISO 27002:2013.

De igual forma, el área TIC’s Municipal será responsable de la notificación y

socialización de la presente Política a implementarse en un lapso no mayor a

tres meses y reportar los cambios que en ella se produzcan, además de firmar

los compromisos de confidencialidad y la obligación de capacitación continua en

materia de seguridad.

 
 
  
 
 
221

5.1.4. Objetivos Generales

Aplicar y difundir las políticas y Estándares de Seguridad Informática a todo el

personal de la Municipalidad de la Ciudad del Este, para que sea de su

conocimiento el cumplimiento en el buen manejo de los recursos informáticos

asignados.

5.1.5. Beneficios de la Implementación de Políticas de Seguridad

Informática

La implementación de Políticas de Seguridad basada en la ISO 27002:2013,

constituyen la base a partir de la cual el Municipio de la Ciudad del Este

diseñará sus propios procedimientos de seguridad, con el fin de garantizar que

la información, productos y soluciones adquiridos cumplan con los objetivos de

la institución y que éstos sean utilizados correctamente sin que sean expuestos

deliberadamente en la red del Internet.

Por lo tanto, los beneficios derivados de la buena gestión de Políticas de

Seguridad informática son los siguientes:

 
 
  
 
 
222

 Permitir Aplicar procedimientos de seguridad informática regulados,

uniformes y coherentes en toda la Institución.

 Fomentar a través de la capacitación constante la cultura organizacional

en materia de seguridad informática.

 Minimizar a través de su aplicación, la pérdida o fuga de la información y

recursos.

 Proporcionar la confianza necesaria a todos los usuarios, demostrando

que la seguridad de la información es un factor importante y necesario

dentro de la Institución debiéndose abordar de forma correcta.

5.2. Diseño de Controles de Seguridad Informática

El diseño de controles para la Seguridad Informática dentro del Municipio se

aplicara mediante la normativa ISO 27002:2013 (Iso27000.es 2013), de las

cuales se ha extraído tres dominios idóneos que permitan cumplir con el objetivo

de aplicación de esta política, tal como se presenta en la siguiente tabla.

 
 
  
 
 
223

Control Como se Implementará Métricas a Seguir

Políticas de Se habilitara un Wiki en la Web Buscar Grado de despliegue y

Seguridad - que pueda ser observado por adopción de la política en la

Directrices de la todos, en la que se plasme el organización (medido por

dirección en conjunto de políticas a aplicar en la auditoría, gerencia o auto-

Seguridad de la Institución evaluación).

Información

Control de Documente procedimientos, Métricas de madurez de

Acceso - normas y directrices de seguridad procesos TI relativos a

Control de de la información, además de roles seguridad, tales como el

Acceso a y responsabilidades, identificadas periodo de aplicación de

sistemas y en el manual de política de parches de seguridad (tiempo

Aplicaciones seguridad de la organización que ha llevado parchear al

menos la mitad de los

sistemas vulnerables -esta

medida evita la cola variable

provocada por los pocos

sistemas inevitables que

permanecen sin parchear por

no ser de uso diario, estar

normalmente fuera de la

 
 
  
 
 
224

oficina o cualquier otra razón

Cumplimiento – Alinee los procesos de auto- Porcentaje de revisiones de

Revisiones de evaluación de controles de cumplimiento de seguridad de

la Seguridad de seguridad con las auto- la información sin

la Información evaluaciones de gobierno incumplimientos sustanciales.

corporativo, cumplimiento legal y

regulador, etc., complementados

por revisiones

de la dirección y verificaciones

externas de buen funcionamiento

Tabla 5-50. Tabla de Dominios a implementar

Esta guía es extraída de la ISO 27002:2013 las mismas debe tomarse con

mayor relevancia porque es el apoyo fundamental para el desarrollo de este

capítulo. El implementar y mantener esta normativa, está asegurando el

cumplimiento de la legislación vigente, con el que se evitara riesgos y costos

innecesarios, esto siempre sobre un marco legal que permita proteger al

Municipio de aspectos probablemente no considerados y que permitan hacer de

este una Institución Pública más confiable incrementando su prestigio ante la

comunidad.

 
 
  
 
 
225

Cada una de las políticas desarrolladas en base a estándares ya establecidos

debe ser expuesta a la máxima autoridad de la Institución para que este a su

vez autorice su cumplimiento, previa revisión del Departamento de Asesoría

Jurídica para su posterior publicación en Gaceta Oficial y socializada a todos los

funcionarios y empleados que laboran en la Institución.

Finalmente cabe destacar que el objetivo principal de este capítulo es lograr la

implementación de al menos 3 dominios de la Políticas de Seguridad Informática

aplicada para el alcance de este documento.

5.2.1. Alcance de las Políticas a Diseñar

Las Políticas de Seguridad es elaborado de acuerdo al análisis de riesgos y de

vulnerabilidades encontradas en las dependencias del Municipio de la Ciudad

del Este y revisadas en los capítulos anteriores, por consiguiente el alcance de

estas políticas se encuentra orientado a la actividad de la Organización y a los

tres dominios seleccionados.

 
 
  
 
 
226

5.2.2. Etapas para el Desarrollo de una Política

Figura 5-63. Desarrollo de Políticas de Seguridad

5.3. Plan de Implementación de las Políticas de Seguridad Informática

5.3.1. Responsabilidad y Tiempo de Ejecución

Plan de Ejecución

Etapa Política Estándares y Recurso Ejecución Tiempo

buenas Humano

practicas

Generación Seguridad Función de Auditor Dependencias que 15 días

Informática seguridad informático, Oficial los proponen

 
 
  
 
 
227

informática y de Seguridad

profesionales Informática

con

conocimientos

en el área

Revisión Comité de Comité de Auditor Función de 5 días

evaluación de evaluación de Informático seguridad

políticas políticas informática y

director de área

comprometida

Aprobación Consejo Consejo Máxima Máximas 5 días

Municipal Municipal Autoridad autoridades de la

Municipal Institución

Difusión o Secretaria Secretaria Oficial de Dependencias que 4 días

Comunicación General General Seguridad los proponen

Informática

Cumplimiento Todo el Todo el Oficial de Todo el Personal de Periódica

Personal de la Personal de la Seguridad la Institución

Institución Institución Informática

Excepciones Comité de Comité de Oficial de Directivos del Área No

evaluación de evaluación de Seguridad aplica

políticas políticas Informática

Capacitación Función de Función de Oficial de Jefe del Área 5 días

Seguridad Seguridad Seguridad

Informática y Informática y Informática

función de función de

capacitación capacitación

 
 
  
 
 
228

Monitoreo Funcionarios Funcionarios Oficial de Funcionarios 3 días

responsables responsables de Seguridad responsables de la

de la la Supervisión, Informática Supervisión,

Supervisión, Auditoría Auditoría

Auditoria

Garantizar Funcionarios, Funcionarios, Oficial de Función de Periódica

Cumplimiento responsables responsables de Seguridad seguridad

de la la Supervisión Informática informática y

Supervisión director de áreas

comprometida

Mantenimiento Seguridad Seguridad Oficial de Seguridad Semestral

Informática Informática Seguridad Informática

Informática

Retiro Seguridad Seguridad Máxima Dependencia que lo Cuando

Informática Informática Autoridad propone sea

necesario
Municipal y Oficial

de Seguridad

Informática

Tabla 5-51. Tabla de responsabilidades y tiempo de ejecución

 
 
  
 
 
229

5.3.2. Diagrama de Planificación para la Implementación de Políticas de Seguridad

Figura 5-64. Diagrama GANTT

 
 
  
 
 
230

Este plan de ejecución está basado en un tiempo de 40 días, no mayor a tres

meses para que sea implementado como plan piloto dentro de la Institución de

forma inmediata una vez aprobada por el Consejo Cantonal y la máxima

autoridad Municipal.

5.3.3. Recursos Tecnológicos y Talento Humano

Para implementación de esta política se procedió a identificar que el recurso

primario es la documentación de la norma ISO 27002, para este caso no

existirá contratación de personal debido a que el recurso Humano ( 6

empleados públicos) del Departamento de Informática se encuentra

comprometido con ejecución de la misma.

El software administrativo como parte de ayuda a la gestión de esta política no

tiene costo ya que se implementara una herramienta con licencia de Software

libre. Todas estas consideraciones serán colocadas en observación ante la

máxima Autoridad Municipal de primera instancia debido a que la Institución

Pública debe sujetarse al ahorro y optimización de recursos.

 
 
  
 
 
231

Por tal motivo se siguiere además que el Jefe Departamental considere dentro

del Plan Operativo Anual para el siguiente año los equipos de seguridad

informática necesarios para la seguridad de la información sin que estas afecten

a la implementación de la Política, lo que se detalla a continuación:

 Cerradura biométrica para acceso al Centro de Procesamientos de Datos

 Firewall de última generación y robusto

 IDS/IPS

 Cámaras de Monitoreo con visión nocturna, incluya Equipo de Grabación

5.3.4. Costos de Implementación

Los costos estimativos del diseño de la política son:

Costos de Diseño Valor

Norma ISO 27002 $ 35

Costo de Diseño (2 meses) $1500

Cursos de Seguridad de la Información $ 300

Otros Gastos $200

Subtotal $ 2035

Tabla 5-52. Tabla de Costo de Diseño

 
 
  
 
 
232

Los costos de Implementación de la Política son

Costos de Implementación Valor

Costo de Software de $0

Administración

Medio de Almacenamiento Externo $ 250

para Respaldos

Póliza de Seguro $ 500

Otros Gastos $ 100

Subtotal $ 850

Tabla 5-53. Tabla de Costo de Implementación

Costos de Totales Valor

Diseño $ 2035

Implementación $ 850

Total Inversión $ 2885

Tabla 5-54. Tabla de Costo Total Inversión

El software a utilizar como soporte para la Administración y monitoreo de

equipos de Escritorio, Servidores de Datos, portátiles entre otros se llama

“Belarc”, producto utilizado por múltiples empresas a nivel mundial y que no

 
 
  
 
 
233

tiene costo, permite obtener beneficios de una administración desde la nube del

Internet que permita al Oficial de Seguridad Informática tener el facilismo de

monitorear incluso desde lugares remotos.

5.3.5. Análisis de la Política de Seguridad para el Área Tics Municipal

El análisis de la Política de Seguridad Informática a implementar es aquella que

tiene como objetivo evaluar los controles de la función informática, determinar la

eficiencia de los sistemas, verificar el cumplimiento de las políticas y

procedimientos de la Institución para que los recursos materiales y humanos de

esta área se utilicen eficientemente.

Este análisis surge basado en que la información es uno de los activos más

importantes del Municipio, así como el uso de la tecnología y sistemas

computarizados para el procesamiento de la información. A continuación se

observa la siguiente tabla en la que se presenta el proceso de recolección y

evaluación de evidencia para determinar sistema Informáticos.

 
 
  
 
 
234

Salvaguarda Activos Daño

Destrucción

Uso no autorizado

robo

Mantiene la Integridad de los Oportunidad

Datos Preciso

Confiable

Completa

Alcance y Metas Contribución de los Sistemas

Organizacionales Informáticos

Consume recursos Utiliza recursos con mesura

Eficientemente para procesar la información

Tabla 5-55. Proceso de la Auditoria Informática

5.4. Guía para el Establecimiento del Plan de Políticas de Seguridad

5.4.1. Políticas de Seguridad para Instalaciones Físicas

Con el objetivo de disminuir problemas de seguridad aplicables a los recursos

físicos utilizados en el procesamiento de la información de la Institución y

 
 
  
 
 
235

considerando como responsable de la ejecución de este proceso al oficial de

Seguridad de la Información o al Analista de Infraestructura de la Jefatura de

Informática, quien deberá garantizar el cumplimiento de las políticas y

requerimientos de seguridad pertinentes, a través de la generación de un

compromiso con el área de Tecnología que permita aplicar y mantener las

siguientes políticas:

a) Todos los sistemas de comunicación se encontraran debidamente

protegidos con infraestructura apropiada de manera que el usuario común

no tenga acceso físico directo.

b) Cumplir con los niveles de aprobación vigentes en la organización,

incluyendo al responsable de Seguridad de la Información, asegurando

de esta manera el cumplimiento de las políticas y requerimientos.

c) Las visitas internas o externas podrán acceder a las áreas restringidas

siempre y cuando se encuentren acompañado por un responsable del

área con permiso de la autoridad correspondiente.

d) Establecer horarios de acceso a las instalaciones físicas (Centro de

Procesamiento de Datos Municipal), especificando los procedimientos y

excepciones.

 
 
  
 
 
236

e) Definir y socializar internamente qué personal está autorizado para

mover, cambiar o extraer equipo del Centro de Datos a través de

identificaciones y formularios de E/S; debiendo informar de estas

disposiciones al personal de seguridad del Edificio Municipal.

f) Se verificará periódicamente el hardware y software para garantizar su

compatibilidad, operatividad y ejecución correcta de los procesos, este

debe realizarse de forma periódica y es responsabilidad del oficial de

Seguridad de la Información.

g) El acceso al Centro Procesamiento de Datos y Redes de comunicación,

es exclusivo e intransferible para los funcionarios del Área de Informática

que tenga los conocimientos y la autorización respectiva de quien dirige

la Dirección o Departamento.

5.4.1.1. Robo de Equipo

 El área de bodega en conjunto con el Departamento de Informática

deberá definir procedimientos para mantener actualizado el inventario

físico, firmas de resguardo para préstamos y usos dedicados de equipos

de tecnología de información.

 
 
  
 
 
237

 El resguardo de los equipos de comunicaciones deberá quedar bajo la

Dirección, Jefatura o responsable del área, permitiendo conocer siempre

la ubicación física de los equipos.

 El centro de operaciones o área de procesamiento de datos, así como las

áreas que cuenten con equipos de misión crítica deberán contar con

vigilancia y/o algún tipo de sistema de video cámaras que ayude a

recabar evidencia de accesos físicos a las instalaciones.

5.4.1.2. Mantenimiento y Protección Física

El Centro de Procesamiento de Datos del Municipio de la Ciudad del Este debe

considerar para el mantenimiento y protección de equipos los siguientes puntos:

 Contar con un personal del área de limpieza al menos una vez cada dos

semana y así mantener libre de polvo.

 Ser un área restringida y protegida.

 Estar libre de contactos e instalaciones eléctricas en mal estado

 Estar libre de líneas de agua o reservorios cercanos

 Contar por lo menos con un extinguidor de incendio adecuado y cercano

al Centro de Procesamiento de Datos.

 
 
  
 
 
238

 Cada vez que se requiera conectar equipo de cómputo, se deberá

comprobar la carga de las tomas de corriente.

 Contar con algún esquema o plan de contingencia que asegure la

continuidad del servicio

Actualmente el área está recibiendo el mantenimiento periódico y posee la

señalética adecuada para que el encargado de la limpieza pueda realizar su

trabajo sin problemas. El acondicionamiento de la habitación de primera

instancia fue diseñado por los arquitectos para que las líneas de agua y

ducterias primarias eléctricas no paseen por la parte superior de esta,

logrando además reubicar el panel principal de energía eléctrica en un lugar

más seguro, trabajo que fue revisado por técnicos que certifican que no

existirá problema alguno para los equipos electrónicos.

5.4.2. Políticas de Control de Acceso a la Información

Uno de los activos de mayor cuidado y crítico de una Institución es la

información que se genera a través de la transacción diaria, por tanto es

importante considerar dentro de las políticas de una institución pública el control

de acceso a la misma.

 
 
  
 
 
239

El Mantener la integridad de la Información Municipal es responsabilidad del

Departamento de Informática y del oficial de Seguridad de la Información

quienes deben aplicar las siguientes políticas:

a) Las claves de acceso a los Servidores de Datos estarán bajo la custodia

y de responsabilidad exclusiva del Jefe de Departamento de Informática y

solo se entregarán a tercera personas previa autorización por escrito de

la máxima autoridad del Municipio.

b) La Gestión de claves de acceso es estrictamente responsabilidad del Jefe

Departamental o a quien delegue la responsabilidad en el área

correspondiente.

c) La configuración de los servicios tecnológicos en los ambientes de

pruebas y producción, así como el paso a producción de las aplicaciones

desarrolladas o adquiridas, son de responsabilidad del Departamento de

Informática.

d) Es responsabilidad de la Jefatura de Informática, monitorear los enlaces

de comunicaciones, los servicios tecnológicos de esta Institución Pública,

además de garantizar la continuidad de los servicios y comunicaciones

instalados en el Centro de Datos Municipal.

 
 
  
 
 
240

e) Al presentarse problemas o modificaciones en los Servicios Tecnológicos

o Servidores de datos que afecten el normal funcionamiento de los

Sistemas Municipales, deberán comunicarse inmediatamente de las fallas

y el tiempo de retorno del Servicio, con las áreas pertinentes dentro de la

Institución Pública.

f) Asignar a los usuarios un rol o permiso dentro de los perfiles que tiene

definido cada sistema, que les habilite las posibilidades de realizar

acciones en el mismo, solicitando la asignación de roles o permisos a los

nuevos usuarios, los Directores de Departamento, División o Servicio, los

que deberán indicar para cuál de éstos se solicita acceso. Es

responsabilidad del jefe de área informar cuando un funcionario ya no

puede tener más acceso a la red o un rol en particular, quien a su vez

será certificado por el Departamento de Talento Humano en caso de que

el usuario deje de laborar para la Institución.

5.4.2.1. Políticas de Contraseñas

Para el buen manejo de los Sistemas Informáticos Municipales se

implementaran las siguientes políticas de contraseñas:

 
 
  
 
 
241

a) Todo funcionario y empleados del Municipio de la Ciudad del Este, es

responsable de velar por la seguridad de las contraseñas a su cargo que

utiliza para el acceso a los distintos servicios y recursos ofrecidos por la

Institución.

b) Toda contraseña es de uso exclusivo, y por lo tanto es personal e

intransferible.

c) Todas las contraseñas de los Sistema de Información (cuentas de

administrador, cuentas de administración de aplicaciones, etc.), se

cambiarán con una periodicidad de al menos una vez cada tres meses.

d) Todas las contraseñas de usuario (cuentas de correo electrónico, cuentas

de servicios Web, etc.), se cambiarán al menos una vez cada seis meses.

e) Ante la sospecha de que una contraseña haya sido revelada a terceros,

se cambiará la misma de forma inmediata, y se procederá a notificar del

incidente de seguridad, al Departamento de Informática o al oficial de

seguridad responsable.

f) Las cuentas de usuario que tengan privilegios de sistema, a través de su

pertenencia a grupos o por cualquier otro medio, tendrán contraseñas

distintas a otras cuentas mantenidas por dicho usuario en los servicios y

recursos.

 
 
  
 
 
242

g) Las contraseñas de los funcionarios que ingresan al Municipio de la

Ciudad del Este, por primera vez serán proporcionadas por el

Departamento de Informática, luego de recibir el listado respectivo por

parte de Talento Humano.

h) Las contraseñas de los funcionarios que se desvinculan de la Institución,

se desactivarán una vez que el Departamento de informática, reciba el

listado o Informe respectivo por parte del Departamento de Talento

Humano.

5.4.2.2. Prohibición en Política de Contraseña

 Revelar o compartir su contraseña de cualquier forma.

 Escribir la contraseña o almacenarla en archivos sin que sean

encriptados, comunicarla en el texto de mensajes de correo electrónico, o

en cualquier otro medio de comunicación electrónica.

 Evitar que el usuario registre las contraseñas en papel o archivos físicos

de forma no segura.

 Evitar facilitar la contraseña a terceras personas por motivo de

vacaciones.

 
 
  
 
 
243

5.4.2.3. Perfiles de Acceso en la Red

Uno de los aspectos más importantes a la hora de implementar un acceso

remoto hacia los servicios de la institución es definir las políticas de seguridad y

el tipo de perfil de acceso.

Para el Acceso al Sistema Municipal dentro del Administrador de Oracle se

encuentra creado los siguientes perfiles que se agregan según las funciones y

responsabilidades del personal plasmado en el orgánico Funcional de la

Institución vigente.

Perfil Áreas de Acceso Tipos de Vigencia

Adm_Tesoreria Sistema de Recaudación, y Indefinido o Temporal

Coactiva

Adm_Contabilidad Sistema Contable Indefinido o Temporal

Adm_Financiera Sistema de Resoluciones y Indefinido o Temporal

Autorizaciones Financieras

Municipales

Adm_Catastro Sistema de Catastro Indefinido o Temporal

 
 
  
 
 
244

Adm_Rentas Sistema de Rentas Indefinido o Temporal

Adm_Terrenos Sistema de Inspecciones Indefinido o Temporal

Adm_Planificacion Sistema de Catastro y Indefinido o Temporal

Planificación Urbana

Adm_TH Sistema de Roles , Faltas y Indefinido o Temporal

atrasos

Adm_Juridico Sistema de Minuta Indefinido o Temporal

Tabla 5-56. Perfil del Sistema Municipal

La administración de perfiles es controlado a través del módulo de Seguridad del

Sistema Municipal donde se puede crear al usuario y asignarle de forma

inmediata su perfil de acceso según los parámetros especificados por parte del

Departamento de Talento Humano.

5.4.2.4. Asegurando el Acceso

El método de acceso más común para conectarse remotamente a los recursos

de una Institución se realiza a través de un Navegador Web. Se introduce la

dirección URL o IP y se envía al usuario a un formulario donde ha de introducir

sus credenciales (usuario y contraseña) de acceso remoto. Una vez validado en

el sistema y creada la conexión remota con la oficina debe validarse con sus

 
 
  
 
 
245

credenciales de acceso la red local de la organización, otra forma de seguridad

que se está implementando como piloto es adoptar franjas horarias para

acceder al sistema, de esa manera se establecen periodos de tiempo donde se

autoriza el acceso a los recursos.

5.4.3. Políticas de Seguridad para Cuentas de Usuario del Sistema

Institucional

La implementación de esta política es dar a conocer el manejo de las cuentas

(usuario - contraseña) de acceso a los Sistemas Institucionales, a continuación

se definen las siguientes políticas para el manejo correcto de cuentas de usuario

de los Sistemas Institucionales:

a) El uso de la cuenta de usuario es responsabilidad de la persona a la que

está asignada. La cuenta es para uso personal e intransferible.

b) La cuenta de usuario se protegerá mediante una contraseña. La

contraseña asociada a la cuenta de usuario, deberá seguir los criterios

para la construcción de contraseñas seguras descrito en el siguiente

punto de este capítulo.

 
 
  
 
 
246

c) Las cuentas de usuario (usuario y contraseña) son sensibles a

mayúsculas y minúsculas, es decir que estas deben ser tecleadas como

tal como fueron escritas.

d) No compartir la cuenta de usuario con otras personas: compañeros de

trabajo, amigos, familiares, etc.

e) Si otra persona demanda hacer uso de la cuenta de usuario, hacer

referencia a estas políticas. De ser necesaria la divulgación de la cuenta

de usuario y su contraseña asociada, deberá solicitarlo por escrito o

medio digital y dirigido al DBA Municipal.

f) Si se detecta o sospecha que las actividades de una cuenta de usuario

puede comprometer la integridad y seguridad de la información, el acceso

a dicha cuenta será suspendido temporalmente e informado a Talento

Humano, esta cuenta será reactivada sólo después de haber tomado las

medidas necesarias a consideración del Administrador del Sistema.

5.4.3.1. Tipos de Cuentas de Usuario

Para ejecución de las presentes políticas, se definen dos tipos de cuentas

de usuario:

 
 
  
 
 
247

Cuenta de Usuario de Sistema de Información: todas aquellas cuentas que

sean utilizadas por los usuarios para acceder a los diferentes sistemas de

información. Estas cuentas permiten el acceso para consulta, modificación,

actualización o eliminación de información, y se encuentran reguladas por los

roles o Perfiles de usuario del Sistema.

Cuenta de Administración de Sistema de Información: Corresponde a la

cuenta de usuario que permite al administrador del sistema realizar tareas

específicas de usuario a nivel directivo, como por ejemplo:

agregar/modificar/eliminar cuentas de usuario del sistema.

Para llegar al cumplimiento de esta política son necesarios implementar las

siguientes:

a) Todas las contraseñas para acceso al Sistema con carácter

administrativo deberán ser cambiadas al menos cada 6 meses.

b) Todas las contraseñas para acceso al Sistema de nivel usuario deberán

ser cambiadas al menos cada 12 meses.

c) Todas las contraseñas deberán ser tratadas con carácter confidencial.

 
 
  
 
 
248

d) Las contraseñas de ninguna manera podrán ser transmitidas mediante

servicios de mensajería electrónica, instantánea, redes sociales, ni vía

telefónica.

e) Si es necesario el uso de mensajes de correo electrónico para la

divulgación de contraseñas, estas deberán transmitirse de forma cifrada.

f) Se evitará mencionar y en la medida de lo posible, teclear contraseñas en

frente de otros.

g) Se prohíbe revelar contraseñas en cuestionarios, reportes o formularios.

h) Se evitará el utilizar la misma contraseña para acceso a los sistemas

operativos y/o a las bases de datos u otras aplicaciones.

i) Se evitará el activar o hacer uso de la utilidad de Recordar Contraseña o

Recordar Password.

g) No se almacenarán las contraseñas en libretas, agendas, post-it, hojas

sueltas, etc. Si se requiere el respaldo de las contraseñas en medio

impreso, el documento generado deberá ser único y bajo resguardo

personal.

h) No se almacenarán las contraseñas sin encriptación, en sistemas

electrónicos personales (asistentes electrónicos personales, memorias

USB, teléfonos celulares, agendas electrónicas, etc.).

 
 
  
 
 
249

i) Si alguna contraseña es detectada y catalogada como no segura, deberá

darse aviso al(los) usuario(s) para efectuar un cambio inmediato en dicha

contraseña.

5.4.3.2. Criterios en la Construcción de Contraseñas Seguras

Una contraseña aplicada de forma segura deberá cumplir con las siguientes

características:

 La longitud debe ser al menos 8 caracteres.

 Contener caracteres tanto en mayúsculas como en minúsculas.

 Puede tener dígitos y caracteres especiales como _, -, /, *, $, ¡, ¿, =, +,

etc.

 No debe ser una palabra por sí sola, en ningún lenguaje, dialecto, jerga,

etc.

 No debe ser un palíndromo (ejemplo: oso)

 No debe ser basada en información personal, nombres de familia, etc.

 Procurar construir contraseñas que sean fáciles de recordar o deducir.

 
 
  
 
 
250

5.4.4. Políticas de Seguridad para el uso de Equipos Informáticos

El Municipio de la Ciudad del Este, cuenta actualmente con una amplia

inventario de equipos informáticos, por tal razón a través de esta política se

requiere socializar al funcionario administrativo del correcto uso de los equipos

dentro de la institución así como la implementación de buenas prácticas de

seguridad informática.

El Departamento de Informática implementará las siguientes políticas:

a) Los equipos informáticos propiedad del Municipio de la Ciudad del Este,

se utilizarán únicamente para actividades laborales que permitan alcanzar

las metas y objetivos planteados por la Institución.

b) Para el correcto funcionamiento de los equipos informáticos de la

Municipalidad, se planificaran mantenimientos necesarios tanto

preventivos como correctivos una vez al año, los términos de contratación

de ser necesarios serán elaborados y considerados en el POA del

Departamento de Informática.

 
 
  
 
 
251

c) La compra de equipos informáticos será responsabilidad del

Departamento de Informática en conjunto con la Dirección Administrativa,

previa aprobación de la máxima autoridad del Municipio, enmarcadas en

la Ley Orgánica del Sistema Nacional de Contratación Pública y su

Reglamento.

d) La compra de accesorios y reparaciones será solicitada por el

Departamento de Informática y gestionada a través de la Dirección

Administrativa, si un área requiere algún tipo de accesorio especifico,

deberá contar con el respetivo informe técnico y la debida aprobación de

la máxima autoridad de la Institución, enmarcadas en la Ley Orgánica del

Sistema Nacional de Contratación Pública y su Reglamento.

e) Para poder conectar un equipo informático que no sea propiedad de la

Institución, se solicitará el permiso correspondiente al Departamento de

Informática, para que inspeccione el equipo, con el fin de comprobar que

dicho activo no constituya en una amenaza para la seguridad de los

servicios, red y recursos informáticos de la Institución, se evalué la

necesidad de conexión a la red y se concede la autorización

correspondiente si es el caso.

 
 
  
 
 
252

f) En caso de robo, hurto o extravío del equipo informático del Municipio de

la Ciudad del Este, se notificará inmediatamente a la Dirección

Administrativa, para empezar los trámites legales correspondientes.

g) Para el caso de daño de cualquier equipo informático, se informará

inmediatamente al Departamento de Informática, para realizar las

correcciones necesarias o el informe técnico de ser necesario.

h) Solo el personal autorizado por el Departamento de Informática, será el

encargado de abrir los equipos informáticos propiedad de la Institución.

i) Todos los equipos informáticos pertenecientes al Municipio de la Ciudad

del este, contarán con un Sistema Operativo con licencia de tipo GLP

(Software Libre Linux Ubuntu), los cuales serán administrados por el

Departamento de Informática.

j) Todos los equipos informáticos serán actualizados de manera periódica

con los últimos parches de seguridad del Sistema Operativo y

aplicaciones instaladas en el equipo.

k) Solo en los caso de no existir Paquetes Informáticos que no son

compatibles o de optima operativas para Linux se procederá a instalar

Sistema Operativo Licenciado (Microsoft) con sus respectivos aplicativos.

 
 
  
 
 
253

5.4.5. Políticas de Seguridad para el Uso del Internet

La política de navegación y buen uso del Servicio de Internet proporciona a los

empleados reglas e indicaciones sobre el uso apropiado de la red y el acceso a

este servicio. Esta directiva ayuda a proteger tanto a la administración del

Municipio como al empleado; quien deberá ser consciente y con el pleno

conocimiento de que navegar por ciertos sitios o descargar archivos está

prohibido y que la directiva debe cumplirse o podría haber serias repercusiones,

y aplicar esta política llevará a menores riesgos de seguridad para el Municipio

como resultado de empleados negligentes.

Entre las principales políticas para el uso del servicio de Internet tenemos:

a) Los empleados que laboran en la Institución Pública se comprometerán a

utilizar internet de forma responsable y productiva. El acceso a internet se

limita a actividades relacionadas solo con el trabajo y no se permite su

uso personal.

b) Los usuarios pueden acceder a la red local (Intranet) del servicio y

cualquier otro sitio de Internet que tenga relación con el quehacer

Institucional y quedará estrictamente prohibido las redes: de tipo social

 
 
  
 
 
254

(tales como Facebook, Hi5, youtube etc.), sitios de contenido sexual,

terrorismo, descarga de piratería, media on-demand (tales como videos,

tv, radios, streaming en general).

c) Toda la información de internet redactada, transmitida y/o recibida por los

sistemas informáticos del Municipio de la Ciudad del Este, se considera

propiedad de Institución y se reconoce como parte de sus datos oficiales,

por lo tanto, podrá revelarse por exigencias legales o a terceros

autorizados por la máxima autoridad del Municipio.

d) El equipamiento, los servicios y la tecnología utilizados para acceder a

internet que pertenecen a Institución, se reserva el derecho a supervisar

el tráfico de internet y a acceder a los datos redactados, enviados o

recibidos a través de sus conexiones en línea

e) Todos los sitios y descargas serán susceptibles de supervisión y/o

bloqueo por parte del Departamento de Informática o el oficial de

Seguridad de la Información si se consideran perjudiciales y/o

improductivos para el ejercicio.

f) Queda estrictamente prohibida la instalación de software del tipo

tecnología de mensajería instantánea

g) Los usuarios tienen prohibido instalar y usar programas para “bajar”

información desde INTERNET hacia sus computadores, como también el

 
 
  
 
 
255

uso de programas tales como Emule, Ares, Kazaa y cualquier otro

programa P2P (Peer to Peer).

h) Los usuarios deben acceder a INTERNET usando el navegador que se

provee en sus respectivos computadores. El navegador por defecto y

autorizado para su uso es el Firefox o Chrome.

i) Las configuraciones del PC y su navegador es de exclusiva

responsabilidad del Departamento de Informática y siempre orientado a

asegurar el ancho de banda para las aplicaciones y uso de interés de la

TIC’s.

j) Para evitar algún problema de contagio masivo por el uso de programas

NO autorizados por el área de Informática, se prohíbe la instalación de

software NO licenciado por la Institución, asimismo, serán auditados los

programas instalados en cada computador, entregando la información

recogida a la autoridad competente que pueda evaluar las consecuencias

de cada situación.

k) El Departamento de Informática a través de su oficial de Seguridad de la

Información, realizará monitoreo permanente, mediante las herramientas

con las que cuenta o bien solicitando reportes al proveedor de Internet

(ISP), para determinar el cumplimiento de estas políticas.

 
 
  
 
 
256

5.4.5.1. Difusión

Se mantendrá publicada dentro de la intranet de la Institución, las normas de

uso y políticas de seguridad establecidas en el presente reglamento.

5.4.6. Políticas de Seguridad Inalámbrica

El correcto manejo y utilización de los recursos de la red inalámbrica en la

Institución se ejecutan a través de la implementación de una política perfilada a

la situación actual de la Institución.

Entre las responsabilidades a ejecutar por parte del Departamento de

informática están:

a) Toda instalación de equipo inalámbrico que tenga como propósito tener

acceso a la red de comunicaciones de la Institución, debe ser aprobada

por el Departamento de Informática.

 
 
  
 
 
257

b) Proveer asistencia, orientación y recomendaciones a usuarios sobre el

manejo correcto de equipo de comunicaciones inalámbricas que utilizan

en la Institución.

c) Mantener un registro MAC de todas las tarjetas de comunicación

inalámbrica y puntos de acceso en la Institución.

d) Aprobar la instalación de equipo y programado para la red inalámbrica

utilizado en la Institución.

e) Informar a los usuarios de la red inalámbrica sobre la seguridad, las

políticas y procedimientos relacionados al uso de las comunicaciones

inalámbricas en la Institución.

f) Monitorear el rendimiento y seguridad de todo el equipo de

comunicaciones inalámbricas para prevenir acceso no autorizado a la

red.

g) Monitorear el desarrollo de las tecnologías de redes inalámbricas, evaluar

mejoras a la red inalámbrica y si es apropiado, incorporar nuevas

tecnologías para mejorar el rendimiento, capacidad, disponibilidad,

seguridad y confiabilidad de la red.

 
 
  
 
 
258

5.4.6.1. Asignación del Servicio

El servicio de acceso a la Red Inalámbrica será proporcionado a los usuarios de

la Institución de manera segura a través de una petición formal al Departamento

de Informática.

El Departamento de Informática activará los accesos a la Red Inalámbrica a

partir de que el usuario haya registrado su equipo llenando la solicitud del

servicio.

5.4.6.2. Disponibilidad del servicio.

El servicio de conexión a la Red Inalámbrica estará disponible las 24 horas del

día, todos los días del año, salvo en situaciones de fuerza mayor, fallas de

energía o interrupciones relativas al mantenimiento preventivo o correctivo de

los equipos y elementos relacionados con la prestación del servicio de Internet.

 
 
  
 
 
259

El área de cobertura de la red inalámbrica dependerá del equipo instalado para

el área o piso, por lo general será de un radio de 100 mts. aproximadamente y

ubicado en la Alcaldía.

5.4.6.3. Suspensión del Servicio

El Departamento de Informática podrá suspender o desactivar temporalmente el

servicio o cancelarlo de manera definitiva para determinado equipo, cuando

detecte que el usuario haya hecho uso indebido del servicio. La reactivación

deberá ser autorizada por Responsable del área Administrativa a través de una

petición escrita o correo electrónico.

De la misma manera, el servicio será restringido para ciertos equipos en caso de

que se detecte tráfico excesivo de los mismos o condiciones que indiquen que

están interfiriendo con el funcionamiento normal de la red.

5.4.7. Política de Seguridad para el manejo de Correo Electrónico

Dentro de una empresa o institución púbica hoy en día se hace necesario el uso

continuo del correo electrónico para la respectiva comunicación interna y

 
 
  
 
 
260

externa de la institución, pero debido a los varios tipos de ataques informáticos

de las que puede ser víctima el servidor de correo electrónico se ha considerado

las siguientes políticas, siendo responsable el Departamento de Informática y el

oficial de Seguridad de la Información.:

 El dominio establecido para el Municipio es “cuidadeleste.gob.ec”, todos

los subdominio requeridos para el uso de la institución se engancharan al

dominio principal. El acceso a este servicio, se lo realizará por medio de

la página web institucional (www.ciudaddeleste.gob.ec), link Webmail, o

directamente desde la URL https://mail. ciudaddeleste.gob.ec.

 El correo electrónico institucional se utilizará solamente como una

herramienta de comunicación e intercambio de información oficial y no

debe utilizarse como una herramienta de difusión indiscriminada de

información.

 El usuario es responsable del contenido que envié usando el correo

electrónico institucional. Los correos enviados a través del sistema de

correo electrónico de la organización no podrán incluir contenidos

ofensivos. Se incluyen, sin límite, el uso de lenguaje/imágenes vulgares u

ofensivas

 
 
  
 
 
261

 El correo electrónico no se utilizará para él envió de información

confidencial, para esta situación existen otros medios de transmisión de

información confidencial o institucional.

 Los usuarios estarán sujetos a una auditoria por parte del comité de

Seguridad de la información en cuanto a tráfico y manejo seguro de la

información enviada, cuando se estime estrictamente necesario.

 El Municipio de la Ciudad del Este, en caso de uso indebido de correo

electrónico, podrá suministrar la evidencia a la entidad que lo requiera

para su investigación.

 Se prohíben expresamente, para todo usuario autorizado, el uso de

técnicas de ataque a sistema de correo electrónico como mail SPAM,

mail Bombing, mail Spoofing o mail Relay no autorizado,

 Los usuarios son los únicos responsables de todas las actividades

realizadas, desde sus cuentas de acceso y buzones.

 La cuenta de correo es intransferible, por lo que no debe proporcionarse

a otras personas.

 Los correos deberán ser marcados como urgentes únicamente cuando

realmente lo sean.

 
 
  
 
 
262

 La información que se recibe de manera personal y confidencial por

correo electrónico, no se puede reenviar a otra persona, sin la

autorización del remitente.

 En forma general un correo electrónico, deberá ser impreso únicamente

cuando sea necesario, ya que esta herramienta fue creada para tener un

archivo electrónico, agilizar las comunicaciones, descartar en la medida

de lo posible el archivo tradicional y lograr un ahorro de papel para la

Institución.

5.4.7.1. Restricciones para el Servicio de Correo Electrónico

1. Mensajes: El servicio de correo permite enviar archivos anexados

(attachments) de hasta 20MB usando un cliente de correo (Thunderbird y

Outook) y de hasta 2 MB usando la interface Web en:

http://mail.ciudaddeleste.gob.ec/

2. Mensajes Enviados, Eliminados y Buzones: Se les informa a los usuarios

que el servicio de correo permitirá almacenar mensajes eliminados en la

carpeta Trash (Basurero) hasta 1 semana, es decir, cada semana se

eliminarán automáticamente todos los mensajes en el Trash de los

usuarios; para lo cual se les pide que tomen las medidas del caso. Los

 
 
  
 
 
263

mensajes enviados son guardados automáticamente en el servidor (sólo

en el caso de usar IMAP).

3. Cuota: Los buzones administrativos tienen cuota definida de 2 Megas.

Nota: Si el Usuario hace caso omiso al mensaje de advertencia, el

administrador bloqueará la cuenta del usuario y únicamente podrá ser

reactivada al liberar el espacio excedente.

4. Cadenas y Múltiples Usuarios: Está PROHIBIDO el fomentar el envío de

cadenas de mensajes a múltiples usuarios, ya sea enviando o reenviando

esta clase de mensajes.

Se puede enviar mensajes a múltiples usuarios siempre que no

sobrepasen el número de 20. El incumplimiento de esta norma, tendrá

como consecuencia un mensaje de advertencia y de persistir, el bloqueo

de la cuenta del Usuario

Si por razones de necesidad laboral o en casos especiales, necesite

enviar mensajes masivos a grupos de usuarios, debe contactar al

Personal de Soporte Técnico para que le proporcione acceso a otro tipo

de servicio (Servidor de Listas de Interés), esto con el objetivo de evitar

problemas de registros de Spam a través del dominio de la institución que

 
 
  
 
 
264

bloquee de manera general el envió de correos masivos. Para esto se

debe considerar las siguientes indicaciones:

 Utilizar el correo electrónico para actividades comerciales ajenas a

la institución.

 Participar en la propagación de cadenas, esquemas piramidales y

otros similares de envío con el correo institucional.

 Enviar o reenviar mensajes con contenido difamatorio, ofensivo,

racista u obsceno.

 Enviar mensajes anónimos, así como aquellos que consignen

títulos, cargos o funciones no oficiales.

 Utilizar mecanismos y sistemas, que intenten ocultar o suplantar la

identidad del emisor del correo electrónico.

 Distribuir mensajes con contenidos inapropiados.

 Ofrecer su cuenta de correo electrónico a personas no

autorizadas.

 Atentar contra la seguridad del servidor de correo de la institución.

 
 
  
 
 
265

5.4.7.2. Privacidad en los Servicios de Correo:

El Administrador del Servicio de Correo no podrá interceptar, editar, monitorear

o eliminar ningún mensaje de correo de ningún usuario, salvo autorización

expresa de este o su superior, o en los siguientes casos:

 El usuario haya incurrido en actos ilegales

 Requerimiento expreso de Autoridades Policiales o Judiciales.

 Para identificar o resolver problemas técnicos

 El mensaje comprometa el normal funcionamiento del servicio.

El Administrador del Sistema es la única persona que eventualmente podría

tener acceso a los mensajes de los usuarios y únicamente en los casos

referidos de los puntos de la política mencionados en el párrafo anterior.

5.4.8. Políticas de Seguridad de Respaldo y Recuperación

Dada la importancia de la información que maneja la Institución y la obligatoria

necesidad de resguardar los datos, surge la necesidad de complementar el

capítulo cinco a través de la normativa para regular el uso de cualquier tipo de

unidades de respaldo sean estas internas o externas, entre las que podemos

 
 
  
 
 
266

mencionar los quemadores de discos compactos, DVD, cintas magnéticas, entre

otros; con el objeto de que su uso sea para labores propias de la institución. Por

lo antepuesto, toda unidad que cuente con dispositivos para la realización de

respaldos (computadoras de escritorio, portátiles, servidores y equipos médicos)

debe velar porque se haga un uso adecuado de esos recursos, utilizándolos

únicamente para cumplir con los intereses de la institución, y tomando en cuenta

las funcionalidades operativas del equipo.

La realización periódica de respaldos de la información generada en los

sistemas, bases de datos, así como la información residente en los equipos de

los funcionarios del Municipio de la Ciudad del Este, es de gran importancia para

brindar continuidad de los servicios. Por lo tanto todas las unidades Operativas

de la institución deben elaborar un plan de recuperación y respaldo de

información, donde los respaldos deberán realizarse periódicamente conforme

las características de los equipos, las aplicaciones y los datos asociados. El

plan de recuperación y respaldo de la información debe contemplar la

realización de pruebas continuas para asegurarse que los respaldos estén

correctamente ejecutados y deben almacenarse en un lugar seguro y lejano de

la fuente de información original.

 
 
  
 
 
267

5.4.8.1. Consideraciones Generales

Todo sistema deberá contar con la documentación de los procedimientos de

respaldo y recuperación antes de entrar en producción. La misma será

controlada por el Administrador de la aplicación, para verificar que es clara y

completa, deberá de contemplar como mínimo la recuperación de los siguientes

elementos:

 El remplazo de los servidores críticos.

 El sistema operativo y su configuración (parámetros, file Systems,

particiones, usuarios y grupos, etc.)

 Los parches y paquetes de software de base necesarios para que la

aplicación se ejecute.

 Los programas que componen la aplicación

 Los archivos y/o bases de datos del sistema.

 Horario de ejecución de la copia de respaldo.

No se pondrá en producción ningún sistema que no cumpla este requerimiento.

 
 
  
 
 
268

Todas las copias de respaldo deberán estar claramente identificadas, con

etiquetas que indiquen como mínimo:

 Equipo al que pertenece

 Fecha y hora de ejecución

 Frecuencia: anual, mensual, semanal, diario

 Número de secuencia

 Tipo de Backup

 Nombre del sistema o aplicativo y otros datos necesarios para su fácil

reconocimiento.

Se llevará un registro diario de las cintas en uso indicado al menos.

 Fecha de ejecución del respaldo

 Que cintas o discos que integran el Backup de los equipos.

 Cantidad de veces que se use cinta. Una cinta tiene un máximo de 25

veces (Vida útil).

 Luego de lo cual se procederá a remplazarlas.

 Lugar es asignados para su almacenamiento

 
 
  
 
 
269

El administrador de servidores revisara periódicamente que se cumpla con este

registro en tiempo y forma. En el caso de base de datos se debe llevar bitácora

de respaldos bajo la responsabilidad del DBA.

a) Todos los procedimientos de respaldo deberán generar un registro en el

equipo que permita la revisión del resultado de la ejecución y dentro de lo

posible, se realizaran con la opción de verificación de integridad (lectura

posterior a la escritura.)

b) Los sitios donde se almacena las copias de respaldo deberán ser

físicamente seguros, con los controles físicos y ambientales según

normas estándares; las cintas deben guardarse dentro de la caja fuerte.

c) Se realizaran copias del respaldo del sistema completo de acuerdo a lo

indicado por el administrador de la aplicación, en la frecuencia asignada

a cada aplicación o sistema, previendo la conservación de estos backups

por el periodo de tiempo también estipulado previamente conforme a la

criticidad de la información.

Los periodos de retención de la información histórica son los siguientes:

• Lotes de transacción: perpetuo

 
 
  
 
 
270

• Actividades de los usuarios y pistas de auditoría: 3 años.

El respaldo de la información histórica se realizara utilizando soportes

magnéticos de preferencia no reutilizables (DVDs, discos ópticos, etc.), los

procedimientos de generación y grabación de estos archivos serán automáticos,

a fin de evitar su modificación.

5.5. Responsabilidades del Usuario

 Uso adecuado de los mecanismos de seguridad: Dado que el usuario

conoce las graves implicaciones que podría ocasionar el uso indebido o no

autorizado de los mecanismos de seguridad y sus componentes, se obligan

a limitar el acceso a estos únicamente a las personas señaladas en las

respectivas “Actas de entrega” y a mantener los componentes de los

mecanismos de seguridad bajo estrictas medidas de seguridad.

 Respecto a los reglamentos y circulares: Los usuarios se obligan a dar

estricto cumplimiento a los reglamentos y circulares que establezca la

Municipalidad de la Ciudad del Este, en relación con los dispositivos de

 
 
  
 
 
271

seguridad y con el manejo y utilización de los mecanismos de seguridad y

sus componentes.

 Los usuarios se comprometen a mantener estricta confidencialidad frente a

terceros, respecto a los detalles de los mecanismos de seguridad ofrecidos

por la Institución.

5.6. Responsabilidad del Administrador de la TI

 Es responsabilidad del Administrador de TICs o del oficial de

Seguridad de la Informática, el desarrollar, someter a revisión y

divulgar en adición a los demás medios de difusión (intranet, email,

Sitio Web oficial, revistas internas) de los Procedimientos de

Seguridad. De esta forma se identifica claramente la responsabilidad

del Administrador de TI de capacitar a los empleados de la Institución

en lo relacionado con los procedimientos de Seguridad.

 El Administrador de la Seguridad de TI se ocupa de salvaguardar la

confidencialidad, integridad y disponibilidad de los activos,

información, datos y servicios de TI de una organización.

 
 
  
 
 
272

5.7. Implementación, Administración y Configuración de Servicios,

procedimientos y protocolos de seguridad

Para la implementación de procedimientos y protocolos es necesario que la

gestión de la Municipalidad de la “Ciudad del Este” reconozca la autoridad de la

Gestión de la Seguridad respecto a todas estas cuestiones y que incluso permita

que ésta proponga medidas disciplinarias vinculantes cuando los empleados u

otro personal relacionado con la seguridad de los servicios y sistemas incumpla

con sus responsabilidades de tal forma que logre un exitosa implementación.

Es responsabilidad de toda Gestión de Seguridad coordinar la implementación

de los protocolos y medidas de seguridad establecida en la Política y el Plan de

Seguridad de la Institución que esté acorde a estándares y que sea aplicable a

la misma.

Para todos los procesos TI es necesario realizar un riguroso control del proceso

para asegurar que la Gestión de la Seguridad cumple sus objetivos. Además es

recomendable realizar evaluaciones que se complementen con auditorías de

seguridad externas y/o internas que sean realizadas por personal independiente

de la Gestión de la Seguridad.

 
 
  
 
 
273

5.8. Aplicación de Métodos de Encriptación y Protección de la

Información

El método de encriptación utilizado por el Gestor de Base de Datos Oracle a

través de la Herramienta Oracle Key Manager es el encapsulado de claves de

AES (RFC 3994) con claves de cifrado de clave de 256 bits que permite

proteger las claves simétricas cuando se crean, almacenándolas en el

dispositivo de gestión de claves y que pueden ser utilizada cuando se transmiten

a agentes o entre archivos de transferencia de claves.

Para el caso de los Servidores Linux CentOS se ha procedo a cifrar los discos

duros mediante LUKS (Linux Unified Key Setup-on-disk-format) de tal forma que

en caso de robo o pérdida del disco duro este no permita descifrar la

información por falta de llaves de acceso.

En el manejo de Sistema Operativos Windows se utiliza BitLocker, herramienta

que permite cifrar todos los datos almacenados en el volumen del sistema

operativo Windows, siendo este de fácil manejo para los Administradores de

servidores el trabajar con equipos de tipo servidor.

 
 
  
 
 
xxvi

CONCLUSIONES Y RECOMENDACIONES

Como se ha observado en el desarrollo de los cinco capítulos se concluye

que luego de haber realizado una evaluación de riesgos y análisis de

vulnerabilidades al Centro de Procesamiento de Datos Municipal, se puede

identificar de forma clara y precisa la situación actual y el tipo de

infraestructura Tecnológica que posee la Institución, para que luego de todo

este análisis se pueda aplicar normativas y estándares que sirvan de guía en

la identificación de amenazas logrando prevenir cualquier tipo de ataque

informático.

Es aconsejable para este tipo de Instituciones Gubernamentales dar prioridad

a la gestión de inversión Tecnológica que permita brindar la seguridad y las

garantías necesarias, y de esta forma conservar la integridad de la

información siendo este el activo más preciado de la institución.

  
 
 
xxvii

Por tal razón se realiza recomendaciones alineadas a los servicios que son

otorgadas por el Municipio considerando el equipamiento tecnológico actual:

 Aplicar análisis de vulnerabilidades periódicas a la infraestructura

Tecnológica del Centro de Procesamiento de Datos Municipal,

principalmente a los servicios que se encuentran expuestas al Internet.

 Gestionar la pronta adquisición de Servidores de Datos más robustos,

que permitan agilitar los servicios brindados por el Municipio,

mejorando la atención al contribuyente y usuario en común.

 Monitorear de forma continua a través de analizadores de tráfico o

sistemas de detección de intrusos (IDS), para que sirva de alerta ante

cualquier intrusión o problemas de ataque que se quiera ejecutar en

los servidores de datos de la Institución.

 Segmentación Física y Lógica de la Red LAN, con el objetivo de aislar

el tráfico en fragmentos optimizando de manera eficiente los recursos

de la institución.

Además se logra identificar que luego de realizar el proceso de Ethical

Hacking a cada uno de los Servidores de Datos de la Institución, este

permitió identificar muchas deficiencias y debilidades que poseían estos

  
 
 
xxviii

equipos, logrando de esta manera la eliminación de vulnerabilidades a través

de la correcta configuración y actualización de software.

Finalmente se ha considerando la implementación de estándares que

permitan desarrollar el plan de recuperación ante desastres y respaldos,

basados en las necesidades y servicios que brinda el Municipio, para lograr

de esta manera mantener siempre la continuidad operativa de la Institución

evitando posibles problemas al momento de ocurrir algún percance o

incidente Tecnológico; así como también la aplicación y socialización de la

política de seguridad que este acorde a las necesidades de las Entidades

Públicas actuales permitiendo penalizar al empleado por el mal uso de los

recursos Municipales.
  
 
 
xxix

BIBLIOGRAFÍA

[1] Alfonso Bilbao and De Cuevavaliente Ingenieros, “La Necesaria Normativa

ISO Sobre Seguridad Artículo Técnico,” 2010

http://www.cuevavaliente.com/es/documentos. fecha de consulta Marzo

2015

[2] ISO, Consejos de implantación y métricas de ISO/IEC 27001 y 27002,

http://www.iso27000.es/download/ISO_27000_implementation_guidance

_v1_Spanish.pdf, fecha de consulta Marzo del 2015.

[3] ISOTOOLS, Norma ISO 31000:2009. Gestión de Riesgos. Principios y

directrices, http://www.isotools.com.co/norma-iso-310002009-gestion-de-

riesgos-principios-y-directrices/, fecha de consulta Octubre del 2014

[4] Elio Ríos Serrano, “Los Desastres - Por: Elio Ríos Serrano”

<http://www.aporrea.org/actualidad/a13255.html>. fecha de consulta

febrero del 2015

[5] ISO, ISO/IEC 27002:2013,

http://iso27000.es/download/ControlesISO27002-2013.pdf, fecha de

consulta Mayo 2015

  
 
 
xxx

[6] Iso/iec 27002:2005., “Iso/iec 27002:2005.”, 2011, 27002

<http://www.iso27000.es/download/ControlesISO27002-2005.pdf>. fecha

de consulta Febrero 2015

[7] Wikipedia, “Criptografía - Wikipedia, La Enciclopedia Libre”

,http://es.wikipedia.org/wiki/Criptografía, fecha de consulta Septiembre

2014.

[8] Textoscientificos.com, “Encriptación”

<http://www.textoscientificos.com/redes/redes-

virtuales/tuneles/encriptacion> , fecha de consulta Septiembre 2014.

[9] Joel Barrios Dueñas, “Cifrado de Particiones Con LUKS. - Alcance Libre”

<http://www.alcancelibre.org/staticpages/index.php/ciframiento-

particiones-luks> , fecha de consulta Abril 2015

[10] Windows.microsoft.com, “Cifrado de Unidad BitLocker - Microsoft

Windows” <http://windows.microsoft.com/es-

419/windows7/products/features/bitlocker> , fecha de consulta Abril

2015.

[11] Belarc, “PRODUCTOS DE BELARC”

<http://www.belarc.com/es/products.html>, fecha de consulta Abril 2015.

  
 
 
xxxi

[12] INTECO Cert, Informe de Vulnerabilidades 2011,

http://www.inteco.es//extfrontinteco/img/File/intecocert/Formacion/Estudi

osInformes/Vulnerabilidades/cert_inf_vulnerabilidades_semestre_1_201

1.pdf, fecha de consulta Marzo 2014.

[13] Wikipedia.org, “Sistema de Detección de Intrusos - Wikipedia, La

Enciclopedia Libre”

<http://es.wikipedia.org/wiki/Sistema_de_detecci%C3%B3n_de_intrusos

> , fecha de consulta Abril 2015.

[14] INEI “INEI - PLAN DE CONTINGENCIAS Y SEGURIDAD DE LA

INFORMACION”,http://www.ongei.gob.pe/publica/metodologias/lib5007/0

300.HTM , fecha de consulta 30 May 2014.

[15] Microsoft.com, “Información General Acerca de La Recuperación Ante

Desastres” <http://technet.microsoft.com/es-es/library/bb418909.aspx>,.

fecha de consulta Junio 2014

[16] Fernando Enrique Montero Gonzalez, Gestión del Riesgo en

infraestructura y Comunicaciones TI, Proyecto final, abril 2011.

[17] Leonardo Sena and Mario Tenzer, “Introducción a Riesgo Informático,” .

PDF Personal, Agosto del 2014

  
 
 
xxxii

[18] EUMED, “Plan de Recuperación del Desastre y Respaldo de la

Informacion” http://www.eumed.net/libros-gratis/2009c/605/PLAN DE

RECUPERACION DEL DESASTRE Y RESPALDO DE LA

INFORMACION.htm, fecha de consulta 10 June 2014.

[19] PTES Technical Guidelines ,“PTES Technical Guidelines - The

Penetration Testing Execution Standard” ,http://www.pentest-

standard.org/index.php/PTES_Technical_Guidelines, Fecha de consulta

Abril 2014.
  
 
 
xxxiii 

GLOSARIO

Amenaza: Es la posibilidad de ocurrencia de cualquier tipo de evento o

acción que puede producir daño (material o inmaterial) sobre los elementos

(activos, recursos) de un sistema.

Ataque: Es una amenaza que se convirtió en realidad, es decir cuando un

evento se realizo. No dice nada si o no el evento fue exitoso.

Autenticidad: La legitimidad y credibilidad de una persona, servicio o

elemento debe ser comprobable.

Confidencialidad: Datos solo pueden ser legibles y modificados por

personas autorizados, tanto en el acceso a datos almacenados como

también durante la transferencia de ellos.

Disponibilidad: Acceso a los datos debe ser garantizado en el momento

necesario. Hay que evitar fallas del sistema y proveer el acceso adecuado a

los datos.

Elementos de Información: También “Activos” o “Recursos” de una

institución que requieren protección, para evitar su perdida, modificación o el

uso inadecuado de su contenido, para impedir daños para la institución y las

personas que salen en la información. Se distingue y divide tres grupos, a)

Datos e Información, b) Sistemas e Infraestructura y c) Personal.

  
 
 
xxxiv 

Gestión de Riesgo: Método para determinar, analizar, valorar y clasificar el

riesgo, para posteriormente implementar mecanismos que permitan

controlarlo. Está compuesta por cuatro fases: 1) Análisis, 2) Clasificación, 3)

Reducción y 4) Control de Riesgo.

Integridad: Datos son completos, non-modificados y todos los cambios son

reproducibles (se conoce el autor y el momento del cambio).

Seguridad Informática: Procesos, actividades, mecanismos que consideran

las características y condiciones de sistemas de procesamiento de datos y su

almacenamiento, para garantizar su confidencialidad, integridad y

disponibilidad.

Vulnerabilidad: Son la capacidad, las condiciones y características del

sistema mismo (incluyendo la entidad que lo maneja), que lo hace

susceptible a amenazas, con el resultado de sufrir algún daño.

Análisis de vulnerabilidades: Análisis del estado de la seguridad de un

sistema o sus componentes mediante el envío de pruebas y recogida de

resultados en intervalos.

Denegación de servicio (DoS): Estrategia de ataque que consiste en

saturar de información a la víctima con información inútil para detener los

servicios que ofrece. Véase también ("Denegación de servicio distribuida").

  
 
 
xxxv 

Denegación de servicio distribuida (DDoS): Estrategia de ataque que

coordina la acción de múltiples sistemas para saturar a la víctima con

información inútil para detener los servicios que ofrece. Los sistemas

utilizados para el ataque suelen haber sido previamente comprometidos,

pasando a ser controlados por el atacante mediante un cliente DDoS. Véase

también ("Denegación de servicio").

Interfaz de comandos segura (SSH): También conocida como "Secure

Socket Shell", es una interfaz de comandos basada en UNIX y un protocolo

para acceder de forma segura a una máquina remota. Es ampliamente

utilizada por administradores de red para realizar tareas de gestión y control.

SSH es un conjunto de tres utilidades: slogin, ssh y scp; versiones seguras

de las anteriores utilidades de UNIX: rlogin, rsh y rcp.

Gestión de riesgos: Selección de implementación de medidas de seguridad

para conocer, prevenir, impedir, reducir o controlar los riesgos identificados.

La gestión de riesgos se basa en resultados obtenidos en el análisis de

riesgos.

Acceso Físico: Es la actividad de ingresar a un área.

Acceso Lógico: Es la habilidad de comunicarse y conectarse a un activo

tecnológico para utilizarlo.

  
 
 
xxxvi 

Herramientas de Seguridad: Son mecanismos de seguridad automatizados

que sirven para proteger o salvaguardar a la infraestructura tecnológica de

una Comisión.

Respaldos: Archivos, equipo, datos y procedimientos disponibles para el uso

en caso de una falla o pérdida, si los originales se destruyen o quedan fuera

de servicio.

Falso Positivo: Son los hallazgos o evidencias que se consideran

verdaderas pero que luego demuestran falsas, la certeza o falsedad

dependen de la capacidad del observador de evaluar las pruebas