Aplicacin Web para la optimizacin del servicio de atencin
al pblico en el Sistema de Proteccin.
Tsu. Elsa Amaya Laflaca8878@hotmail.com
El Sistema de Proteccin est conformado por tres departamentos, como lo son Defensora Municipal, Consejo de proteccin y el Consejo Municipal. Para poder defender la aplicacin, se deber saber cules son las principales vulnerabilidades de un sistema de cmputo, como lo son el dispositivo que integran las comunicaciones, las estaciones de trabajo, las redes, los firewall, servidores, mdems, gente, etc. Brindar una serie de recomendaciones para la gestin de la seguridad de la informacin y servir de base comn para el desarrollo de estndares de seguridad y poder implementar. Establecer los requerimientos mnimos de seguridad, analizar aspectos, como evaluar los riesgos que enfrenta la comunidad, identificar requisitos externos: legales, normativos, reglamentarios y contractuales, identificar requisitos internos: principios, objetivos y requisitos para el procesamiento de la informacin que ha desarrollado la comunidad.
1. Vulnerabilidades Las vulnerabilidades son fallos en el proyecto, implementacin o configuracin de un software o sistema operativo que, cuando es descubierta por un atacante, resulta en la violacin de la seguridad de un computador o un sistema computacional. El sistema de proteccin de los derechos del nio, nia y adolescente ubicado en la alcalda de la victoria, tiene como vulnerabilidades las siguientes: -Si algn usuario deja abierta su cuenta en la aplicacin y se retira de su sitio de donde navega por un momento, es posible que algn moroso ingrese a su cuenta y altere alguna informacin. -Que algn usuario se registre e ingrese informacin falsa y cause problemas en la aplicacin, con comentarios molestos y falsos.
Fig.1 Contraseas dbiles.
-Que el usuario ingrese una clave complicada y luego la olvide. -Las claves personales son manejadas por las secretarias, de modo que pueden ser robadas y alterar la informacin. -No tienen acceso a internet por falta de financiamiento. -Manejo de muchos dispositivos USB y CD- ROM y sin analizarlo por el antivirus, de manera que esto provoca infecciones de archivos maliciosos y daar la informacin, duplicarla y hasta daar el equipo de cmputo. -Antivirus piratas, que no son confiables, ni cubren bien el Sistema Operativo y tiene limitaciones de 30 das. -Falta de configuracin y activacin del firewall, arriesgando a perder datos valiosos.
Fig.2 Configuracin de Firewall para una mejor proteccin.
-Poco anlisis de antivirus al equipo, causando perdida de la informacin, por el equipo infectado de virus.
Fig.3 Anlisis de equipo es escaso.
-Los usuarios no estn adiestrados y pueden manipular mal la aplicacin, causando perdida de datos o ingresndolos mal a la aplicacin, -El diseo funciona en el navegador Google Chrome, en otros navegadores el diseo sale distorsionado.
Fig.4 Navegador Google Chrome.
-No tiene seguridad en cuanto a inyecciones SQL en el gestor de entrada, el cual podra entrar cualquier usuario a la cuenta personal de un usuario.
Fig.5. Inyecciones SQL en el gestor de entrada
Poltica de seguridad
Es necesario definir que es un procedimiento e instrucciones que guan las actuaciones de trabajo y define los criterios de seguridad para que sean adaptados a nivel local e organizacional con el objetivo de normalizar las polticas de seguridad. Mencionaremos las polticas de seguridad del Sistema de Proteccin de los derechos del nio, nia y adolescente: -Las secretarias son las encargadas de manejar las computadoras en los diferentes departamentos, debern bloquearlas en la configuracin de protector de pantalla para que automticamente, cuando no est en uso en un tiempo determinado de 5 a 10 minutos se bloquee, para que as los usuarios malintencionados no alteren o roben informacin. -La presidenta del sistema de proteccin ser la encargada de ser el administrador de la aplicacin donde podr habilitar o deshabilitar a los usuarios que causen problemas en la aplicacin.
Fig.6 Habilitar y Deshabilitar usuarios
-Los usuarios visitantes solo podrn observar la informacin de la aplicacin, hacer sugerencias y ver las imgenes de la galera.
Fig.8. El usuario visitante solo estar autorizada para ver la informacin bsica del Sistema de Proteccion. - Activar firewall.
Fig.9.Firewall activado. Es necesario tenerlo activado para una mayor proteccin en el equipo. - Las secretarias si descargan msica, libros, programas ejecutables, etc. Es recomendable realizarlo en fuentes confiables. -Los usuarios solicitantes podrn solicitar los servicios, aparte de observar la informacin, realizar sugerencias y ver las imgenes de galera.
Fig.10. Los usuarios registrados, solicitan los servicios.
-El administrador cuando registre un usuario, deber asignarle privilegios que cree que son convenientes y necesarios para ese usuario interno y para el manejo de esa informacin, ya que es valiosa.
Fig.11. Asignacin de privilegios
-Los usuarios debern cambiar la clave, cada cierto tiempo, para evitar acceso a sus cuentas personales y evitar ser hackeadas.
Fig.12.Cambio de contraseas.
-La comunidad debe disponer una lista con los procedimientos para la realizacin del respaldo de la base de datos y quienes son responsables, es recomendable realizar un respaldo peridico de aproximadamente un mes. -Adiestrar al personal del Sistema de proteccin para evitar fallas y mal manejo de informacin. De modo que sepan manejar muy bien la aplicacin y saber dar respuestas en casos de errores. -La aplicacin deber funcionar en cualquier navegador, ya que el usuario podr ingresar a la aplicacin desde cualquier navegador.
Fig.13. Navegadores Web. - Proteccin segura en cuanto ataques contra inyecciones SQL. - Los empleados de la comunidad debern conocer y aplicar las polticas de seguridad establecidas. -La presidenta debe dejar muy claras las sanciones a las que pueden hacerse a los usuarios que trabajan en este ente y que no cumplan con las polticas de seguridad de la comunidad. -La presidenta debe divulgar en la comunidad las reglas, concienciar a los usuarios sobre el valor de la informacin. Hay que implementar cada medida de proteccin para la reduccin de las vulnerabilidades.
10 Normas ISO 17799
1. Poltica de seguridad. La presidenta Marlene Rosales es la encargada de aprobar y publicar los documentos donde contenga la poltica y comunicrselo a las secretarias, abogados, psiclogos y dems empleados que integran esta entidad. Es necesario realizar una revisin mensual para tener en cuenta cualquier cambio que pueda afectar la poltica original establecida por la presidenta del Sistema de Proteccin.
2. Organizacin de seguridad. Responsabilidades: las secretarias son las encargadas de realizar el respaldo de los datos, la actualizacin del antivirus y configuracin del firewall, la presidenta es la encargada de aprobar y publicar las polticas de seguridad. El abogado es el encargado de implantacin y asesoramiento en la parte de seguridad, tambin es el que se encarga de analizar las computadoras con los antivirus. En la parte de terceras personas, se encarga el jefe de informtica el ingeniero alis Gutirrez, en realizar el mantenimiento y soporte tcnico de hardware y software, esta asistencia de esta tercera persona es controlado por las secretarias, donde realizar un escrito de la asistencia del ingeniero alis Gutirrez y lo que le realiza a las computadoras, se lo trasfieren escrito a la presidenta para que este al tanto de la situacin y lo apruebe.
3. Clasificacin y control de activos. Como inventario en el Sistema de proteccin tenemos: Recursos de informacin: base de datos y archivos, documentacin, manual de usuario, informacin archivada; Recursos de software: Windows XP, Office 2003, Avast antivirus; Activos Fsicos: Procesadores, monitores, impresoras, CPU, computadoras porttiles; Servicios: Iluminacin, energa elctrica.
4. Seguridad del personal. Puestos de trabajo: la presidenta realizo contratos acerca de los puestos de trabajos y responsabilidades de cada persona que trabaja en el Sistema de Proteccin. Capacitacin: los trabajadores de este ente, al ingresar, debern estar capacitados para el uso correcto de las instalaciones de procesamiento de informacin y los usuarios deben ser actualizados
peridicamente en las polticas y procedimientos de la organizacin. Administracin de incidentes: las secretarias debern informarle las incidencias ocurridas como lo son violaciones, amenazas, debilidades o anomala en materia de seguridad, a la presidenta Marlene Rosales, ya que podra producir un impacto en la seguridad. Es importante notificar los incidentes de los resultados una vez tratados y as resolver los mismos. Proceso disciplinario: la presidenta Marlene Rosales, deber establecer una regla, donde sancionara a un trabajador en caso de que no cumplan las polticas de seguridad aprobadas y establecida por la misma.
5. Seguridad Fsica y ambiental La proteccin fsica: Los trabajadores de esta organizacin deben firmar en una carpeta y colocar su hora de llegada y de salida, debern usar una gorra o camisa del Sistema de Proteccin como identificacin, o el carnet. La presidenta deber supervisar que todos los trabajadores cumplan con sus roles, deber controlar que solos los usuarios permitidos manejen la informacin, y las claves sean protegidas. Seguridad del equipamiento: La presidenta deber proteger el equipamiento, por las amenazas y peligros ambientales, como por ejemplo, incendios, robos, agua, polvo, interferencia en el suministro de energa elctrica. Suministro de energa: las computadoras debern tener protectores elctricos, en caso de fallos de luz. Seguridad del equipo: el ingeniero alis Gutirrez deber realizar un mantenimiento correctivo y preventivo peridicamente, para que as la computadora trabaje de manera rpida y eficiente.
6. Gestin de operaciones y comunicaciones. Documentacin de los procedimientos operativos: las secretarias debern documentar los procedimientos operativos como documentos formales, los cambios de estos deben ser informados a la presidenta Marlene rosales. Control de cambio en las operaciones: la presidenta deber implementar responsabilidades para un control satisfactorio de todos los cambios en el equipamiento o software. Si las secretarias cambian un programa, se deber tener una auditoria que contenga toda la informacin relevante. Proteccin contra software malicioso: Las secretarias de cada departamento sern las encargadas de instalar un buen antivirus con licencias, para una proteccin segura y mejor. Debern ejecutar el antivirus diario, para examinar todos los archivos que se encuentran en el equipo y asegurarse que estn libres de archivos malicioso e infeccioso. Las secretarias debern escanear todo dispositivo de entrada, para evitar perder informacin importante que se encuentre en el computador. La informacin deber ser confidencial en caso de traspaso y revisar muy bien si ser enviada por correo electrnico u otro medio, tambin podra ser entregada personalmente para evitar posibles robos de informacin. 7. Control de accesos Requerimientos para control de accesos: la presidenta Marlene rosales deber establecer reglas que se debern cumplir, otras que debern ser opcionales y otras condicionales. Administracin de acceso de usuarios: la presidenta deber controlar los derechos del acceso al sistema considerando uso de identidades nicos, uso de identidades grupales, firma de usuarios aceptando sus responsabilidades, se deber contar con una auditoria para revisar los accesos, los usuarios y la informacin que se consulto. Administration de contraseas de usuario: la presidenta deber implementar procedimientos formales para controlar la asignacin de contraseas de acceso al sistema. Los usuarios externos y las secretarias, el abogado y la psicloga debern mantener en secreto su contrasea, evitar tenerlas en un papel, cambiarlas peridicamente, las contraseas debern ser alfanumricas y mayor de 6 dgitos, fcil de memorizar, difcil de descifrar para los usuarios morosos. 8. Desarrollo y mantenimiento de sistemas Controles criptogrficos: Para proteger la integridad y confidencialidad de las claves personales es necesario que estn encriptadas. 9. Administracion de la continuidad de los negocios. Proceso general de administracin de la continuidad de los negocios: Es necesario que la presidenta implemente un proceso controlado para el desarrollo y mantenimiento de la continuidad de negocios, tomando en cuenta que deben haber responsables del desarrollo del plan, identificar los riesgos que podra tener el Sistema de Proteccin. 10. Cumplimiento. Esta norma sugiere la publicacin de la poltica de seguridad formal e instalar software con licencias.