Tesis PDF

UNIVERSIDAD POLITCNICA SALESIANA
FACULTAD DE INGENIERIAS
CARRERA DE INGENIERIA DE SISTEMAS
ELABORACIN DE UN PLAN DE SEGURIDAD

INFORMTICA EN LA ILUSTRE MUNICIPALIDAD DE
PAUTE.
Proyecto
previo
obtencin del
la
Titulo
de
Ingeniero de Sistemas.
Autores:
Diana Fernanda Carchipulla Choco
Miriam Alexandra Guamba Romn
Carmen Beatriz Mndez Rojas
Director:
Ing. Bertha Tacuri Capelo
Cuenca Ecuador
2007
III
Los conceptos desarrollados, anlisis

realizados
las
conclusiones
del
presente trabajo, son de exclusiva

responsabilidad de las autoras
Cuenca, febrero 14 del 2007
Diana Carchipulla
Miriam Guamba
Carmen Mndez
IV
Certifico que bajo mi direccin el

proyecto de tesina fue realizada por:
Diana Fernanda Carchipulla Choco

Miriam Alexandra Guamba Romn
Carmen Beatriz Mndez Rojas
..................................................
Ing. Bertha Tacuri Capelo
DIRECTORA DE TESIS
DEDICATORIA:
Es muy difcil dedicar un trabajo, quisiera
poder nombrar a todas las personas que me
alentaron a seguir con mi carrera, a superar
los retos y acompaarme siempre. Pero en
especial quiero dedicarlo a toda mi familia,
que han sabido brindarme todo el espacio,
tiempo
y apoyo. Quiero destacar el
esfuerzo y sacrificio que mi madre MARIA
DOLORES ha realizado, por eso este
trabajo te lo dedico con todo mi cario y
gratitud.
A mi to MESAS que ha sido como un
padre para m, y aunque muchas veces
discrepamos, existe un sentimiento muy
grande de fraternidad y cario.
A mi ta LAURA que aunque estando lejos
a sabido brindarme sus palabras de apoyo.
A mi abuelita ROSITA. Hoy tu nieta est
cumpliendo uno de tus sueos ms
anhelados. Dios permita que nos acompaes
por muchos aos ms.
A la persona que siempre me estuvo
apoyando, alegrando y alentando en los
momentos ms crticos y que supo despertar
en mis sentimientos ms profundos. Para ti
mi amor NSTOR, este logro es tuyo y
mo.
Y finalmente a mis amigos, compaeros y
docentes que confiaron en m.
DIANA FERNANDA
VI
DEDICATORIA:
Este proyecto de tesis en Primer lugar

quiero dedicarlos a DIOS porque fue quien
me ayudo para llegar a ser alguien en mi
vida profesional.
En segundo lugar a mis padres MIGUEL e
IBONNY, que me supieron guiar, y ayudar
en todo lo que yo necesite para culminar
este periodo importante.
Tambin a mi esposo FERNANDO, que
siempre estuvo all en los momentos buenos
y malos para colaborar en todo lo que a
podido y con ello apoyarme para poder
culminar esta carrera
A mis hermanos, amigos y familiares que
de alguna u otra manera me incentivaron a
terminar la Universidad
A todas estas personas gracias de corazn.
MIRIAM ALEXANDRA
VII
DEDICATORIA:
A mi Seor, Jess, quien me dio la fe, la
fortaleza, la salud y la esperanza para
terminar este trabajo.
A mis padres, Ins y Octavio quienes me
ensearon desde pequea a luchar para
alcanzar mis metas. Mi triunfo es el de
ustedes.
A los que nunca dudaron que lograra este
triunfo: mis hermanos Olga, Maria, Sergio,
Marco, Rene y mi querido abuelito Vctor
que siempre se preocupo por la lejana en la
que nos encontrbamos.
La humildad trae gracia y felicidad a la
vida; permite acomodarse a las situaciones
difciles sin pensar en lo que se est dejando
renunciando, nos vuelve ms sencillos y
naturales, permite que nos concentremos en
lo que estamos haciendo, y que lo hagamos
correctamente.
La humildad hace que podamos ver los
beneficios en cada escena de la vida,
haciendo que nuestras interacciones giren
en un ambiente ms agradable, as logramos
un lugar en el corazn de todos, eliminando
en un segundo aquello que nos hiere y no
nos deja crecer.
Siendo humildes comprenderemos que an
tenemos mucho por mejorar, mucho que
aprender y que podemos ocuparnos en la
tarea de crecer.
Andrea Moreno de Buitrago
Pensamiento Indito
CARMEN BEATRIZ
VIII
AGRADECIMIENTO:
A Dios nuestro seor por la oportunidad
que hemos tenido para aprender, mejorar y
crecer.
Agradecemos de forma muy especial a la
Ing. Bertha Tacuri Capelo quien ha sido
nuestra tutora en el presente trabajo, y nos
ha brindado su amistad, paciencia y apoyo
durante el desarrollo de esta tesina.
A la Ilustre Municipalidad de Paute
representada en su Alcalde Dr. Helioth
Trelles, por la confianza depositada. Las
facilidades proporcionadas por el Ing.
Marco Cordero y el Egdo. Alejandro
Chuquiralao que fueron fundamentales para
el desarrollo del presente trabajo.
A nuestra querida U.P.S que nos acogi en
sus aulas durante este periodo de nuestra
vida, y en las cuales obtuvimos la luz del
saber, a travs de docentes que supieron
comprendernos y guiarnos en nuestro
proceso de aprendizaje,
A nuestras familias
incondicional.
por
el
apoyo
A nuestros compaeros y amigos por

compartir las angustias y alegras, a todos
ellos GRACIAS.
Con mucho cario.
LAS AUTORAS.
IX
NDICE:
Prefacio ____________________________________________________________________ 1
Introduccin ________________________________________________________________ 2
Alcance ____________________________________________________________________ 3
CAPITULO I _______________________________________________________________ 4
1.1 Descripcin de la Organizacin _____________________________________________ 5
1.1 .1 Resea Histrica________________________________________________________ 5
1.1.2 Misin, Visin y Objetivos ________________________________________________ 7
1.1.3 Datos Generales del Cantn Paute _________________________________________ 7
1.1.4 Ubicacin ______________________________________________________________ 8
1.1.5 Estructura Organizacional ________________________________________________ 9
1.1.5.1 Organigrama _______________________________________________________ 9
1.1.5.2 Organizacin del area de seguridad informatica _________________________ 10
1.1.5.3 Organizacin del area de seguridas informatica Propuesta _________________ 12
1.2Evaluacion de la seguridad logica ___________________________________________ 13
1.2 .1 Autenticacin _________________________________________________________ 13
1.2.2 Autorizacin __________________________________________________________ 15
1.2.3 Auditoria _____________________________________________________________ 17
1.2.4 Segregacion de Funciones _______________________________________________ 18
1.3Evaluacion de la seguridad en las comunicaciones _____________________________ 19
1.3 .1 Topologia de Red ______________________________________________________ 19
1.3.2 Componentes de Red ___________________________________________________ 22
1.3.3 Conexiones Externas ___________________________________________________ 23
1.3.4 Configuracion de la Red ________________________________________________ 24
1.3.5 Correo Electronico _____________________________________________________ 24
1.3.6 Antivirus _____________________________________________________________ 25
1.3.6.1 Herramientas ______________________________________________________ 25
1.3.7 Firewall ______________________________________________________________ 27
1.3.8 Ataques que ha sufrido la red ____________________________________________ 27
1.3.9 Herramientas Netmeeting _______________________________________________ 28
1.4 Evaluacion de la seguridad de las aplicaciones ________________________________ 29
1.4 .1 Software _____________________________________________________________ 29
1.4.1.1 Sistema Operativo __________________________________________________ 29
1.4.1.2 Sistema Informatico _________________________________________________ 31
1.4.2 Base de Datos __________________________________________________________ 42
1.4.2.1 Componentes ______________________________________________________ 42
1.4.2.2 Mejoras deSeguridad ________________________________________________ 43
1.4.2.3 Tipos de Datos _____________________________________________________ 43

1.4.2.4 Tratamiento de errores ______________________________________________ 43
1.4.2.5 Sistemas de Bloqueo _________________________________________________ 43
1.4.2.6 Soporte Nativo de XML (XQUERY) ___________________________________ 44
1.4.2.7 Cifrado ___________________________________________________________ 44
1.4.3 Control de Aplicaciones en pc ___________________________________________ 45
1.4.4 Control en los datos ____________________________________________________ 45
1.5Evaluacion de la Administracion del CPD ____________________________________ 45
1.5 .1 Administracion del CPD ________________________________________________ 45
1.5 .2 Capacitacion __________________________________________________________ 46
1.5 .3 Backup ______________________________________________________________ 46
1.5 .4 Documentacion ________________________________________________________ 47
1.6Evaluacion de las Auditorias y Revisines _____________________________________ 48
1.7Evaluacion del Plan de Contigencia y Recuperacion de Desastres ________________ 49
1.8Elaboracion del informe de debilidades y amenazas ___________________________ 49
1.8.1 Debilidades____________________________________________________________ 49
CAPITULO II _____________________________________________________________ 52
2.1 Introduccin ___________________________________________________________ 53
2.2 Identificacin de los Activos _______________________________________________ 55
2.3 Tasacin de los Activos ___________________________________________________ 56
2.4 Identificacin de Amenazas _______________________________________________ 56
2.4.1 Arquitectura y Dispositivos de Red _______________________________________ 56
2.4.2 Base de Datos _________________________________________________________ 57
2.4.3 Sistema de Informacin _________________________________________________ 57
2.5 Posibilidad de Ocurrencia de las Amenazas _________________________________ 59
2.5.1 Arquitectura y Dispositivos de Red _______________________________________ 59
2.5.2 Base de Datos _________________________________________________________ 59
2.5.3 Sistema de Informacin _________________________________________________ 60
2.6 Identificacin de Vulnerabilidades _________________________________________ 60
2.7 Posible Explotacin de Vulnerabilidades ____________________________________ 61
2.8 Estimacin de valores ___________________________________________________ 62
2.8.1 Estimacin del valor de los activos en riesgo ________________________________ 62
2.8.2 Posibilidad de ocurrencia del riesgo _______________________________________ 62
2.8.3 Valor del riesgo de los activos ____________________________________________ 62
2.9 Conclusiones ___________________________________________________________ 63
XI
CAPITULO III ____________________________________________________________ 64

3.1 Introduccin ___________________________________________________________ 65
3.2 Del Usuario ____________________________________________________________ 67
3.3 Del Departamento de sistemas de Informacin _______________________________ 68
3.4 De los Sistemas de Informacin ____________________________________________ 71
3.5 De la Administracin ____________________________________________________ 56
CAPITULO IV ____________________________________________________________ 74
4.1 Introduccin ___________________________________________________________ 75
4.2 Del Usuario ____________________________________________________________ 77
4.3 Del Departamento de sistemas de Informacin _______________________________ 78
4.4 De los Sistemas de Informacin ____________________________________________ 80
Conclusiones _______________________________________________________________ 81
Recomendaciones ___________________________________________________________ 83
Anexos ____________________________________________________________________ 85
Anexo 1 ___________________________________________________________________ 86
Anexo 2 ___________________________________________________________________ 87
Anexo 3 ___________________________________________________________________ 90
Glosario ___________________________________________________________________ 92
Bibliografia ________________________________________________________________ 97
XII
NDICE DE FIGURAS:
Figura 1 ___________________________________________________________________ 9
Figura 2 __________________________________________________________________ 12
Figura 3 __________________________________________________________________ 20
Figura 4 __________________________________________________________________ 21
Figura 5 __________________________________________________________________ 32
Figura 6 __________________________________________________________________ 33
Figura 7 __________________________________________________________________ 34
Figura 8 __________________________________________________________________ 34
Figura 9 __________________________________________________________________ 35
Figura 10 _________________________________________________________________ 36
Figura 11 _________________________________________________________________ 36
Figura 12 _________________________________________________________________ 37
Figura 13 _________________________________________________________________ 37
Figura 14 _________________________________________________________________ 38
Figura 15 _________________________________________________________________ 39
Figura 16 _________________________________________________________________ 39
Figura 17 _________________________________________________________________ 40
Figura 18 _________________________________________________________________ 40
Figura 19 _________________________________________________________________ 41
Figura 20 _________________________________________________________________ 41
Figura 21 _________________________________________________________________ 44
Figura 22 _________________________________________________________________ 56
XIII
Plan de Seguridad Informtico
PREFACIO
El presente documento describe de forma detallada el anlisis que se llev a

cabo en lo que respecta a seguridad informtica en la Ilustre Municipalidad de Paute.
Este documento est destinado al Sr. Alcalde y a la alta administracin del rea de
informtica encargada de la Seguridad Informtica.
-1-
Plan De Seguridad Informtica
INTRODUCCION
Actualmente la seguridad informtica ha adquirido gran auge en todas las

organizaciones, a pesar de que el ambiente es cambiante y que la tecnologa brinda
herramientas para desarrollo en pro de un avance organizacional, tambin han
surgido con mayor rapidez el desarrollo de aplicaciones que pretenden irrumpir la
seguridad con fines varios por lo general maliciosos, situacin que desemboca en la
aparicin de nuevas amenazas en los sistemas informticos.
Esto ha llevado a que las organizaciones se preocupen por desarrollar

estrategias que permitan combatir vulnerabilidades internas de la empresa y
amenazas tecnolgicas a las que estn o podran estar sometidas.
Por lo que se parte desarrollando documentos y directrices que orienten en el

uso adecuado de estas tecnologas definiendo estratos de seguridad. Realizando un
anlisis de los potenciales riesgos, generacin de polticas de seguridad informtica
que surgen como una herramienta para concienciar a los miembros de una
organizacin sobre la importancia y sensibilidad de la informacin y servicios
crticos que permiten crear una cultura de seguridad dentro de la organizacin y
adems permiten a la organizacin desarrollarse y mantenerse en su sector de trabajo.
Estas polticas deben disearse minuciosamente para as recoger las caractersticas
propias de la organizacin.
Finalmente definir estrategias para dar cumplimiento a las polticas de

seguridad, es importante acotar que las polticas deben estar muy bien definidas para
que puedan cubrir los aspectos ms relevantes de seguridad dentro de la
organizacin. Al momento de implantar las estrategias se debe considerar que se
tendr que realizar un monitoreo constante y que es un proceso que nunca termina.
ALCANCE
En la realizacin de la tesina Elaboracin del plan de Seguridad Informtica

en la Ilustre Municipalidad de Paute, se pretende determinar ciertas precisiones en
lo relativo al estudio de la eficacia de la seguridad informtica en la red as como en
sus aplicaciones, y realizar un anlisis de los riesgos que se puedan ocasionar; a
partir de esto se podr realizar un plan de seguridad eficiente, eficaz y seguro
mediante la elaboracin de polticas, adicionalmente se contempla la definicin de
estrategias para que en el futuro se pueda llevar a cabo la implementacin de este
plan de seguridad sin complicaciones.
Esta aplicacin de seguridad informtica no pretende realizar juicios de valor

sobre la actuacin de los directivos y administradores de los sistemas de la
Municipalidad de Paute en cuanto a la importancia prestada a la seguridad de su
informacin.
Se trata de dar a conocer la eficacia de los controles internos y externos

desde un punto de vista descriptivo, principalmente fundamentado en la recoleccin
de informacin interna de la entidad para poder emitir un juicio de valor y mejora de
la forma de proteccin de la informacin relevante en la organizacin, se tomar en
cuenta todos los puntos de seguridad lgica tanto para las aplicaciones como en la
red, pero no se tocar ninguna caracterstica para proteccin fsica.
Elaborar un conjunto de Polticas de Seguridad y un plan de contingencias

para poder prevenir posibles cadas del sistema y en el peor de los casos prdidas
irrecuperables de activos de informacin que son el eje de funcionamiento de la
municipalidad y en caso de ocurrir cmo recuperarnos lo mas rpidamente para que
sus usuarios no se sientan afectados en su trabajo diario.
En definitiva, esta tesis no tiene como objetivo principal dar modelos

especficos de cmo asegurar la informacin de la municipalidad. Con esta
investigacin, se pretende contribuir al conocimiento mediante la
prctica en
Seguridad Informtica de los mdulos revisados en el Curso de Graduacin para

Ingeniera en Sistemas.
3
CAPITULO I
Plan de Seguridad Informtico

1.1 DESCRIPCION DE LA ORGANIZACION
1.1.1 RESEA HISTORICA
En donde hoy se asienta el cantn Paute se cree que antes de la llegada de los
incas, se asent una poblacin de artesanos y comerciantes especializados en
confeccionar artculos de cristal de roca y tejidos de lana que desarrollaron un
sistema de "intercambio a larga distancia".
Posteriormente se cree que fue zona de intercambio cultural y comercial de

caaris, shuaras, colorados y cayapas. Esto lo demuestra a travs de nombres como
Cutilcay, Chicti, Amaluza, Buln, Guachapala, Cabug, Cobshal, Guaraynag.
Los Incas estuvieron en la zona pocos aos hasta la llega de los espaoles. En
el siglo XVI, durante la poca de la conquista europea, se inici la entrega de solares
a los espaoles en la localidad de Paute, hasta arrebatar toda la tierra a los naturales
iniciando un cambio en las relaciones entre pobladores.
En 1862, se abri una va al oriente bordeando el ro Paute que servira para

el trnsito de los misioneros y la extraccin de cascarilla y madera. Con la extraccin
de la cascarilla, Paute vivi una etapa de auge econmico, el centro urbano se pobl
de forasteros que vendan sus servicios. Durante esta etapa se iniciaron los sembros
de caa de azcar y separndose de Gualaceo fue formado un nuevo cantn.
El auge, sin embargo, fue pasajero, en 1892, y entraron en una crisis que
estuvo presente hasta mediados del siglo XX cuando las haciendas cacolas fueron
lotizadas y vendidas al mejor postor. La venta atrajo compradores de diverso origen
que se asentaron en las laderas y formaron los pueblos existentes en la actualidad.
Una nueva oleada de personas, muchas de las cuales se asentaron en el cantn

y un nuevo, aunque igualmente efmero perodo de bonanza, trajo la construccin de
la presa Daniel Palacios en Amaluza en la dcada de los 60.
-5-
Los cambios peridicos en la economa y la composicin de la poblacin de

Paute no se detienen, la sustitucin de los sembros de caa de azcar por flores,
influye en la economa local y atrae trabajadores de fuera del cantn.
Entre los meses de marzo y mayo de 1993 el cerro Tamuga se desplom,

represando los ros Cuenca y Jadn. El dique formado se rompi causando grandes
prdidas y destrozos en una sucesin de hechos que obligaron a la poblacin a
encontrar nuevas certezas, y grandes muestras de solidaridad.
Los Retos
La historia de Paute no es ms que el recuento de numerosos retos que debi

sortear la poblacin, hasta llegar a la actualidad donde la Alcalda al frente de
Hellioth Trelles junto con el trabajo ferviente de la poblacin pautea, tienden a
potenciar el camino de unin natural entre sierra y oriente, unir los asentamientos
dispersos para potenciar sus esfuerzos, enfrentar el fenmeno de la migracin que
aleja a los mejores hijos de dichas tierras, aprovechar la apertura al mundo que
genera esta migracin, mitigar los impactos culturales causados por el mismo
fenmeno, en definitiva, enfrentar el futuro con todas las fortalezas y debilidades
existentes.
1.1.2 MISION, VISION Y OBJETIVOS
Es fundamental que el Municipio redacte la misin, visin y objetivos. De

manera que con la misin se describa en forma clara y concisa el propsito o razn
que justifica la existencia de esta entidad a travs de responder a las preguntas Qu
somos o cul es nuestro fin? Quines son nuestros clientes, o a qu parte de la
sociedad respondemos?; Qu necesidades o demandas debemos satisfacer de esa
sociedad?
Con la visin podemos definir hacia donde queremos llegar como
organizacin y hacia donde est encaminado el trabajo municipal. Y con los

objetivos describir las metas ms importantes para la Municipalidad.
1.1.3 DATOS GENERALES DEL CANTON PAUTE:
Altitud:
Temperatura:
Habitantes:
Distancia a cuenca:
Ciudades cercanas:
Festividades:
2.30 msnm.
Variable entre 15 C a 26 C.
25.000
42. Kilmetros
Guachapala, Sevilla de oro,
El
Pan,
Gualaceo,
Chordeleg, Sgsig, Cuenca
26 de febrero Cantonizacin
y 24 de diciembre pase del
nio Fiestas parroquiales
Tabla 1
CANTON PAUTE
Cabecera Cantonal: Paute
Superficie: 267.2 km2
Poblacin:
Urbana: 6,235
Rural: 19.368
% Crecimiento anual: 0.6
MUNICIPALIDAD DE PAUTE
Alcalde: Helioth Trelles Mndez
Tabla 2
1.1.4 UBICACIN:
El cantn se encuentra en el corredor Nor-Oriental de la provincia del Azuay,
Limita al Norte con Caar, al Sur con Gualaceo, al Este los cantones El Pan y Sevilla
de Oro y al Oeste con Caar, fue creado el 26 de febrero de 1860, actualmente est
formado por las parroquias, Chicn, El Cabo, San Cristbal, Buln, Dug-dug,
Tomebamba, Guaraynag. 53 comunidades parroquiales y 6 barrios urbanos.
1.1.5 ESTRUCTURA ORGANIZACIONAL

1.1.5.1 Organigrama de la I. Municipalidad de Paute
Comisiones
Especiales
CONCEJO
Comisiones
Permanentes
ALCALDE
Asesora
Jurdica
Dpto. Justicia
Polica y Vigilancia
Comisara
Auditoria
Interna
Secretara
del Concejo
Terminal
Terrestre
Camal
Municipal
Mercados
Direccin
Gestin
Ambiental
Direccin
Direccin
Planificacin
OO. PP.
Recoleccin
de Basura
Jefatura de
Planificacin
A. Potable
Alcantarill.
Aseo de
Calles
Avalos y
Catastros
Documentacin
y Archivo
Direccin
Direccin
Direccin
Administrativa
Financiera
De Cultura
Jefatura de
Personal
Tesorera
Biblioteca
Contabilidad
Otros
Serv.
Sociales
Informtica
Jefatura de
Compras
Rentas
Desechos
Slidos
Jefatura de
Bodega
Servicios
Generales
Figura 1
Fuente: Ing. Marco Cordero. Director Administrativo de la I. Municipalidad de Paute
Parques y
Jardines
1.1.5.2 ORGANIZACIN DEL REA DE SEGURIDAD INFORMTICA
El Municipio cuenta con un Centro de Cmputo, el cual se encuentra

estructurado en una mnima parte y, es el encargado del rea informtica, se
encuentra en una fase inicial, en proceso de implantacin del nuevo sistema
unificado, existe solo una persona encargada del centro de cmputo que es Alejandro
Chuquiralao egresado de la UNITA, el cual no tiene nombramiento oficial, sino est
contratado como auxiliar. La implantacin de la red fue contratada a la empresa
LogiCo. Y el desarrollo del Sistema unificado a la empresa SINET
No se ha desarrollado documentacin formal como es la definicin de

polticas y procedimientos en lo que respecta a seguridad informtica. Se ha
determinado que no existe una clasificacin de Seguridad de los activos de
informacin.
El sistema desarrollado por SINET contiene algunos controles sobre
los accesos de los usuarios. Sin embargo estos controles no obedecen a una
definicin previa de polticas de seguridad ni de una evaluacin de riesgos de
seguridad de la informacin a nivel de todo el Municipio, sino ms bien a polticas
en la forma de desarrollar el sistema establecidas por la empresa SINET
desarrolladora del sistema.
El encargado del centro de cmputo tiene la misin de apoyar en la

automatizacin de la informacin y de los sistemas de trabajo para la optimizacin de
los servicios. Entre las actividades y responsabilidades que debe desempear se
encuentran:
Actualizar versiones de los sistemas informticos existentes en la

municipalidad.
Evaluar peridicamente su ejecucin; proponiendo planes para el desarrollo

de la informtica de la institucin.
Asistir tcnicamente a los funcionarios y empleados en el manejo y uso de

programas o paquetes computacionales y elaborar el plan de capacitacin
informtica.
Remitir informes peridicos sobre avances, resultados y actividades de la

dependencia, a la Direccin Administrativa.
10
Planear, organizar, dirigir y controlar las actividades de la dependencia bajo

su cargo.
Cumplir con todas las dems funciones afines que por su naturaleza y por
requerimientos del servicio le asigne autoridad superior.
Es el que realiza la administracin de los accesos al sistema, creacin y
eliminacin de usuarios, verificacin de perfiles en las aplicaciones. Tiene

conocimiento del direccionamiento existente en la red, y realiza algunas funciones
de administracin de la red, y es el encargado de la administracin de la base de
datos. Es el nico que tiene privilegio de administrador.
Tambin ser el encargado de administrar la seguridad de informacin, de

revisar los archivos de auditora que se generarn de las operaciones que realicen los
usuarios sobre el sistema, para poder identificar responsabilidades al momento que se
den malos manejos de la informacin.
Usuario:
Las responsabilidades de los que usan la informacin del Municipio como
parte de su trabajo diario denominados usuarios finales son:
Mantener la confidencialidad de las contraseas de aplicaciones y sistemas
Reportar supuestas violaciones de la seguridad de informacin.
Asegurarse de ingresar informacin adecuada a los sistemas
Utilizar la informacin del Banco nicamente para los propsitos autorizados.
Propietarios de Informacin:
Los propietarios de informacin como jefes de departamento son
responsables de la informacin que se genera y se utiliza en las operaciones de su
departamento. Existe una relacin entre estos jefes y el encargado del centro de
cmputo para asignar niveles de acceso a la informacin. As tambin realizar una
verificacin peridica de dichos accesos. Adems debe verificar peridicamente la
integridad y coherencia de la informacin.
11
1.1.5.3 ORGANIZACIN DEL REA DE SEGURIDAD INFORMTICA

PROPUESTA
Debido a que no existe un departamento de sistemas implantado completamente sino

solamente una persona encargada de varias cosas tales como: administrador de red,
administrador de aplicaciones y otras operaciones que se realizan con la informacin;
y que la informacin que se maneja en el municipio se encuentra en una situacin
crtica por que anteriormente se manejaba varios sistemas para realizar las distintas
operaciones de cada departamento del municipio.
Es necesario que el centro de cmputo se estructure de manera adecuada debido a

que ste se encargar de elaborar un Plan Maestro de Sistemas para permitir un
mejor manejo y tratamiento de la informacin, implementar toda la estructura de
hardware y equipos necesarios para el mejor desempeo del municipio y as mismo
ser el encargado de probar el software a utilizar.
En la siguiente figura se mostrar el organigrama propuesto para el Departamento de

Sistemas de la Ilustre Municipalidad de Paute
ADMINISTRADOR DE
SISTEMAS
(Base de Datos)
ADMINISTRADOR DE
REDES
SOPORTE Y
MANTENIMIENTO
Figura 2
Fuente: Las Autoras
12
WEBMASTER PORTAL
1.2 EVALUACION DE LA SEGURIDAD LOGICA DE
LA ILUSTRE
1.2.1 Autenticacin
Se permite identificar a las entidades que intentan acceder tanto al sistema

operativo como para el sistema unificado desarrollado por SINET, esto se lo hace
mediante un nombre de usuario y contrasea, con lo que se consigue autenticar que
esa persona es quien dice ser realmente. Por lo tanto el mtodo de autenticacin es en
funcin de algo que el usuario conoce (usuario y contrasea).
Este modelo de autenticacin es el ms bsico, basndonos en que cuando

una de las partes desea autenticarse ante otra se limita a mostrarle su conocimiento
de esa clave comn, y si sta es correcta se otorga el acceso a un recurso. Esta
aproximacin es la ms vulnerable a todo tipo de ataques, pero tambin la ms
barata. Basta con que una de las partes no mantenga la contrasea en secreto para
que toda la seguridad del modelo se pierda.
Con respecto a la aplicacin desarrollada por SINET, el nmero de intentos

que puede digitar la contrasea la asigna el administrador, por lo general es de 3
intentos. En la pantalla de inicio se muestra en forma valos negros cuando el
usuario digita su contrasea. En caso de que los tres intentos hayan sido fallidos se
procede a cerrar la aplicacin y deber volver a ejecutarla. No se registra en ningn
medio los intentos de accesos invlidos. El usuario deber volver a ejecutar la
aplicacin. En el caso del sistema operativo se lo hace con la pantalla de
autenticacin del SO Windows XP cuando se inicia una cuenta.
Para que este mtodo de autenticacin sea efectivo es necesario que las claves
sean seguras, deberan ser complejas pero no llegando al lmite de que el usuario no
lo pueda recordar y tenga que escribirlo, y que fcilmente la termine escribiendo y
mantenindola junto a documentos personales o pegados en el CPU o en la pantalla
del PC. Se comprob que el administrador asigna claves, pero que estas no cumplen
con ninguno de los criterio para que una clave sea segura, la clave debe ser de uno a
diez caracteres y que el que las asignaba contena un identificador del departamento
13
por ejemplo del departamento de avalos y catastros deba ser ava y a continuacin
un identificador. Por otro lado se comprob que la clave del administrador era muy
insegura pues contena un solo carcter.
No existen tiempo de duracin de una contrasea, si el usuario desea

cambiarla tiene que solicitar al administrador en caso de que esta operacin no le
est permitida.
El usuario puede estar inactivo dentro del sistema de forma indefinida. Las
restricciones horarias se reducen a los horarios de oficina en los que funciona el
Municipio, es decir de ocho a doce y de una a cinco de la tarde. Un punto importante
a acotar es que al medio da los usuarios dejan abierta la sesin
del SO, y
posiblemente lo podran hacer con el sistema unificado, por lo que si se irrumpe la

seguridad fsica del establecimiento se podra tener acceso a todos los recursos.
Con respecto a la toma de vacaciones por parte de los usuarios, las cuentas se
siguen manteniendo intactas, hasta el regreso del usuario.
Cuando se realizan despidos, primero se le informa al usuario y luego el jefe

de personal informa al centro de cmputo sobre el despido para que se realice el
bloqueo de la cuenta, y se guarda un registro de esta operacin.
El sistema no informa al usuario del nivel de seguridad que contiene su clave,

lo cual dificulta el trabajo, pues el administrador no puede verificar que la contrasea
cumpla con las condiciones mnimas definidas para generar su clave. No existen
claves por defecto para los usuarios. Tambin se comprob que puede ingresar la
misma contrasea para usuarios diferentes.
El administrador puede autenticarse desde cualquier estacin de trabajo

siempre y cuando haya definido esta opcin en la administracin del sistema.
Usamos un Software sniffer de libre distribucin para verificar si las claves
que se envan en el sistema mediante la red estn en texto plano o si estn
encriptadas. Y lo que se descubri es que se puede capturar tanto los nombres de
14
usuario como las contraseas, y se comprob que la contrasea se enva en texto

plano.
1.2.2 Autorizacin.
El control de acceso al sistema no se basa en los perfiles de grupos de

usuarios y la asignacin o denegacin de permisos a los mismos, sino ms bien en
perfiles de usuarios individuales. Estos usuarios se generan en concordancia con las
reas de la Ilustre Municipalidad de Paute y las tareas que tienen que cumplir dentro
de la misma, y es el encargado del Centro de Cmputo quien da la asignacin de
permisos a sus usuarios, cada usuario del sistema con acceso al sistema informtico
cuenta con un usuario y contrasea individual aunque pertenezca al mismo
departamento.
La creacin de nuevos usuarios se lo maneja directamente desde la

administracin del sistema en el que solamente tiene acceso el administrador
encargado de esta rea, el procedimiento que se sigue es que inicialmente se debe
registrar en el sistema una estacin de trabajo nicamente pueden ser escogidas las
mquinas existentes en la red interna actual y luego crear el usuario con su respectiva
clave y los permisos para su acceso, es imprescindible que sea activado caso
contrario no tendr acceso.
La nica forma de acceso al sistema se lo puede realizar desde un Terminal

asignado caso contrario no se podr ingresar aun conociendo el usuario y contrasea.
Se manejan varias categoras de usuarios las cuales son:
Administrador.- se tiene dos tipos el administrador del sistema el cual tiene

acceso completo a todo el sistema sin restriccin alguna y el administrador
del mdulo el que los permisos asignados son solamente los necesarios para
el cumplimiento de su trabajo.
Consulta.- solo visualizacin de datos del sistema.
Digitador.- solamente pueden ingresar datos al sistema.
Normal ( contiene las dos anteriores)
15
El sistema informtico est compuesto por una gran cantidad mdulos

diferentes, donde cada uno de ellos es un programa en s mismo. De esta manera
cada usuario del sistema, segn los permisos al que pertenece en la organizacin,
dispone de los accesos directos a los programas que corresponden a su rea. As, los
usuarios solo pueden interactuar con los datos a los que dichos mdulos les permiten
acceder.
En el sistema informtico se maneja control de acceso que se utiliza para

identificar los tipos de permiso que tiene cada usuario con respecto a los datos.
Mediante esta lista nos permite identificar qu datos puede modificar cada usuario
para que el usuario pueda realizar tareas delicadas como creacin, modificacin y
eliminacin de algn componente de informacin del sistema se puede autorizar su
ingreso mediante claves asignadas por el administrador del sistema.
No se posee ninguna medida para realizar una clasificacin de informacin

mas bien cada usuario es responsable de resguardar sus datos.
16
1.2.3 Auditora
En el sistema existe un archivo que permite desarrollar una auditoria, pero no

contiene informacin completa debido a que en ella se registran algunos eventos
que realizan los distintos usuarios que tienen acceso al sistema tales como terminal,
usuario, empresa, sucursal, mdulo, operacin, mquina.
Debido a que no se han realizado auditorias informticas antes, no se cuenta

con un registro de actividades ilcitas que podran haberse suscitado. Dentro de las
operaciones podemos decir que no estn contempladas todas tales como intentos
fallidos de acceso, qu se est modificando, solo se almacena operaciones tales como
modificacin, ingreso, salir.
Al tener el reporte para poder visualizar las operaciones que se han realizado,
quien las ha realizado, y a que hora se han realizado nos ayudan a resolver en parte
los distintos problemas que se tengan en el Ilustre Municipio de Paute si se llegarn
a dar violaciones de seguridad y saber sobre que persona recae la responsabilidad.
17
1.2.4 SEGREGACION DE FUNCIONES
El encargado del centro de cmputo tiene la misin de apoyar en la

automatizacin de la informacin y de los sistemas de trabajo para la optimizacin de
los servicios.
Entre las actividades y responsabilidades que debe desempear se encuentran:
Actualizar versiones de los sistemas informticos existentes en la

municipalidad.
Evaluar peridicamente su ejecucin; proponiendo planes para el desarrollo

de la informtica de la institucin.
Asistir tcnicamente a los funcionarios y empleados en el manejo y uso de

programas o paquetes computacionales y elaborar el plan de capacitacin
informtica.
Remitir informes peridicos sobre avances, resultados y actividades de la

dependencia, a la Direccin Administrativa.
Planear, organizar, dirigir y controlar las actividades de la dependencia bajo

su cargo.
Cumplir con todas las dems funciones afines que por su naturaleza y por
requerimientos del servicio le asigne autoridad superior.
Es el que realiza la administracin de los accesos al sistema, creacin y
eliminacin de usuarios, verificacin de perfiles en las aplicaciones. Tiene

conocimiento del direccionamiento existente en la red, y realiza algunas funciones
de administracin de la red, y es el encargado de la administracin de la base de
datos. Es el nico que tiene privilegio de administrador.
Tambin ser el encargado de administrar la seguridad de informacin, de

revisar los archivos de auditora que se generarn de las operaciones que realicen los
usuarios sobre el sistema, para poder identificar responsabilidades al momento que se
den malos manejos de la informacin.
18
Usuario:
Las responsabilidades de los que usan la informacin del Municipio como

parte de su trabajo diario denominados usuarios finales son:
Mantener la confidencialidad de las contraseas de aplicaciones y sistemas
Reportar supuestas violaciones de la seguridad de informacin.
Asegurarse de ingresar informacin adecuada a los sistemas
Utilizar la informacin del Municipio nicamente para los propsitos

autorizados
Propietarios de Informacin:
Los propietarios de informacin como jefes de departamento son

responsables de la informacin que se genera y se utiliza en las operaciones de su
departamento. Existe una relacin entre estos jefes y el encargado del centro de
cmputo para asignar niveles de acceso a la informacin. As tambin realizar una
verificacin peridica de dichos accesos. Adems debe verificar peridicamente la
integridad y coherencia de la informacin.
1.3 EVALUACION DE LA SEGURIDAD EN LAS COMUNICACIONES DE

LA I. MUNICIPALIDAD DE PAUTE
1.3.1 TOPOLOGIA DE RED
La Municipalidad cuenta con una red de rea local la cual permite la

interconexin de los computadores y perifricos, que se encuentran distribuidos en
un nico edificio para compartir recursos e intercambiar datos y aplicaciones.
Incluye tanto el hardware como el software. Estos componentes se encuentran de la
siguiente manera:
19
PLANTA BAJA
MUNICIPIO DE PAUTE
JEFATURA DE
AGUA POTABLE
DIRECCION DE
OBRAS PUBLICAS
DIRECCION DE
PLANIFICACION
BIBLIOTECA
Arriba
2,2m
9,1m
DIRECCION
ADMINISTRATIVA
JEFE DE PERSONAL
BAOS
RECAUDACIONES Y
TESORERIA
JEFATURA DE
AVALUOS Y CATASTROS
19,1m
CANALETA
UTP Cat. 6
Figura 3
Fuente: Las Autoras
20
PLANTA ALTA
MUNICIPIO DE PAUTE
SALN DE
SESIONES
ALCALDIA
PBX
DIRECCIN
FINANCIERA
Otros
24 m cuadr.
19,9m
COMISARA
ASESORIA JURIDICA
24 U
CENTRO DE COMPUTO
BAOS
PROYECTOS
SALN DE USO MLTIPLE
2U
2U
DIFUSION CULTURAL
INTERNET
19,1m
CANALETA
UTP Cat. 6
Figura 4
Fuente: Las Autoras
21
19,9m
Arriba
Espacio vaco
La Topologa de Red hace referencia a la forma de interconexin entre los

dispositivos de red. Tenemos dos tipos de topologa:
La topologa fsica, hace referencia a la disposicin fsica actual de la red,

representando los nodos que se encuentran conectados, la implementada en el
Municipio de Paute es la de Estrella extendida ya que conecta estrellas
individuales entre s mediante la conexin de switches. Tiene la ventaja de
que puede extender el alcance y la cobertura de la red.
La topologa lgica de la red: Describe el mtodo que se usa para

comunicarse con los dems nodos, que ruta toman los datos de la red entre los
diferentes nodos de la red. La topologa usada es broadcast ya que cada host
enva sus datos hacia todos los dems host del medio dentro de la red, se usa
Ethernet.
Hemos usado el sniffer Ethereal, para verificar la conectividad en la red,

como forma de comprobar que si se puede violar la seguridad.
1.3.2 COMPONENTES DE RED
Servidor: El servidor es aquel computador que va a compartir sus recursos

hardware y software con los dems equipos de la red. En este caso se ha
usado una PC normal y se ha implantado un servidor sobre el sistema
operativo Windows XP, lo cual no es ptimo puesto que este sistema
operativo no brinda caractersticas esenciales como lo hara un Windows
Server que tiene mayores prestaciones y permite una administracin de la red
ms adecuada.
Estaciones de trabajo: Los computadores que toman el papel de estaciones de

trabajo aprovechan o tienen a su disposicin los recursos que ofrece la red as
como los servicios que proporciona el Servidor al que pueden acceder.
Tarjeta de red: Tambin se denominan NIC (Network Interface Card).

Bsicamente realiza la funcin de intermediario entre el computador y la red
de comunicacin. En ella se encuentran grabados los protocolos de
22
comunicacin de la red. Aunque algunos equipos en el municipio disponen de

dos tarjetas para su conexin a internet.
El medio: Constituido por el cableado y los conectores que enlazan los

componentes de la red. El medio usado cable de par trenzado categora 5E. Y
dispositivos constituidos por switch 3com y Advantek,
No existe documentacin detallada sobre diagramas topolgicos de la red, ni

sobre tipos de vnculos, existen un diagrama fsico sobre la ubicacin de los nodos
pero no est actualizada. Adems existe documentacin sobre el direccionamiento
implantado en la red.
1.3.3 CONEXIONES EXTERNAS
Su salida al exterior es a travs de una conexin de 32 Kbps, suministrada por

un ISP-Proveedor de Servicios de Internet- (TELCONET). Este servidor no se
encuentra en el edificio correspondiente a la I. Municipalidad de Paute y tampoco es
administrada por personal de la entidad mencionada anteriormente, su ubicacin es
en un caf net del mismo cantn y su administracin est a cargo del propietario, el
cafenet est ubicado en la misma manzana del Municipio por lo que mediante su red
proporciona un punto de red al Municipio.
La conexin a Internet es proporcionada a cuatro computadores de la

municipalidad: dos computadores de la Direccin Administrativa, Difusin Cultural
y Departamento Financiero , el servicio de Internet se lo realiza mediante tarjetas de
red con la utilizacin de un switch que se encuentra dentro del espacio fsico del
municipio, sus caractersticas son las siguientes:
SWITCH ADVANTEK FAST ETHERNET.
16 PUERTOS RJ45
100 MB
23
1.3.4 CONFIGURACION DE LA RED
Todas las mquinas estn conectadas a la red, con lo cual desde cualquiera de
ellas se pueden acceder los recursos de las otras excepto el servidor de aplicaciones,
pero no todas tienen acceso a Internet y al nuevo Sistema de Gestin de la
Municipalidad de Paute.
El direccionamiento utilizado en la red interna del Municipio de Paute es el

privado, la direccin de red es 192.168.10.0 con un rango de 192.168.10.1
192.168.10.62 para la direccin de red inicial y final respectivamente, con mascara
de subred es 255.255.255.192.
1.3.5 CORREO ELECTRONICO
No existe correo electrnico interno, sino se usa las cuentas personales de

correo externo, con lo cual tambin se puede afectar la seguridad al descargar spam,
o correo que contiene virus. Se usan herramientas para brindar proteccin contra
ataques por correo electrnico. Se encuentran configurados por defecto, no se han
establecido polticas o reglas para configurarlo. No se ha puesto en consideracin que
los mensajes de correo electrnico dentro del trabajo deben ser solo documentos
formales, ni se dan lineamientos referentes al uso inapropiado del lenguaje ni del
correo como por ejemplo cadenas de mensajes.
24
1.3.6 ANTIVIRUS
En el Ilustre Municipio de Paute si existen problemas con virus, pero estos no
son muy graves debido a que se han podido controlar por medio del antivirus Avast.
Existe una mquina que est localizada en Planificacin que no est conectada a la
red debido a que tiene virus.
1.3.6.1 Herramientas
Avast
Avast es un paquete completamente equipado con un antivirus diseado.

Avast es la proteccin ms poderosa para luchar contra las infecciones vricas en el
servidor.
El kernel de Avast combina una gran capacidad de deteccin con el mximo

rendimiento. Se puede esperar un 100% de deteccin en los virus, y una excelente
deteccin de troyanos.
Caractersticas
Kernel Antivirus
100% deteccin de virus
Gran rendimiento e integracin con el sistema
Requisitos de memoria mnimos
Certificado ICSA
Interfaz De Usuario
Test de memoria al inicio de la aplicacin
Interfaz simple de usuario muy intuitiva
Interfaz avanzada con apariencia tipo Outlook
Testeo de discos enteros o directorios especificados
Definicin y ejecucin de tareas programadas
Historial de los escaneos

25
Enciclopedia de virus
Visor de logs
Soporte de skins para cambiar la apariencia
Integracin en el men contextual
Salvapantallas con escaneo antivirus
Escaneo programado al inicio
Escaneo desde la lnea de comandos
Actualizaciones
Actualizaciones incrementales garantizan bajo trfico
Actualizaciones completamente automticas
Actualizaciones PUSH se cargan nada ms son publicadas.
Proteccin Residente
La proteccin estndar supervisa los ficheros de sistema
Optimizada para rapidez en los procesos
Adaptada a mquina con mltiples CPUs
Soporte para servicios de terminal
Bloqueo de scripts
Reparacin
Capacidad de reparacin directa (especialmente virus de macro)
Reparacin de ficheros usando Virus Recovery Database (VRDB) generada

automticamente
26
1.3.7 FIREWALL
El firewall que existe en la empresa es un servicio del Sistema Operativo

Windows XP que proporciona una lnea de defensa contra quienes pudieran intentar
tener acceso a su equipo desde fuera de Firewall de Windows sin su permiso.
Este firewall se est ejecutando en equipos Windows XP Service Pack 2

(SP2), en el cual est activado de forma predeterminada y los computadores que aun
tienen Service Pack 1 (SP1) fueron activadas manualmente al igual que los equipos
que no lo tenan activado.
Los motivos que se vieron convenientes para realizar su activacin fueron las
siguientes:
Ayuda a evitar que virus y gusanos informticos lleguen a un equipo.
Pide el permiso del usuario para bloquear o desbloquear ciertas solicitudes de

conexin.
Crea un registro de seguridad, si desea tener uno, que almacene los intentos
correctos y fallidos de conectarse a un equipo.
1.3.8 ATAQUES QUE HA SUFRIDO LA RED
No han existido accesos no permitidos por parte de los usuarios, o al menos

no existe un registro que indique que haya sucedido esto. Los mayores problemas
que han tenido es que se han conectado medios removibles que contienen archivos
con virus, y que circularon por la red y se vieron afectados muchos equipos, hasta el
punto que se tuvo que formatear algunos de ellos.
27
13.9 HERRAMIENTA NETMEETING
El Municipio tiene NetMeeting que viene incluido en Windows XP, que

brinda las siguientes caractersticas de seguridad:
1. Encriptacin de datos.
2. Autenticacin de usuarios.
3. Proteccin por password.
Y posee las siguientes utilidades:
Conferencias de Audio y Vdeo: Se puede hablar y ver a quien desee por la

red o por Internet.
Pizarra: Permite intercambiar informacin grfica con otras personas.
Chat: Adems de audio, se puede mantener conversaciones utilizando texto.

Interesante cuando la calidad de la conexin no es buena y el audio/vdeo es
deficiente.
Directorio Internet: El Directorio Internet de Microsoft es un sitio Web

mantenido por Microsoft en el que se puede localizar a otras personas y
llamarlas utilizando NetMeeting. Si se desea conocer gente, se puede utilizar
una lista de servidores ILS.
Transferencia de Ficheros: Permite enviar ficheros mientras se realiza una

conferencia de audio/vdeo.
Compartir Aplicaciones: Se puede compartir mltiples aplicaciones mientras

se realiza una conferencia, manteniendo siempre el control sobre el uso de
dichas aplicaciones.
Compartir Escritorio: Puede controlar remotamente otro PC, funcin poco

conocida pero muy interesante.
Seguridad: Usa tres tipos seguridad para proteger la privacidad.
28
1.4 EVALUACIN DE LA SEGURIDAD DE LAS APLICACIONES
1.4.1 SOFTWARE
1.4.1.1 SISTEMA OPERATIVO
El sistema operativo que se utiliza tanto para el servidor como para las
distintas mquinas que existen es Windows XP que presenta las siguientes
caractersticas:
Secuencias rpidas de inicio y de hibernacin.
Capacidad del sistema operativo de desconectar un dispositivo externo sin

necesidad de reiniciar.
eficacia y fiabilidad.
Una interfaz de uso ms fcil, incluyendo herramientas para el desarrollo de

temas de escritorio.
Uso de varias cuentas, que permite un usuario guarde el estado actual y

aplicaciones abiertos en su escritorio y permita que otro usuario abra una
sesin sin perder esa informacin.
ClearType, diseado para mejorar legibilidad del texto encendido en pantallas

de cristal liquido (LCD) y monitores similares.
Escritorio Remoto, que permite a los usuarios abrir una sesin con una
computadora que funciona con Windows XP a travs de una red o Internet,
teniendo acceso a sus usos, archivos, impresoras, y dispositivos
Soporte para la mayora de mdems DSL y conexiones wireless, as como el

establecimiento de una red FireWire.
Comprobador de controladores de dispositivos
Escenarios de reinicio reducidos
Proteccin de cdigos
Soporte colateral de DLL
Memoria escalable y soporte de procesador
Sistema de cifrado de archivos (EFS) con soporte para varios usuarios
Seguridad IP (IPSec)
Soporte para tarjetas inteligentes

29
Configuracin avanzada e interfaz de energa (ACPI)
NLA (Network Location Awareness)
Consola de recuperacin
Servidor de seguridad de conexin a Internet
Puente de red
Conexin compartida a Internet (ICS)
Soporte de red "de punto a punto"
Un centro de seguridad, para comprobar el riesgo al que est sometido

Windows XP.
Interfaz del Cortafuegos de Windows XP, adems de ser activado por

defecto.
Un mejor soporte de WiFi y Bluetooth.
Incorporacin a Internet Explorer de un bloqueador de popups, la capacidad

de bloquear controles ActiveX, el bloqueo de las descargas automticas y un
administrador de complementos.
Uso de la tecnologa DEP (Data Execution Prevention o Prevencin de

ejecucin de datos) por Hardware o Software (Segn si el Procesador tenga o
no soporte para ello).
Opciones de inicio del modo a prueba de fallos
Las actualizaciones automticas estn activadas por defecto.
El servicio Windows Messenger se desactiva por defecto.
Outlook Express bloquea los archivos adjuntos potencialmente peligrosos

(.exe o .vbs).
La ventana de Agregar o quitar programas permite mostrar u ocultar las

actualizaciones.
Mejoras multimedia como la inclusin del Reproductor de Windows Media 9,

DirectX 9.0c, y Windows Movie Maker 2.1.
GDI+. GDI+ (Graphics Device Interface Plus) es la parte de Microsoft

Windows.NET que proporciona tipografa, imgenes y Figuras vectoriales en
dos dimensiones.
Windows de 64 bits.
En cuanto a la seguridad de este sistema operativo podemos decir que

Windows XP ha sido criticado por su susceptibilidad a malware, como virus,
30
troyanos o gusanos. Las opciones de seguridad por defecto crean una cuenta del
administrador que proporciona el acceso sin restriccin a todo el sistema, incluyendo
los puntos vulnerables. Si alguien toma el control de dicha cuenta, casi no existira
lmite al control de la computadora, por lo que la seguridad quedara claramente
comprometida.
Windows, con una cuota de mercado grande, ha sido tradicionalmente un
blanco para los creadores de virus. Los agujeros de la seguridad son a menudo
invisibles hasta que explotan, haciendo su prevencin un hecho difcil. Microsoft ha
indicado que el lanzamiento de actualizaciones para parchear los agujeros de la
seguridad es a menudo causa de los crackers que los descubren.
1.4.1.2 SISTEMA INFORMATICO
Sistema de integracin y desarrollo: El sistema fue desarrollado por la empresa

SINET con herramientas Visual Studio .NET utilizando como base de datos MS SQL server
2005 y un entorno de aplicacin distribuida que permitir trabajar en ambiente WEB. Este
contiene los siguientes mdulos:
Mdulo Contabilidad
Mdulo de Compras
Mdulo de Inventarios
Mdulo de Bancos
Mdulo de Manejo de Trmites
Mdulo de Avalos y Catastros
Mdulo de Recaudacin Facturacin
Registro de Recursos Humanos
Flujo de Trabajo
Reportes y Figuras
Administrador de Usuarios, Respaldo y Auditora
A Continuacin describimos el mdulo de Administrador de Usuarios,

Respaldo y Auditora debido a su importancia para este estudio.
31
Modulo de Administracin
Para poder ingresar al Sistema el usuario deber autentificarse mediante un

nombre y una clave, los cuales sern asignados por el administrador del sistema
Figura 5
Fuente: Sistema de integracin y desarrollo de la I.M. de Paute
32
Si los datos son correctos se presenta el men Principal caso contrario se le solicita
ingresar nuevamente los datos.
Figura 6
BOTONES DE COMANDO
El siguiente men le ayudar en todo el sistema
Abrir un mdulo
Crear Nueva transaccin
Guardar los cambios
Modificar datos que ya se han guardado
Borrar o Anular alguna transaccin
Deshacer los cambios efectuados
Abrir la Calculadora
Ir al primer registro
Ir al anterior registro
Ir al siguiente registro
Ir al ltimo registro
33
OPCIONES DEL MENU TRANSACCIONES
Figura 7
Estaciones de trabajo: formulario que le permite registrar la estacin o el

computador desde cual se va a poder ingresar al sistema.
Figura 8
34
Creacin de Empresas: este formulario le permite crear nuevas empresas,

para lo cual el administrador tendr que escoger el botn de comando (nuevo), e ir
ingresando toda la informacin necesaria para la creacin de dicha empresa, en este
formulario el administrador tendr que llenar todos los campos caso contrario el
sistema no le permitir guardar los datos anteriormente ingresados.
Figura 9
35
Creacin de Usuarios: formulario que ser modificado nicamente por el

administrador del sistema, quien ingresar la informacin de un nuevo usuario, el
cual tendr un nombre de usuario y una contrasea para poder acceder al sistema
Figura 10
OPCIONES DEL MEN TRANSACCIONES
Figura 11
Directorios del Sistema: este formulario debe ser configurado en cada

Terminal, ya que en ste se ingresa la ruta de los reportes que se encuentran en el
36
servidor, como tambin se da la ruta en donde se va a respaldar la base de datos cada

cierto tiempo.
Figura 12
Restriccin de Accesos: formulario que ser modificado nicamente por el

administrador, ya que en ste se darn los diferentes permisos a cada terminal
dependiendo
de
la
funcin
que
el
usuario
cumpla
en
la
empresa.
El administrador tendr que escoger la empresa, el nombre del usuario e ir marcando

o desmarcando las diferentes opciones que desea que no sean activas en las
terminales.
Figura 13
Restricciones de Operaciones a los Usuarios: este formulario le permite o
no realizar ciertas tareas al usuario tales como crear, modificar o borrar varios tipos
37
de transacciones, para que se pueda realizar esta tareas es necesario tener una clave,
esta clave tendr que ser entregada por el administrador del sistema.
Figura 14
38
OPCIONES DEL MENU REPORTES:
Figura 15
Reporte de Auditorias del Sistema:
Figura 16
39
OPCIONES DEL MENU PARAMETROS
Figura 17
Directorio de Reportes SQL: Este formulario tendr que ser configurado en

todas las terminales, ya que de esta configuracin depender que en el resto de
mquinas sea posible ver todos los reportes. La configuracin que deben tener todas
las terminales es la ruta correcta de los reportes en el servidor.
Figura 18
40
Parmetros del Sistema: formulario que le permite crear todos los parmetros que
sern usados por el sistema.
En este formulario se deber ir creando pases,
provincias y ciudades para establecer ubicaciones de empresas, sucursales, etc.

bsicamente es para ir cargando de informacin la base de datos
Figura 19
OPCIONES DEL MENU HERRAMIENTAS:
Figura 20
Calculadora: el usuario podr hacer uso de una calculadora cuando l lo

estime necesario
41
1.4.2 BASE DE DATOS
La base de datos utilizada es SQL Server 2005 la cual se considera ms que

un sistema un gestor de Bases de Datos ya que incluye mltiples componentes y
servicios que la convierten en una plataforma de aplicaciones corporativas.
1.4.2.1 Componentes:
Integracin entre SQL Server y Common Language Runtime (CLR)

Esta nueva caracterstica hace que los desarrolladores de Bases de Datos
puedan aprovechar las ventajas de la biblioteca de clases de Microsoft .NET
Framework para implementar funcionalidades de servidor. Adems se pueden
codificar procedimientos almacenados, funciones y triggers en un lenguaje
.NET Framework.
Notificaciones SQL (Service Brokers)

Permite enviar notificaciones a los suscriptores cuando se produce un evento.
sta funcionalidad es muy til para invalidar cachs o vistas. Las
notificaciones son generadas de forma eficiente y enviadas a mltiples tipos
de dispositivos.
Mltiples resulsets y transacciones simultneas para conexin

Una novedad importante es la de permitir mltiples resulsets abiertos para
conexin, el que permite consultar diversos grupos de resultados sin tener que
ir a consultar al servidor y sin tener que abrir y cerrar conexiones.
Relacionado con este tema encontramos el nuevo modelo transaccional que
ofrece, muy similar al de COM+, pero sin COM+. El funcionamiento es
sencillo, cuando se abre una TransactionScope toda la conexin que se abra
dentro de el ser asociada a la misma transaccin.
42
1.4.2.2 Mejoras de seguridad
Podemos agrupar las mejoras en 3 grandes reas:
1. Restricciones de acceso de usuarios al servidor

2. Deshabilitar servicios y restriccin de configuraciones de servicios.
3. Reduccin de la superficie de ataques para las nuevas
caractersticas.
Tres nuevos niveles de seguridad: Safe, External y Unsafe
1.4.2.3 Tipos de datos
Aparecen nuevos tipos de datos que acaban con las limitaciones del tipo
TEXT e IMAGE que tenan problemas de tamao y de actualizacin. Concretamente
aparecen los tipos VARCHAR (MAX), NVARCHAR (MAX) y VARBINARY
(MAX) que se adaptan al tamao y se pueden actualizar directamente.
1.4.2.4 Tratamiento de errores
Desaparece el acceso a los errores a travs de la variable @@Error, y

aparecen bloques TRYCATCH anidables y con nuevas funcionalidades como
ERROR_NUMBER, ERROR_MESSAGE, ETC
1.4.2.5 Sistema de bloqueo (Snapshot Isolation)
Nuevo nivel de aislamiento que hace que no haya bloqueos en las lecturas, ya
que hace que los lectores lean una versin anterior de los registros.
Tiene la ventaja de una lectura ms rpida y sin bloqueos, pero tiene el inconveniente
de unas escrituras ms lentas y un tamao de Base de Datos ms grande.
43
1.4.2.6 Soporte Nativo de XML (XQUERY)
Da soporte por utilizar un tipo de datos XML para almacenar, validar y

consultar informacin en forma XML.
Desde un punto de vista no tan tcnico, podemos ver una mejora en la interface del
sistema, y un entorno de trabajo muy similar el entorno de trabajo de Visual Studio
.NET.
1.4.2.7 Cifrado
SQL Server 2005 ofrece 4 alternativas para realizar el cifrado de datos:
Passphrase
Asymmetric Key
Symmetric Key
Certificate Key
El motor de base de datos tiene una infraestructura de cifrado jerrquica y

administracin de claves. Cada capa se encarga de cifrar a las capas inferiores
utilizando unas combinaciones de certificados, claves simtricas y asimtricas.
El diagrama que se muestra en el Figura 22 ilustra lo mencionado:
Figura 21
Fuente: Cifrando datos con SQL Server 2005. http://www.microsoft.com/spanish/
msdn/comunidad/mtj.net/voices/MTJ_0010.asp
44
1.4.3 CONTROL DE APLICACIONES EN PCs
Se encuentra instalado los diferentes mdulos de acuerdo a como necesiten

los usuarios por ejemplo el modulo de recursos humanos lo tendr el departamento
de jefatura de personal para con ello poder elaborar y mantener los datos que este
necesite.
1.4.4 CONTROLES EN LOS DATOS
Los datos de entrada y salida del sistema poseen ciertos controles en donde se
verifica su integridad, exactitud y validez.
Los datos de salida del sistema de la empresa no se restringen de acuerdo a

los permisos de acceso.
No se protegen con controles de acceso las carpetas que almacenan archivos

de las aplicaciones.
1.5 EVALUACIN DE LA ADMINISTRACIN DEL CENTRO DE

PROCESAMIENTO DE DATOS
1.5.1 ADMINISTRACIN DEL CPD
No existe una correcta organizacin y administracin del rea de sistemas

debido a que el centro de cmputo se encuentra en proceso de formacin, por lo que
sta no se encuentra en capacidad de brindar condiciones generales de operacin que
posibiliten un ambiente adecuado de control, aunque se estn realizando unos
primeros esfuerzos.
La direccin est a cargo de una persona egresada de la U.N.I.T.A y es l

quien deber ponerse al frente, de manera que la experiencia que posea en el manejo
de los recursos informticos los aplique, y comprenda los riesgos y problemas
relativos a la tecnologa y sistemas de informacin. Es conciente de que es su
obligacin y responsabilidad de mantener seguros los sistemas que se operan.
45
El administrador es el encargado de reportar al Alcalde o en su efecto al

Director Administrativo sobre las actividades crticas en el centro de cmputo. Estos
reportes generalmente se realizan a modo de auto proteccin a sus actividades y no
son un pedido de ningn directivo de la Ilustre Municipalidad de Paute.
1.5.2 CAPACITACIN
No ha existido capacitacin para el administrador del centro de cmputo, ni

siquiera por lo menos con respecto a las tecnologas usadas en el Municipio. Los
conocimientos son propios del administrador.
Los usuarios finales han sido capacitados en el uso del software del sistema,
pero no sobre el correcto manejo de recursos informticos.
No se ha hecho una capacitacin continua a los empleados que coadyuve a

desarrollar y mantener sus conocimientos, competencia, habilidades y concienciacin
en materia de seguridad informtica dentro del nivel requerido a fin de lograr un
desempeo eficaz.
1.5.3 BACKUP
No se han desarrollado planes formales del departamento de sistemas. Se

tienen proyectos a futuro, como es la implementacin de backup para la base de
datos.
No se dispone de backups de hardware y de servicios para garantizar la

continuidad de los servicios ante alguna contingencia.
Importancia De La Seguridad
El Alcalde y autoridades de la I. Municipalidad de Paute estn concientes de
que hay que brindarle una atencin importante al rea informtica sin embargo no
estn concientes de los niveles que sta tiene y cual debera ser su estructura.
46
Mantenimiento
Solicitud de mantenimiento: cada vez que los usuarios necesitan
asesoramiento o servicios del centro de cmputo, se comunican telefnica o

personalmente con el administrador explicando su situacin. No queda ninguna
constancia de las tareas desarrolladas por los empleados del centro de cmputos,
ni de las solicitudes de los usuarios.
Mantenimiento preventivo: en este momento en el centro de cmputo no se
desarrolla ningn mantenimiento preventivo, debido al costo de contratar una

persona ms que se dedique a esto.
Clasificacin de datos y hardware: los equipos de la empresa no han sido
clasificados formalmente segn su prioridad.
Etiquetas: no hay procesos para rotular, manipular y dar de baja un equipo,
sus perifricos o los medios de almacenamiento. Las mquinas y dispositivos no

se identifican entre ellas aunque hay un inventario de la cantidad de mquinas
que existen pero no tiene detalles suficientes.
Instaladores
Los instaladores de las aplicaciones utilizadas en la organizacin se

encuentran en sus CDs originales almacenados en el centro de cmputo. Incluso los
instaladores de uso ms frecuente, como los del Avast Antivirus o del Acrobat
Reader, Microsoft Office estn dentro del departamento de sistemas, todos los
programas que se necesiten instalar se ejecutan desde copias de los CDs.
1.5.4 DOCUMENTACIN
Documentacin Del Centro De Cmputo.
En el centro de cmputo existe documentacin sobre:
Nmeros IP de las mquinas y de los switches plasmado en un documento
llamado Plan de Direccionamiento IP.
Figuras de la ubicacin fsica de los equipos de las dos plantas de la
Municipalidad que no est actualizado.

47
Inventario de computadores, existe un documento en el que se especifican las
caractersticas principales de los equipos.
Documentacin del desarrollo del sistema. El cual es demasiado general y no
da una idea exacta de la estructura del sistema de gestin municipal.

No hay respaldos de ninguno de estos datos, ya que son documentos impresos que se
van modificando manualmente.
Manuales
Se posee un manual de usuario del sistema, cada mdulo desarrollado posee

un manual de usuario para mejorar y facilitar el uso del mismo por medio de los
usuarios. Se han desarrollado manuales para el rea de Recaudacin, Agua Potable,
Rentas, Avalos y Catastros, Administracin y Gestin, aunque todava no estn
estructurados los manuales para la totalidad de los mdulos. Una meta del equipo de
desarrollo es modificar los manuales existentes para generar un manual de usuario
completo que englobe todo el sistema de la empresa.
Documentacin Del Desarrollo
Existe una carpeta con diagramas generales y documentacin referente a cada

mdulo del sistema pero con especificaciones generales de funcionamiento en un
lenguaje no tcnico. Estos registros fueron entregados conjuntamente con el sistema
1.6 EVALUACION DE LAS AUDITORIAS Y REVISIONES
No se ha realizado ningn proceso de auditora informtica dentro del

Municipio, que permita verificar si se est cumpliendo con un mnimo de seguridad
de la informacin. Aunque estas generalmente se realizan en organizaciones que
poseen sistemas complejos o de alto Riesgo.
48
1.7 EVALUACION DEL PLAN DE CONTINGENCIA Y RECUPERACION

DE DESASTRES
No se ha elaborado ningn plan de contingencia ni de recuperacin de

desastres.
1.8 ELABORACION DEL INFORME DE DEBILIDADES Y AMENAZAS
1.8.1. DEBILIDADES
No existe fecha de expiracin del password.
No hay en la empresa un procedimiento formal para efectuar las bajas de los

empleados del sistema.
No se lleva a cabo ninguna revisin peridica ni control sobre el buen

funcionamiento de las cuentas de los usuarios, ni sobre los permisos que
tienen asignados.
Aunque el usuario permanezca un largo perodo de tiempo sin actividad el

sistema no ejecuta ninguna accin; ni tampoco el administrador advierte a los
usuarios sobre la necesidad de no dejar las mquinas logeadas e inactivas.
Los usuarios del sistema pueden tener abiertos, al mismo tiempo, todos los
mens a los que estn autorizados, y varias sesiones del mismo men. No se
hacen restricciones en cuanto a la cantidad de sesiones que los usuarios
pueden utilizar.
El mantenimiento tcnico especializado externo utiliza la misma cuenta de

administrador para hacer modificaciones en los sistemas operativos de los
servidores, y una vez finalizado el mantenimiento el administrador del
sistema no cambia la contrasea.
Los datos de autenticacin son almacenados y transmitidos sin ningn

cifrado.
Las contraseas no tienen una longitud mnima requerida por el sistema
No se realiza ningn control sobre las cuentas de los usuarios, para

comprobar que cambian el password.
49
Cuando un usuario olvida su contrasea y se cierra la aplicacin, recurre al

administrador, el cual lee el password del usuario, recordndoselo. Pero en
ningn momento se lo intima a modificar el password revelado.
Existen carpetas compartidas en las que no se realiza ningn control sobre la

criticidad de la informacin expuesta.
No se encuentran restringidos los servicios y protocolos que no son

necesarios para el funcionamiento del sistema.
No hay estndares definidos, no hay procedimientos a seguir ni tampoco

documentacin respecto a la instalacin y actualizacin de la configuracin
de las PCs y en general documentos auditables del rea informtica.
Para los usuarios no existen restricciones con respecto a la instalacin de

programas en sus respectivos puestos de trabajo, ni sobre la configuracin del
sistema operativo, ya que estn habilitados los dispositivos externos y
algunos disponen de conexin a Internet sin restricciones.
La ventana de comandos del DOS est disponible para todos los usuarios.
No existe un plan de desarrollo de sistemas formal, ni se utilizan mtricas

durante el ciclo de vida del desarrollo de la aplicacin. Ejemplo: Portal Web.
No hay control de acceso fsico.
No se realizan controles sobre los dispositivos de hardware instalados en las

PCs, una vez que se ha completado la instalacin de algn equipo, el
administrador del sistema no realiza chequeos rutinarios o peridicos.
No se han desarrollado planes formales del departamento de sistemas.
No hay, en los empleados del municipio, plena conciencia con respecto a la

importancia de la seguridad informtica.
No existe un inventario donde se documenten todos los sistemas de

informacin con sus caractersticas principales.
No hay inventarios de los equipos de hardware, ni documentacin con

respecto a los equipos de la red fsica, ni de su configuracin.
En ningn momento hay consentimiento por parte de los usuarios a que

auditen sus actividades en el sistema, ni declaraciones de que conocen las
normas de buen uso del sistema.
No se documentan los cambios que se realizan en la configuracin del

servidor, ni la fecha de estas modificaciones.
50
No existen procedimientos para la realizacin ni la recuperacin de los

backups de los datos almacenados en los servidores
No hay desarrollados planes de seguridad, ni planes de contingencia ni de

recuperacin de desastres.
No cuentan con una aplicacin que genere alarmas o avisos cuando ocurre un
evento que revista un determinado grado de riesgo.
En la empresa no se realizan auditoras, ni rutinas de chequeos de logs.
No se generan logs cuando un usuario modifica su password.
No poseen un plan de monitorizacin general de la red.
51
CAPITULO II
52
ANLISIS DE RIESGOS
2.1 INTRODUCCIN
El presente anlisis de riesgos fue desarrollado con el propsito de determinar

cules de los activos de la empresa tienen mayor vulnerabilidad ante factores
externos o internos que puedan afectarlos, identificando las causas potenciales que
faciliten o impidan alcanzar los objetivos, calculando la probabilidad de su
ocurrencia, evaluando sus probables efectos.
Para generar esta informacin se desempearon las siguientes actividades:
1. Identificacin de los activos de la empresa: se evaluaron los distintos

activos fsicos y de software de la organizacin, generando un inventario de
aquellos que son considerados como vitales para su desenvolvimiento.
2. Tasacin de los Activos: los activos fueron clasificados segn el impacto

que sufrira la organizacin si faltase o fallara tal activo, mediante el mtodo
de las elipses. Los activos de informacin que se encuentran en la elipse
central son los ms crticos.
3. Identificacin de Amenazas: Se listaron los factores de riesgo relevantes

a los que pueden verse sometidos cada uno de los activos mencionados
anteriormente,
clasificados
de
la
siguiente
manera:
interrupcin,
interceptacin, modificacin y generacin.
4. Posibilidad de Ocurrencia de Amenazas: Se asigna porcentajes a cada

una de las amenazas listadas anteriormente, un mayor porcentaje indica una
mayor probabilidad de que ocurra la amenaza.
5. Identificacin de vulnerabilidades: Se refiere a describir situaciones

internas que tornan vulnerable al sistema.
53
6. Posible explotacin de vulnerabilidades: Se asigna porcentajes a cada

una de las vulnerabilidades mencionadas anteriormente, un mayor porcentaje
indica una mayor probabilidad de que ocurra la vulnerabilidad.
7. Estimacin de valores: Teniendo presente el listado anterior, se gener

una descripcin de las consecuencias que podra sufrir la empresa si los
activos son afectados por sus respectivos factores de riesgo, a partir de dar a
conocer el valor aproximado de los activos en riesgo, luego asignar una
porcentualizacin que indica la posibilidad de ocurrencia del riesgo y cuales
seran las prdidas econmicas que sufrira el municipio si es que se vieran
afectados dichos activos.
8. Conclusiones: A partir de las estimaciones anteriores se procedi a realizar

la evaluacin de la situacin actual del municipio mediante clculos, de
manera que nos permita concluir si se debe o no brindar seguridad a dicho
activo, considerando que: el costo de prdida de los activos de informacin
sea mayor al costo del activo, y luego hacer un estudio para garantizar que el
costo de proteccin del activo sea menor al costo del activo. En general,
aquellos riesgos cuya concrecin est estimada como de baja frecuencia, no
justifican preocupaciones mayores. Por el contrario, los que se estiman de alta
frecuencia deben merecer preferente atencin. Entre estos extremos se
encuentran casos que deben ser analizados cuidadosamente, aplicando
elevadas dosis de buen juicio y sentido comn.
54
2.2 IDENTIFICACIN DE LOS ACTIVOS
Infraestructura:
o PCs
o Servidores
o UPSs
Arquitectura de la red
Base de Datos
o Base de Datos SQL Server 2005 contiene los siguientes mdulos:
-
Contabilidad
Bancos
Compras
Facturacin
Agua Potable
Avalos y Catastros
Administracin
Plan Estratgico
Edificios
Mobiliarios
Convenios
Sistemas de Informacin
Empleados Administrativos
Clientes
55
2.3 TASACIN DE LOS ACTIVOS.
Plan Estratgico
Mobiliario
Convenios
Empleados y
Infraestructura
Administrativos
de Pc, Serv.
Arquitectura
de la red
Base de
Datos
Sistema de
Informacin
Edificios
Clientes
Figura 22
Fuente: Las Autoras
2.4 IDENTIFICACIN DE AMENAZAS.
2.4.1 ARQUITECTURA Y DISPOSITIVOS DE LA RED:
Interrupcin
i. Destruccin o robo de los dispositivos de Red
ii. Borrado de la configuracin de dispositivos
iii. Falta de conectividad
iv. Mantenimiento ineficiente de la red
Interceptacin
v. Interceptar las redes a travs de dispositivos o herramientas
ajenas a la empresa.
vi. Copiar la configuracin y arquitectura de la red ilcitamente
56
Modificacin
vii. Modificacin de la configuracin de los dispositivos
viii. Puertos abiertos de forma innecesaria que facilitan la
modificacin de la informacin a intrusos.
Generacin
ix. Robo de dinero por medio del Phishing (Tipo de ingeniera
social).
2.4.2 BASE DE DATOS
Interrupcin
x. Destruccin de la informacin por medio de virus.
xi. Bloqueo permanente o temporal de los privilegios de los
usuarios.
Interceptacin
xii. Ingreso no autorizado de personal en la Base de Datos para
robar la informacin contenida.
xiii. Robo de contraseas por medio de herramientas o programas
para obtener informacin crtica.
Modificacin
xiv. Modificacin mal intencionada de la base de datos
Generacin
xv. Forzar el ingreso probando claves y realizar transacciones no
autorizadas.
xvi. Aadir registros en la base de datos
2.4.3 SISTEMA DE INFORMACIN
Interrupcin
57
xvii. Dao de los datos por envo y revisin de materiales

ofensivos.
xviii. Denegacin de servicio por medio de mensajes u rdenes que
paralicen su actividad normal por un largo tiempo.
xix. Borrado de programas, datos.
xx. Fallos en el SO.
Interceptacin
xxi. El uso compartido de contraseas entre los usuarios permiten
la revisin de informacin no autorizada para algunos
empleados.
xxii. Instalacin no autorizada de software para el robo de la

informacin.
xxiii. Escucha en lnea de datos
Modificacin
xxiv. Modificacin de la Informacin por medio de la suplantacin

de identidad
xxv. Modificacin de ingreso de pagos.
Generacin
xxvi. Captura de mensajes y repeticin para ingresar dinero en una

cuenta dada.
58
2.5 POSIBILIDAD DE OCURRENCIA DE AMENAZAS.
2.5.1 ARQUITECTURA Y DISPOSITIVOS DE LA RED:
Destruccin o robo de los dispositivos de Red
80%
Borrado de la configuracin de dispositivos
80%
Falta de conectividad
80%
Mantenimiento ineficiente de la red
30%
Interceptar las redes a travs de dispositivos o herramientas ajenas a 90%

la empresa.
Copiar la configuracin y arquitectura de la red ilcitamente
10%
Modificacin de la configuracin de los dispositivos
90%
Puertos abiertos de forma innecesaria que facilitan la modificacin de 40%

la informacin a intrusos.
Robo de dinero por medio del Phishing.
15%
2.5.2 BASE DE DATOS:
Destruccin de la informacin por medio de virus.
10%
Bloqueo permanente o temporal de los privilegios de los usuarios.
5%
Ingreso no autorizado de personal en la Base de Datos para robar la 30%

informacin contenida.
Robo de contraseas por medio de herramientas o programas para 40%
obtener informacin critica.
Modificacin mal intencionada de la base de datos
50%
Forzar el ingreso probando claves y realizar transacciones no 30%

autorizadas.
Aadir registros en la base de datos
59
50%
2.5.3 SISTEMA DE INFORMACIN:
Dao de los datos por envo y revisin de materiales ofensivos.
10%
Denegacin de servicio por medio de mensajes u rdenes que 4%

paralicen su actividad normal por un largo tiempo.
El uso compartido de contraseas entre los usuarios permite la 70%
revisin de informacin no autorizada para algunos empleados.
Instalacin no autorizada de software para el robo de la informacin.
6%
Modificacin de la Informacin por medio de la suplantacin de 80%

identidad
Modificacin de ingreso de pagos.
3%
Captura de mensajes y repeticin para ingresar dinero en una cuenta 2%

dada.
2.6 IDENTIFICACIN DE VULNERABILIDADES
Claves en texto plano
Claves simples sensibles a fraudulencia.
Firewall: No existen polticas para la utilizacin de ste.
Configuracin de dispositivos por defecto, es decir falta de

aplicacin de polticas administrativas.
Trfico Broadcast extenso
Falta de seguridad en la red de entrada y salida de archivos desde

discos o de computadores ajenos como porttiles.
Falta de capacitacin del personal sobre la importancia de la

seguridad de la informacin.
Borrados accidentales o intencionados
No existen registros sobre anlisis de riesgos, polticas de

seguridad, planes de seguridad, planes de contingencia y
recuperacin de desastres.
Resistencia al cambio por parte de los usuarios.
El Centro de Cmputo no se encuentra constituido totalmente
Falta de Control y monitoreo en el acceso a Internet.

60
No se dispone de un lugar adecuado y seguro para los equipos que

forman parte del rea de Tecnologas de informacin y
comunicacin.
Desarrollo de aplicaciones con errores en cdigo fuente, que

permiten algunas brechas de seguridad.
2.7 POSIBLE EXPLOTACIN DE VULNERABILIDADES
Claves en texto plano
20%
Claves simples sensibles a fraudulencia.
90%
Firewall: No existen polticas para la utilizacin de este.
15%
Configuracin de dispositivos por defecto
90%
Falta de seguridad en la red de entrada y salida de archivos desde 70%

discos o de computadores ajenos como porttiles.
Falta de capacitacin del personal sobre la importancia de la seguridad 75%
de la informacin.
Borrados accidentales o intencionados
75%
No existen registros sobre anlisis de riesgos, polticas de seguridad, 98%

planes de seguridad, planes de contingencia y recuperacin de
desastres.
Resistencia al cambio por parte de los usuarios.
10%
El Centro de Cmputo no se encuentra constituido totalmente.
65%
Falta de Control y monitoreo en el acceso a Internet.
65%
No se dispone de un lugar adecuado y seguro para los equipos que 55%

forman parte del rea de Tecnologas de informacin y comunicacin.
Desarrollo de aplicaciones con errores en cdigo fuente, que permiten 12%
brechas de seguridad.
61
2.8 ESTIMACIN DE VALORES
2.8.1 ESTIMADO DEL VALOR DE LOS ACTIVOS EN RIESGO
Arquitectura y dispositivos de la Red: $30.140,00

o PCs $22140,00
27pcs * 820= 22140,00
o Comunicaciones $8000,00
Base de Datos: $4.000,00

o Base de Datos SQL SERVER 2005
Sistema de Informacin: 13.000,00
2.8.2 POSIBILIDAD DE OCURRENCIA DEL RIESGO
Arquitectura y dispositivos de la Red: 80%
Base de Datos: 60%
Sistema de Informacin: 20%
2.8.3 VALOR DEL RIESGO DE LOS ACTIVOS
Arquitectura y dispositivos de la Red: $60.000,00
Base de Datos: $8.000,00
Sistema de Informacin: $30.000,00
62
2.9 CONCLUSION:
Arquitectura y dispositivos de la Red:

$30.140,00 (0.8*$60.000,00)
30.140,00 48.000,00
Base de Datos:
$4.000,00 (0.6*$10.000,00)
4.000,00 6.000,00
Sistema de Informacin:
13.000,00 (0.2*$30.000,00)
13.000,00
15.000,00
63
CAPITULO III
64
POLITICAS DE SEGURIDAD.
3.1 INTRODUCCIN
Las polticas de seguridad informtica son definiciones establecidas por la

direccin, que determinan criterios generales a adoptar en funciones relacionadas al
rea informtica y actividades relacionadas con su seguridad, donde se conocen las
alternativas ante circunstancias repetidas.
Su auge ha sido estimulado por la explosin de tecnologas de manejo de

informacin, incluyendo a los telfonos celulares, los buscapersonas y los
computadores. Los que trabajan en los ambientes organizacionales deben recibir
instrucciones claras y definitivas que los ayuden a garantizar la seguridad de la
informacin generada en tan importante entidad pblica. Definitivamente, es
imprescindible mantener reglas claras que enmarquen el desarrollo de las actividades
en cualquier actividad municipal, los sistemas de informacin no escapan de este tipo
de documentacin.
El ofrecer servicios sin tomar en cuenta la seguridad informtica constituye una

invitacin para que ocurran incidentes de seguridad que podran daar severamente
la reputacin de la organizacin. Las polticas de seguridad informtica proporcionan
delimitaciones claras que definen un dominio donde se puede encontrar una solucin
aceptable.
La seguridad informtica es un problema de personas y de tecnologa. Pero antes de

que se pueda hacer algo al respecto, la administracin municipal debe involucrarse
en la seguridad informtica, asignar suficientes recursos y comunicar claramente a
todos los integrantes de su equipo que la seguridad informtica realmente s es
importante.
Las polticas son planteamientos de alto nivel que transmiten a los trabajadores la
orientacin que necesitan para tomar decisiones presentes y futuras. Son requisitos
generalizados que deben ser escritos en papel y comunicados a ciertos grupos de
65
personas dentro, y en algunos casos fuera, de la municipalidad. Los documentos de

polticas de seguridad informtica varan de una organizacin a otra.
Las polticas son obligatorias y pueden considerarse el equivalente de una ley propia
de la organizacin. Se requiere una autorizacin especial cuando un empleado desea
irse por un camino que no est contemplado en la poltica.
66
ELABORACION DE POLITICAS DE SEGURIDAD PARA LA ILUSTRE

3.2 DEL USUARIO:
El usuario debe ser consciente de las medidas de seguridad implantadas

respecto a Tecnologas de Informacin, por lo que ser compromiso de l leer
y cumplir las mencionadas polticas, esto estar descrito en el contrato como
empleado de la institucin, as mismo constar las sanciones en caso de
incumplimiento.
El acceso de personal a los recursos informticos se llevar a cabo de acuerdo

a las normas establecidas por el departamento de Sistemas Informticos.
Todos y cada uno de los equipos son asignados a un responsable (el usuario
de ese puesto de trabajo), por lo que es de su competencia hacer buen uso de
los mismos.
La informacin necesaria debe estar actualizada, eliminando los archivos

basura.
Debe ser sencillo encontrar los archivos que sean necesarios, en todos los
puestos de trabajo. Para lo cual se deber tener un criterio nico de
estructuracin de la informacin, es decir que cosa debe ir en cada carpeta y
sobre la nomenclatura de los archivos de modo que el nombre del archivo
preste suficiente informacin sobre el contenido del mismo.
El usuario debe cambiar su password de acuerdo a los procedimientos

establecidos de cmo generar una clave segura.
Toda informacin almacenada en cualquier dispositivo o medio del municipio

incluyendo disquetes, dispositivos removibles, reportes, cdigos fuentes de
programas de computadora, correo electrnico y datos confidenciales de los
clientes, es propiedad del Municipio.
67
Es responsabilidad del usuario que toda informacin sea confidencial o

restringida, que este impresa o almacenada en medios fsicos transportables
(cintas de backup, cds, etc.), etiquetarla, con letras grandes que sean legible
sin la necesidad de un lector especial, indicando su clasificacin o grado de
criticidad de dicha informacin.
Los reportes confidenciales no deben ser copiados sin la autorizacin del

propietario de la informacin.
3.3 DEL DEPARTAMENTO DE SISTEMAS INFORMTICOS:
Es el responsable de emitir y dar seguimiento al Reglamento para el uso de

los recursos informticos.
Deber propiciar el uso de tecnologas de informacin con el fin de contribuir

con las directrices econmicas, ecolgicas y de servicio de la Municipalidad
de Paute.
El departamento de Sistemas Informticos ser el encargado de la realizacin

del mantenimiento preventivo y correctivo de los equipos. La conservacin
de su instalacin y la verificacin de la seguridad fsica, y adecuarlo a una
condicin fsica apropiada, para lo cual se deben emitir normas y
procedimientos respectivos, as como realizar inventarios.
Este departamento ser el responsable de proporcionar a los usuarios el

acceso a los diferentes recursos informticos.
Deber restringirse el acceso al sistema o la utilizacin de recursos en un

horario definido, teniendo en cuenta que:
o las cuentas de los usuarios no deben poder acceder al sistema en
horarios no laborales, de acuerdo al grupo al que pertenezcan.
o durante las vacaciones o licencias las cuentas de usuarios deben
desactivarse.
68
o en das feriados las cuentas de todos los usuarios deben permanecer

desactivadas.
Organizar cursos de capacitacin sobre seguridad informtica y manejo de

recursos informticos mnimo una vez al ao.
Definir clasificaciones adecuadas de tipos de usuario, que permitan

estratificar la proteccin de la informacin y definir permisos de acceso. Ejm:
perfiles, grupos de usuario, ACLs.
La fecha de expiracin de las contraseas deber ser de cuatro meses. El

administrador deber exigir el cambio, una vez cumplido el plazo.
El administrador del sistema deber realizar un chequeo mensual de los

usuarios del sistema, comprobando que existen solo los usuarios que son
necesarios y que sus permisos sean los correctos.
Podr sugerir las sanciones en caso de incumplimiento de las polticas y

normas de seguridad y se sometern a estudio y posterior aprobacin con los
entes administrativos.
Ser el encargado de realizar anlisis de riesgo peridicos definidos en las

normas, y de gestionar un proceso de auditora por lo menos una vez al ao.
Tendr que implantar tecnologas repelentes o protectoras como: cortafuegos,

sistemas de deteccin de intrusos- anti-spyware, antivirus, herramientas para
la proteccin de software etc. Mantener los sistemas de informacin con las
actualizaciones que ms impacten en la seguridad y que sean accesibles.
Se debern tener por lo menos una copia de seguridad de las carpetas ms

importantes, y definir planes y procedimientos para este proceso.
Generar documentos sobre operaciones informticas realizadas para que los

procedimientos sean transparentes.
69
Realizar consideraciones relacionadas con cambios en la asignacin de

funciones del empleado. Para implementar la rotacin de funciones o en caso
de reasignar funciones por ausencias temporales de algunos empleados, es
necesario considerar la importancia de mantener actualizados los permisos de
acceso.
Este departamento tiene la facultad de llevar a cabo la revisin constante de

accesos y los intentos fallidos al sistema de informacin y puede conservar
informacin del trfico, y realizar monitoreos.
La Administracin del departamento de Sistemas es la responsable de

difundir el reglamento para el uso de la red y recursos informticos; adems
de procurar su cumplimiento.
Debe existir una adecuada y documentada separacin de funciones dentro del

centro de cmputo.
Los usuarios de la organizacin que utilicen Internet deben recibir

capacitacin especfica respecto a su funcionalidad y a los riesgos y medidas
de seguridad pertinentes.
Deber utilizarse ms de una herramienta antivirus en los servidores, para as

disminuir el riesgo de infeccin.
Deber existir una clasificacin de los datos en base a su sensibilidad para as

determinar controles especficos.
Deber existir una planificacin formalizada y completa de las actividades a

desarrollarse. Debern designarse responsabilidades claras y documentadas
para cada actividad.
El/Los administradores debern garantizar la confidencialidad, integridad y

disponibilidad de la informacin, mediante mecanismos, procedimientos,
planes, etc.
70
El administrador deber garantizar la conectividad, y no permitir

interceptacin en la red, distribuir el ancho de banda de una forma adecuada
de acuerdo a los requerimientos de la funcin del empleado, as como
restringir los servicios y protocolos que no son necesarios para el
funcionamiento del sistema.
Definir planes de contingencia y de recuperacin de desastres en base a la

ubicacin fsica, al medio que lo rodea, a los recursos que posee y al estudio
de anlisis de riesgos.
Toda persona que instale o requiera recursos informticos, y/o requiera

acceso a la red de la Municipalidad deber sujetarse a las normas y
procedimientos de instalacin, control y monitorizacin por parte del
administrador del departamento de Sistemas Informticos.
Todo el equipo de cmputo y los de telecomunicaciones que sean de

propiedad del Municipio deber ser sometido a inventarios y etiquetados para
su descripcin, y se deber llevar un control sobre dichos recursos.
3.4 DE LOS SISTEMAS DE INFORMACIN:
Se adquirir software en caso de ser necesario, propiciando la adquisicin de

licencias apropiadas, luego de haberse sometido a un estudio que justifique la
adquisicin.
Se desarrollar software siguiendo procedimientos de ingeniera de software,

y estas aplicaciones se desarrollarn en base a las necesidades del municipio,
generando la respectiva documentacin y cumpliendo con las normas de
programacin.
Con el propsito de proteger la integridad de los sistemas informticos tanto

adquiridos como desarrollados, ser imprescindible que se disponga de
software de seguridad como antivirus, vacunas, parches, privilegios de acceso
71
y nuevos conceptos que surjan con el fin de proveer la seguridad a la

informacin.
Codificar la informacin usando Criptologa, Criptografa y Criptociencia.
Debe existir una aplicacin que registre las siguientes ocurrencias:

o tiempo y duracin de los usuarios en el sistema,
o nmero de conexiones a la base de datos,
o nmero de intentos fallidos de conexiones a la base de datos,
o generacin de nuevos objetos en la base de datos,
o transacciones en la base de datos.
3.5 DE LA ADMINISTRACIN:
Se deber notificar al administrador del sistema para desactivar el acceso a

los recursos informticos del empleado que vaya a ser removido de su cargo,
esto se realizar antes de que ste sea notificado sobre el despido o
terminacin del contrato.
Organizar encuentros peridicos con el jefe del centro de cmputo para

desarrollar planes y estrategias en pro de la seguridad de la informacin del
municipio.
Asegurar la existencia de controles para revocar el acceso a los empleados a

partir de la notificacin de remocin del cargo de un empleado,
independientemente de las razones que tengan para salir de la empresa.
Definir puestos de trabajo contemplando la separacin mxima de funciones

posibles para otorgar el mnimo permiso de acceso requerido por cada puesto
para la ejecucin de tareas asignadas.
Realizar revisiones frecuentes sobre las polticas de seguridad informtica.
72
Redactar en el contrato las responsabilidades que asume sobre la informacin

y sobre los recursos informticos a los que tiene acceso.
Definir una misma estructura de nombramiento de carpetas y documentos

para que otro empleado que lo necesite pueda encontrarlo fcilmente.
La Direccin de la Ilustre Municipalidad de Paute deber proveer la

infraestructura de seguridad requerida y recursos informticos de acuerdo a
los requerimientos especficos de cada rea, y en base a un estudio que
sustente su implantacin.
Informar al administrador del sistema sobre la rotacin de funciones o en

caso de reasignar funciones por ausencias temporales o definitivas
algunos empleados.
73
de
CAPITULO IV
74
ESTRATEGIAS PARA EL CUMPLIMIENTO DE POLITICAS DE

SEGURIDAD.
4.1 INTRODUCCION
Para poder llegar a las estrategias para el cumplimiento de polticas de seguridad es

necesario la creacin de mltiples capas de seguridad para los equipos e informacin
valiosa, para as evitar que un solo nivel comprometa a la red entera. Esta proteccin
por capas es requerida ante la llegada de las amenazas combinadas y el permetro de
la red.
A continuacin describimos componentes fundamentales que nos pueden ayudar a

brindar proteccin garantizando en gran parte el cumplimiento de las polticas de
seguridad:
El software antivirus: Porque brinda proteccin contra los archivos
que entran a la red a travs de las solicitudes, las descargas, los disquetes, etc.
El software antivirus busca automticamente las amenazas ms recientes,
explora con frecuencia los sistemas en busca de estas amenazas y tambin
realiza vigilancia en tiempo real. El software antivirus no solo proteger al
servidor de aplicaciones y de base de datos, sino tambin a los firewalls y
aplicaciones importantes, para evitar muchos problemas antes de que surjan.
Los firewalls son una importante lnea de defensa de la red y de toda
la informacin al explorar la informacin que entra y sale de la red para

garantizar que no sucedan accesos no autorizados y evitar sufrir algunos de
los ataques de DoS- Denied of Service (Denegacin de servicios) y de
participar involuntariamente en uno de ellos. Los Firewalls son una
herramienta importante cuando se tiene trfico de Internet.
El software de deteccin de intrusos: Con el fin de monitorear
constantemente la red en busca de actividades sospechosas o ataques directos

y que alerte para que pueda actuar inmediatamente.
75
Determina cuando un parmetro enviado por el usuario puede ser errneo o

cuando necesariamente involucra un intento de intrusin. Cierra las sesiones
(y puede llegar a suspender los privilegios del usuario) ante estas situaciones.
Genera como mnimo un log, estas situaciones implican siempre a un usuario
autenticado.
IDS basados en equipo host: Se sitan en el servidor local y
monitorean el trfico incluyendo los registros de auditora y de incidentes.
Las redes privadas virtuales (VPN) Hoy en da son vitales si existen
conexiones remotamente a la red de la empresa. Las VPN protegen las

conexiones remotas ms all del permetro para poder establecer
comunicaciones seguras en Internet. Las VPN se implementarn usando:
IPSec. Se implementar, aparte del servidor, un software firewall en todas las
computadoras que tengan acceso a las VPN, y una eficaz proteccin antivirus.
VLANS: La implementacin de las VLAN combina la conmutacin
de Capa 2 y las tecnologas de enrutamiento de Capa 3 para limitar tanto los

dominios de colisin como los dominios de broadcast. Las VLAN tambin
ofrecen seguridad con la creacin de grupos VLAN que se comunican con
otras VLAN a travs de routers. Una asociacin de puerto fsico se utiliza
para implementar la asignacin de VLAN. La comunicacin entre VLANs
se puede producir solamente a travs del router. Esto limita el tamao de los
dominios de broadcast y utiliza el router para determinar si se
pueden
comunicar las VLANs.
Configuracin del disco: Algunas veces es difcil saber con certeza el
alcance del ataque por lo cual sera prudente volver atrs y partir de un punto
seguro. La solucin de configuracin del disco puede hacer copias de
seguridad de la informacin y recuperarla en su estado inicial seguro para que
se pueda confiar en la integridad de la informacin
76
4.2 DEL USUARIO:
El usuario mediante un compromiso firmado acepta dar cumplimiento de las

medidas de seguridad definidas en la poltica de seguridad informtica,
destacando especficamente el mantenimiento de la confidencialidad de las
claves de acceso, la no divulgacin de informacin de la organizacin, el
cuidado de los recursos, la utilizacin de software sin licencia y el reporte de
situaciones anormales. Debe confirmarse este compromiso anualmente o cada
vez que se produzcan cambios en las funciones asignadas al personal.
Borrar los archivos innecesarios, estos son los intermedios, las versiones sin
corregir, etc.
Asegurarse de que los usuarios cambien con frecuencia las contraseas y

tengan cuidado de no anunciar pblicamente sus nombres y contraseas de
usuario. Fomentar la creacin de claves seguras a travs del uso de las
siguientes especificaciones :
o Conjunto de caracteres alfa-numrico y smbolos.
o Diferenciar maysculas y minsculas
o La contrasea no deber contener datos personales ni datos de la

entidad en la que se desempea.
o Longitud mnima de 6 y mxima de 10 caracteres.
En cada acceso se verificar el usuario que accede y se le presentan los

sistemas que est autorizado a operar. Todas las transacciones que involucran el
ingreso de contraseas se realizan en un ambiente seguro (protocolo SSL) con
encriptacin de datos tanto para el servidor de aplicaciones como para el de
Base de datos.
Si un usuario olvida la contrasea, la aplicacin no deber mostrarle la misma

al administrador, y permitir que el usuario ingrese una nueva desde su
terminal, la prxima vez que intente logearse.
La contrasea deber inicializarse como expirado para obligar el cambio.

77
4.3 DEL DEPARTAMENTO DE SISTEMAS INFORMTICOS:
Definir conjuntamente con la administracin los periodos en los que se

brindar capacitacin a los empleados con respecto a seguridad informtica y
al uso de recursos.
Las PCs deben tener instalado un protector de pantalla con contrasea.
Se debern definir niveles de informacin, se sugiere :

o Crtica: se considera recurso crtico a aquel recurso interno que debe
estar disponible solamente para un conjunto determinado de personas.
o Confidencial: Se considera recurso confidencial a todo aquel que solo
deber utilizarse y ser del conocimiento de miembros de la empresa.
o Pblica: informacin de libre circulacin; se considera recurso
disponible al pblico aquel que no requiere permanecer como de uso
interno.
Proceso de mnimo privilegio, es uno de los principios ms fundamentales de

seguridad. La estrategia consiste en conceder a cada objeto (usuario, programa,
sistema, etc) solo aquellos permisos o privilegios que son necesarios para
realizar las tareas que se program para ellos. Permite limitar los ataques y
limitar el dao causado por ataques particulares. Est basada en el
razonamiento de que todos los servicios ofrecidos por una red o sistema estn
pensados para ser utilizados por algn perfil de usuario en particular, y no que
todos los usuarios pueden utilizar todos los servicios de la red. De esta forma es
posible reducir los privilegios requeridos para varias operaciones sin afectar al
servicio prestado a los usuarios de la red.
Estructurar un mecanismo para prueba de fallos en la seguridad de redes ya

que si un mecanismo de seguridad fallara, debera negarse el acceso a todo
usuario, inclusive aquellos usuarios permitidos (no podemos determinar si lo
son o si la funcin de autenticacin no est funcionando), es decir debe fallar
en un estado seguro.
78
Generar una defensa en profundidad que se basa en la implementacin de

varios mecanismos de seguridad y que cada uno de ellos refuerce a los dems.
La idea es hacerle ms difcil y costoso a un atacante la tarea de violar la
seguridad de la red. Esto se logra con la multiplicidad y redundancia de la
proteccin, es decir, con cada mecanismo respaldando a los dems mecanismos
de seguridad, de forma que si uno de esos mecanismos falla, existen otras
barreras ms que vencer.
Todas las actividades crticas que se realicen en el centro de cmputo debe

tener su respectiva documentacin.
Debemos instalar programas antiespas, su funcionamiento es similar al de un

antivirus solamente que este software analiza el sistema en busca de programas
espas como Adaware y Spyware y los eliminan.
Actualizar los antivirus con frecuencia (cada 15 das o una vez al mes sera lo
ideal), ya que el grado de velocidad de aparicin de nuevos virus o variaciones
de los mismos es tan alto.
Para
los computadores que tienen acceso a Internet se podra utilizar un
antivirus online que chequean su computadora mientras est conectado a

Internet. Es una forma cmoda y segura de inspeccionar la computadora para
encontrar todos los virus.
Instalar un cortafuegos o firewall ya que es un software destinado a garantizar

la seguridad en sus comunicaciones va Internet al bloquear las entradas de su
computador sin autorizacin y restringir la salida de informacin.
Estar pendiente de buscar las actualizaciones de software y aprovechar las

soluciones o parches de seguridad para los agujeros que podran hacernos
vulnerable a un ataque.
79
Adquirir el hardware necesario para la implementacin de los respaldos y

definir un plan para llevar a cabo este procedimiento.
Desactivar los puntos de red que no estn siendo utilizados.
Generar documentacin de la red.
Utilizar herramientas de monitoreo de red que permitan ver y verificar el

trfico de la red.
Configurar los dispositivos de acuerdo a los requerimientos del municipio y no

utilizando los valores que vienen por defecto
4.4 DE LOS SISTEMAS DE INFORMACIN:
Actualizar las aplicaciones con parches de seguridad, las vulnerabilidades que

se detectan en los programas informticos mas utilizados como navegadores,
procesadores de texto, programas de correo, etc., son el blanco habitual de
ataques. Como norma bsica debemos visitar peridicamente los sitios Web de
estas compaas e instalar dichas actualizaciones.
Se deber mantener un control sobre las transacciones que sean realizadas por
los usuarios en el Sistema de Gestin Municipal.
Contratar mantenimiento necesario para el sistema de informacin que se est

implantando actualmente, de tal manera que se logre satisfacer todos los
requerimientos de los usuarios.
Adquirir un algoritmo de encriptacin de libre distribucin, utilizar la

herramienta de la base de datos que permite encriptar las claves.
80
CONCLUSIONES
A lo largo de esta tesina pudimos comprender que la seguridad informtica es

un conjunto de recursos destinados a lograr que la informacin y los activos
de una organizacin sean confidenciales, ntegros y disponibles para todos
sus usuarios.
Somos conscientes de que no existe un esquema de seguridad que cubra en su

totalidad los posibles riesgos, sin embargo se debe estar preparado y
dispuesto a reaccionar con rapidez ya que las amenazas y las vulnerabilidades
estn cambiando constantemente, de tal forma que el objetivo sea mitigarlas.
Todas las organizaciones, sin importar su tamao, ameritan contar con

polticas de seguridad.
Disponer de una poltica de seguridad es importante, pero entendemos que

hacer de la poltica de seguridad una parte del entorno de trabajo diario es
esencial. La comunicacin con los usuarios del sistema es la clave para hacer
que esta poltica sea efectiva y se genere una cultura de la seguridad.
La implantacin de una poltica de seguridad informtica en una organizacin

implica un gran desafo, pero sabemos adems que es imprescindible, sobre
todo si se tiene en cuenta que cada vez se produce un mayor nmero de
ataques.
Nunca es fcil mencionar el tema de las amenazas de intrusos internos. En un

mundo ideal, confiaramos incondicionalmente en todos nuestros empleados.
Sin embargo, la realidad es que se trabaja en un entorno imperfecto donde las
amenazas pueden surgir desde el interior de las cuatro paredes. Aunque las
81
polticas y procedimientos son esenciales para confrontar este problema, se

necesitan diligencia y determinacin para resolverlo.
La clave para desarrollar con xito un programa efectivo de seguridad de la

informacin
consiste
en
recordar
que
las
polticas,
estndares
procedimientos de seguridad de la informacin son un grupo de documentos

interrelacionados.
Ponemos de manifiesto que los resultados obtenidos en el presente trabajo

sean de utilidad para la Ilustre Municipalidad de Paute, de tal forma que
esperamos haber contribuido en algo el desarrollo de una cultura de seguridad
informtica.
Asimismo podemos afirmar que las expectativas personales tambin fueron

cubiertas con xito. Nos fue posible aprender nuevos conceptos,
desarrollando un trabajo de investigacin sobre temas vigentes y volcar toda
la teora asimilada a un caso prctico.
Por ltimo, esperamos con este trabajo generar en el lector una inquietud que
incentive a futuras investigaciones o proyectos que profundicen en el campo
de la seguridad informtica.
82
RECOMENDACIONES
Se recomienda cada ao a la Ilustre Municipalidad de Paute llevar a cabo un

anlisis de riesgos y de revisar las polticas de seguridad. As mismo, preparar
un informe que muestre el estado actual en cuanto a seguridad informtica y
los progresos que se han logrado, y que queden documentados dichos
informes de tal manera que se permita hacer un seguimiento y a futuro hacer
un anlisis de la evolucin que ha tenido la seguridad informtica en la Ilustre
Municipalidad de Paute.
El cumplimiento de las polticas y estndares que surgieren respecto a

seguridad informtica debera ser obligatorio y
se recomienda que sea
considerado como una condicin en los contratos del personal.
Se recomienda considerar algn tipo de excepcin a las polticas tratando de

que sea en el menor nmero posible, que sea para casos extremos, pero dichas
excepciones deben ser documentadas y aprobadas por el rea de seguridad
informtica y sean documentos auditables, se deber detallar el motivo que
justifica el no-cumplimiento de la poltica.
Se recomienda seguir un esquema similar al que se expone para que se pueda

alinear las medidas de seguridad con las polticas de seguridad elaboradas:
o Clasificacin de la informacin
o Seguridad de red y comunicaciones
o Inventario de acceso a los sistemas
o Campaa de concientizacin de usuarios
o Estandarizar la configuracin del software base
o Revisin y adaptacin de procedimientos complementarios
Para cada actividad se deber implementar una serie de tareas por etapas, la
relacin de precedencia que presenta con otras actividades y un tiempo estimado de
duracin. Se podra usar herramientas con fines de planificacin como puede ser
Microsoft Project.
83
La administracin debe brindar el apoyo necesario para la implementacin

exitosa de este plan de seguridad.
Debe resaltarse la importancia de apegarse a las buenas prcticas de la

seguridad informtica de una forma sutil y comprensible, para que no se tome
como una imposicin y cause molestias en el usuario.
84
ANEXOS
85
ANEXO 1
Distribucin de las Pcs
Departamento
Puntos de Red
PCs conectadas
Centro de Cmputo
Comisara
Asesora Jurdica
Proyectos
Difusin Cultural
Internet
Alcalde
Secretara de la Alcalda
Saln de Sesiones
Antesala
Direccin Financiera
Direccin Administrativa
Recaudaciones- Tesorera
Jefatura de Personal
Biblioteca
Jefatura de Agua Potable
Direccin
Secretara
de
Difusin
Cultural
Jefatura
de
Avalos
Catastros
de
Obras
Pblicas
Direccin de Planificacin
41
86
30
ANEXO 2
Switch 3Com Baseline Switch 2024 3C16471
Switch 10/100 de 24 puertos, sin bloqueo y sin administracin

Switching simple y rico en funcionalidad para usuarios
diversos
El 3Com Baseline Switch 2024 es un switch 10/100 de 24
puertos, sin bloqueo y sin administracin diseado para oficinas
pequeas a medianas. Este switch de clase empresarial, que se puede instalar en rack,
puede colocarse en el armario de cableado o como unidad autnoma.
El switch viene pre-configurado para una instalacin rpida y fcil, utilizando
econmicos cables de cobre. Su auto-negociacin ajusta la velocidad del puerto con
la del dispositivo de comunicacin. Cualquiera de los 24 puertos del switch pueden
ofrecer Ethernet 10BASE-T para usuarios con requerimientos promedio de ancho de
banda, o Fast Ethernet 100BASE-TX para usuarios de potencia con conexiones de
red ms nuevas. Para simplificar la conexin de cables, todos los puertos detectan
automticamente el tipo de cable Ethernet (MDI/MDIX).
Al igual que todos los productos 3Com SuperStack 3 Baseline, este switch ofrece
una practicidad poderosa y rica en funcionalidad en un robusto paquete diseado
para brindar fiabilidad, larga vida y un bajo coste total de propiedad
El switch trabaja "al sacarlo de su caja" - no se necesita configuracin o

software de administracin
El rendimiento sin bloqueo se traduce en un mejor acceso a los recursos de

la red
La auto-negociacin 10/100 determina automticamente la velocidad

correcta para el puerto
87
MDI/MDIX automtico en todos los puertos simplifica la instalacin al

permitir una conexin directa a otro dispositivo, utilizando cables directos o
entrecruzados
Su slido diseo y calidad de construccin aseguran una operacin fiable

y larga vida
Se puede instalar en un rack o apilarse para maximizar el espacio

disponible; su tamao estndar 1RU simplifica la planificacin del espacio
Incluye 90 das de soporte telefnico gratuito, sustitucin avanzada de

hardware al siguiente da laborable y garanta limitada de por vida
Especificaciones de producto
Puertos: 24 puertos 10BASE-T/100BASE-TX con auto-deteccin y autoconfiguracin MDI/MDIX
Interfaces para medios: RJ-45
Funciones de switching Ethernet: Velocidad total sin bloqueo en todos

los puertos Ethernet, auto-negociacin y control de flujo bidireccional / halfduplex
Direcciones MAC que se soportan: 4,000
Alto: 4.36 cm (1.7 pulgadas )
Ancho: 44 cm (17.3 pulgadas)
Profundidad: 17 cm (6.7 pulgadas )
Peso: 1,5 kg
Contenidos del paquete

o
Switch
Bases de goma
Paquete para instalacin en rack
Gua del usuario
88
SWITCH ADVANTEK ANS-16P 16 PUERTAS RJ45 10/100BT 220V
El switch de 16 puertos de Advantek Networks, es perfecto para mejorar el

performance de una red local de medida pequea y mediana. Estos switches pueden
satisfacer las necesidades de tener un producto de excelente calidad a un precio muy
afordable.
Fast Ethernet Switch de 16 puertos tiene un diseo super compacto y ligero que
permite conveniencia en montar en la pared o en el mismo escritorio, inclusive en un
lado del escritorio para facilitar y conveniencias de las instalaciones de los cableados.
Puertos
Standard
Velocidad
Interface
Paquete de Buffer de
Memoria
Tamao de la tabla Mac
Address
Tipo de Procesamiento
LED Indicador
Dimensin (mm)
Weight (g)
Temperatura (C)
Humedad
Certificacin
16 Puertos
802.3 (10BaseT), 802.3u (100BaseTX)
10/100Mbps Auto-Sensing
Interface: RJ45 Ports
256KBytes
4K
Store and Forward, Full/Half Duplex, NonBlocking Flow Control
Power, ACT, LNK, COL, FDX, SPD
30 x 290 x 100
480
0-45
0-90% (Non-Condensing)
FCC Class B, CE Mark, C-Tick, VCCI
89
ANEXOS 3
Verificando la red:
La
Clave
del
usuario anita es
aguaani
90
Lo verificamos mediante la tabla de usuarios de la base de datos:
91
GLOSARIO
ACCESO: es la recuperacin o grabacin de datos que han sido almacenados en un

sistema de computacin. Cuando se consulta a una base de datos, los datos son
primeramente recuperados hacia la computadora y luego transmitidos a la pantalla
del terminal, desde donde pueden ser vistos, modificados o eliminados.
AMENAZA: cualquier cosa que pueda interferir con el funcionamiento adecuado de
una computadora personal o equipo informtico, o causar la difusin no autorizada
de informacin confiada a una computadora. Ejemplo: fallas de suministro elctrico,
virus, saboteadores o usuarios descuidados.
ANTIVIRUS: son todos aquellos programas que permiten analizar memoria,
archivos y unidades de disco en busca de virus. Una vez que el antivirus ha detectado
alguno de ellos, informa al usuario procediendo inmediatamente y de forma
automtica a desinfectar los ficheros, directorios, o discos que hayan sido vctimas
del virus.
ARCHIVO, DOCUMENTO: estos trminos tienen el mismo significado y hacen
referencia a la informacin que se encuentra en un soporte de almacenamiento
informtico. Es el trabajo real que realiza cada usuario (textos, imgenes, base de
datos, hojas de clculo, etc.). Cada uno de ellos se caracteriza por tener un nombre
identificativo. El nombre puede estar seguido de un punto y una extensin,
compuesta por tres caracteres que identifican el tipo de fichero del que se trata.
Algunas extensiones comunes son: EXE y COM (ficheros ejecutables, programas),
TXT y DOC (ficheros de texto), etc.
ATAQUE: trmino general usado para cualquier accin o evento que intente
interferir con el funcionamiento adecuado de un sistema informtico, o intento de
obtener de modo no autorizado la informacin confiada a una computadora.
AUDITORA: llevar a cabo una inspeccin y examen independiente de los registros
del sistema y actividades para probar la eficiencia de la seguridad de datos y
procedimientos de integridad de datos, para asegurar el cumplimiento con la poltica
establecida y procedimientos operativos, y para recomendar cualquier cambio que se
estime necesario.
AUTENTICIDAD: capacidad de determinar si una lista de personas han establecido
su reconocimiento y/o compromiso sobre el contenido del documento electrnico.
92
BASE DE DATOS: Es un conjunto de datos interrelacionados y un conjunto de

programas para accesarlos. Una recopilacin de datos estructurados y organizados de
una manera disciplinada para que el acceso a la informacin de inters sea rpido.
CARPETA: se trata de divisiones (no fsicas sino lgicas) en cualquier tipo de disco
donde son almacenamos determinados ficheros. Forman parte de una manera de
organizar la informacin del disco, guardando los documentos como si de una
carpeta clasificadora se tratase.
CHAT: se trata de conversaciones escritas en Internet. Mediante una conexin a la
red y un programa especial, es posible conversar (mediante texto escrito) con un
conjunto ilimitado de personas, al mismo tiempo
CONFIDENCIALIDAD: capacidad de mantener datos inaccesibles a todos,
excepto a una lista determinada de personas.
CPD: centro de procesamiento de datos, centro de cmputos.
CRIPTOGRAFA: (encriptacin) es la rama de las matemticas aplicadas que se
ocupa de transformar mensajes en formas aparentemente ininteligibles y devolverlas
a su forma original.
DATOS: los datos son hechos y cifras que al ser procesados constituyen una
informacin, sin embargo, muchas veces datos e informacin se utilizan como
sinnimos. En su forma
ms amplia los datos pueden ser cualquier forma de
informacin: campos de datos, registros, archivos y la base de datos, texto (coleccin

de palabras), hojas de clculo (datos en forma matricial), imgenes (lista de vectores
o cuadros de bits), video (secuencia de tramas), etc.
FIREWALL: es un sistema diseado para evitar accesos no autorizados desde o
hacia una red privada. Los Firewalls pueden estar implementados en hardware o
software, o una combinacin de ambos. Los firewalls son frecuentemente utilizados
para evitar el acceso no autorizado de usuarios de Internet a redes privadas
conectadas a la misma, especialmente intranets. Todos los mensajes que dejan o
entran a la red pasan a travs del firewall, el cual examina cada mensaje y bloquea
aquellos que no cumplan con determinado criterio de seguridad.
GUSANO: es programa similar a un virus que se diferencia de ste en su forma de
realizar las infecciones. Mientras que los virus intentan infectar a otros programas
copindose dentro de ellos, los gusanos solamente realizan copias de ellos mismos.
HACKER: persona que tiene un conocimiento profundo acerca del funcionamiento
de redes y que puede advertir los errores y fallas de seguridad del mismo. Al igual
93
que un cracker busca acceder por diversas vas a los sistemas informticos pero con
fines de protagonismo.
HOST: (sistema central) computador que permite a los usuarios comunicarse con
otros sistemas centrales de una red. Los usuarios se comunican utilizando programas
de aplicacin, tales como el correo electrnico, Telnet y FTP.
IDENTIFICACIN: un subtipo de autenticacin, verifica que el emisor de un
mensaje sea realmente quien dice ser.
INFECCIN: es la accin que realiza un virus al introducirse, empleando cualquier
mtodo, en nuestro ordenador (o en dispositivos de almacenamiento) para poder
realizar sus acciones dainas.
INTEGRIDAD: se refiere a que los valores de los datos se mantengan tal como
fueron puestos intencionalmente en un sistema. Las tcnicas de integridad sirven
para prevenir que existan valores errados en los datos provocados por el software de
la base de datos, por fallas de programas, del sistema, hardware o errores humanos.
El concepto de integridad abarca la precisin y la fiabilidad de los datos, as como la
discrecin que se debe tener con ellos.
ISP: (Internet Service Provider Proveedor de servicios de Internet) Empresa que
presta servicios de conexin a Internet.
LOCAL AREA NETWORK: (LAN) (Red de rea Local) red de datos para dar
servicio a un rea geogrfica pequea, un edificio por ejemplo, por lo cual mejorar
los protocolos de seal de la red para llegar a velocidades de transmisin de hasta
100 Mbps (100 millones de bits por segundo).
NAVEGADOR: (browser): trmino aplicado normalmente a programas usados para
conectarse al servicio WWW.
PHISHING: Es un trmino utilizado en informtica con el cual se denomina el uso
de un tipo de ingeniera social, caracterizado por intentar adquirir informacin
confidencial de forma fraudulenta. El estafador, mejor conocido como phisherse hace
pasar por una persona o empresa de confianza en una aparente comunicacin oficial
electrnica, por lo comn un correo electrnico o algn sistema de mensajera
instantnea.
PRIVACIDAD: se define como el derecho que tienen los individuos y
organizaciones para determinar, ellos mismos, a quin, cundo y qu informacin
referente a ellos ser difundidas o transmitida a otros.
94
PROGRAMAS (FICHEROS .EXE y .COM): los ficheros, documentos o archivos

se componen de un nombre (cuyo nmero de caracteres antiguamente se limitaba a
8) y una extensin que puede no existir o contener, hasta tres caracteres como
mximo. Esta extensin especifica el tipo de fichero. Si es EXE o COM, el fichero
ser un programa ejecutable. De esta forma si hacemos doble clic sobre l o
escribimos su nombre, se realizarn determinadas acciones.
PROTOCOLO: descripcin formal de formatos de mensaje y de reglas que dos
computadores deben seguir para intercambiar dichos mensajes.
ROUTER: (direccionador) dispositivo que distribuye trfico entre redes. La decisin
sobre a dnde enviar se realiza en base a informacin de nivel de red y tablas de
direccionamiento.
SEGURIDAD: se refiere a las medidas tomadas con la finalidad de preservar los
datos o informacin que en forma no autorizada, sea accidental o intencionalmente,
puedan ser modificados, destruidos o simplemente divulgados. En el caso de los
datos de una organizacin, la privacidad y la seguridad guardan estrecha relacin,
aunque la diferencia entre ambas radica en que la primera se refiere a la distribucin
autorizada de informacin, mientras que la segunda, al acceso no autorizado de los
datos. El acceso a los datos queda restringido mediante el uso de palabras claves, de
forma que los usuarios no autorizados no puedan ver o actualizar la informacin de
una base de datos o a subconjuntos de ellos.
SISTEMA OPERATIVO (S.O.): existen dos trminos muy utilizados en
informtica. Estos son los conceptos de hardware y software. El primero de ellos se
refiere a todo lo que es fsico y tangible en el ordenador, como unidades de disco,
tarjetas grficas, microprocesador, memoria, etc. Por otro lado est el software que se
define como el conjunto de programas (o informacin) con la que puede trabajar el
hardware (ficheros, directorios, programas ejecutables, base de datos, controladores,
etc.). El sistema operativo pertenece al software y ms concretamente es el conjunto
de programas (y ficheros o archivos de otro tipo) que permite que se pueda utilizar el
hardware. Se puede tener el mejor ordenador del mundo (el mejor hardware), pero si
ste no tiene instalado un sistema operativo, no funcionar (ni siquiera se podr
encender). Algunos ejemplos de sistemas operativos son: MS/DOS, UNIX, OS/2,
Windows 95/98/2000/NT, etc.
SMTP: (Simple Mail Transfer Protocol - Protocolo de Transferencia Simple de
correo). Es el protocolo usado para transportar el correo a travs de Internet.
95
SPAM: Envo de e-mails basura saturando los recursos de los servidores de correo.
SSL: (Secure Sockets Layer - Capa de Socket Segura). Protocolo que ofrece
funciones de seguridad a nivel de la capa de transporte para TCP.
TCP: (Transmission Control Protocol - Protocolo de control de Transmisin). Uno
de los protocolos ms usados en Internet. Es un protocolo de capa de transporte.
TELNET: Telnet es el protocolo estndar de Internet para realizar un servicio de
conexin desde un terminal remoto.
TEXTO PLANO: (Plain Text) se llama as al documento antes de ser encriptado.
WWW: World Wide Web. Estrictamente la Web es la parte de Internet a la que
accedemos a travs del protocolo HTTP y en consecuencia gracias a browsers
normalmente grficos como Netscape o Internet Explorer.
96
BIBLIOGRAFA
MCNAB, Chris, Seguridad en Redes, Ediciones Anaya Multimedia(Grupo Anaya,

S.A.),2004.
REFERENCIAS WEB:
http://www.auditoriasistemas.com/politicas_de_seguridad.htm
http://www.pc-news.com/detalle.asp?sid=&id=11&Ida=1255
http://www.w3c.org/TR/1999/REC-html401-19991224/loose.dtd
http://www.raona.com/Actius/SQLServer2005/tabid/141/Default.aspx
www.nexteleng.es/microsoft/camp_SQL/02.htm
http://www.microsoft.com/spanish/msdn/comunidad/mtj.net/voices/MTJ_0010.asp
http://www.microsoft.com/latam/sql/2005/productinfo
www.duiops.net/windows/winxp/nuevoestandar.htm
www.duiops.net/windows/winxp/herramientasavan.htm
http://www.duiops.net/windows/winxp/poneensusmanos.htm
http://www.w3c.org/TR/1999/REC-html401-19991224/loose.dtd
http://www.llanos.net/spa/item/RED08016.html---Switch 3COM
http://sisbib.unmsm.edu.pe/bibvirtual/tesis/Basic/cordova_rn/contenido.htm
http://www.planeta-digital.com/cursos/lib/javascript-mod.php
www.securityportal.com.ar
http://www.ame.gov.ec/frontEnd/municipios/mainMunicipios.php
http://www.auditoriasistemas.com/politicas_de_seguridad.htm
http://www.recursosvoip.com/netmeeting/index.php
97

Tesis PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Tesis PDF

Uploaded by

Copyright:

Available Formats

UNIVERSIDAD POLITCNICA SALESIANA

ELABORACIN DE UN PLAN DE SEGURIDAD

Los conceptos desarrollados, anlisis

presente trabajo, son de exclusiva

Cuenca, febrero 14 del 2007

Certifico que bajo mi direccin el

Diana Fernanda Carchipulla Choco

Este proyecto de tesis en Primer lugar

A nuestros compaeros y amigos por

Con mucho cario.

1.4.2.3 Tipos de Datos _____________________________________________________ 43

CAPITULO III ____________________________________________________________ 64

Plan de Seguridad Informtico

El presente documento describe de forma detallada el anlisis que se llev a

Plan De Seguridad Informtica

Actualmente la seguridad informtica ha adquirido gran auge en todas las

Esto ha llevado a que las organizaciones se preocupen por desarrollar

Por lo que se parte desarrollando documentos y directrices que orienten en el

Finalmente definir estrategias para dar cumplimiento a las polticas de

Plan De Seguridad Informtica

En la realizacin de la tesina Elaboracin del plan de Seguridad Informtica

Esta aplicacin de seguridad informtica no pretende realizar juicios de valor

Se trata de dar a conocer la eficacia de los controles internos y externos

Elaborar un conjunto de Polticas de Seguridad y un plan de contingencias

En definitiva, esta tesis no tiene como objetivo principal dar modelos

Seguridad Informtica de los mdulos revisados en el Curso de Graduacin para

Plan De Seguridad Informtica

Plan de Seguridad Informtico

1.1.1 RESEA HISTORICA

Posteriormente se cree que fue zona de intercambio cultural y comercial de

En 1862, se abri una va al oriente bordeando el ro Paute que servira para

Una nueva oleada de personas, muchas de las cuales se asentaron en el cantn

Plan De Seguridad Informtica

Los cambios peridicos en la economa y la composicin de la poblacin de

Entre los meses de marzo y mayo de 1993 el cerro Tamuga se desplom,

La historia de Paute no es ms que el recuento de numerosos retos que debi

Plan De Seguridad Informtica

1.1.2 MISION, VISION Y OBJETIVOS

Es fundamental que el Municipio redacte la misin, visin y objetivos. De

Con la visin podemos definir hacia donde queremos llegar como

organizacin y hacia donde est encaminado el trabajo municipal. Y con los

1.1.3 DATOS GENERALES DEL CANTON PAUTE:

% Crecimiento anual: 0.6

Plan De Seguridad Informtica

Plan De Seguridad Informtica

1.1.5 ESTRUCTURA ORGANIZACIONAL

Plan De Seguridad Informtica

1.1.5.2 ORGANIZACIN DEL REA DE SEGURIDAD INFORMTICA

El Municipio cuenta con un Centro de Cmputo, el cual se encuentra

No se ha desarrollado documentacin formal como es la definicin de

El sistema desarrollado por SINET contiene algunos controles sobre

El encargado del centro de cmputo tiene la misin de apoyar en la

Actualizar versiones de los sistemas informticos existentes en la

Evaluar peridicamente su ejecucin; proponiendo planes para el desarrollo

Asistir tcnicamente a los funcionarios y empleados en el manejo y uso de

Remitir informes peridicos sobre avances, resultados y actividades de la

Plan De Seguridad Informtica

Planear, organizar, dirigir y controlar las actividades de la dependencia bajo

eliminacin de usuarios, verificacin de perfiles en las aplicaciones. Tiene

Tambin ser el encargado de administrar la seguridad de informacin, de

Mantener la confidencialidad de las contraseas de aplicaciones y sistemas

Reportar supuestas violaciones de la seguridad de informacin.

Asegurarse de ingresar informacin adecuada a los sistemas