universidad central del ecuador€¦ · metodología expuesta por el egsi tomando en consideración...
TRANSCRIPT
UNIVERSIDAD CENTRAL DEL ECUADOR
FACULTAD DE INGENIERÍA, CIENCIAS FÍSICAS Y MATEMÁTICA
CARRERA DE INGENIERÍA INFORMÁTICA
“IMPLEMENTACIÓN DE UN ESQUEMA DE SEGURIDAD PARA LA RED DE LA
UNIDAD EDUCATIVA PARTICULAR CARDENAL SPELLMAN FEMENINO”
TRABAJO DE GRADUACIÓN PREVIO A LA OBTENCIÓN DEL TITULO DE
INGENIERO INFORMÁTICO
AUTOR: DIEGO ALEJANDRO ROMERO QUEVEDO
TUTOR: ING. MAURO LEONARDO ROSAS LARA., MSC.
QUITO, 27 DE JULIO
2017
ii
DERECHOS DE AUTOR
iii
CERTIFICACIÓN DEL TUTOR
iv
APROBACIÓN DEL TRIBUNAL
v
NOTA PROMEDIO
vi
DEDICATORIA
A Dios por cada día de vida y por ponerme varias pruebas de las cuales he aprendido
mucho.
A mis padres que son pilares fundamentales en mi vida, que siempre me han dado buenos
consejos y jamás me dejaron decaer en los momentos difíciles.
A mis verdaderos amigos, que me han demostrado su gran e incondicional apoyo cuando
más los necesite.
vii
AGRADECIMIENTO
Agradezco en primer lugar a Dios, quien cada día me dio y me sigue dando la fortaleza
necesaria para poder afrontar todos los obstáculos que se me presentan.
A mi familia que siempre me brindan su cariño y apoyo incondicional para seguir adelante
y me ayudaron a cumplir una de mis metas más grandes que es la culminación de mi
carrera profesional.
A mis amigos, quienes siempre han estado apoyándome con sus palabras de aliento y
siempre están conmigo en los buenos y malos momentos.
A la Facultad de Ingeniería, Ciencias Físicas y Matemáticas, por la formación que
inculcaron en mi para poder desenvolverme de la mejor manera en el campo profesional.
A las autoridades de la Unidad Educativa Particular Cardenal Spellman Femenino,
quienes depositaron su confianza en mí para poder desarrollar este proyecto en la
institución.
viii
CONTENIDO
DERECHOS DE AUTOR .................................................................................................................... II
CERTIFICACIÓN DEL TUTOR ....................................................................................................... III
APROBACIÓN DEL TRIBUNAL ..................................................................................................... IV
NOTA PROMEDIO ............................................................................................................................ V
DEDICATORIA ................................................................................................................................. VI
AGRADECIMIENTO ....................................................................................................................... VII
CONTENIDO ................................................................................................................................... VIII
LISTA DE TABLAS .............................................................................................................................X
LISTA DE FIGURAS ..........................................................................................................................XI
RESUMEN .........................................................................................................................................XII
ABSTRACT ...................................................................................................................................... XIII
INTRODUCCIÓN ................................................................................................................................ 1
1. ANTECEDENTES ........................................................................................................................... 3
1.1 PROBLEMÁTICA .................................................................................................................................. 3 1.2 JUSTIFICACIÓN .................................................................................................................................... 4 1.3 OBJETIVO GENERAL ............................................................................................................................ 4 1.4 OBJETIVOS ESPECÍFICOS ...................................................................................................................... 5 1.5 ALCANCE ............................................................................................................................................ 5 1.6 LIMITACIONES ..................................................................................................................................... 6 1.7 ANÁLISIS DE HERRAMIENTAS UTILIZADAS .......................................................................................... 6
2. MARCO TEORICO ...................................................................................................................... 12
2.1 METODOLOGÍA DE INVESTIGACIÓN ................................................................................................... 12 2.2 SEGURIDAD INFORMÁTICA ................................................................................................................ 13 2.3 ESQUEMA DE SEGURIDAD INFORMÁTICA ........................................................................................... 17 2.4 ANÁLISIS DE VULNERABILIDADES ..................................................................................................... 18 2.5 ANÁLISIS DE AMENAZAS ................................................................................................................... 19 2.6 METODOLOGÍAS DE SEGURIDAD INFORMÁTICA ................................................................................. 20 2.7 HARDENING DE EQUIPOS ................................................................................................................... 24 2.8 POLÍTICAS DE SEGURIDAD INFORMÁTICA .......................................................................................... 25
3. IMPLEMENTACIÓN DE LA METODOLOGÍA PARA EL ESQUEMA DE SEGURIDAD .... 28
3.1 EGSI (ESQUEMA GUBERNAMENTAL DE SEGURIDAD DE LA INFORMACIÓN) ..................................... 28 3.2 PROCESOS PARA LA IMPLEMENTACIÓN DEL ESQUEMA DE SEGURIDAD .............................................. 30 3.3 LEVANTAMIENTO DE LA INFORMACIÓN DE LA INFRAESTRUCTURA ................................................... 33 3.4 DIAGNÓSTICO DE LA SEGURIDAD EN LA INFRAESTRUCTURA ............................................................. 35 3.5 ANÁLISIS DE VULNERABILIDADES Y AMENAZAS ............................................................................... 39 3.6 ANÁLISIS DE RIESGOS........................................................................................................................ 52 3.7 DEFINICIÓN DE POLÍTICAS DE SEGURIDAD PARA SU IMPLEMENTACIÓN ............................................. 56 3.8 POLÍTICA DE LA SEGURIDAD DE LA INFORMACIÓN ............................................................................ 77
ix
3.9 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN .................................................................. 78 3.10 GESTIÓN DE LOS ACTIVOS ............................................................................................................... 80 3.11 SEGURIDAD DE LOS RECURSOS HUMANOS ....................................................................................... 82 3.12 SEGURIDAD FÍSICA Y DEL ENTORNO ................................................................................................ 83 3.13 CONTROL DE ACCESO ...................................................................................................................... 88 3.14 GESTIÓN DE LOS INCIDENTES DE LA SEGURIDAD DE LA INFORMACIÓN ............................................ 89 3.15 CUMPLIMIENTO ............................................................................................................................... 90
4. PROPUESTAS ............................................................................................................................... 91
4.1 PROPUESTA SISTEMA DE ANTIVIRUS .................................................................................................. 91 4.2 PROPUESTA SISTEMA DE VIDEO VIGILANCIA ..................................................................................... 93 4.3 PROPUESTA MANTENIMIENTO UPS ................................................................................................... 94 4.4 PROPUESTA SOFTWARE DE CIFRADO DE ARCHIVOS ........................................................................... 95
5. CONCLUSIONES .......................................................................................................................... 97
6. RECOMENDACIONES ................................................................................................................. 98
BIBLIOGRAFÍA ................................................................................................................................ 99
ANEXOS........................................................................................................................................... 100
ANEXO A ............................................................................................................................................ 101 ANEXO B ............................................................................................................................................ 102 ANEXO C ............................................................................................................................................ 103 ANEXO D ............................................................................................................................................ 104 ANEXO E ............................................................................................................................................ 105 ANEXO F ............................................................................................................................................ 106 ANEXO G ............................................................................................................................................ 107 ANEXO H ............................................................................................................................................ 108 ANEXO I ............................................................................................................................................. 110 ANEXO J ............................................................................................................................................. 114 ANEXO K ............................................................................................................................................ 115 ANEXO L ............................................................................................................................................ 117 ANEXO M ........................................................................................................................................... 121 ANEXO N ............................................................................................................................................ 127 ANEXO O ............................................................................................................................................ 128 ANEXO P ............................................................................................................................................ 131 ANEXO Q ............................................................................................................................................ 132 ANEXO R ............................................................................................................................................ 134 ANEXO S ............................................................................................................................................ 136 ANEXO T ............................................................................................................................................ 137 ANEXO U ............................................................................................................................................ 138 ANEXO V ............................................................................................................................................ 140 ANEXO W ........................................................................................................................................... 142 ANEXO X ............................................................................................................................................ 143
x
LISTA DE TABLAS
TABLA 1. CARACTERÍSTICAS PRINCIPALES DEL HARDENING DE SISTEMAS OPERATIVOS .............................. 7 TABLA 2. COMPARACIÓN KALI LINUX Y PENTOO ......................................................................................... 7 TABLA 3. CARACTERÍSTICAS PRINCIPALES DE NMAP .................................................................................... 8 TABLA 4. COMPARACIÓN HERRAMIENTAS NESSUS Y OPENVAS. ................................................................... 9 TABLA 5. CARACTERÍSTICAS PRINCIPALES DE METASPLOIT. ........................................................................ 9 TABLA 6. COMPARACIÓN HERRAMIENTAS WIRESHARK Y ETTERCAP. ......................................................... 10 TABLA 7. CRITERIOS DE LA INVESTIGACIÓN CUALITATIVA (MACHADO, 2015, PÁG. 3) ............................... 12 TABLA 8. SEGURIDAD FÍSICA ...................................................................................................................... 14 TABLA 9. SEGURIDAD LÓGICA ..................................................................................................................... 14 TABLA 10. PROTOCOLOS DE COMUNICACIÓN SEGURA................................................................................. 16 TABLA 11. FASES DEL ANÁLISIS DE VULNERABILIDADES ............................................................................ 18 TABLA 12. CRITERIOS DE VALORACIÓN DEL DAÑO CAUSADO POR LA AMENAZA ......................................... 20 TABLA 13. CRITERIOS PARA VALORACIÓN DE LA FRECUENCIA DE LAS AMENAZAS ..................................... 20 TABLA 14. COMPARATIVO DE METODOLOGÍAS SEGURIDAD INFORMÁTICA ................................................. 22 TABLA 15. ACTIVIDADES DEL PROCESO DE HARDENING ............................................................................. 24 TABLA 16. POLÍTICA DE SEGURIDAD INFORMÁTICA .................................................................................... 27 TABLA 17. PROCESOS DEL EGSI (ACUERDO MINISTERIAL 166, 2013) ....................................................... 28 TABLA 18. PROCESOS Y ACTIVIDADES PARA EL ESQUEMA DE SEGURIDAD. ................................................. 30 TABLA 19. SERVICIOS DE RED DE LA INSTITUCIÓN ...................................................................................... 35 TABLA 20. EQUIPOS CON MAYOR PRIORIDAD DE PROTECCIÓN .................................................................... 39 TABLA 21. PROCESOS BÁSICOS PARA PENTESTING. ..................................................................................... 40 TABLA 22. VULNERABILIDADES PC SECRETARIA ....................................................................................... 45 TABLA 23. VULNERABILIDADES PC SISTEMAS 01 ....................................................................................... 45 TABLA 24. VULNERABILIDADES SERVIDOR SF DATOS 01 ........................................................................... 45 TABLA 25. VALORACIÓN DE RIESGOS PC SECRETARIA ............................................................................... 53 TABLA 26. VALORACIÓN DE RIESGOS PC SISTEMAS 01............................................................................... 53 TABLA 27. VALORACIÓN DE RIESGOS SERVIDOR SF DATOS 01 .................................................................. 53 TABLA 28. PROBABILIDAD DE AMENAZAS PC SECRETARIA ........................................................................ 55 TABLA 29. PROBABILIDAD DE AMENAZAS PC SISTEMAS01 ........................................................................ 55 TABLA 30. PROBABILIDADES DE AMENAZAS SERVIDOR SF DATOS 01 ........................................................ 55 TABLA 31. CATEGORÍAS BLOQUEADAS Y CONTROLADAS FORIGATE 240D ................................................. 61 TABLA 32. APLICACIONES BLOQUEADAS Y CONTROLADAS FORTIGATE 240D ............................................ 61 TABLA 33. CATEGORÍAS Y CONTENIDOS WEB ............................................................................................. 63 TABLA 34. DESCRIPCIÓN DE LOS PARÁMETROS DE LA POLÍTICA LABORATORIO PRIMARIA ......................... 66 TABLA 35. FACTORES DE POLÍTICA DE CONTRASEÑA .................................................................................. 69 TABLA 36. CUENTAS DE USUARIOS ADMINISTRADORES Y ESTANDAR ......................................................... 70 TABLA 37. SERVICIOS INHABILITADOS DEL SISTEMA OPERATIVO ............................................................... 74 TABLA 38. CONTROL DE INGRESO AL ÁREA DE SISTEMAS ........................................................................... 84 TABLA 39. REGISTRO DE MANTENIMIENTO ................................................................................................. 87 TABLA 40. CONTROL DE CAMBIO DE CONTRASEÑAS ................................................................................... 89 TABLA 41. PROPUESTA ECONÓMICA MANTENIMIENTO UPS DE NOBREAK S.A ........................................... 95 TABLA 42. VENTAJAS Y DESVENTAJAS CIFRADO ......................................................................................... 95
xi
LISTA DE FIGURAS
FIGURA 1. OBJETIVOS DE LA POLÍTICA DE SEGURIDAD INFORMÁTICA (MARTINEZ, 2015) ........................... 26 FIGURA 2. EQUIPOS DEL DEPARTAMENTO DE SECRETARIA GENERAL ......................................................... 36 FIGURA 3. EQUIPOS DEL DEPARTAMENTO DE COLECTURÍA ......................................................................... 37 FIGURA 4. EQUIPOS DEL DEPARTAMENTO DE SISTEMAS .............................................................................. 38 FIGURA 5. SERVIDORES ............................................................................................................................... 39 FIGURA 6. RESUMEN INFORMACIÓN SERVIDOR SF DATOS 01 ..................................................................... 42 FIGURA 7. ESCANEO SERVIDOR SF DATOS 01 ............................................................................................. 43 FIGURA 8. SERVICIOS Y VERSIONES SERVIDOR SF DATOS 01 ...................................................................... 44 FIGURA 9. COMANDO ALMACENAMIENTO DE INFORMACIÓN NMAP ............................................................ 47 FIGURA 10. COMANDOS HOSTS Y SERVICES................................................................................................. 47 FIGURA 11. MÓDULO DE EXPLOTACIÓN CVE-2014-3566 ........................................................................... 48 FIGURA 12. COMANDO USE Y SHOW OPTIONS .............................................................................................. 48 FIGURA 13. COMANDO SET RHOSTS .......................................................................................................... 49 FIGURA 14. EJECUCIÓN Y RESULTADO DEL MÓDULO DE EXPLOTACIÓN ....................................................... 49 FIGURA 15. RESUMEN DE LA VULNERABILIDAD CVE-2014-3566 ............................................................... 50 FIGURA 16. CAPTURA DE PAQUETES CON WIRESHARK ................................................................................ 51 FIGURA 17. TRAMA CON EL PROCESO DE INGRESO AL SITIO WEB ................................................................ 51 FIGURA 18. RESULTADOS SNNIFING ............................................................................................................ 52 FIGURA 19. INTERFACES DEL FORTIGATE 240D .......................................................................................... 58 FIGURA 20. PARÁMETROS DE LA INTERFAZ WIFI ....................................................................................... 59 FIGURA 21. PARÁMETROS DE LA INTERFAZ LAN ........................................................................................ 59 FIGURA 22. CONTROL DE APLICACIONES LABORATORIOS ........................................................................... 60 FIGURA 23. FILTRADO WEB LABORATORIO ................................................................................................. 63 FIGURA 24. RANGO DE IPS LABORATORIO PRIMARIA ................................................................................. 65 FIGURA 25. POLÍTICA LABORATORIO DE PRIMARIA .................................................................................... 66 FIGURA 26. POLÍTICAS INTERFAZ LAN FORTIGATE 240D ............................................................................ 67 FIGURA 27. CONSOLA DE ADMINISTRACIÓN AVAST FOR BUSINESS ............................................................. 68 FIGURA 28. TAREA DE ACTUALIZACIÓN DE AGENTES AVAST. ..................................................................... 69 FIGURA 29. CONFIGURACIÓN POLÍTICA NO EJECUTAR APLICACIONES DE WINDOWS ESPECIFICAS .............. 73 FIGURA 30. POLÍTICA DESACTIVAR WINDOWS INSTALLER ......................................................................... 74 FIGURA 31. POLÍTICA DE AUDITORIA DE INICIO DE SESIÓN .......................................................................... 76 FIGURA 32. PROPUESTA ECONÓMICA ESET ENDPOINT ADVANCED DE ARGOSYSTEM ........................... 92
FIGURA 33. PROPUESTA ECONÓMICA ESET ENDPOINT ADVANCED DE INFORC ECUADOR ......................... 92
FIGURA 34. PROPUESTA ECONÓMICA SISTEMA DE CARAMAS KSV TELECOM ............................................. 93 FIGURA 35. PROPUESTA ECONÓMICA SISTEMA DE CÁMARAS WORK COMPUTER ......................................... 94
xii
RESUMEN
IMPLEMENTACIÓN DE UN ESQUEMA DE SEGURIDAD PARA LA RED DE
LA UNIDAD EDUCATIVA PARTICULAR CARDENAL SPELLMAN
FEMENINO
Autor: Diego Alejandro Romero Quevedo
Tutor: Ing. Mauro Leonardo Rosas Lara., MSc
El presente proyecto trata del Diseño e Implementación de un Esquema de Seguridad
Informática para una Institución Educativa que tiene por objeto ayudar al fortalecimiento
de la seguridad de la información que se maneja dentro de la Red de la Unidad Educativa
Particular Cardenal Spellman Femenino. El esquema se lo diseño siguiendo la
metodología expuesta por el EGSI tomando en consideración los puntos claves para
aplicarla a Instituciones Educativas, se ha realizado técnicas de Hacking Ético como
Pentesting y Sniffing para encontrar las vulnerabilidades de la red, se implementaron
algunas técnicas de Hardening y las debidas políticas de seguridad siguiendo las normas
ISO 27001. Como resultado final se obtiene un Esquema de Seguridad Informática
implementado que garantizara la confiabilidad, disponibilidad e integridad de la
información que fluye a través de la red de la institución.
PALABRAS CLAVE: /ESQUEMA DE SEGURIDAD / METODOLOGIA EGSI /
HACKING ETICO / PENTESTING / SNIFFING / POLITICAS DE SEGURIDAD /
NORMAS ISO 27001
xiii
ABSTRACT
IMPLEMENTATION OF A SAFETY SCHEME FOR THE NETWORK OF THE
PARTICULAR EDUCATIONAL UNIT OF THE CARDINAL SPELLMAN
FEMENINE
Author: Diego Alejandro Romero Quevedo
Tutor: Eng. Mauro Leonardo Rosas Lara., MSc
The present project deals with the Desing and Implementation of a Computer Security
Scheme for an Educational Institution whose purpose is to help strengthen the information
security that is handled within the Network of the Individual Educational Unit Cardenal
Spellman Femenine. The scheme was desinged following the methodology outlined by
the EGSI taking into consideration the key points to apply it to Educational Institutions,
Ethical Hacking techniques such as Pentesting an Sniffing to find the network
vulnerabilities, some Hardening techniques and Due safety policies in accordance with
ISO 27001 standards. As a final result, a Computer Security Scheme is implemented that
guarantees the reliability, availability and integrity of the information flowing through the
institution’s network.
KEYWORDS: SAFETY SCHEME / METHODOLOGY EGSI / ETHICAL HACKING
/ PENTESTING / SNNIFING / SAFETY POLICIES / STANDARDS ISO 27001
1
INTRODUCCIÓN
“La Unidad Educativa Particular Cardenal Spellman Femenino, es una institución que
desde 1959 se ha dedicado a la formación académica-religiosa de ciudadanas que con un
alto grado de instrucción bilingüe y acorde a los avances científicos, tecnológicos y
pedagógicos, serán personas católicas, íntegras y con conciencia crítica, comprometidas
con la sociedad bajo el carisma y los principios salesianos. (Colegio, s,f)
El presente documento inicia con el numeral en donde se explica los antecedentes de la
realización del proyecto, en el cual se describe la problemática que existió en cuanto a la
situación de la seguridad en la red de la institución, se presenta el objetivo general y como
se lo ha conseguido mediante la consecución de los objetivos específicos, además se
explica la justificación del porque la realización del proyecto, así como el alcance y las
limitaciones que ha tenido el proyecto.
Luego de haber estudiado el apartado anterior continuamos con lo realizado en el marco
teórico. En esta sección del documento se detalla las definiciones que se han considerado
en el desarrollo del proyecto, empezamos con la definición de seguridad informática y
una breve descripción de sus dos tipos más importantes. También se realizó un estudio
de las metodologías tanto para la investigación como para el Diseño de Esquemas de
Seguridad y una evaluación de las mismas, además se explica cómo realizar un análisis
de vulnerabilidades y como se debe implementar las políticas y el esquema se seguridad.
El siguiente numeral se deriva de la sección anterior en cuanto a la metodología que fue
escogida para ser empleada en el Diseño e Implementación del Esquema de Seguridad,
aquí se explican los procedimientos que se ha seguido para el levantamiento de la
información, los respectivos diagnósticos sobre el estado de la infraestructura, además la
realización de los análisis de vulnerabilidades y amenazas, para concluir con el diseño
e implementación del esquema de seguridad para mitigar los riesgos y erradicar en lo
posible las vulnerabilidades.
2
Continuamos con el apartado correspondiente a las conclusiones y las recomendaciones,
en el cual se explica los resultados que se obtuvieron en la realización del trabajo, se
encuentran considerados con más énfasis los resultados de los análisis de vulnerabilidades
y amenazas, también aquellos beneficios se han logrado con la implementación del
esquema de seguridad.
El numeral anexo nos muestra los esquemas que se han generado durante la realización
del proyecto, esquemas como los diagramas de la red y la evolución de la misma con las
propuestas de mejora e implementación de las políticas de seguridad
3
1. ANTECEDENTES
1.1 Problemática
La Unidad Educativa Particular “Cardenal Spellman Femenino” cuenta con un
departamento de Sistemas, el cual está encargado de la administración de la red y demás
servicios tecnológicos que abastecen y son de gran utilidad para la institución.
Luego de haberse realizado un breve diagnóstico en conjunto con el departamento de
Sistemas, se informó la presencia de diversas falencias en el sistema de cableado
estructurado de la institución, dando a conocer que en un principio existían dos enlaces
de fibra, estos enlaces llegaban a un router para ser repartidos a 2 switch administrables,
los cuales se encargaban de distribuir el servicio de red e internet por separado a cada una
de las dependencias de la institución. Ver Anexo B. Esquema inicial de distribución red
interna.
Por tanto el edificio de Inicial y Bachillerato no podía acceder a los servicios que se
encuentran en el segmento de red de Primaria y Básica Superior, que es en donde está el
rack principal.
No se ha seguido una norma para la realización del cableado estructurado, de manera que
la institución no cuenta con documentación técnica sobre la infraestructura, también
existen equipos que están por cumplir su vida útil y se observó cascadas en donde se
interconectan más de 2 switch, haciendo que el tráfico de navegación sea reducido.
La institución adquirió un firewall de siguiente generación, el cual fue instalado
únicamente con configuraciones básicas de funcionamiento, por tanto debía
implementarse configuraciones adicionales para optimizar su funcionamiento en la
infraestructura.
4
También se evidencio la falta de políticas de seguridad en cuanto a acceso a los equipos,
no existía una buena política de contraseñas que impida el acceso a equipos del personal
administrativo, haciendo que equipos pertenecientes a los laboratorios de computación
puedan acceder casi sin problema. Además las impresoras en red también podían ser
vistas y accedidas por parte de equipos de los laboratorios haciendo que estos envíen
ordenes de impresión sin autorización.
1.2 Justificación
Se presentó la necesidad de implementar configuraciones en dispositivos presentes en la
red, para el caso de este proyecto se procedió a la configuración de políticas en el firewall
de siguiente generación.
Otra necesidad que se notó en la institución fue la implementación de políticas de
seguridad que ayuden a la protección de los datos que residen en los equipos de algunos
de los usuarios administrativos, a los cuales se les podía destacar como primera falla la
ausencia de contraseñas robustas para acceder a los mismos. Para ello se procedió a
realizar técnicas de Hacking Ético, precisamente Pentesting y Sniffing para poder detectar
las vulnerabilidades y las amenazas que estaban presentes la infraestructura de la
institución.
La implementación del esquema de seguridad basado en el EGSI en conjunto con la
aplicación de Hardening de equipos y procesos de la norma ISO27001 sirvió para ayudar
a garantizar la confidencialidad, integridad y disponibilidad de la información dentro de
la institución, se ha logrado mitigar los riesgos que se pudo encontrar en la red y se mejoró
la administración de la infraestructura.
1.3 Objetivo general
Diseñar e implementar un esquema de seguridad para la red de la Unidad
Educativa Particular “Cardenal Spellman Femenino”.
5
1.4 Objetivos específicos
Realizar un diagnóstico completo de la red de la institución, en busca de fallos en
la seguridad de la misma mediante técnicas de Hacking Ético.
Implementar y configurar dispositivos de red que sean estrictamente necesarios
para fortalecer la seguridad y correcto funcionamiento de la misma.
Implementar políticas de seguridad que sean necesarias luego de haberse realizado
el diagnóstico de la red basándonos principalmente en los procesos del Esquema
Gubernamental de Seguridad de la Información (EGSI), en Hardening de equipos
y las normas ISO27001.
1.5 Alcance
Se elaboró diagramas aproximados de la topología de la red con descripción breve de los
equipos que la componen.
El inventario de los activos de software y hardware se lo realizó con características
técnicas básicas y sus ubicaciones, en cuanto a las aplicaciones solo se inventario las más
usadas en la institución.
Para los análisis de vulnerabilidades y amenazas se procedió a realizar solo dos técnicas
de hacking ético que fueron: Pentesting que se aplicó en 3 objetivos críticos y Sniffing
para obtener las credenciales de acceso a uno de los sistemas que se utiliza en la
institución.
Solo se implementaron algunos procesos del EGSI, los cuales son los que mejor se
ajustaron para ser implementados en una institución educativa.
Para la implementación de las políticas de seguridad se tomó el principio del Hardening
de Sistemas Operativos y de las normas ISO27001 únicamente se consideró el
planteamiento para conformar un comité de auditoría interna para la seguridad
informática.
De acuerdo a lo estipulado en el principio CIA (Confidentiality, Integrity, Availability),
que encierra los principios fundamentales de la seguridad informática que son:
6
Confidencialidad, Integridad y Disponibilidad de la información, se establece que ningún
sistema de seguridad es seguro en su totalidad, sin embargo existen sistemas de seguridad
menos vulnerables, por tanto el esquema de seguridad implementado en esta institución
se ajusta a lo mencionado anteriormente, es decir, es un esquema con menos
vulnerabilidades.
1.6 Limitaciones
La ausencia de documentación técnica y el personal reducido del área de Sistemas, hizo
que los diagramas de la infraestructura de red sean aproximados, explicando así lo
mencionado en el apartado de los alcances.
Considerando que en la institución existe un gran volumen de computadores, el inventario
de los activos de hardware no incluye monitores, mouse, ni teclados.
La aplicación de las técnicas de Hacking Ético no se las realizo de manera avanzada, es
decir solo se empleó la búsqueda de vulnerabilidades y escaneo de puertos.
La implementación de equipamiento extra no se la realizo, no obstante se la dejó como
una recomendación, esto debido a que se debe cambiar varios equipos y por tanto depende
de la aprobación de las autoridades la compra de los mismos.
Debido a lo extenso y el tiempo que abarca la implementación de todo el esquema EGSI,
solo se escogió algunos procesos, los cuales también no fueron implementados en su
totalidad por diversas razones, una de ellas por la espera de aprobación por parte de las
autoridades, dado que su tiempo es limitado y no han podido revisar a fondo las políticas
que deben ser implementadas.
1.7 Análisis de herramientas utilizadas
Mediante el análisis de características y algunas comparaciones se ha realizado la
justificación del uso de las herramientas utilizadas en las pruebas que se hicieron a lo
largo del proyecto.
7
En la Tabla 1 se puede apreciar las características principales de la técnica de Hardeninig
de sistemas operativos, que fueron las razones fundamentales por las cuales fueron
implementadas en el proyecto.
Tabla 1. Características principales del Hardening de Sistemas Operativos
Característica Descripción general
Eliminación de cuentas
Eliminación de cuentas de usuario que
no se estén utilizando para permitir
accesos a usuarios activos.
Empleo de políticas de contraseñas
Políticas robustas para contraseñas,
capaces de mantener seguro el ingreso
a la sesión de un usuario.
Cierre de puertos de red
Cerrar puertos no utilizados para
evitar ataques de intrusión o
explotación.
Administración de privilegios de usuario Dar privilegios necesarios a los
usuarios de los equipos.
Eliminación de servicios
Eliminación de servicios que
consumen recursos innecesariamente
en el ordenador.
La Tabla 2 muestra una comparación de sistemas operativos y se definió el más óptimo
para realizar las pruebas de pentesting y sniffing.
Tabla 2. Comparación Kali Linux y Pentoo
Criterio Kali Linux Pentoo
Herramientas de
Pentesting y Sniffing
Posee un set completo y
variado de herramientas
en su instalación.
Solo tienen instalado
herramientas básicas en
su distribución.
8
Rendimiento
inalámbrico
Trabaja de mejor manera y
sin complicaciones
cuando se conecta vía
inalámbrica.
Su rendimiento
inalámbrico no es muy
robusto.
Entorno de trabajo Su entorno de trabajo es
similar a CentOS.
Su entorno de trabajo
es similar a Ubuntu.
Compilación de
sistema
Solo necesita una
compilación para obtener
todos sus módulos
optimizados.
Se debe compilar al
menos tres veces para
que sus módulos
queden optimizados.
Nivel de pruebas de
Hacking
Nivel avanzado Nivel básico
Se consideró utilizar Kali Linx por dos razones: su nivel avanzado para pruebas de
seguridad y por su variado set de herramientas para hacking, las cuales están en cierta
manera conectadas unas con otras.
En la Tabla 3 se puede apreciar las características que nos llevaron a la utilización de
Nmap para el escaneo de puertos en los equipos de la institución.
Tabla 3. Características principales de Nmap
Característica Descripción general
Escaneo de red
Lista los equipos que están conectados en la red y
nos muestra información importante como por
ejemplo el sistema operativo con el que cuenta el
host.
Escaneo de puertos Realiza escaneo de puertos en los hosts y los
clasifica como open, closed y filtered.
Identificación de servicios Identifica los servicios que estén corriendo en los
puertos escaneados.
Escaneo tipo SYN Son pruebas para envío de paquetes que intentan
abrir una conexión TCP en el puerto seleccionado.
9
Se realizó un comparativo entre Nessus y OpenVas y se definió la herramienta para la
identificación de las vulnerabilidades, en la Tabla 4 se aprecia dicha comparación.
Tabla 4. Comparación herramientas Nessus y OpenVas.
Criterio Nessus OpenVas
Instalación y configuración
Su instalación y
configuración inicial es
sencilla.
Debido a su arquitectura
su instalación y
configuración es mas
compleja
Plugins de identificación
Tiene alrededor de 48268
plugins para identificar
vulnerabilidades.
Tiene alrededor de 25505
plugins para identificar
vulnerabilidades.
Interfaz de uso
En la última versión se
opera mediante interfaz
web.
Se puede operar tanto en
interfaz web como en
aplicación de escritorio.
Tiempo de identificación de
vulnerabilidades
La identificación es
rápida.
La identificación tarda
más tiempo.
Detección de
vulnerabilidades críticas
Puede identificar
vulnerabilidades de tipo
crítico.
Carece de identificación
de vulnerabilidades de
tipo crítico.
Luego de realizada la comparación entre las herramientas Nessus y OpenVas, se
consideró utilizar Nessus por las siguientes razones principales: el número alto de plugins
de identificación y el tiempo en el que se demora en encontrar las vulnerabilidades.
Para el aspecto de la explotación de vulnerabilidades se utilizó la herramienta Metasploit
que esta preinstalada en Kali Linux, las razones por la cual se ha considerado esta
herramienta están dadas por sus características principales que se muestran en la Tabla 5.
Tabla 5. Características principales de Metasploit.
Características Descripción general
Base de datos de exploits
Contiene una base de datos completa y
actualizada con los diversos exploits
para explotación de vulnerabilidades.
10
Interacción con otras herramientas
Interactúa con herramientas como
nmap para obtener alimentar la base de
datos de las vulnerabilidades.
Framework
No es solo un software, es un conjunto
de bases de datos, librerías, etc.
Además es un entorno de testeo para
diversas plataformas.
Explotación de vulnerabilidades
Realiza la explotación de
vulnerabilidades mediante exploits
encontrados por sus códigos CVE en
su base de datos.
En cuanto a la realización de las pruebas de Sniffing, en primera instancia se realizó la
comparación de las herramientas Wireshark y Ettercap. La Tabla 6 muestra la
comparación y en base a ello se definió la herramienta que se utilizó para el sniffing.
Tabla 6. Comparación herramientas Wireshark y Ettercap.
Criterio Wireshark Ettercap
Plataformas de
funcionamiento
Se instala sobre Linux y
Windows
Se instala sobre Linux y
Windows, pero funciona
mejor en Linux.
Captura de paquetes Realiza captura de
paquetes en tiempo real.
Realiza captura de
paquetes en tiempo real.
Información de paquetes
capturados
Muestra la información
de los paquetes
capturados
detalladamente con sus
respectivos protocolos.
No muestra información
detallada de los paquetes
capturados.
Visualización de resultados
Los resultados se
muestran ordenada y
detalladamente en una
interfaz completa e
intuitiva.
La visualización de
resultados es un poco
compleja de interpretar y
se necesita de guías
específicas.
11
Wireshark fue la herramienta que se escogió por estas razones: la visualización detallada
de los resultados obtenidos al capturar los paquetes y su interfaz intuitiva.
12
2. MARCO TEORICO
2.1 Metodología de investigación
Para la realización del proyecto se ha tomado en consideración una metodología de
investigación, la cual nos ha servido de guía para la consecución de cada una de las fases
del proyecto.
El proyecto es de carácter técnico, por lo cual se ha tomado una metodología cualitativa
para el desarrollo y se la explica en la Tabla 7 Criterios de la investigación cualitativa
(Machado, 2015, pág. 3).
Tabla 7. Criterios de la investigación cualitativa (Machado, 2015, pág. 3)
CRITERIOS DEFINICIÓN
Método utilizado El método inductivo (no requiere de una
hipótesis para comenzar el estudio)
Generalidades
Es un método de investigación usado
principalmente en las ciencias sociales,
empleando métodos de recolección de datos
que no son cuantitativos, con propósito de
explorar las relaciones sociales y describir la
realidad tal como la experimentan los
usuarios. Busca explicar las razones de los
diferentes aspectos de tal comportamiento, es
decir, investiga el por qué y el cómo.
Que estudia
Estudia el significado que crean los
individuos y otros fenómenos internos, así
como también acciones humanas en
situaciones naturales.
13
Análisis de datos Emplea la inducción deducción para analizar
los datos.
Recopilación y análisis de
información
Se centra en la recopilación de información
principalmente verbal en lugar de
mediciones. Luego, la información obtenida
es analizada de una manera interpretativa,
subjetiva, impresionista o incluso
diagnóstica.
Objetivo principal
El objetivo principal es brindar una
descripción completa y detallada del tema de
investigación. Por lo general, tiene un
carácter más exploratorio.
Fases en donde se utiliza Es ideal para las fases iníciales de los
proyectos de investigación.
Recolector de datos El investigador es el principal instrumento de
recolección de datos.
Presentación de
información
La presentación de la información de una
Investigación Cualitativa se realiza en forma
de palabras (de entrevistas) e imágenes
(videos) u objetos (tales como artefactos).
2.2 Seguridad informática
Antes de entrar en nuestro tema central que se basa en un esquema de seguridad
informática, primero definiremos de qué trata la seguridad informática de forma global.
Emplearemos la siguiente definición de lo que es la seguridad informática: “El conjunto
de normas, mecanismos, herramientas, procedimientos y recursos orientados a brindar
protección a la información resguardando su disponibilidad, integridad y
confidencialidad”. ( López, s.f.)
14
Una vez que se ha definido lo que es la seguridad informática, seguiremos con la
definición de dos tipos fundamentales de seguridad que se encargan de proteger a la
información desde sus respectivos mecanismos y metodologías dentro de las
organizaciones, estas se detallan en la Tabla 8 Seguridad física y la Tabla 9 Seguridad
lógica
Tabla 8. Seguridad física
SEGURIDAD FÍSICA
Definición Amenazas que se prevén
Se trata de la aplicación de barreras
físicas para evitar que personas no
autorizadas tengan acceso directo al
equipo y también tomar medidas en
cuanto al medio en donde se
encuentre el equipo para evitar que
impactos ambientales causen algún
tipo de daño al hardware del equipo.
Desastres naturales como: tormentas,
inundaciones, incendios accidentales, etc.
Accesos físicos, sabotajes o robos considerados
amenazas humanas.
Disturbios que provocan sabotajes de carácter
interno o externo deliberado.
Tabla 9. Seguridad lógica
SEGURIDAD LÓGICA
Definición Objetivos principales
Se refiere a la protección de los datos que
están almacenados en los equipos de
cómputo, se trata de la aplicación de
medidas y barreras para evitar que
personas sin autorización tengan acceso a
los datos
Restringir acceso al S.O por medio de la
BIOS
Impedir el acceso a programas o archivos
del PC.
Asegurar que los usuarios finales operen
sus estaciones sin necesidad de monitoreo
minucioso.
Garantizar que los usuarios no
modifiquen los programas que estén
utilizando.
Garantizar envió y recibo de información
a los usuarios correspondientes.
15
Garantizar que la información enviada de
usuario a usuario no sea alterada.
Asegurar que archivos y programas sean
utilizados de forma correcta.
Después de haber dado las definiciones de lo que es la seguridad informática y sus dos
tipos importantes, observamos que tanto la seguridad física como la lógica van de la
mano. Por lo tanto una organización debe tener muy bien definidas ambas seguridades
para obtener una buena protección de sus datos y los equipos donde estos residen.
2.2.1 Protocolos de comunicación segura
Por otro lado la seguridad informática no solo se trata de fortalecer la seguridad física y
lógica, sino también de las comunicaciones, es decir, el envío y recepción de información
a través de las redes de comunicación.
Es por esta razón que existen aplicaciones criptográficas denominadas Protocolos de
Comunicación Segura, capaces de establecer canales de comunicación segura entre dos
puntos.
El por qué se debe tener una comunicación segura en una organización se expresa en la
siguiente referencia: “En general hemos de considerar que nuestros mensajes son
depositados en un medio ajeno a nosotros y usualmente hostil y que los medios que
apliquemos para su protección deben ser validos en los casos más desfavorables”.
(Lucena López , 2015)
La criptografía a través de los protocolos de comunicación segura ayuda a contrarrestar
los siguientes peligros:
Acceso por agentes no autorizados: Se debe garantizar que el mensaje sea
ininteligible para el atacante, teniendo en cuenta que es un hecho que existirá
personas no autorizadas intentando acceder o descifrar los mensajes que
enviamos.
16
Alteraciones en mensajes: Se trata de evitar que los mensajes que se envía a
través de la red pierdan su integridad, es decir, que se garantice tanto su contenido
como su procedencia.
Por las razones mencionadas anteriormente es que se utilizan los protocolos, para los
cuales también añadimos que son combinaciones de algoritmos criptográficos que
garantizan métodos de comunicación seguros y normalizados, en la Tabla 10 se muestra
un resumen de estos protocolos.
Tabla 10. Protocolos de comunicación segura
Protocolos Características importantes
TCP / IP
TCP (Transmission Control Protocol), IP (Internet Protocol).
Conjunto básico de protocolos sobre los que se construye la red
de internet.
Se organizan únicamente en cinco capas a diferencia del modelo
OSI y estas son: aplicación, transporte, red, enlace y física.
Permiten la realización de VPN (Virtual Private Network), las
cuales solo permiten acceso a personas autorizadas.
SSL
SSL (Secure Socket Layer).
Permite conexiones seguras a través de internet, directamente
sobre el protocolo TCP.
Brinda seguridad a protocolos como HTTP, SMTP y NNTP,
dando lugar a servidores web seguros con protocolo HTTPS.
Codifica los mensajes antes de enviarlos a través de la red y
garantiza la identidad de los interlocutores.
SSL soporta algoritmos criptográficos como RSA, DES, AES,
SHA-1 y MD5.
TLS
TLS (Transport Layer Security).
Protocolo basado en la versión 3.0 de SSL.
Puede establecer conexiones normalmente con el protocolo
TCP y el puerto 80.
Emplea diferentes medidas de seguridad robustas para evitar
ataques en especial los de intermediario.
17
Uso de funciones tipo MAC en lugar de MDC y protección de
ataques que fuerzan a uso de versiones anteriores y de cifrado
mas débil.
IPsec
IPsec (Internet Protocol security).
Encaminado a proporcionar autenticación, confidencialidad e
integridad a las comunicaciones IP.
Es obligatorio en el estándar IPv6 mientras que en IPv4 es
opcional.
Se encarga de crear pasarelas de seguridad que son caminos
seguros entre ordenadores.
Debido a la distribución de claves que emplean algunos
servicios de IPsec, este necesita trabajar en combinación con
mecanismos como: IKE, SKIP o Kerberos.
2.3 Esquema de seguridad informática
Con lo definido en el tema anterior sobre la seguridad informática, es evidente que un
esquema de seguridad informática encierra sus dos principios más importantes que son la
seguridad física y lógica.
Entonces se tomara la siguiente definición de lo que es un esquema de seguridad
informática: “Un esquema de seguridad informática es un conjunto de medios
administrativos, medios técnicos y personal que de manera interrelacionada garantizan
niveles de seguridad informática en correspondencia con la importancia de los bienes a
proteger y los riesgos estimados.” ( Gutierrez , s.f.)
Un esquema de seguridad bajo la definición que se presentó anteriormente se lo puede
implementar en empresas que se dedican a la elaboración de productos, desarrollo de
servicios, instituciones educativas, etc.
El esquema de seguridad debe garantizar a la empresa que su información estará
completamente protegida de ataques por parte de individuos que no tienen autorización
para manipular dicha información, para protegerla podemos considerar los siguientes
18
puntos que son pilares fundamentales en la implementación de un esquema para la
seguridad informática de una empresa:
a) Estudiar y establecer buenas políticas de seguridad para la empresa.
b) Proteger equipos tanto de escritorio como portátiles.
c) De forma global proteger a la red de la empresa.
d) Mantener los datos a salvo.
e) Proteger debidamente a las aplicaciones y recursos de la empresa.
f) Realizar la gestión adecuada de las actualizaciones.
g) Protección robusta de los datos personales de los usuarios de la empresa.
h) Listados de amenazas y vulnerabilidades que existen en la red.
i) Mitigación para los riesgos que se puedan presentar.
2.4 Análisis de vulnerabilidades
En el análisis de vulnerabilidades lo que se busca en concreto son todos aquellos riesgos
a los que está expuesta la infraestructura de red, dichos riesgos están relacionados con el
ambiente en donde se encuentran los equipos de la red y el nivel de seguridad en cuanto
al acceso físico como lógico que tienen estos equipos.
Pero no solo se debe tener en consideración a los equipos de red, como son los routers,
switchs, pcs y puntos de acceso inalámbrico, sino también el sistema de cableado
estructurado que es el camino fundamental que se encarga de la conexión de todos los
dispositivos y por tanto debe ser protegido en gran medida.
2.4.1 Realización del análisis de vulnerabilidad: Para la realización del análisis de
vulnerabilidades se considera procedimientos como los que se menciona a continuación
en la Tabla 11 Fases del análisis de vulnerabilidades:
Tabla 11. Fases del análisis de vulnerabilidades
ANÁLISIS DE VULNERABILIDADES
Fases Proceso
Reconocimiento o recolección de
la información.
Elaborar una lista completa de todos los
activos de hardware y software que
19
conforman la red, dando a conocer sus
características principales.
Definir los usuarios que operan los equipos y
la ubicación de los mismos.
Definir la topología de red y determinar si es
una adecuada y si sigue los estándares
necesarios.
Escaneo de puertos y
enumeración de servicios.
Escanear los puertos y determinar qué
servicios están en función.
Determinar los roles que los equipos tienen
en la red (Switchs, routers, servidores, etc).
Determinar cuáles equipos son los más
críticos dentro de la red (Lista de equipos
críticos de la red).
Escaneo de vulnerabilidades
Someter a la lista de equipos críticos a un
escaneo de vulnerabilidades mediante
software.
Determinar los riesgos a los que están
expuestos.
Reporte de las vulnerabilidades encontradas.
Sugerencia de soluciones para contrarrestar
las vulnerabilidades.
2.5 Análisis de amenazas
El análisis de amenazas se deriva en concreto de lo encontrado en luego de realizado el
análisis de vulnerabilidades, para luego proceder a valorar el impacto que pueden tener
estas amenazas en los activos tanto de hardware como de software.
Para la valoración de las amenazas se ha considerado dos puntos en concreto que son: la
degradación y la frecuencia.
2.5.1 Degradación: Este aspecto considera el nivel del daño que puede llegar a tener un
activo dado un incidente inesperado, en la Tabla 12. Criterios de valoración del daño
20
causado por la amenaza podemos observar cuales son los niveles de daños por accidentes
inesperados.
Tabla 12. Criterios de valoración del daño causado por la amenaza
(Torres , 2009, pág. 24)
VALOR CRITERIO
3 Alto Daño grave
2 Medio Daño importante
1 Bajo Daño menor
2.5.2 Frecuencia: Aquí se mide la frecuencia con la que ocurre la amenaza,
considerando que suelen existir amenazas que ocurren una sola vez y son de gran
magnitud que terminan por degradar al activo por completo, también existen amenazas
que no son tan graves pero ocurren con más frecuencia que al final terminan por
deteriorar al activo a largo plazo, en la Tabla 13. Criterios para la valoración de la
frecuencia de las amenazas se observa los niveles de frecuencia con las que puede ocurrir
la amenaza.
Tabla 13. Criterios para valoración de la frecuencia de las amenazas
(Torres , 2009, pág. 25)
VALOR CRITERIO
3 Alto Bastante frecuente
2 Medio Frecuente
1 Bajo Poco frecuente
2.6 Metodologías de seguridad informática
Después de haber dado las definiciones básicas de lo que es la seguridad y los esquemas
de seguridad informática, así como también lo que refiere a los análisis de
vulnerabilidades y amenazas, se procedió a encontrar una metodología la cual nos ayude
con la implementación de estos puntos que son parte del esquema de seguridad
informática
Para poder obtener una metodología adecuada y que se ajuste al esquema de una
institución educativa, que es el objeto de este proyecto, realizamos un estudio
comparativo de tres metodologías que se observa en la Tabla 14. Comparativo de
21
metodologías de seguridad informática, en las cuales consideramos la metodología
expuesta en el Esquema gubernamental de seguridad de la información EGSI, la
metodología SAFE de CISCO y la metodología OCTAVE.
22
Se consideró puntuaciones que van desde el 1 que para el estudio significa no aplicable, 2 no aplicable - revisión, 3 revisión, 4 aplicable – revisión y
5 que significa óptimo para aplicación para cada uno de los criterios del cuadro comparativo.
Tabla 14. Comparativo de metodologías seguridad informática
Criterio EGSI Val SAFE Val OCTAVE Val
Características
Mejora eficiencia en instituciones.
Inicia un proceso de mejora continua.
Implementación de métodos basados
en normas INEN ISO/IEC 27002.
Gestión de la seguridad informática sin
dejar de lado el aspecto de mejora
continúa.
5
Seguridad y defensa contra
ataques basados en
normativas.
Implementación de la
seguridad en toda la
infraestructura.
Gestión y generación de
informes seguros.
4
Busca relacionar
vulnerabilidades con amenazas.
Crea perfiles de amenazas
basados en activos
Da un concepto en concreto de
que la seguridad informática no
es un asunto meramente técnico.
3
Ámbito de aplicación
Marco de seguridad de información
para instituciones públicas y adscritas a
ellas. 5
Puede ser implementada en
empresas pequeñas y
medianas del sector privado y
público.
5
Análisis de riesgos para
PYMES. 4
Procesos de
implementación
Políticas de seguridad de la
información.
Organización de la seguridad de la
información.
Gestión de activos.
Seguridad de los recursos humanos.
Seguridad física y de entorno.
Gestión de comunicaciones y
operaciones.
5
Módulo de empresa:
Amenazas que se esperan.
Módulo de oficinas centrales
de la empresa: Se subdivide
en estudio de módulos de
gestión, distribución del
edificio y servidores.
Modulo contorno de la
empresa: Se divide en el
5
Visión de organización.
Visión tecnológica.
Planificación de las medidas y
reducción de riesgos. 4
23
Control de accesos.
Adquisición, desarrollo y
mantenimiento de sistemas de
información.
Gestión de los incidentes de la
información.
Gestión de la continuidad del negocio.
Cumplimiento.
módulo de internet de la
empresa y WAN.
Estrategias de migración.
Ventajas
Se puede implementar todos o parte de
los métodos en una institución
educativa, puesto a que se ajusta
correctamente a las necesidades de la
misma.
Ofrece un proceso de mejora continua
desde el momento en el que se la
implementa.
5
Se implementa bajo normas
basadas en CISCO, por lo cual
es en cierto modo
independiente de cualquier
otra normativa.
Se divide en módulos que
abarcan no solo el estudio de
la red interna sino también
parte de la red externa,
conexiones y consumo de
servicios por parte de los
usuarios (módulo de internet).
4
Comprende procesos de análisis
y gestión de riesgos.
Involucra a todo el personal que
forma parte de la institución en
la que es implementada.
4
Desventajas
Solo gestiona la seguridad en la red
interna.
Es una metodología que depende de
otras normas para poder ser
implementada.
3
No se puede implementar
todos los procesos en una
institución educativa.
No se evidencia un proceso en
el cual se obtenga un camino
para la mejora continua.
2
Implica documentación extensa
para el inicio del análisis de
riesgos.
No explica en forma clara la
definición y determinación de
los activos de información
2
Total 23 20 17
24
Como se pudo apreciar en la tabla 14, tanto la metodóloga EGSI como la SAFE están a
la par para poder ser implementadas, pero para el caso de nuestro proyecto hemos
considerado la utilización de la metodología del EGSI debido a que esta sugiere una
implementación y puesta en marcha de una mejora continua para el esquema de
seguridad.
2.7 Hardening de equipos
Uno de los puntos clave para la implementación de un esquema de seguridad es el
hardening de equipos que ayudan a implementar seguridades a nivel de equipos
informáticos, hemos tomado el siguiente concepto que nos ilustra de mejor manera de
que trata un hardening:
“Haciéndole la vida difícil al atacante. Ese es el concepto que está detrás del Hardening
de sistemas operativos. Hardening es una acción compuesta por un conjunto de
actividades que son llevadas a cabo por el administrador de un sistema operativo para
reforzar al máximo posible la seguridad de su equipo.
Su propósito, entorpecer la labor del atacante y ganar tiempo para poder minimizar las
consecuencias de un inminente incidente de seguridad e incluso, en algunos casos, evitar
que éste se concrete en su totalidad.” (Montenegro , Windows , & Security , 2012)
En la Tabla 15. Actividades del proceso de hardening, se muestra las actividades del
hardening y una breve descripción de cada una de ellas, en la tabla solo se han considerado
algunas actividades de este proceso de hardening.
Tabla 15. Actividades del proceso de Hardening
ACTIVIDAD DESCRIPCIÓN
Activación y/o configuración adecuada de
servicios de actualizaciones automáticas.
Asegurar actualizaciones para los
equipos, mediante instalación de un
servidor de actualizaciones.
Instalación, configuración y mantención
de programas de seguridad.
Programas antivirus, antimalware,
antispam, etc.
Política de contraseña robusta. Implementación de claves caducables,
complejidad de contraseñas, bloqueo
25
por intentos erróneos e históricos de
contraseñas.
Renombre y deshabilitación de cuentas
estándar del sistema.
No permitir el acceso a cuentas como
administrador ni de invitado.
Asignación correcta de derechos de
usuario.
Limitar privilegios a los usuarios
finales.
Restricciones de software. Instalación de software bajo
autorización del administrador de TI.
Configuración de servicios del sistema.
Determinar cuáles servicios del
sistema no tienen una funcionalidad
necesaria y proceder a desactivarlos.
Desactivación de unidades externas.
En servidores en lo posible desactivar
la entrada de CD y las entradas de
USB.
Configuración adecuada de permisos de
seguridad en archivos y carpetas del
sistema.
Denegar el acceso a archivos y
carpetas del sistema a aquellas cuentas
anónimas que no tienen una clave de
acceso.
Habilitar sistemas de auditoría y
monitoreo de logs.
Sistemas que permitan conocer los
inicios de sesión erróneos y correctos
a los equipos y realizar el monitoreo
de los logs del sistema.
2.8 Políticas de seguridad informática
Las políticas de seguridad informática definen en una empresa que está permitido y que
se prohíbe en cuanto al uso de los recursos tecnológicos que utilizan los usuarios que
forman parte de la empresa, para reforzar este concepto de política de seguridad
informática, emplearemos la siguiente definición:
“Las políticas de seguridad informática tienen por objeto establecer las medidas de índole
técnica y de organización, necesarias para garantizar la seguridad de las tecnologías de
información (equipos de cómputo, sistemas de información, redes (Voz y Datos)) y
26
personas que interactúan haciendo uso de los servicios asociados a ellos y se aplican a
todos los usuarios de cómputo de las empresas.” (Benítez, 2013, pág. Sp)
Dentro de las políticas de seguridad informática, se explica cómo se debe llevar la
seguridad de una institución, se da a conocer cuáles son los roles que participan para
mantener la seguridad, la división de un centro de cómputo que también se conoce como
centro de datos o departamento de sistemas.
Mencionado lo anterior, un departamento de sistemas sebe trabajar en conjunto con las
autoridades máximas de la institución para definir cuáles serán las políticas de seguridad
que se deberán poner en práctica sobre la infraestructura de la institución.
En la Figura 1 Objetivos de la política de seguridad informática, se observa cuáles son
los puntos clave que nos garantiza una buena implementación de políticas de seguridad
informática para los datos que se maneja dentro de una institución.
Las políticas de seguridad informática son las implementaciones específicas por así
decirlo, de lo que es la seguridad informática en sus dos tipos, las cuales hemos
mencionado en el punto 2.2 Seguridad informática.
Por tanto considerando lo anteriormente estipulado, las políticas de seguridad informática
se las deber implementar de manera física y lógica, bajo normas específicas que
garanticen la seguridad de los datos y la información de la institución.
Figura 1. Objetivos de la política de seguridad informática (Martinez, 2015)
27
En la Tabla 16. Política de seguridad informática, encontraremos un resumen de lo que
es y tienen por objeto una política de seguridad informática.
Tabla 16. Política de seguridad informática
CRITERIO DESCRIPCIÓN
Ámbito de aplicación
Comprende una gran variedad de ámbitos
dentro de la empresa y son seleccionados
de acuerdo a la importancia que tienen los
negocios en la empresa.
Participantes
Las políticas de seguridad hacen que toda
la empresa sea participe, transformando la
seguridad en un esfuerzo común que se
realiza por todos.
Exigencias
Trata de establecer exigencias destinadas
a prevenir daños a causa de un fallo de
seguridad en la empresa.
28
3. IMPLEMENTACIÓN DE LA METODOLOGÍA PARA EL ESQUEMA DE
SEGURIDAD
Luego de haber realizado la debida comparación de metodologías en el numeral anterior,
se estableció la utilización de la metodología expuesta por el EGSI, teniendo en cuenta
que solo consideramos algunos procesos de esta metodología a los cuales se les
complemento con procesos extra como: el levantamiento de la información, diagnóstico
de la seguridad actual, análisis de vulnerabilidades y amenazas, etc.
3.1 EGSI (Esquema Gubernamental de Seguridad de la Información)
El Esquema Gubernamental de Seguridad de la Información (EGSI) es un conjunto de
procesos que desarrollados por la Comisión para la Seguridad Informática y de las
Tecnologías de la Información y Comunicación y basados en la norma NTE INEN
ISO/IEC 27002 “Código de Práctica para la Gestión de la Seguridad de la Información”,
tiene por objetivo asegurar el cumplimiento de estándares que garanticen la
confidencialidad, integridad y confiabilidad de la información de una institución.
De forma global se ha listado los procesos que intervienen en el EGSI para la gestión
adecuada de la seguridad de la información, dichos procesos se observan en la Tabla 17.
Procesos del EGSI:
Tabla 17. Procesos del EGSI (Acuerdo Ministerial 166, 2013)
PROCESOS DESCRIPCIÓN
Política de la seguridad de la
información.
Documentos de propuesta de
implementación del EGSI y revisión de
políticas periódicamente por si ha
sucedido algún cambio.
Organización de la seguridad de la
información.
Definir una comisión para llevar un
seguimiento adecuado de la seguridad de
la información.
29
Gestión de los activos.
Inventario y establecimiento de uso
adecuado de los activos informáticos de la
institución.
Seguridad de los recursos humanos.
Selección y orientación a personal nuevo
de la institución antes de dar los accesos
respectivos.
Seguridad física y del entorno.
Establecimiento de normas para dar
seguridad física a la infraestructura,
definición de espacios seguros para
equipos informáticos.
Gestión de comunicaciones y
operaciones.
Documentación de todas las operaciones,
fallas y cambios que se realicen en la
infraestructura y en sus sistemas de
información.
Control de acceso.
Asignación de roles y privilegios a
usuarios para acceder a la información de
la institución.
Adquisición, desarrollo y
mantenimiento de S.I.
Seguridad en aplicaciones de software de
la institución, gestión de accesos y de
claves para usuarios.
Gestión de los incidentes de la
seguridad de la información.
Documentar y tratar los incidentes que
ocurran en la infraestructura para
contrarrestarlos.
Gestión de la continuidad del negocio.
Planes de continuidad del negocio y
evaluación de riesgos en la continuidad
del negocio.
Cumplimiento
Cumplimiento de los estatutos legales y
de propiedad intelectual sobre el uso de
software en la institución.
30
3.2 Procesos para la implementación del esquema de seguridad
Luego de expuestos los procesos que intervienen en la metodología del EGSI, veremos
cuales procesos son los que se implementaron en la infraestructura de la institución,
recordaremos que solo elegimos algunos procesos del EGSI, dentro de los cuales también
elegimos solo algunas actividades.
Para la complementación de los procesos escogidos a partir de la metodología EGSI se
añadieron unos procedimientos extras los cuales de manera general nos ayudaron para la
parte de levantamiento de la información, conocer el estado actual de la seguridad que
tiene la infraestructura y realizar los análisis de vulnerabilidades y riesgos de las amenazas
a la seguridad de la información en la institución.
La Tabla 18. Procesos y actividades para el esquema de seguridad, nos muestra de forma
global cuales son los procesos y las actividades correspondientes a seguir para
implementar el esquema de seguridad en la institución.
Tabla 18. Procesos y actividades para el esquema de seguridad.
PROCESO ACTIVIDADES
Levantamiento de la información de la
infraestructura.
Diagramar la infraestructura de la red.
Describir los dispositivos que
conforman la red.
Identificar los servicios de red.
Diagnóstico de la seguridad en la
infraestructura.
Identificar equipos en las áreas que
necesiten más protección.
Análisis de vulnerabilidades y amenazas. Realizar pruebas de Pentesting.
Realizar pruebas de Sniffing.
Análisis de riesgos.
Definir los impactos que causan las
amenazas.
Definir probabilidades con la que las
amenazas afectarían a los equipos.
Definir las políticas de seguridad para su
implementación.
Implementar y configurar equipos
necesarios.
31
Definir las políticas en base al
hardening de equipos.
Definir las políticas en base a las
normas ISO 27001.
Política de la seguridad de la
información.
Realizar el documento de la política de
la seguridad de la información
(Autorización de la máxima autoridad
de la institución).
Revisión anual de la política de
seguridad.
Organización de la seguridad de la
información.
Realizar el seguimiento de la puesta en
marcha de las políticas de este
documento.
Desarrollar procedimientos adecuados
de concienciación de usuarios en
materia de seguridad, controles de
acceso a los sistemas y administración
de cambios.
Identificar oportunidades de mejora.
Gestión de los activos.
Inventariar activos de hardware y
software.
Inventariar activos de red.
Definir responsables que usan los
activos informáticos.
Identificar, documentar e implementar
reglas sobre el uso aceptable de los
activos.
Reglamentar el uso correcto del correo
electrónico institucional y del servicio
de internet.
Seguridad de los recursos humanos.
Notificar al área de sistemas los
permisos necesarios para la activación
y accesos a los activos informáticos.
32
Formalizar los acuerdos necesarios
para la devolución de todos los activos
de hardware y software una vez
terminado el contrato del empleado.
Retirar todos los privilegios de acceso
a los empleados que salen de la
institución.
Seguridad física y del entorno.
Disponer de un sistema de circuito
cerrado de televisión (Cámaras de
seguridad).
Supervisar las visitas al área de
procesamiento de la información,
registrando la hora de ingreso y salida.
Realizar un cronograma de
mantenimiento eléctrico y de UPS de
las instalaciones, además de los
sistemas de ventilación.
Realizar un cronograma para el
mantenimiento de los equipos de la
institución.
Definir el formato autorizado para el
retiro de equipos o software.
Control de acceso.
Establecer un proceso formal para la
asignación o cambio de contraseñas.
Controlar el cambio de contraseña de
los usuarios, del personal de
tecnología y de los administradores de
tecnología en rangos de tiempo y
complejidad.
Gestión de los incidentes de la seguridad
de la información.
Realizar reportes de los incidentes que
se den en la seguridad de la
información en los cuales se definan la
33
respuesta que se le dio al incidente
presentado.
Cumplimiento.
Auditar periódicamente el
cumplimiento de las políticas de
seguridad implementadas.
3.3 Levantamiento de la información de la infraestructura
El levantamiento de la información de la infraestructura de la institución se la realizo
mediante cuatro actividades en las cuales se ha logrado obtener los diagramas
aproximados de la topología y la distribución de la red, así como también un listado de
los dispositivos que están presentes en la red con sus respectivas ubicaciones y
características generales de hardware, además se identificó los servicios que presta la red.
3.3.1 Diagramas de la infraestructura de la red:
Para esta actividad hemos realizado diagramas aproximados de la infraestructura de red,
tomando en cuenta que mientras se realizaba el presente trabajo la situación de la red fue
cambiando.
Cada diagrama se muestra en la sección de los anexos, por tanto comenzamos con una
situación inicial de la red, es decir, un diagrama general de como se había encontrado la
red antes de implementar el primer cambio que fue la implementación del firewall de
siguiente generación, este diagrama inicial de la red se lo puede apreciar en el Anexo A
Esquema general distribución fibra inicial de la red, en donde se observa los dos enlaces
de fibra que existían provenientes de TELCONET y la distribución interna de las fibras
en la institución.
Luego obtuvimos un esquema general de la distribución de la red interna, determinamos
la topología con la cual se ha trabajado para formar la red, la cual es una topología en
estrella. En el Anexo B Esquema inicial de distribución interna, se puede apreciar la
topología y la distribución de los switchs que proveen del servicio de red a la institución,
cabe destacar que este esquema es general, es decir, solo se muestra la los switch
principales que están repartidos en la institución.
34
En el transcurso de la realización de este trabajo se implementó un firewall de siguiente
generación, el cual se detalla más adelante cuáles son sus principales características,
conjuntamente con la implementación de este firewall se eliminó uno de los enlaces de
TELCONET, el cual llevaba por nombre UIO-Inicial. Se eliminó el aislamiento de la red
del edificio de Inicial y Bachillerato, quedando toda la institución administrada por medio
del firewall de siguiente generación. En el Anexo C Esquema general distribución fibra,
se puede observar que la institución posee en estos momentos un solo enlace de fibra
proveniente de TELCONET cuyo nombre es UIO-Mercadillo. Mientras tanto en el Anexo
D Esquema general actual de la red interna, se observa como ha quedado la distribución
interna de la red después de haberse implementado el firewall de siguiente generación,
evidenciando una vez más que la parte aislada de Inicial y bachillerato ha quedado
centralizada en conjunto con Primaria y Básica Superior.
3.3.2 Descripción de los equipos que conforman la red:
La descripción de los equipos que integran la red de la institución, la hemos realizado de
manera general como una distribución por edificios, en los cuales consideramos los
principales que son: el edificio de Primaria, edificio de Básica Superior y edificio de
Inicial y Bachillerato.
Entonces de manera similar al punto anterior, los diagramas se observan en la parte de
anexos. En el Anexo E Esquema edificio primaria, podemos observar la distribución de
los dispositivos de red para este edificio, se lo ha realizado por pisos y describiendo el
usuario que opera el dispositivo, esto en cuanto a las terminales como computadores de
escritorio. Podemos observar que en este edificio precisamente en la planta baja se
encuentra el área de Sistemas que es en donde se aloja el firewall de siguiente generación,
es decir el Fortinet 240D, encargado de administrar toda la red, además en el primer piso
se encuentra el laboratorio de computación de primaria.
El Anexo F Esquema edificio básica superior y rectorado, muestra la distribución de los
dispositivos para el área de básica superior y rectorado, notamos que en este edificio están
la biblioteca de secundaria y los laboratorios de computación de básica superior y
bachillerato.
35
En el Anexo G Esquema edificio inicial y bachillerato se observa que es un edificio que
en su mayoría existe solo conectividad wifi, como dato adicional, este edificio fue
construido recientemente, por tanto este tiene en cada aula un AP en su interior. También
en su estructura encontramos el laboratorio de inglés de secundaria.
Este punto se complementara con lo que se estipula en el en proceso de Gestión de activos,
en donde se ha realizado un inventario de hardware y software que ayudara a profundizar
la descripción de los equipos que conforman la infraestructura de la institución.
3.3.3 Identificación de los servicios de red:
En este punto se ha listado los servicios que se prestan a través de la red, servicios que
están alojados en los servidores ubicados en el área de Sistemas.
La Tabla 19. Servicios de red de la institución, muestra el listado y la ubicación de los
servicios que se prestan a través de la red de la institución.
Tabla 19. Servicios de red de la institución
SERVICIO DESCRIPCIÓN SERVIDOR
Consola de administración
UNIFI
Consola de administración de los
Access Point de la institución.
SF-Datos01
NetSupport DNA Administración de inventarios de
hardware y software.
SF-Datos01
NetSupport Manager Consola para monitoreo y acceso
remoto a los computadores.
SF-Datos01
Histórico Académico Sistema de fichas académicas
correspondientes al DECE.
SRV Registro
3.4 Diagnóstico de la seguridad en la infraestructura
En este punto hemos tomado en consideración tres áreas que pueden ser víctimas de
ataques informáticos, a continuación se detallan los equipos que están dentro de estas
áreas y la información que se maneja por cada una de ellas.
36
3.4.1 Identificación de equipos en áreas que requieren más protección:
Las áreas que se ha tomado en cuenta para brindar más protección son: Secretaria,
Colecturía y Sistemas.
a) Departamento de Secretaria General: Este departamento se encarga del
manejo de la información estudiantil como: información general de la
estudiante, notas de aprovechamiento, comportamiento, asistencia, etc.
Secretaria maneja esta información en primera instancia en un sistema el cual
no está alojado en ninguno de los servidores de la institución, este sistema está
desarrollado por una persona externa, la cual tiene la aplicación en servidores
de su propiedad. Sin embargo en el computador de Secretaria se alojan los
reportes que involucran la información personal y académica de cada una de
las estudiantes, además existen ciertos modelos de certificados y de libretas
estudiantiles que pueden ser objeto de manipulación.
Entonces los equipos que están dentro de esta área son los siguientes:
En la Figura 2. Equipos del departamento de Secretaria General, se puede
observar los equipos que son parte de este departamento, entonces se ha
considerado brindar mayor protección al computador, el único que está en esta
área y por la información que este alberga, las características del computador,
es decir su inventario de hardware se lo detallara más adelante.
b) Departamento de Colecturía: El departamento con la información más
delicada de la institución, maneja toda la economía como: sueldos, adquisición
insumos y servicios, etc.
Figura 2. Equipos del departamento de Secretaria General
37
Los equipos informáticos que están dentro de esta área son los que se muestran
en la Figura 3. Equipos del departamento de Colecturía.
Los equipos que se consideró para brindarles más protección bajo políticas
estrictas de seguridad son los computadores de los usuarios Ecónoma,
Contadora y Contadora 2. Dichos computadores manejan información
delicada con respecto a lo económico de la institución.
En esta área existe un problema en cuanto a la red que se maneja para estos
computadores, si verificaciones el Anexo E. Esquema edificio primaria,
podemos notar que esta área es completamente independiente de la red que se
maneja para la institución en sí. Problema que hemos considerado para un
estudio futuro de rediseño y centralización de la red de toda la institución.
c) Departamento de Sistemas: En este departamento se realiza la gestión de la
red de la institución y las redes que son parte de la comunidad.
En la Figura 4. Equipos del departamento de Sistemas se observan los equipos
que son el pilar del manejo de la red de la institución, cabe mencionar que
estos equipos son los que se utilizan solo para la gestión de la red de la
institución, al referirnos a las demás redes que forman parte de la comunidad,
Figura 3. Equipos del departamento de Colecturía
38
mencionamos el enlace de Colecturía y el enlace del Edificio de la
Comunidad.
Figura 4. Equipos del departamento de Sistemas
A los computadores denominados como Sistemas 01 y Sistemas 02, que son
los equipos con los cuales se administra la red de la institución, se les ha
implementado las seguridades estrictas bajo las políticas que se establecen en
este esquema de seguridad.
Estos computadores se conectan remotamente a las consolas de Netsupport
DNA y Manager, así como también la administración de los equipos wifi
mediante la consola Unifi, que están alojadas en los servidores, además se
tienen archivos con credenciales y distributivos de la red, usuarios y claves de
ingreso a servidores y las consolas mencionadas anteriormente.
Además de los equipos mostrados en la Figura 4. Equipos del departamento
de Sistemas, tenemos también los servidores que están en operación dentro de
este departamento. Dichos servidores se muestran en la Figura 5. Servidores.
39
Figura 5. Servidores
Los servidores que están en operación son: SRV Datos 01 y SRV Registro, a
los cuales se les consideró para la aplicación de las políticas de seguridad
adecuadas y estipuladas en este esquema de seguridad.
En cuanto al servidor SRV Datos 02, que por el momento está fuera de
servicio, se lo reactivara más adelante para poner en funcionamiento una
nueva consola de antivirus.
En resumen, la Tabla 20. Equipos con mayor prioridad de protección, nos
muestra cuales son los equipos a los que se les aplico mayor protección
mediante estrictas políticas de seguridad y sus respectivas ubicaciones.
Tabla 20. Equipos con mayor prioridad de protección
ÁREA EQUIPO
Secretaria General PC – Usuario: Secretaria
Colecturía
PC – Usuario: Ecónoma
PC – Usuario: Contadora
PC – Usuario: Contadora 2
Sistemas
PC – Usuario: Sistemas 01
PC – Usuario: Sistemas 02
Servidor: SRV Datos 01
Servidor: SRV Registro
3.5 Análisis de vulnerabilidades y amenazas
Este proceso contempla las actividades que se realizaron para determinar las
vulnerabilidades dentro de la infraestructura de red, dichas actividades son las pruebas de
Pentestig y Snnifing (Pruebas de hacking ético), como se ha mencionado en el punto de
los alcances, solo se tomó tres objetivos para este análisis.
40
Los objetivos que se tomaron en cuenta para el análisis de vulnerabilidades fueron: el
computador principal del departamento de Sistemas, el computador del departamento de
Secretaria General y un servidor que está ubicado en el área de Sistemas.
Para este análisis se había tomado en cuenta también uno de los computadores del
departamento de Colecturía, pero por disposiciones de las autoridades no se realizó el
análisis en ninguno de los computadores de ese departamento.
3.5.1 Pruebas de Pentesting
Para comprender lo que se realizó en este proceso, se ha citado una breve definición de
lo que es un Pentesting, la cual se muestra a continuación:
“Los test de intrusión o Pentesting evalúan los niveles de seguridad de un sistema
informático o red mediante la simulación, en un entorno controlado, de un ataque por
parte de un usuario malicioso conocido comúnmente como hacker. Lo cual implica un
proceso de análisis activo del sistema en busca de posibles vulnerabilidades que podrían
resultar de una mala o inadecuada configuración de un sistema, defectos en software
conocidos o no o un fallo de seguridad en un sistema operativo o hardware.” (Gonzáles ,
Sánchez, & Soriano de la Camara, 2013, pág. 13)
La definición anterior nos da un panorama global de lo que es un Pentesting, entonces
para la realización de esta prueba, se ha considerado seguir cuatro procesos básicos que
se muestran en la Tabla 21. Procesos básicos para Pentesting.
Tabla 21. Procesos básicos para Pentesting.
PROCESO DESCRIPCIÓN
Recopilación de información del
equipo
Se realiza una recopilación de la información
básica del equipo a ser analizado, es decir,
hardware y software (Sistema operativo).
Escaneo de vulnerabilidades
Se escanea los puertos del equipo para
identificar si estos están abiertos y que tipo de
vulnerabilidad podrían presentar.
41
Explotación de las
vulnerabilidades
Mediante exploits se realiza la explotación de
las vulnerabilidades encontradas.
Informe de vulnerabilidades
encontradas
Elaboración de un informe en donde consta la
gravedad de las vulnerabilidades encontradas y
cuál sería la posible solución para
contrarrestarla.
Las pruebas se las realizo desde el software Kali Linux mediante las siguientes
herramientas:
Nmap
Nessus
Metasploit
a) Recopilación de información del equipo: En este paso se ha recopilado la
información básica de los equipos que fueron objetos de la prueba de Pentesting, se
recopilo información de hardware a través de la herramienta Netsupport DNA la cual se
encuentra instalada en uno de los servidores de la institución. Las figura 6 muestra el
resumen de la información de uno de los equipos objetivo, precisamente el servidor SF-
Datos 01.
42
Figura 6. Resumen información Servidor SF Datos 01
El detalle completo de la información del equipo Servidor SF-Datos 01 se lo encuentra
en el anexo H.
b) Escaneo de vulnerabilidades: Una vez que se obtuvo la información de los equipos
objetos del análisis, se realizó el escaneo de los puertos, para lo cual se utilizó la
herramienta Nmap, que es un paquete de software de auditoria informática que viene por
defecto instalado en Kali Linux.
Nmap posee un escaneo de tipo SYN, que significa que no se establece una conexión
completa entre los host, se envía bits SYN y el ordenador objetivo envía o responde con
43
un RTS, en caso de que el puerto este abierto para abortar la conexión, a este tipo de
escaneo también se lo conoce como SYN Stealth.
Por tanto lo que se realizó con el escaneo tipo SYN Stealth es descubrir los puertos que
están abiertos en los equipos objetivos, para luego encontrar sus respectivos módulos de
explotación y los exploits correspondientes.
Parte del escaneo de los puertos para uno de los objetivos se lo puede observar en la figura
7, precisamente del equipo Servidor SF-Datos 01.
Figura 7. Escaneo Servidor SF Datos 01
El escaneo de los puertos con Nmap no solo indicó los puertos que están abiertos,
también mostró los servicios que están corriendo en esos puertos. La figura 8 muestra
los listados de los servicios y sus versiones para el Servidor SF Datos 01.
44
Figura 8. Servicios y versiones Servidor SF Datos 01
Luego de haber determinado los puertos abiertos, los servicios activos en esos puertos y
sus respectivas versiones, se procedió a utilizar la herramienta Nessus para la
identificación de las vulnerabilidades.
Nessus es un software capaz de identificar las vulnerabilidades a las que están expuestos
los puertos abiertos en un sistema. Muestra un código el cual es conocido como CVE
(Common Vulnerabilities and Exposures) para luego, mediante dicho código, identificar
los módulos de explotación y verificar si para ellos existe o no exploits adecuados para
explotar la vulnerabilidad en ese puerto.
Después de realizado el análisis de los puertos abiertos con Nessus se obtuvo los
siguientes resultados para los 3 equipos objetivos, los cuales se observan en las tablas 22,
23 y 24, cabe mencionar que se ha añadido en las tablas los respectivos códigos CVE que
se encontró en el análisis.
45
Tabla 22. Vulnerabilidades PC Secretaria
Puerto Protocolo Estado Vulnerabilidad Código CVE
445 TCP Abierto Firma SMB deshabilitada
Tabla 23. Vulnerabilidades PC Sistemas 01
Puerto Protocolo Estado Vulnerabilidad Código CVE
445 TCP Abierto Firma SMB deshabilitada
Tabla 24. Vulnerabilidades Servidor SF Datos 01
Puerto Protocolo Estado Vulnerabilidad Código CVE
443
636
3269
3389
TCP Abierto Compatibilidad de cifrado SSL
de intensidad media
636
3269
3389
8443
TCP Abierto Certificado SSL con un nombre
de host incorrecto
443
636
3269
TCP Abierto Detección de protocolos SSL
versión 2 y 3
443
636
3269
TCP Abierto SSLv3 POODLE CVE-2014-3566
3389
8443 TCP Abierto Certificado SSL auto-firmado
53 TCP Abierto
Recuperación remota de
información del caché del
servidor DNS
3389 TCP Abierto Debilidad en el servidor de
escritorio remoto de Windows CVE-2005-1794
46
3389 TCP Abierto
Servicios de Terminal Server
no utiliza autenticación a nivel
de red
3389 TCP Abierto
Nivel de encriptación de los
servicios de Terminal Server
son medios o bajos.
443
636
3269
3389
5556
TCP Abierto
Compatibilidad de cifrado de
bloques SSL de 64 bits
(SWEET32)
CVE-2016-2183
CVE-2016-6329
443
636
3269
3389
TCP Abierto Compatibilidad de cifrado SSL
RC4 (Bar Mitzvah)
CVE-2013-2566
CVE-2015-2808
3389 TCP Abierto
Nivel de cifrado de los
servicios de Terminal Server
no es compatible con FIPS-140
Los resultados completos de los análisis realizados con Nessus para los objetivos: PC
Secretaria, PC Sistemas 01 y Servidor SF Datos 01, se los puede observar en el anexo I
respectivamente.
c) Explotación de vulnerabilidades: En este punto se utilizó la herramienta de
explotación de vulnerabilidades Metasploit, la cual utiliza el código CVE encontrado en
el análisis con Nessus para identificar el módulo de explotación y los exploits
correspondientes a las vulnerabilidades encontradas en los puertos de los equipos
objetivos para simular un ataque a dicho puerto.
Previo a la realización del ataque con los exploits, se procedió a guardar la información
de los puertos escaneados en la base de datos de Nmap a través de la consola de
Mestasploit, con el comando que se muestra en la figura 9.
47
Para corroborar que la información fue almacenada correctamente en la base de datos de
Nmap, empleamos los comandos hosts y services, el comando hosts muestra el nombre
de los hosts que fueron escaneados y almacenados, mientras que el comando services
muestra los puertos abiertos del host seleccionado. La figura 10 muestra el uso de los
comandos anteriormente mencionados y la información almacenada.
Figura 10. Comandos hosts y services
Como se pudo observar en las tablas 22, 23 y 24 el único equipo en el cual se pudo
encontrar códigos CVE fue el Servidor SF Datos 01, para el cual se inició el
procedimiento de simulación de ataque mediante módulos de explotación.
En el objetivo Servidor SF Datos 01 se procedió a realizar únicamente una simulación de
ataque con el módulo de explotación encontrado en base al código CVE, en el cual se
muestra el riesgo al que se expone el servidor cuando sus puertos están abiertos.
Figura 9. Comando almacenamiento de información Nmap
48
La figura 11 nos muestra el módulo de explotación correspondiente al código CVE-2014-
3566 de la vulnerabilidad SSLv3 POODLE, el cual se utilizó para simular el ataque.
Figura 11. Módulo de explotación CVE-2014-3566
La figura 12 nos muestra la utilización de comando use para usar el modulo encontrado
y también el comando show options para desplegar los requisitos que se necesitó para
realizar el ataque.
Figura 12. Comando use y show options
De la figura 13 en la columna Required se muestra los campos requeridos para la
realización del ataque o explotación, por tanto el parámetro RHOSTS se tuvo que añadir
mediante el comando set RHOST “IP”, siendo IP, la dirección IP del servidor objetivo.
La figura 19 nos muestra la ejecución del comando set RHOSTS y se evidencia que el
parámetro RHOSTS contiene la dirección IP del servidor objetivo.
49
Figura 13. Comando set RHOSTS
Luego enviamos a correr el modulo con el comando run, y comprobamos que el servidor
de dirección IP 192.168.0.5 en el puerto 443 está aceptando conexión de tipo SSLv3, la
figura 14 nos muestra este resultado.
Figura 14. Ejecución y resultado del módulo de explotación
Se realizó la búsqueda de un exploit para este módulo pero no se pudo encontrar ninguno,
la explicación para esto se la pudo encontrar en la página de vulnerabilidades National
Vulnerability Database, en donde se puede observar que para este módulo no es necesario
una explotación, podemos apreciar dicha explicación en la figura 15.
50
Figura 15. Resumen de la vulnerabilidad CVE-2014-3566
3.5.2 Pruebas de Sniffing
En primera instancia consideramos la definición de lo que es el sniffing: “Es una técnica
que consiste en escuchar o capturar toda la información que circula por una red. Esta
información se almacena y se interpreta para descubrir datos sensibles como contraseñas,
información, etc.” (Gómez, s.f)
La prueba que se realizó en este proyecto fue el análisis de tráfico para encontrar las
credenciales de acceso a un sitio web, sitio que no posee protocolo https, es decir no tiene
una transferencia segura de datos.
Se utilizó la herramienta Wireshark, en la cual se capturo una secuencia de paquetes que
se transfieren por la red de la institución, la muestra se la puede observar en la figura 16,
en dicha muestra se realizó un filtro de protocolo, precisamente de HTTP para poder
buscar la información capturada por la herramienta.
51
Figura 16. Captura de paquetes con Wireshark
Luego de haber capturado los paquetes, se realizó la inspección de uno de ellos,
preciosamente uno con la entrada de HTTP, en el cual se visualiza la acción cuando
hemos dado clic al botón “Ingresar” de la aplicación web, la figura 17 muestra el detalle
de la actividad realizada.
Figura 17. Trama con el proceso de ingreso al sitio web
Luego se realizó el proceso para obtener el script con las credenciales que fueron
capturadas al momento de ingresar a la aplicación web, y en donde observamos también
el sitio web a donde ingresamos, la figura 18 muestra los resultados obtenidos del sniffing
realizado, las credenciales están bajo los campos txtUser y txtPassword.
52
Figura 18. Resultados Snnifing
De los resultados del sniffing realizado, se ha hecho notar una vulnerabilidad en cuanto a
un posible plagio de información mediante esta técnica, por tanto se ha bloqueado
mediante el firewall de siguiente generación, prohibiendo su uso en el interior de la
institución, además se mencionó la importancia de utilizar sitios web seguros para la
transferencia de datos en la red de la institución.
3.6 Análisis de riesgos
Basándonos en las tablas 12 y 13 y apoyándonos en los resultados obtenidos con Nessus,
se dio una valoración a las vulnerabilidades encontradas, tanto en el riesgo que estas
tienen como en su probabilidad de afección a los equipos objetivos.
3.6.1 Impactos que causan las amenazas
Para dar la valoración de impacto a las amenazas encontradas, se hizo una breve
referencia a las tablas 22, 23, 24 y se consideró la información del anexo I para elaborar
las tablas 25, 26 y 27 que corresponden a las valoraciones que tienen cada una de las
vulnerabilidades.
53
Tabla 25. Valoración de riesgos PC Secretaria
Puerto Estado Vulnerabilidad Valor Impacto
445 Abierto Firma SMB deshabilitada 5 Medio
Tabla 26. Valoración de riesgos PC Sistemas 01
Puerto Estado Vulnerabilidad Valor Impacto
445 Abierto Firma SMB deshabilitada 5 Medio
Tabla 27. Valoración de riesgos Servidor SF Datos 01
Puerto Estado Vulnerabilidad Valor Impacto
443
636
3269
3389
Abierto Compatibilidad de cifrado SSL de
intensidad media 4,3 Medio
636
3269
3389
8443
Abierto Certificado SSL con un nombre de
host incorrecto 5 Medio
443
636
3269
Abierto Detección de protocolos SSL
versión 2 y 3 5 Medio
443
636
3269
Abierto SSLv3 POODLE 4,3 Medio
3389
8443 Abierto Certificado SSL auto-firmado 6,4 Medio
53 Abierto
Recuperación remota de
información del caché del servidor
DNS
5 Medio
3389 Abierto Debilidad en el servidor de
escritorio remoto de Windows 5,1 Medio
54
3389 Abierto Servicios de Terminal Server no
utiliza autenticación a nivel de red 4,3 Medio
3389 Abierto
Nivel de encriptación de los
servicios de Terminal Server son
medios o bajos.
4,3 Medio
443
636
3269
3389
5556
Abierto
Compatibilidad de cifrado de
bloques SSL de 64 bits
(SWEET32)
2,6 Bajo
443
636
3269
3389
Abierto Compatibilidad de cifrado SSL
RC4 (Bar Mitzvah) 2,6 Bajo
3389 Abierto
Nivel de cifrado de los servicios
de Terminal Server no es
compatible con FIPS-140
2,6 Bajo
Como se mencionó anteriormente, se ha tomado información de referencia del anexo I,
este anexo muestra los análisis completos de cada uno de los equipos objetivos hechos
con Nessus. En estos análisis se encontro vulnerabilidades que están marcadas con
severidad de tipo INFO, las cuales no tienen ningún riesgo y son únicamente tomadas
como información adicional del escaneo realizado con la herramienta.
3.6.2 Probabilidades de afección de las amenazas
Para definir las probabilidades con las que se podrían producir las amenazas en las
vulnerabilidades encontradas con el escaneo de puertos de Nessus, se tomó también la
información de los reportes de Nessus, en donde se considera la amenaza a la que está
expuesta la vulnerabilidad y el factor de riesgo de cada una de ellas.
Las tablas 28, 29 y 30 muestran las amenazas por cada vulnerabilidad correspondientes a
los equipos objetivos y la probabilidad con las que estas pueden suscitarse.
55
Tabla 28. Probabilidad de amenazas PC Secretaria
Vulnerabilidad Amenaza Probabilidad
Firma SMB deshabilitada Ataque remoto al servidor SMB
mediante Man-in-the-middle Media
Tabla 29. Probabilidad de amenazas PC Sistemas01
Vulnerabilidad Amenaza Probabilidad
Firma SMB deshabilitada Ataque remoto al servidor SMB
mediante Man-in-the-middle Media
Tabla 30. Probabilidades de amenazas Servidor SF Datos 01
Vulnerabilidad Amenaza Probabilidad
Compatibilidad de cifrado
SSL de intensidad media
Facilidad de vulnerar la clave de
cifrado SSL mediante ataque en la
red local
Medio
Certificado SSL con un
nombre de host incorrecto
Aceptación de un certificado SSL
con cualquier nombre de host (CN) Medio
Detección de protocolos
SSL versión 2 y 3
Descifrado de comunicaciones
entre el servidor y el cliente
mediante ataques Man-in-the-
middle
Medio
SSLv3 POODLE
Ataque por Man-in-the-middle
para descifrar un byte seleccionado
de un texto cifrado haciendo que la
víctima reenvié los mismos datos
repetidamente mediante una
conexión SSLv3 recién creada.
Medio
Certificado SSL auto-
firmado
Ataque Man-in-the-middle debido
a la nulidad de SSL por un
certificado SSL sin una firma de
una entidad reconocida segura
Medio
56
Recuperación remota de
información del caché del
servidor DNS
Determinación de dominios y
hosts recientemente visitados por
parte de un atacante remoto
Medio
Debilidad en el servidor
de escritorio remoto de
Windows
Ataque Man-in-the-middle que
permite que el atacante pueda
interceptar cualquier información
inclusive credenciales de
autenticación de usuario
Medio
Servicios de Terminal
Server no utiliza
autenticación a nivel de
red
Fácil acceso por parte de un
atacante debido a la falta de
configuración de autenticación
NLA
Medio
Nivel de encriptación de
los servicios de Terminal
Server son medios o
bajos.
Facilidad de intercepción de
comunicaciones y obtención de
capturas de pantalla y/o
pulsaciones de teclas
Medio
Compatibilidad de cifrado
de bloques SSL de 64 bits
(SWEET32)
Ataque “birthday” que permite a
los atacantes obtener las cookies
de una sesión HTTPS
Bajo
Compatibilidad de cifrado
SSL RC4 (Bar Mitzvah)
Obtención de varios textos
cifrados por parte de un atacante Bajo
Nivel de cifrado de los
servicios de Terminal
Server no es compatible
con FIPS-140
Intrusión a información de
autenticación Bajo
3.7 Definición de políticas de seguridad para su implementación
Este punto muestra las políticas de seguridad que se han escogido en base a algunas
prácticas de Hardening de equipos y las Normas ISO 27001, cabe recalcar que estas
políticas han sido establecidas muy aparte de cómo está conformado el EGSI ya que este
se basa en la Norma ISO 27002.
57
Además se han configurado e implementado dispositivos que fueron adquiridos durante
la realización de este proyecto, equipos que han sido necesarios para la administración
correcta de la red.
3.7.1 Implementación y configuración de equipos necesarios
El equipo más importante que se adquirió fue un firewall de siguiente generación,
precisamente un Fortigate 240D de la marca Fortinet, el cual ha permitido establecer
políticas de administración de ancho de banda y prestaciones de seguridad de un firewall
común.
Mediante este dispositivo, como se mencionó anteriormente, se unifico los dos enlaces
que existían al principio del desarrollo de este proyecto, quedando un solo enlace
proveniente de TELCONET el cual es el encargado de dar el servicio de internet a toda
la institución.
Se ha configurado el Fortigate 240D con políticas que administran no solo la dotación de
ancho de banda a un usuario, es decir, a una IP o rangos de IP determinados, sino que
también se le ha proporcionado políticas de distribución de ancho de banda para las
aplicaciones y filtrados de contenido web.
A continuación se muestran las configuraciones más elementales que se han realizado en
el dispositivo, los grupos, rangos, controles de aplicaciones y los respectivos filtrados
web creados.
En primera instancia se observa una breve descripción de las interfaces que fueron creadas
en el dispositivo, interfaces como: WAN para el manejo del enlace proveniente de
TELCONET, LAN para el manejo de la red local y WIFI para el manejo de la red Wireless
de las salas de profesores específicamente, la figura 19 muestra las interfaces activas en
el Fortigate 240D, por motivos de seguridad no se da a conocer la IP pública que fue
asignada por TELCONET y que es con la que está configurada la interfaz WAN.
58
Figura 19. Interfaces del Fortigate 240D
Cabe mencionar que las configuraciones de las interfaces del Fortigate 240D se las realizo
en conjunto con el personal técnico especializado de TELALCA, quienes dieron una
capacitación básica para el manejo del dispositivo.
a) Configuración de las interfaces WIFI y LAN: Estas configuraciones se las
realizo para crear las dos interfaces que maneja el dispositivo, en las cuales se
definen los accesos tanto inalámbricos como por cableado y sus respectivas
configuraciones de distribución, en resumen estas interfaces son las encargadas
del manejo de todo el tráfico de red de la institución.
Comenzamos con la configuración de la interfaz WIFI, en donde se muestra el
nombre que se le asignó a la interfaz, la dirección de red, el acceso administrativo,
la configuración del servidor DHCP y los respectivos ajustes para el SSID y la
clave de la red WIFI.
En la figura 20 se muestra de manera global las configuraciones creadas para la
interfaz, es decir, todos los aspectos mencionados anteriormente.
59
Figura 20. Parámetros de la Interfaz WIFI
La figura 21 muestra de forma similar las configuraciones globales realizadas en la
interfaz LAN, podemos observar la IP de la red, que en su defecto es la IP de la puerta de
enlace para toda la red, el acceso administrativo y los ajustes del servidor DHCP para esta
interfaz.
Figura 21. Parámetros de la interfaz LAN
a) Configuración de los controles de aplicaciones y filtrado web: Las
configuraciones realizadas en este punto, se tratan en resumen de permitir, bloquear
60
o dar un determinado ancho de banda para la navegación y el uso de las aplicaciones
web.
Para este proyecto, se muestra de manera general las configuraciones realizadas
tanto en el control de aplicaciones como en el filtrado web. Siendo así comenzamos
con una breve descripción de lo realizado en el control de aplicaciones para los
laboratorios de computación.
La figura 22 muestra todos los ítems que fueron configurados para este control de
aplicaciones, el cual lleva por nombre APP-Control-Laboratorios.
Figura 22. Control de aplicaciones laboratorios
En el bloque Categorías (Categories) se muestra los bloqueos o permisos de manera
general para las categorías que están por defecto en el menú del Fortigate, se ha realizado
los respectivos bloqueos para: Botnet, Game, P2P, Proxy, Video/Audio y se le ha dado
un control de tráfico a Social.Media.
61
En la Tabla 31 se describe brevemente cada una de estas categorías bloqueadas y la
categoría con el control de tráfico.
Tabla 31. Categorías bloqueadas y controladas Forigate 240D
Categoría Estado Descripción
Botnet Bloqueado
Bloqueo de malwares que pueden
escanear la red local y los discos duros
de los ordenadores infectados. El
bloqueo evita la propagación de este
malware.
Game Bloqueado Bloqueo de aplicaciones de juegos en
línea.
Proxy Bloqueado Bloqueo de programas que puedan
saltar los bloqueos establecidos
Social.Media Tráfico regulado Asignación de ancho de banda limitado
para aplicaciones de redes sociales.
Video/Audio Bloqueado Bloqueo de aplicaciones de audio y
video en línea.
En el bloque de Sobrescrituras de aplicación (Application Overrides) se muestran las
configuraciones de bloqueo y asignación de ancho de banda para algunas aplicaciones,
en la Tabla 32 se observa estas aplicaciones y la descripción del porque se les ha
bloqueado o se les asigno el ancho de banda correspondiente.
Tabla 32. Aplicaciones bloqueadas y controladas Fortigate 240D
Aplicación Estado Descripción
Avast.Update Tráfico controlado
(Baja Prioridad)
Actualizaciones de avast antivirus,
agente de antivirus que necesita
descargar actualizaciones
directamente del internet en cada
computador.
Facebook Bloqueado Aplicación bloqueada, bajo pedido de
los docentes de los laboratorios.
62
Microsoft.Portal Tráfico controlado
Control de ancho de banda para
navegación por sitios de Microsoft
como Hotmail, etc.
MS.Windows.Update Bloqueado
Bloqueo de actualizaciones de
Windows, debido al gran número de
computadores las actualizaciones
consumen ancho de banda.
Teredo Bloqueado
Servicio de red que implementa IPv6,
por monitoreo del Fortigate determina
que consume ancho de banda por cada
computador.
YouTube Tráfico controlado
Aplicación que se necesita en cada
laboratorio pero con restricción de
ancho de banda por el consumo en
cada computador.
Si bien se ha bloqueado o se ha asignado un control de tráfico a las aplicaciones en el
bloque de Categorías, en la parte de Sobrescrituras de aplicaciones se excluye
aplicaciones específicas bajo su respectivo nombre para bloquearlas o asignar un control
de tráfico, por ejemplo: en Categorías se le asignó un control de tráfico a Social.Media y
en Sobrescritura de aplicaciones se ha bloqueado a Facebook y a Snapchat que pertenecen
a la categoría Social.Media.
Luego de haber realizado la política de control de aplicaciones, seguimos con la política
de filtrado web de igual forma orientado a los laboratorios de computación, la figura 23
muestra de manera general la política y los ítems que tiene en su plantilla, la cual lleva
por nombre Web-Filter-Laboratorios.
63
Figura 23. Filtrado Web laboratorio
En esta política se restringe o se permite el acceso a páginas web determinadas por
categorías, no se permite tráfico controlado, únicamente se bloquea o se permite acceso,
la Tabla 33 muestra las categorías web, sus contendidos principales y sus respectivos
estados.
Tabla 33. Categorías y contenidos Web
Categoría Web Estado Contenidos
Local Categories Permitido Personalizado1
Personalizado2
Potentially Liable Bloqueado
Abuso infantil
Discriminación
Abuso de drogas
Violencia explicita
Plagio
Anulación de proxy
Adult/Mature Content Bloqueado
Aborto
Alcohol
Citas
Juego
Lencería
Marihuana
Nudismo
Pornografía
Tabaco
64
Armas
Bandwidth Consuming
Bloqueado
Monitoreo
Permitido
Compartir archivos y almacenamiento
(Monitoreado)
Freeware y descarga de software
(Bloqueado)
Radio y TV (Bloqueado)
Telefonía por internet (Monitoreado)
P2P compartición de archivos
(Bloqueado)
Transmisión multimedia y descargas
(Permitido)
Security Risk Bloqueado
Sitios Web maliciosos
Suplantación de identidad (Phishing)
Spam URLs
General Interest -
Personal
Permitido
Bloqueado
Publicidad
Arte y cultura
Educación infantil
Educación
Juegos (Bloqueado)
Salud y bienestar
Redes sociales
Organizaciones políticas
Sitios webs personales y blogs
General Interest -
Bussines Permitido
Negocios
Finanzas y banca
Información tecnológica
Información y seguridad
computacional
Sitios webs seguros
Web hosting
Unrated Permitido Sin clasificar
b) Aplicación de políticas de control y filtrado web a un rango o grupo de IPs:
Luego de haber creado las políticas de control de aplicaciones y filtrado web, se ha
procedido a implementarlas sobre un rango o un grupo determinado de IPs, en este
65
caso se muestra la implementación sobre un rango de IPs el cual pertenece a los
computadores de uno de los laboratorios de computación.
En primera instancia se realizó la creación del rango de IPs correspondiente al
laboratorio de computación de primaria, la figura 24 muestra la creación de este
rango, el cual va desde la IP 192.168.0.51 hasta la 192.168.0.95 y lleva por nombre
Lab_primaria.
Figura 24. Rango de IPs Laboratorio Primaria
Una vez que creado el rango de IPs, se procedió a implementar los perfiles de seguridad
que establecimos como APP-Control-Laboratorios y Web-Filter-Laboratorios, en la
figura 25 se muestra de manera general la política y sus aspectos más importantes, los
cuales se detallan en la tabla 34.
66
Figura 25. Política Laboratorio de Primaria
Tabla 34. Descripción de los parámetros de la política Laboratorio Primaria
Aspecto Parámetro Descripción
Incoming Interface lan Nombre de la interface de la red local.
Source Address Lab_primaria Rango al cual se le va a aplicar la política.
Outgoing Interface wan1
(WAN_Telco)
Nombre de la interfaz de salida al
internet, interface WAN con la IP
pública.
Service Email Access
Web Access
Servicios de navegación y envío de
correos para las IPs dentro del rango,
pero con ciertas restricciones de
compartición de datos.
Firewall/Network
Options
NAT
Use outgoing
interface address
Opciones para que una sola IP pública
configurada en la Interfaz WAN sea la
que permita la salida al internet a todos
los computadores de la institución.
67
Antivirus default Usa el antivirus que viene por defecto en
el Sistema Operativo del Fortigate
Web Filter Web-Filter-
Laboratorios
Implementación del filtro web creado
con el nombre Web-Filter-Laboratorios.
Application Control APP-Control-
Laboratorios
Implementación del control de
aplicaciones con el nombre APP-
Control-Laboratorios.
SSL/SSH Inspection certificate-
inspection
Únicamente se inspecciona el SSL
handshake, no todo el tráfico de red.
Traffic Shaping-Per-
IP Shaper MAX-1MB
Asignación de ancho de banda para que
cada IP tenga un máximo de consumo de
1 MB.
Los pasos desde la creación de los rangos de IPs hasta la creación de la política para el
laboratorio de Primaria, fueron replicados de manera similar para distintos perfiles,
considerando si estos son administrativos, docentes o laboratorios que son de uso de las
alumnas. En la figura 26 se observa de manera general las políticas creadas para cada
perfil.
Figura 26. Políticas Interfaz Lan Fortigate 240D
68
3.7.2 Definición de políticas en base al Hardening de equipos
En el numeral del Marco Teórico se dio una definición de lo que es el Herdening de
equipos basado en el sistema operativo, por tanto en este apartado vamos a detallar lo que
se ha aplicado en algunos equipos de la red de la institución, se hizo referencia a los
procesos de Hardening establecidos en la Tabla 15.
a) Activación y/o configuración adecuada de servicios de actualizaciones
automáticas: Para realizar las actualizaciones de todos los computadores de la
institución se estableció el criterio de la instalación de un servidor de
actualizaciones, tal como lo es WSUS.
La configuración de WSUS ha quedado considerada para la elaboración de una
propuesta para su futura implementación, las razones fueron que por el momento
las actualizaciones de Windows están bloqueadas mediante el Fortigate 240D y la
institución no tiene un dominio predeterminado bajo un Active Directory.
b) Instalación, configuración y mantención de programas de seguridad: En la
descripción de este punto en la tabla 8, se consideró programas como antivirus,
antimalware y antispam. La institución al momento solo cuenta con el servidor de
antivirus Avast for Business, este es un servidor de antivirus de distribución libre
que se gestiona mediante una consola web controlando los respectivos agentes
desplegados en los computadores.
La consola no está alojada en servidores locales de la institución sino que está en
la nube, la figura 27 muestra la consola de administración de Avast for Business.
Figura 27. Consola de administración Avast for Business
69
Este servidor al ser de distribución libre tiene opciones que son muy útiles pero que solo
están disponibles en la versión Premium, opciones como la actualización programada que
se visualiza en la figura 28.
Figura 28. Tarea de actualización de agentes Avast.
La desventaja más grande de este servidor de antivirus es la no centralización de las
actualizaciones para luego distribuirlas mediante red local, solo envía órdenes para que
los agentes se conecten al internet y se descarguen las actualizaciones directamente de la
nube, haciendo que exista excesivo consumo de ancho de banda.
Es por la desventaja mencionada y el gran número de computadores en la institución que
se está proformando un servidor de antivirus que descargue actualizaciones y sea el quien
las distribuya mediante red local a los agentes desplegados, la opción más tentadora es
ESET endpoint advanced.
c) Política de contraseña robusta: Para establecer esta política se ha tomado
factores como la caducidad, la complejidad, el bloqueo y el historial de las
contraseñas de un usuario, factores que se explican brevemente y han sido
parametrizados en la Tabla 35.
Tabla 35. Factores de política de contraseña
Factor Descripción Parámetro
Caducidad Establece un periodo de tiempo de
uso de la contraseña. Máximo 6 meses
70
Complejidad Exigencia del cumplimiento de la
complejidad de la contraseña.
Minino 8 caracteres
Una letra mayúscula
Mínimo un numero
Mínimo un símbolo
Bloqueo
Bloqueo de una cuenta de usuario
después de un numero de intentos
de contraseña fallidos.
Bloqueo después del
tercer intento
Historial
No permite que se reutilicen las
contraseñas continuamente sino
después de un cambio
determinado de contraseñas.
Reutilización de
contraseñas luego del
décimo cambio
Estas políticas fueron implementadas en los cinco computadores de sistemas que son de
uso de los docentes y en los computadores Sistemas 01 y Sistemas 02.
d) Renombre y deshabilitación de cuentas estándar del sistema: Esta política
contempla la no disposición de cuentas de Administradores ni de invitados a un
usuario final, por tanto solo se le ha concedido acceso mediante una cuenta de
usuario estándar creada.
Se ha creado cuentas de usuario estándar en las laptops que son de uso de los
docentes tanto de primaria como de secundaria, también se ha implementado esta
política en los computadores de sistemas de uso de los docentes.
La Tabla 36 muestra los usuarios administradores renombrados y usuarios
estándar creados tanto en las laptops como en los computadores de docentes en el
departamento de sistemas y en los computadores de los laboratorios.
Tabla 36. Cuentas de usuarios administradores y estandar
Usuario Administrador Usuario Estándar Observación
HP-XX Usuario-XX Laptop de uso de docentes
de primaria y secundaria.
71
Admin-XX Año-Paralelo Laptop de uso de docentes
tutores de primaria.
Admin-XX Secundaria-XX Laptop de uso de docentes
de secundaria.
AdminProfesor-XX Profesor-XX
Computador para uso de
docentes en el
departamento de sistemas.
INICIAL-XX EST-INICIAL-XX
Computador estudiante
laboratorio de computación
de Inicial.
PRIMARY-XX ESTUDIANTE-XX
Computador estudiante
laboratorio de computación
de Primaria.
AdminPCA-XX PCA-XX
Computador estudiante
laboratorio de computación
de Básica Superior.
AdminPCB-XX PCB-XX
Computador estudiante
laboratorio de computación
de Bachillerato.
AdminENGP-XX ESTUDIANTEI-XX
Computador estudiante
laboratorio de inglés de
primaria.
AdminENG-XX ENG-SEC-XX
Computador estudiante
laboratorio de inglés de
secundaria.
SPELLMANXX USR-BIBLIO-XX
Computador para uso de
estudiantes y docentes en
biblioteca de secundaria.
Al momento esta política fue implementada en los computadores que son de uso de los
docentes y las estudiantes, quedando por implementar la política en los computadores del
personal administrativo de la institución.
72
e) Asignación correcta de derechos de usuario: Política en la cual se hace
referencia a la limitación de privilegios a usuarios finales de un ordenador. La
presente política tiene nexo con la anterior, debido a que el momento de crear un
usuario estándar, se ha denegado el acceso a varias funcionalidades del
computador, como por ejemplo: modificación del adaptador de red, accesos a
configuraciones de servicios del sistema, etc.
Por tanto los computadores que fueron objetos de la implementación de la política
de renombre y deshabilitación de cuentas estándar del sistema tienen ya aplicada
la política de asignación correcta de derechos de usuario.
f) Restricciones de software: Política que restringe la instalación de software en el
computador sin permiso de un administrador del sistema. La política mencionada
se aplicó luego de creadas las cuentas de usuario estándar, en la cual no permite
la instalación de software sin permiso del usuario administrador del sistema, pero
para reforzar esta política se ha realizado la configuración de restricción mediante
el gestor de políticas del sistema, a través de las directivas equipo local en los
bloques de configuración del equipo y del usuario.
En este bloque hemos habilitado las políticas de No ejecutar aplicaciones de
Windows específicas y Desactivar Windows Installer, en la primeria hemos
puesto a consideración que los instaladores como: install.exe, instalar.exe,
setup.exe sean impedidos de ser ejecutados, la figura 29 muestra la configuración
realizada.
73
Figura 29. Configuración política No ejecutar aplicaciones de Windows especificas
En la segunda política se ha configurado la desactivación de Windows Installer, bajo el
parámetro solo para aplicaciones no administradas, con el fin de prohibir instalaciones
que no sean autorizadas por el administrador del sistema, la figura 30 muestra la
configuración realizada.
74
Figura 30. Política Desactivar Windows Installer
g) Configuración de servicios del sistema: Política en la cual se ha determinado
que servicios del sistema operativo no son necesariamente importantes y proceder
a inhabilitarlos.
Se ha realizado esta configuración en computadores de docentes que están el
departamento de sistemas, en laptops de docentes y en parte de los computadores
del personal administrativo.
Los servicios que se han deshabilitado son los que se muestran en la tabla 37.
Tabla 37. Servicios inhabilitados del Sistema Operativo
Servicios Descripción Razón de
deshabilitación
75
Administrador de
mapas descargados
(MapBroker)
Servicio de la aplicación
Mapas
Ningún computador
necesita utilizar mapas
dmwappushservice
Servicio de telemetría y
recolección de datos por
Microsoft
No se necesita envío
de datos a Microsoft
GamesAppIntegration
Service
Servicio de juegos de
Windows
Ningún computador
está autorizado para
juegos
IP Helper Servicio de compatibilidad
con tecnología IPv6
No se tiene
conectividad bajo
protocolo IPv6
Cola de impresión
(Spooler) Servicio de cola de impresión
Inhabilitado para las
laptops
Panel de escritura a
mano y teclado táctil
Servicio para monitores
táctiles
No se tiene
computadores con
pantallas táctiles
Windows defender
Servicio de antivirus y
antimalware propio de
Windows
Se tiene Avast
antivirus instalado en
los computadores
Windows update Servicio de actualizaciones
de Windows
Deshabilitado para
conservar el ancho de
banda
h) Desactivación de unidades externas: Política en la cual se procedió con la
inhabilitación de las unidades de CD y de USB del servidor SF Datos 01, teniendo
en cuenta que para el control del mismo se tiene un acceso remoto, por tanto no
se necesita tener un mouse ni teclado conectado ya que la mayoría de estos
dispositivos se conectan vía USB.
i) Configuración adecuada de permisos de seguridad en archivos y carpetas del
sistema: Política en la cual se ha denegado el acceso a las carpetas más
representativas del sistema. Esta política se aplicó en los computadores que fueron
76
objetos de la política de la creación de usuario estándar. Se denegó el acceso a
carpetas como Windows, Archivos de Programas y Usuarios.
j) Habilitación de sistemas de auditoría y monitoreo de logs: Política en la cual
se verifica mediante auditorias, los inicios correctos e incorrectos de sesión en un
equipo y determinar si se ha intentado ingresar al equipo con credenciales
desconocidas a las autorizadas.
Esta política se configuro en el servidor SF Datos 01, en los computadores Sistemas 01 y
Sistemas 02, la figura 31 muestra parte de la configuración realizada.
Figura 31. Política de auditoria de inicio de sesión
3.7.3 Definición de políticas en base a las Normas ISO 27001
Para el desarrollo de este proyecto solo se tomó de las Normas ISO 27001 el principio
de un Sistema de Gestión de Seguridad de la Información (SGSI), no se implementó
dicho sistema, sin embargo se ha considerado los tres puntos más relevantes que este
garantiza en una institución que son: confidencialidad, integridad y disponibilidad, los
cuales también ya hemos mencionado anteriormente en este documento.
Para cumplir con estos puntos, se ha planteado a las autoridades de la institución la
conformación de un Comité de Seguridad de la Información y la realización de
auditorías internas sobre la seguridad informática.
77
a) Comité de Seguridad de la Información: Para establecer lo que es El Comité de
Seguridad de la Información se tomó la siguiente definición: “Es un cuerpo integrado
por los representantes de todas las áreas sustantivas del Organismo, destinado a
garantizar el apoyo manifiesto de las autoridades a las iniciativas de seguridad.” (Onti,
2005, pág. 10)
De la definición citada anteriormente y para el caso de este proyecto dado que la
institución en una entidad educativa, se ha planteado que el Comité de Seguridad de la
Información lo deben conformar: el encargado del área de Sistemas que será quien
realice las actividades, la documentación y la programación de la auditoria interna y los
docentes de la catedra de computación, quienes serán los que ayuden en la ejecución de
la auditoria en las áreas de la institución.
b) Auditorías internas: “Es un examen que se realiza con carácter objetivo, critico,
sistemático y selectivo con el fin de evaluar la eficacia y eficiencia del uso adecuado de
los recursos informáticos, de la gestión informática y si estas han brindado el soporte
adecuado a los objetivos y metas del negocio.” (Sistemas Computacionales, 2011, pág.
6)
Esta actividad se la ha considerado para aplicarla en el proceso de Cumplimiento del
esquema EGSI y haciendo mención que en la institución no se ha realizado ninguna
auditoria interna, por lo que luego de la respectiva aprobación por parte de las
autoridades, esta sería la primera auditoria interna que se realice en la institución.
3.8 Política de la seguridad de la información
3.8.1 Documento de la política de la seguridad de la información
Documento en el cual la máxima autoridad de la institución aprueba la implementación
de los procesos del esquema de seguridad. Este documento se lo puede visualizar en el
anexo J.
78
3.8.2 Revisión anual de la política de seguridad
Este documento tiene como objetivo revisar la vigencia de las políticas de seguridad
implementadas bajo el esquema de seguridad, se hará la revisión anualmente, se verificara
si se están cumpliendo las políticas y se procederá con la respectiva documentación de
haber algún cambio en las políticas implementadas. El anexo K muestra el modelo del
documento de la revisión de la política de seguridad.
3.9 Organización de la seguridad de la información
3.9.1 Seguimiento de la puesta en marcha de las políticas de este documento
Se ha realizado un documento en el cual se da el seguimiento de la implementación de
cada una de las políticas estipuladas en este documento, el anexo L muestra el documento
en donde se verifica las políticas que han sido implementadas hasta el momento en la
institución, aquellas que están en revisión y aquellas que luego de una reunión sostenida
con las autoridades dieron su aprobación para ser implementadas gradualmente.
3.9.2 Desarrollo de procedimientos adecuados de concienciación de usuarios en
materia de seguridad, controles de acceso a los sistemas y administración de cambios
Se ha desarrollado algunos tópicos en los cuales se pone a consideración de los usuarios
las medidas de seguridad que deben tomar en cuanto a la seguridad de su información y
el buen manejo de la misma.
a) Manejo de contraseñas: Los usuarios deben considerar una contraseña robusta la
cual sea difícil de descifrar por parte de terceros, este tópico se lo trato con más
detalle en la parte de la definición de políticas en base al hardening de equipos.
b) Protección de identidad digital: Se trata de que los usuarios sean muy precavidos
al ingresar sus credenciales en sitios web, en este caso se ha recomendado a los
usuarios docentes que verifiquen que los sitios como las plataformas educativas que
se maneja en la institución así como también el ingreso al sistema de notas sean los
correctos.
79
En ocasiones los docentes deben ingresar a sitios como la página del IESS y a los
bancos, por tanto también se les ha recomendado que verifiquen que los enlaces a
dichos sitios sean los correctos y cuando terminen de hacer sus actividades se
aseguren de cerrar muy bien su sesión.
c) Cierre de sesiones de correo: Se ha recomendado a los docentes que luego del
haber iniciado su sesión de correo electrónico en los computadores de uso docente y
luego de haber realizado sus actividades, se aseguren de cerrar correctamente su
sesión de correo, ha existido casos en los cuales los docentes dejan abiertas sus
sesiones de correos por tanto las mismas quedan vulnerables.
d) Copias de seguridad de la información: Los docentes suelen llevar sus archivos
de planificaciones, pruebas, exámenes, etc. en sus dispositivos de almacenamiento
USB (Flash memory), por tanto se les dio la recomendación de no solo llevar esta
información en sus flash sino también copien esta información en su computador
personal o que la almacenen temporalmente en la laptop asignada a ellos de ser el
caso.
e) Manejo de credenciales de acceso: Nos referimos a credenciales de acceso a los
usuarios y contraseñas de acceso a los sistemas que están en uso en la institución,
por ejemplo cuentas de correo institucional, plataformas educativas, sistema de notas
y reloj biométrico (en caso de tener clave de acceso numérico).
La recomendación para este punto es mantener en total privacidad dichas
credenciales, es decir, no entregar a ningún compañero sea cual sea el motivo.
3.9.3 Identificación de oportunidades de mejora
Existen algunos casos en donde se debe implementar mejoras, pero para el caso de este
proyecto se ha considerado plantear la mejora del sistema de vigilancia por cámaras ip,
las seguridades físicas en cuanto al centro de datos y un planteamiento de restructuración
del cableado estructurado en algunos sectores de la infraestructura de red el cual se lo
detalla más adelante en el numeral de las recomendaciones.
80
3.10 Gestión de los activos
3.10.1 Inventario de activos de hardware y software
Para realizar el inventario de hardware y software de los activos de la institución se tomó
en cuenta solo los equipos que son utilizados por usuarios finales, es decir, computadores
de escritorio, laptops e impresoras.
El anexo M muestra parte del inventario de hardware, considerando los equipos del
personal administrativo, laboratorio de computación de bachillerato, parte de las laptops
y las impresoras, tomando en cuenta que este inventario se realizó con las características
básicas de cada de cada uno de los equipos mencionados, por otra parte el anexo N
muestra el detalle básico del inventario de software que está en los equipos de la
institución.
3.10.2 Inventario de los activos de red
Este inventario trata del detalle básico de los activos de red, es decir, servidores, switchs
y el firewall de siguiente generación (Fortigate) que está instalado y funcionando en la
institución, este inventario se lo puede observar en el anexo O.
3.10.3 Definición de responsables que usan los activos informáticos
El anexo P muestra parte del registro oficial de los usuarios a los que se les ha asignado
un activo informático, en dicho registro consta: el nombre del responsable, el cargo que
ocupa en la institución, el usuario de acceso al equipo, la contraseña y el área al que
pertenece. Cabe mencionar que en este registro también se ha considerado a los
responsables de los laboratorios de computación y de inglés.
Además se hace notar que para este proyecto en el campo contraseña del equipo solo se
mencionara si tiene o no, por motivos de confidencialidad, en consecuencia el registro
con las contraseñas de los equipos fue entregado a las autoridades de la institución.
81
3.10.4 Identificación, documentación e implementación de reglas sobre el uso
aceptable de los activos
Se ha establecido reglas de uso aceptable de los activos informáticos, tomando en cuenta
en este punto solo equipos como computadores, salas de audiovisuales y laboratorios de
computación, etc.
En el anexo Q se muestra el reglamento de uso aceptable de activos informáticos, en
donde se consideran solo las reglas más significativas para los usuarios.
3.10.5 Reglamentación del uso correcto del correo electrónico institucional y del
servicio de internet
De igual forma que en el uso aceptable de los activos, en esta parte también se ha tomado
reglas más significativas para el uso correcto que los usuarios deben tener con respecto al
correo institucional y al servicio de internet, estas reglas se detallan a continuación:
Correo Institucional (Universidad Autónoma del Occidente, n.d.):
El correo electrónico de la institución debe ser usado para envió de
información estrictamente laboral.
No se debe utilizar el correo institucional para el envío de correos basura
(Spam).
Se restringe a los usuarios el envío de correos personales, ofensivos o cadenas
de mensajes.
El usuario no entregara sus credenciales de acceso al correo institucional a
ninguna persona sea cual sea el motivo, por tanto un usuario no puede usar la
cuenta de correo de otra persona.
Se considera un correo electrónico como un documento formal, el cual debe
estar redactado como tal de acuerdo a las siguientes sugerencias:
Iniciar el correo con un saludo formal.
Nombrar al destinatario por su nombre o profesión.
Evitar tutear.
Evitar el uso de palabras ofensivas.
Escribir puntualmente sin extenderse demasiado.
82
No escribir en mayúsculas, puesto que significa que el usuario está
gritando.
Al finalizar la redacción del correo se deberá agradecer por la atención
prestada al mismo.
Servicio de internet (H. Ayuntamiento de Tamazula Giordano, Reglamento de uso de
equipos y sistemas informáticos, 2012-2015):
El uso del servicio de internet debe ser exclusivo para asuntos laborales
correspondientes a la institución.
No se permite el uso del internet para acceso a sitios comerciales o de
recreación por ejemplo: blogs de música, radio en internet, juegos, etc.
Cualquier conversación en línea (Videoconferencia), se la realizara con la
respectiva anticipación y la debida autorización de las autoridades de la
institución.
Evitar la degradación del ancho de banda del internet por parte de los usuarios,
por tanto no se permite la descarga de música, videos, escuchar radio en línea,
etc. Solo se permiten descargas de videos o audios netamente para uso
educativo.
Solo se permite el acceso a páginas que son autorizadas por las autoridades de
la institución, por tanto páginas o sitios que no estén autorizados serán
bloqueados por el administrador de sistemas sin necesidad de dar un
comunicado al usuario.
3.11 Seguridad de los recursos humanos
3.11.1 Notificar al área de sistemas los permisos necesarios para la activación y
accesos a los activos informáticos
En este caso se ha considerado la elaboración de un acta de autorización para el ingreso
de un nuevo usuario (nuevo personal) al sistema de reloj biométrico, especificando si este
es un docente o un administrativo, así como también la creación de la respectiva cuenta
de correo electrónico institucional.
83
También se ha realizado el modelo del acta de entrega recepción de los activos
informáticos que el nuevo usuario requiera, cabe mencionar que esta acta no solo es para
los usuarios o personal de nuevo ingreso, sino también para cualquier usuario que necesite
un activo a su disposición en aspecto de hardware, el anexo R muestra las actas
mencionadas.
3.11.2 Formalizar los acuerdos necesarios para la devolución de todos los activos de
hardware y software una vez terminado el contrato del empleado
Se ha realizado un acta en la cual el departamento de Sistemas de la institución deberá
constatar, firmar y hacer firmar la devolución de los activos informáticos que se le haya
entregado al usuario saliente de la institución, el anexo S muestra la conformación del
acta mencionada .
3.11.3 Retirar todos los privilegios de acceso a los empleados que salen de la
institución
Este aspecto corresponde al acta creada para el retiro de los accesos al reloj biométrico y
la eliminación de la cuenta de correo electrónico de un usuario saliente de la institución,
la cual estará debidamente autorizada por las autoridades correspondientes que
notificaran al departamento de Sistemas para proceder con los retiros de los accesos, el
anexo T muestra el acta mencionada.
3.12 Seguridad física y del entorno
3.12.1 Disponer de un sistema de circuito cerrado de televisión (Cámaras de
seguridad)
Al momento la institución cuenta con un sistema de cámaras de seguridad que necesita
ser actualizado y ampliado, puesto a que existen ciertos lugares en donde se necesita tener
vigilancia. Adicionalmente se necesita que el almacenamiento de las grabaciones sea en
un servidor ya que por ahora se almacenan en el computador Sistemas 01.
84
Por el momento se realizó un bosquejo tentativo de cómo pueden ir distribuidas las
cámaras en la institución, dicho bosquejo está pendiente de aprobación para su debida
incorporación.
3.12.2 Supervisar las visitas al área de procesamiento de la información, registrando
la hora de ingreso y salida
La política para el ingreso al área del centro de datos debe ser completamente restringida
para personas que no tengan la debida autorización, pero en este caso el centro de datos
o departamento de sistemas es concurrido de manera seguida por docentes, personal
administrativo e incluso en ocasiones por las estudiantes, por motivo de consultas o
pedido de algún recurso informático.
Razón por la cual en el punto de las recomendaciones se hace la observación de reforzar
e implementar medidas de acceso restringido al área de sistemas, por tanto por el
momento se ha realizado un modelo de registro para todos los que concurran a dicha área,
constatando la fecha, hora de ingreso y salida, nombre, la firma y el motivo por el cual
ingreso al área, la Tabla 38 muestra el formato del registro de ingreso al área de Sistemas.
Tabla 38. Control de ingreso al área de Sistemas
3.12.3 Realizar un cronograma de mantenimiento eléctrico y de UPS de las
instalaciones, además de los sistemas de ventilación
La parte del mantenimiento del sistema eléctrico está dada por el ingeniero eléctrico que
viene asesorando y realizando incorporaciones de sistemas de este tipo desde hace un
tiempo en la institución, en caso de haber algún problema se ha autorizado mantener
UNIDAD EDUCATIVA CARDENAL SPELLMAN FEMENINO
DEPARTAMENTO DE SISTEMAS
CONTROL DE INGRESO
FECHA NOMBRE HORA
INGRESO HORA SALIDA MOTIVO FIRMA
85
contacto con el ingeniero para coordinar o para conocer cuál es su cronograma de
mantenimiento.
Se ha logrado conseguir un contrato de mantenimiento de UPS con la empresa
NOBREAK, en el cual se detalla la visita de los técnicos cuatro veces al año para la
realización de revisiones, limpieza y cambio de baterías de ser necesario para cada uno
de los cuatro UPS que están en la institución, dicho contrato también consta de asistencias
de emergencia en caso de que las hubiera y prestamos de equipos en caso de que se
requiera llevar algún UPS a reparación hasta las oficinas técnicas de NOBREAK.
Existe un aire acondicionado en el área de Sistemas, precisamente en el sector en donde
se encuentra el rack principal, dicho aire acondicionado necesita mantenimiento que hasta
el momento no se ha podido realizar, por tanto se está buscando el respectivo servicio
técnico para poner a consideración de las autoridades de su aprobación, se espera que sea
un contrato de mantenimiento anual.
3.12.4 Realizar un cronograma para el mantenimiento de los equipos de la
institución
Se estableció un cronograma de mantenimiento y sus debidos pasos a realizar para los
computadores y para los servidores por separado.
El mantenimiento para los computadores se los realizara al finalizar el año lectivo, debido
a que la mayoría son equipos que están en los laboratorios de computación y de inglés,
no obstante se realizara una revisión de rutina cada 6 meses, en cuanto a los servidores se
realizara el mantenimiento cada 6 meses.
Para las impresoras de la institución se realizó un cronograma de mantenimiento con la
empresa Electro System’s, para que se lo realice cada 4 meses.
Mantenimiento computadores:
Diagnóstico: Se deberá realizar un diagnóstico del estado en el que se
encuentra el computador previo al mantenimiento, este diagnóstico consta de
información de estado a nivel de hardware y software, se considerara de mayor
86
importancia realizar el respectivo diagnóstico del disco duro para observar su
estado de funcionamiento.
Limpieza: Realización de la limpieza del computador tanto en su parte física
como en su sistema operativo. Para la limpieza a nivel de hardware debe
considerarse la eliminación del exceso de polvo dentro del CPU y de los
periféricos como puertos USB, puertos Ethernet, unidades de DVD, etc.
Limpieza de memorias, disco duro y la fuente de poder, teniendo en cuenta
también la buena limpieza de los ventiladores.
Para la limpieza a nivel de software se considera la eliminación de archivos
incensarios, programas que ya no se utilizan, eliminación de archivos de la
papelera de reciclaje y limpieza del registro.
Desfragmentación: Para este paso se debe considerar la información obtenida
en el paso de Diagnóstico para el disco duro, luego de observar esa
información se procederá a realizar su respectiva desfragmentación.
Mantenimiento servidores:
Hardware: Se debe realizar la limpieza interna del servidor utilizando un
soplador eléctrico, removiendo adecuadamente el exceso de polvo, pero tener
más prioridad con los ventiladores ya que estos son de mucha importancia
para evitar el sobrecalentamiento del servidor, además se debe considerar el
cambio de la pasta disipadora del procesador como mínimo dos veces por año.
Software: Realización de la instalación de actualizaciones del sistema
operativo, verificación del estado del antivirus, comprobación de la
configuración del firewall y el respectivo respaldo de la información
almacenada en el servidor.
Sistema eléctrico: Se verificara que la fuente de poder del servidor este en
correcto funcionamiento y libre de impurezas de tal modo que permita que
ésta trabaje con normalidad, además se debe mantener en correcto estado los
UPS que están para alimentar con energía regulada al servidor.
87
Luego de haber realizado los mantenimientos se deberá elaborar un registro de
mantenimiento cuyo formato se lo observa en la Tabla 39.
Tabla 39. Registro de mantenimiento
3.12.5 Definir el formato autorizado para el retiro de equipos o software
Se procederá al retiro de los equipos o software bajo la estricta autorización de las
autoridades de la institución, previo a la aprobación de un breve informe en el cual se
detalla por qué se debe retirar el equipo o software de la dependencia.
El retiro de los equipos o software, deberá ser registrado en un acta de retiro de equipos
en donde se considera lo siguiente: el área, el responsable del equipo, la fecha, la razón
por la cual se procede a retirar el equipo o software, la marca, la serie y el código de activo
fijo.
El modelo de informe previo al retiro y el acta de registro de retiro de los equipos o
software se los muestra en el anexo U.
UNIDAD EDUCATIVA CARDENAL SPELLMAN FEMENINO
DEPARTAMENTO DE SISTEMAS
REGISTRO DE MANTENIMIENTO
Área:
Tipo de equipo:
Marca:
Modelo:
FECHA DE
MANTENIMENTO
ACTIVIDAD
REALIZADA OBSERVACION
NOMBRE DEL
PROFESIONAL FIRMA
88
3.13 Control de acceso
3.13.1 Establecer un proceso formal para la asignación o cambio de contraseñas
Se ha establecido un proceso básico de asignación o cambio de contraseña para el acceso
al correo institucional y acceso al reloj biométrico en caso de que el usuario lo requiera.
En primera instancia para usuarios de nuevo ingreso la asignación de contraseña para el
correo electrónico institucional y el acceso por clave numérica al reloj biométrico se la
realizara el momento en el que se haga el registro de los mismos en ambos sistemas.
En el caso de los usuarios que no tengan su clave numérica de acceso al reloj biométrico
y necesiten obtenerla, estos deberán hacer la solicitud de asignación de dicha clave, en
cuanto a los usuarios que por determinado motivo necesiten cambiar su contraseña de
acceso al correo institucional estos deben realizar la respectiva solicitud de cambio de
contraseña.
Por tanto el proceso de asignación o cambio es el que se detalla a continuación:
El usuario realizara la solicitud de asignación o cambio que se muestra en el
modelo del anexo V.
Presentará dicha solicitud en el departamento de Sistemas para realizar la
asignación o cambio.
La asignación o cambio se la realizara el mismo instante en el que el usuario
presente la solicitud.
3.13.2 Controlar el cambio de contraseña de los usuarios, del personal de tecnología
y de los administradores de tecnología en rangos de tiempo y complejidad
Se estableció un control de cambio de contraseñas el cual se lo debe realizar por lo menos
dos veces al año. El control de cambio se da para los accesos a los ordenadores y a los
correos institucionales, también se aplica para el acceso a los servidores y a las consolas
de administración por parte del personal de Sistemas, el control tendrá el formato que se
muestra en la Tabla 40.
89
Tabla 40. Control de cambio de contraseñas
Este control de cambio de contraseña se lo aplicara solo en ordenadores y aplicaciones de
uso administrativo cada 6 meses, para los laboratorios y computadores de uso de las
estudiantes se realizara el cambio de contraseña al finalizar el año lectivo.
3.14 Gestión de los incidentes de la seguridad de la información
3.14.1 Realizar reportes de los incidentes que se den en la seguridad de la
información en los cuales se definan la respuesta que se le dio al incidente presentado
Esta parte corresponde a la creación de un reporte de incidentes en la seguridad de la
información, precisamente es el reporte de los incidentes que se presenten en las políticas
establecidas en este documento.
Para documentar el reporte, se ha creado un modelo de registro el cual se lo puede
observar en el anexo W, en el cual se hace constar puntos principales como: el incidente
acontecido, la fecha en la que se suscitó, la hora, y la solución que se empleó.
Este reporte servirá para poder determinar con qué frecuencia y redundancia se presenten
los incidentes a la seguridad de la información y de esta manera poder tomar medidas
cada vez más robustas que hagan que se supriman por completo esos incidentes, por otra
parte será una base fundamental para la mejora de las políticas de seguridad establecidas.
UNIDAD EDUCATIVA CARDENAL SPELLMAN FEMENINO
DEPARTAMENTO DE SISTEMAS
CONTROL DE CAMBIO DE CONTRASEÑA
Área:
FECHA DE
CAMBIO USUARIO
CUENTA CUMPLE POLITICA DE
CONTRASEÑA
FECHA
PROXIMO
CAMBIO MAIL PC APP
90
3.15 Cumplimiento
3.15.1 Auditar periódicamente el cumplimiento de las políticas de seguridad
implementadas
Para que este documento sea cada vez más robusto y que pueda ir más allá de lo básico,
es necesario ir verificando en que porcentaje se van cumpliendo las políticas
implementadas y también cuales políticas que aún no están en vigencia van siendo
implementadas.
Por esta razón se debe realizar una auditoría para verificar el cumplimiento del
documento, esta auditoria comenzara con un aspecto básico, por motivos que al inicio se
ha tomado procesos básicos del EGSI, sin embargo a medida que pase el tiempo se
implementaran más procesos y por tanto la auditoria será cada vez más completa hasta
tener implementado de manera definitiva todos los procesos del EGSI.
Por tanto la auditoria será gradual y empezaremos con la comprobación de los procesos
realizados en este documento, las cuales serán auditadas por el Comité de Seguridad de
la Información que se haya establecido en la institución. El anexo X muestra el modelo
del proceso de auditoría, precisamente un cheklist en donde se irán verificando si se está
cumpliendo o no con los procesos de seguridad establecidos en este documento y se
escribirá una observación de ser el caso.
91
4. PROPUESTAS
En esta sección se considera las propuestas para la implementación de sistemas que
ayuden a la seguridad en la institución, propuestas que se mencionan en procesos del
esquema de seguridad realizado en este proyecto, dichas propuestas son explicadas de
manera breve y son las siguientes:
4.1 Propuesta sistema de antivirus
Como se mencionó en un apartado anterior, la institución cuenta al momento con un
servidor de antivirus de distribución libre, para ser exactos el Avast for Bussines Free, el
mismo que por el momento se encuentra en prioridad baja de consumo de ancho de banda,
debido a que por el volumen de computadores en la institución, este antivirus satura
demasiado la red por su descarga de actualizaciones de firmas de virus.
Por tal motivo se hizo una comparación entre antivirus propietarios y se concluyó que el
que se ajusta mejor para una institución educativa es el ESET Endpoint Protection
Advanced, por las siguientes razones:
Menos consumo de recursos en los computadores.
Descarga de actualizaciones livianas.
Despliegue de actualizaciones desde un servidor instalado localmente en la
institución.
Solo el servidor se conecta al internet, de manera programada para enviar las
actualizaciones a los agentes desplegados.
Soporte por parte del proveedor en caso de alguna falla en el funcionamiento del
servidor o los agentes.
92
Por tanto se solicitó proformas a dos proveedores, los cuales dieron las siguientes ofertas:
ARGOSYSTEM
INFORC Ecuador
Figura 32. Propuesta económica ESET Endpoint Advanced de ARGOSYSTEM
Figura 33. Propuesta económica ESET Endpoint Advanced de InforC
Ecuador
93
4.2 Propuesta sistema de video vigilancia
La institución cuenta con un sistema de cámaras IP, el cual está en funcionamiento hasta
la fecha. El problema que existe y por ende el motivo de la propuesta, es la falta de buena
resolución de las mismas y la falta de cobertura en ciertas aceras de la institución.
Por lo tanto se realizó una inspección con dos proveedores, a lo largo de toda la institución
para determinar los lugares en donde se deben instalar las nuevas cámaras y cambiar las
actuales, las proformas de los proveedores son las siguientes:
KSV Telecom
Figura 34. Propuesta económica sistema de caramas KSV Telecom
94
Work Computer
Figura 35. Propuesta económica sistema de cámaras Work Computer
4.3 Propuesta mantenimiento UPS
Al momento la institución cuenta con cuatro dispositivos UPS, los cuales están ubicados
en Sistemas, Teatro, Edificio Inicial y Rectorado. Se realizó un mantenimiento de los
mismo a comienzos del año lectivo, mientras que el UPS del Teatro se lo adquirió a
inicios de Diciembre por tanto aún está en vigencia la garantía del mismo.
Sin embargo se consideró en uno de los procesos del esquema se seguridad,
precisamente en el procesos de Seguridad de física y del entorno el cronograma de
mantenimiento para estos dispositivos, por lo que se ha solicitado la oferta mediante un
contrato de mantenimiento para los UPS por parte de la empresa NoBreak.
95
Esencialmente en dicho contrato se menciona que la empresa realizara visitas de
mantenimiento preventivo y correctivo cuatro veces al año y su propuesta económica se
la explica en la Tabla 41.
Tabla 41. Propuesta económica mantenimiento UPS de Nobreak S.A
EQUIPOS: SERIE: UBICACIÓN: VALOR DEL CONTRATO
(4 VISITAS AL AÑO)
UNITARIO TOTAL
UPS CDP 10 KVA 13073311670689 QUITO $ 110.00 $ 440.00
UPS CDP 3 KVA 1307051400377 QUITO $ 80.00 $ 320.00
UPS CDP 10 KVA 160426-0560053 (Garantía) QUITO $ 00.00 $ 00.00
UPS CDP 10 KVA 131022-1670203 QUITO $ 110.00 $ 440.00
SUB-TOTAL: $ 1,200.00
14% IVA : $ 168.00
TOTAL: $1,368.00
4.4 Propuesta software de cifrado de archivos
La utilización de cifrado de datos garantiza la protección de información sensible que se
envía dentro o fuera de la institución, dado que se utiliza una clave entre el emisor y el
receptor de dicha información mediante algoritmos de cifrado, cabe mencionar que el
cifrado se lo puede realizar no solamente sobre la información de envío sino también
sobre archivos, en la tabla 42 podemos apreciar algunas ventajas y desventajas del cifrado.
Tabla 42. Ventajas y desventajas cifrado
Ventajas Desventajas
Cifrado de archivos bajo una sola
clave.
Existe la necesidad de comunicar la
clave compartida.
Utiliza menos recursos informáticos
que otros tipos de cifrado.
Complicación al gestionar un gran
número de claves.
Proporciona los principios básicos de
la seguridad informática:
Disponibilidad, integridad y
confiabilidad.
Vulnerable a ataques de fuerza bruta o
de diccionario.
96
4.1.1 Ejemplos de algoritmos de cifrado
Algoritmo de cifrado AES
o Cifrado simétrico basado en una matriz de estado
o Se realiza mediante el operador XOR, “OR Exclusivo”.
o Se conoce como “AddRoundKey” o Rondas de claves.
Algoritmo de cifrado Serpent
o Cifrado simétrico basado en bloques.
o El cifrado lo realiza en 32 rondas de substitución - permutación.
o Se realiza la operación XOR con una clave inicial de 128 bits y los datos
inmediatos que ingresan al bloque.
Para el caso de esta institución educativa, se propone la utilización del cifrado de archivos
ya que la institución maneja envío de archivos con información correspondiente a
estudiantes, docente y personal administrativo.
Por tanto se propone el uso de la herramienta AES Cryp que ofrece un cifrado bajo el
estándar AES de 256 bits simétrico.
97
5. CONCLUSIONES
Luego de haber concluido el presente proyecto se puede mencionar las siguientes
conclusiones:
La creación e implementación del esquema de seguridad informática
estableció la base de la documentación técnica de la infraestructura, la cual
está conformada inicialmente por los diagramas de toda la red de la
institución.
El uso de las técnicas de Hacking Ético permitieron encontrar vulnerabilidades
medias en los equipos informáticos de la institución, las cuales se
caracterizaban por ser en su mayoría ataques de virus, troyanos, etc. Los cuales
ya están siendo controlados mediante el nuevo sistema de antivirus.
Al emplear los procesos escogidos del EGSI, actividades de Hardening de
equipos y Normas ISO27001 se establecieron políticas de seguridad
informática que no existían en la institución.
Se estableció procesos organizados para el mejor manejo del departamento de
Sistemas de la institución, bajo los formatos establecidos en los procesos del
EGSI.
En base al esquema de seguridad se ha realizado las propuestas económicas
para la implementación de sistemas de seguridad adicionales tales como: la
renovación del sistema de video vigilancia, un servidor de antivirus y un
contrato de mantenimiento de UPS, los mismos que se implementaran de
acuerdo a la decisión de las autoridades.
98
6. RECOMENDACIONES
Luego de realizado el proyecto se toman en cuenta las siguientes recomendaciones:
Se recomienda implementar los procesos que quedaron como propuestas para
lograr obtener un esquema de seguridad base completamente sólido.
Se recomienda realizar un estudio más a fondo de la situación del sistema de
cableado estructurado para determinar las áreas en las cuales se necesita una
pronta renovación en base a las normas EIA/TIA y fortalecer la seguridad.
Se recomienda la configuración de VLANs para mejorar el tráfico de la red y
separar segmentos administrativos de estudiantes, además del cambio de
algunos equipos de red que están cumpliendo su vida útil.
Se recomienda realizar una breve charla acerca de la importancia de la
seguridad informática destinada a los usuarios tanto administrativos como
docentes.
Se recomienda dar a conocer mediante comunicados físico y digitales los
instructivos y las políticas de seguridad han sido establecidas en la institución
luego del desarrollado este proyecto.
Se recomienda implementar de manera inmediata todos aquellos procesos o
mejoras que vayan apareciendo luego de realizadas las revisiones y las
auditorias.
Se recomienda seguir con las pruebas de Hacking Ético en pos de seguir
encontrando vulnerabilidades y erradicarlas de manera inmediata.
Se recomienda que el departamento de Sistemas de la institución siga de
manera continua lo establecido en el esquema de seguridad implementado.
99
BIBLIOGRAFÍA
1. Gutierrez , G. I. (19 de 02 de s.f.). scribd Computer Security. Recuperado de Metodologías
Para Seguridad Informática: https://es.scribd.com/document/299788968/Metodologias-
Para-Seguridad-Informatica
2. López, L. E. (s.f.). Laboratorio de Redes y Seguridad. Recuperado de Fundamentos de
Seguridad Informática: http://redyseguridad.fi-
p.unam.mx/proyectos/seguridad/Definiciones.php
3. Acuerdo Ministerial 166. (25 de 09 de 2013). LEXIS. Recuperado de ESQUEMA
GUBERNAMENTAL DE SEGURIDAD DE LA INFORMACION EGSI: eSilec Profesional -
www.lexis.com.ec
4. Benítez, M. (2013). GESTION INTEGRAL POLITICAS DE SEGURIDD INFORMÁTICA.
Recuperado de http://www.gestionintegral.com.co/wp-
content/uploads/2013/05/Pol%C3%ADticas-de-Seguridad-Inform%C3%A1tica-2013-GI.pdf
5. Colegio, S. (s,f). Cardinal Spellman Girls´ School. Recuperado de MISIÓN, VISIÓN Y
VALORES: http://www.spellmanfemenino.edu.ec/institucion/mision-vision-y-valores.html
6. Gómez, V. (19 de 02 de s.f). Instinto Binario. Recuperado de Seguridad & Criptografía /
Sniffing : http://instintobinario.com/sniffing/
7. Gonzáles , P. P., Sánchez, G. G., & Soriano de la Camara, J. M. (2013). Pentesting con Kali.
Móstoles Madrid : OXWORD Computing M-36571.
8. Lucena López , M. (2015). Criptografía y Seguridad en Computadores.
9. Machado, N. (2015). Cuadro Comparativo investigación cuantitativa y cualitativa.
10. Martinez, J. (21 de Septiembre de 2015). Seguridad Infórmatica. Recuperado de
http://mecanismoseguridadinformatica.blogspot.com/
11. Montenegro , M. L., Windows , & Security , M. (03 de Abril de 2012). Seguridad
Informática. Recuperado de Proceso de Hardening:
https://seguinfo.wordpress.com/2012/04/03/proceso-de-hardening/
12. Onti. (25 de 07 de 2005). Oficina Nacional de Tecnológias de Información. Recuperado de
Modelo de Política de Seguridad de Información para Organismos de la Administración
Pública Nacional: http://www.sgp.gov.ar/sitio/PSI_Modelo-v1_200507.pdf
13. Sistemas Computacionales. (07 de 2011). Recuperado de Auditoría Informática:
https://www.uaeh.edu.mx/docencia/P_Presentaciones/tlahuelilpan/sistemas/auditoria_in
formatica/auditoria_informatica.pdf
14. Torres , R. (21 de 05 de 2009). METODOLOGIA DE ANALISIS DE RIESGO DE LA EMPRESA LA
CASA DE LAS BATERIAS S.A DE C.V. Recuperado de
https://upload.wikimedia.org/wikipedia/commons/8/87/Riesgoinformatico.pdf
100
ANEXOS
101
ANEXO A
Esquema general inicial de distribución fibra
102
ANEXO B
Esquema inicial de distribución interna de la red
103
ANEXO C
Esquema general de distribución de fibra
104
ANEXO D
Esquema de distribución interna de la red actual
105
ANEXO E
Esquema edificio Primaria
106
ANEXO F
Esquema edificio Básica Superior y Rectorado
107
ANEXO G
Esquema edificio Inicial y Bachillerato
108
ANEXO H
Información Servidor SF-Datos 01
109
110
ANEXO I
Escaneo Nessus PC Secretaria
111
Escaneo Nessus PC Sistemas 01
112
Escaneo Nessus Servidor SF-Datos 01
113
114
ANEXO J
Documento de la política de la seguridad
115
ANEXO K
Revisión anual de la política de la seguridad
116
117
ANEXO L
Seguimiento de la implementación del esquema de seguridad
118
119
120
121
ANEXO M
Inventario de hardware
CPUs personal Administrativo
Nombre Marca Procesador HDD RAM Modelo Main Dirección IP Sistema Operativo Area
Sistemas 01 Q-One (Clon) Core i7 - 4790 1 TB 16 GB B85M-DS3H 192.168.0.10 Windows 10 Pro Sistemas
Sistemas 02 Altek (Clon) Core i7 - 870 1 TB 8 GB DH55HC 192.168.0.15 Windows 8.1 Pro Sistemas
Profesor-01 Terrax (Clon) Core 2 Duo 300 GB 2 GB DG43NB 192.168.0.250 Windows 10 Pro Sistemas
Profesor-02 Altek (Clon) Core 2 Duo 500 GB 2 GB DG41TY 192.168.0.251 Windows 10 Pro Sistemas
Profesor-03 Quasad (Clon) Core i5 - 650 300 GB 4 GB DH55HC 192.168.0.252 Windows 10 Pro Sistemas
Profesor-04 Quasad (Clon) Core i5 - 650 500 GB 4 GB DH55HC 192.168.0.253 Windows 10 Pro Sistemas
Profesor-05 Xtech (Clon) Core i5 - 4440 1 TB 8 GB H81M-DS2 192.168.0.254 Windows 10 Pro Sistemas
Secretaria Altek (Clon) Core i7 - 870 500 GB 4 GB DH55HC 192.168.0.225 Windows 8.1 Pro Secretaria
Coord-Academica Altek (Clon) Core i7 - 870 500 GB 4 GB DH55HC DHCP Windows 10 Pro Coordinación Académica
English-Coord Q-One (Clon) Core i7 - 3770 1 TB 8 GB DB75EN DHCP Windows 8.1 Pro Coordinación Inglés Prim
Inspeccion-Prim Quasad (Clon) Core i5 - 650 500 GB 4 GB DH55HC DHCP Windows 10 Pro Inspección Primaria
Prof-Prim-01 Imax (Clon) Core 2 Duo 250 GB 4 GB DG31PR DHCP Windows 10 Pro Sala Profesores Primaria
Prof-Prim-02 Imax (Clon) Core 2 Duo 250 GB 4 GB DG31PR DHCP Windows 10 Pro Sala Profesores Primaria
Pastoral-PC Ultratech (Clon) Core i5 - 4460 1 TB 4 GB H81H3-M4 DHCP Windows 10 Pro Pastoral Primaria
Biblioteca-Prim Quasad (Clon) Core i5 - 650 500 GB 4 GB DH55HC 192.168.0.190 Windows 10 Pro Biblioteca Primaria
DECE-Inicial Altek (Clon) Core i5 - 650 500 GB 2 GB DH55HC 192.168.0.212 Windows 10 Pro DECE Inicial
DECEPrim-DQ Altek (Clon) Core i5 - 650 500 GB 2 GB DH55HC 192.168.0.213 Windows 10 Pro DECE Primaria
DECEPrim-FB Altek (Clon) Core i5 - 650 500 GB 2 GB DH55HC 192.168.0.210 Windows 10 Pro DECE Primaria
DECES-AA Altek (Clon) Core i5 - 650 500 GB 2 GB DH55HC 192.168.0.215 Windows 10 Pro DECE Secundaria
DECES-CT Altek (Clon) Core i5 - 650 500 GB 2 GB DH55HC 192.168.0.214 Windows 10 Pro DECE Secundaria
Trab-Social Imax (Clon) Core 2 Duo 250 GB 4 GB DG31PR 192.168.0.216 Windows 10 Pro DECE Secundaria
122
Dept-Medico Imax (Clon) Core 2 Duo 250 GB 4 GB DG31PR 192.168.0.217 Windows 7 Pro Medico Estudiantil
Medico Altek (Clon) Core i5 - 650 500 GB 2 GB DH55HC DHCP Windows 8.1 Pro Medico Ocupacional
Biblioteca-Prin Q-One (Clon) Core i7 - 4790 1 TB 16 GB B85M-DS3H 192.168.0.200 Windows 8.1 Pro Biblioteca Secundaria
USR-BIBLIO-01 Q-One (Clon) Core i5 - 4440 1 TB 8 GB B85M-DS3H 192.168.0.194 Windows 8.1 Pro Biblioteca Secundaria
USR-BIBLIO-02 Q-One (Clon) Core i5 - 4440 1 TB 8 GB B85M-DS3H 192.168.0.195 Windows 8.1 Pro Biblioteca Secundaria
USR-BIBLIO-03 Q-One (Clon) Core i5 - 4440 1 TB 8 GB B85M-DS3H 192.168.0.196 Windows 10 Pro Biblioteca Secundaria
USR-BIBLIO-04 Q-One (Clon) Core i5 - 4440 1 TB 8 GB B85M-DS3H 192.168.0.197 Windows 8.1 Pro Biblioteca Secundaria
USR-BIBLIO-05 Q-One (Clon) Core i5 - 4440 1 TB 8 GB B85M-DS3H 192.168.0.198 Windows 8.1 Pro Biblioteca Secundaria
USR-BIBLIO-06 Q-One (Clon) Core i5 - 4440 1 TB 8 GB B85M-DS3H 192.168.0.199 Windows 8.1 Pro Biblioteca Secundaria
Inspeccion-PC Imax (Clon) Core 2 Duo 250 GB 4 GB DG31PR DHCP Windows 10 Pro Inspección Secundaria
Vicerrectorado-PC HP AMD E1-6010 1 TB 4 GB 2B54 192.168.0.232 Windows 10 Pro Vicerrectorado
ProfesorBachill Quasad (Clon) Core i5 - 650 500 GB 4 GB DH55HC DHCP Windows 8.1 Pro Sala Profesores Secundaria
Profes-Sec Imax (Clon) Core 2 Duo 250 GB 4 GB DG31PR DHCP Windows 10 Pro Sala Profesores Secundaria
Bachillerato-PC Terrax (Clon) Core 2 Duo 160 GB 2 GB DG43NB DHCP Windows 7 Pro Sala Profesores Bachillerato
Coord-Ingles ECS (Clon) Core i5 - 4460 1 TB 4 GB H81H3-M4 192.168.0.229 Windows 10 Pro Coordinación Inglés Sec
Drg-Secundaria Altek (Clon) Core i5 - 650 500 GB 2 GB DH55HC 192.168.0.219 Windows 10 Pro Dirigencia 10mos y 1 BGUs
Rectorado HP Core i7 - 4770S 1 TB 8 GB 18E8 192.168.1.51 Windows 10 Pro Rectorado
AsistenteRector ASUS Core i7 - 4790 1 TB 16 GB Vanguard B85 192.168.0.234 Windows 10 Pro Rectorado
CAS Quasad (Clon) Core i5 - 650 500 GB 2 GB DH55HC 192.168.0.237 Windows 10 Pro Rectorado
BI HP Core i5 - 4570T 2 TB 8 GB 2B0F 192.168.0.236 Windows 10 Home Rectorado
Seguridad NUC Intel Core i3 - 4010U 60 GB 4 GB D34010WYK 192.168.0.238 Windows 8.1 Pro Riesgo y Seguridad
Tutoria-Novenos Imax (Clon) Core 2 Duo 250 GB 4 GB DG31PR 192.168.0.242 Windows 10 Pro Sala Tutoras Novenos
123
CPUs Laboratorio Computación Bachillerato
Nombre Marca Procesador HDD RAM Modelo Main Dirección IP Sistema Operativo
Tutor-Bachillerato Xtratech (Clon) Core i5 - 4440 500 GB 4 GB H81H3-M4 192.168.0.132 Windows 10 Home SL
ADMINPCB-01 Xtratech (Clon) Core i5 - 4440 500 GB 4 GB H81H3-M4 192.168.0.96 Windows 10 Home SL
ADMINPCB-02 Xtratech (Clon) Core i5 - 4440 500 GB 4 GB H81H3-M4 192.168.0.97 Windows 10 Home SL
ADMINPCB-03 Xtratech (Clon) Core i5 - 4440 500 GB 4 GB H81H3-M4 192.168.0.98 Windows 10 Home SL
ADMINPCB-04 Xtratech (Clon) Core i5 - 4440 500 GB 4 GB H81H3-M4 192.168.0.99 Windows 10 Home SL
ADMINPCB-05 Xtratech (Clon) Core i5 - 4440 500 GB 4 GB H81H3-M4 192.168.0.100 Windows 10 Home SL
ADMINPCB-06 Xtratech (Clon) Core i5 - 4440 500 GB 4 GB H81H3-M4 192.168.0.101 Windows 10 Home SL
ADMINPCB-07 Xtratech (Clon) Core i5 - 4440 500 GB 4 GB H81H3-M4 192.168.0.102 Windows 10 Home SL
ADMINPCB-08 Xtratech (Clon) Core i5 - 4440 500 GB 4 GB H81H3-M4 192.168.0.103 Windows 10 Home SL
ADMINPCB-09 Xtratech (Clon) Core i5 - 4440 500 GB 4 GB H81H3-M4 192.168.0.104 Windows 10 Home SL
ADMINPCB-10 Xtratech (Clon) Core i5 - 4440 500 GB 4 GB H81H3-M4 192.168.0.105 Windows 10 Home SL
ADMINPCB-11 Xtratech (Clon) Core i5 - 4440 500 GB 4 GB H81H3-M4 192.168.0.106 Windows 10 Home SL
ADMINPCB-12 Xtratech (Clon) Core i5 - 4440 500 GB 4 GB H81H3-M4 192.168.0.107 Windows 10 Home SL
ADMINPCB-13 Xtratech (Clon) Core i5 - 4440 500 GB 4 GB H81H3-M4 192.168.0.108 Windows 10 Home SL
ADMINPCB-14 Xtratech (Clon) Core i5 - 4440 500 GB 4 GB H81H3-M4 192.168.0.109 Windows 10 Home SL
ADMINPCB-15 Xtratech (Clon) Core i5 - 4440 500 GB 4 GB H81H3-M4 192.168.0.110 Windows 10 Home SL
ADMINPCB-16 Xtratech (Clon) Core i5 - 4440 500 GB 4 GB H81H3-M4 192.168.0.111 Windows 10 Home SL
ADMINPCB-17 Xtratech (Clon) Core i5 - 4440 500 GB 4 GB H81H3-M4 192.168.0.112 Windows 10 Home SL
ADMINPCB-18 Xtratech (Clon) Core i5 - 4440 500 GB 4 GB H81H3-M4 192.168.0.113 Windows 10 Home SL
ADMINPCB-19 Xtratech (Clon) Core i5 - 4440 500 GB 4 GB H81H3-M4 192.168.0.114 Windows 10 Home SL
ADMINPCB-20 Xtratech (Clon) Core i5 - 4440 500 GB 4 GB H81H3-M4 192.168.0.115 Windows 10 Home SL
ADMINPCB-21 Xtratech (Clon) Core i5 - 4440 500 GB 4 GB H81H3-M4 192.168.0.116 Windows 10 Home SL
ADMINPCB-22 Xtratech (Clon) Core i5 - 4440 500 GB 4 GB H81H3-M4 192.168.0.117 Windows 10 Home SL
ADMINPCB-23 Xtratech (Clon) Core i5 - 4440 500 GB 4 GB H81H3-M4 192.168.0.118 Windows 10 Home SL
ADMINPCB-24 Xtratech (Clon) Core i5 - 4440 500 GB 4 GB H81H3-M4 192.168.0.119 Windows 10 Home SL
124
ADMINPCB-25 Xtratech (Clon) Core i5 - 4440 500 GB 4 GB H81H3-M4 192.168.0.120 Windows 10 Home SL
ADMINPCB-26 Xtratech (Clon) Core i5 - 4440 500 GB 4 GB H81H3-M4 192.168.0.121 Windows 10 Home SL
ADMINPCB-27 Xtratech (Clon) Core i5 - 4440 500 GB 4 GB H81H3-M4 192.168.0.122 Windows 10 Home SL
ADMINPCB-28 Xtratech (Clon) Core i5 - 4440 500 GB 4 GB H81H3-M4 192.168.0.123 Windows 10 Home SL
ADMINPCB-29 Xtratech (Clon) Core i5 - 4440 500 GB 4 GB H81H3-M4 192.168.0.124 Windows 10 Home SL
ADMINPCB-30 Xtratech (Clon) Core i5 - 4440 500 GB 4 GB H81H3-M4 192.168.0.125 Windows 10 Home SL
ADMINPCB-31 Xtratech (Clon) Core i5 - 4440 500 GB 4 GB H81H3-M4 192.168.0.126 Windows 10 Home SL
ADMINPCB-32 Xtratech (Clon) Core i5 - 4440 500 GB 4 GB H81H3-M4 192.168.0.127 Windows 10 Home SL
ADMINPCB-33 Xtratech (Clon) Core i5 - 4440 500 GB 4 GB H81H3-M4 192.168.0.128 Windows 10 Home SL
ADMINPCB-34 Xtratech (Clon) Core i5 - 4440 500 GB 4 GB H81H3-M4 192.168.0.129 Windows 10 Home SL
ADMINPCB-35 Xtratech (Clon) Core i5 - 4440 500 GB 4 GB H81H3-M4 192.168.0.130 Windows 10 Home SL
ADMINPCB-36 Xtratech (Clon) Core i5 - 4440 500 GB 4 GB H81H3-M4 192.168.0.131 Windows 10 Home SL
125
Laptops
Nombre Marca Procesador HDD RAM Modelo Main Direccion IP Sistema Operativo
HP-01 HP AMD E1-6010 500 GB 8 GB 22CF DHCP Windows 7 Professional
HP-02 HP AMD E1-6011 500 GB 8 GB 22CF DHCP Windows 7 Professional
HP-03 HP AMD E1-6012 500 GB 8 GB 22CF DHCP Windows 7 Professional
HP-04 HP AMD E1-6013 500 GB 8 GB 22CF DHCP Windows 7 Professional
HP-05 HP AMD E1-6014 500 GB 8 GB 22CF DHCP Windows 7 Professional
ADMIN-01 HP Core i3 - 5005U 500 GB 4 GB 81DF DHCP Windows 10 Home SL
ADMIN-02 HP Core i3 - 5005U 500 GB 4 GB 81DF DHCP Windows 10 Home SL
ADMIN-03 HP Core i3 - 5005U 500 GB 4 GB 81DF DHCP Windows 10 Home SL
ADMIN-04 HP Core i3 - 5005U 500 GB 4 GB 81DF DHCP Windows 10 Home SL
ADMIN-05 HP Core i3 - 5005U 500 GB 4 GB 81DF DHCP Windows 10 Home SL
RECTORADO HP Core i3 - 5005U 500 GB 4 GB 81DF DHCP Windows 10 Home SL
ADMIN-31 HP Core i3 - 5005U 500 GB 4 GB 81DF DHCP Windows 10 Home SL
ADMIN-32 HP Core i3 - 5005U 500 GB 4 GB 81DF DHCP Windows 10 Home SL
TRONCATTI HP Core i3 - 5005U 500 GB 4 GB 81DF DHCP Windows 10 Home SL
ADMIN-34 HP Core i3 - 5005U 500 GB 4 GB 81DF DHCP Windows 10 Home SL
GEST-COMUNIDAD HP Core i5 - 4210U 750 GB 8 GB 220D DHCP Windows 8.1 Pro
INICIAL A HP Core i5 - 4210U 750 GB 8 GB 220D DHCP Windows 8.1 Pro
SPELLMAN HP Core i5 - 4210U 750 GB 8 GB 220D DHCP Windows 8.1 Pro
CCNN PRIMARIA HP Core i5 - 4210U 750 GB 8 GB 220D DHCP Windows 8.1 Pro
DECE HP Core i5 - 4210U 750 GB 8 GB 220D DHCP Windows 8.1 Pro
CAPILLA HP Core i5 - 4210U 750 GB 8 GB 220D DHCP Windows 8.1 Pro
SPELLMAN2 HP Core i5 - 4210U 750 GB 8 GB 220D DHCP Windows 8.1 Pro
PRIMERO BASICA HP Core i5 - 4210U 750 GB 8 GB 220D DHCP Windows 8.1 Pro
126
Impresoras
Marca Modelo Direccion IP Ubicación
HP LaserJet Pro 200 192.168.1.52 Rectorado
Konica Minolta Bizhub C3110 192.168.0.243 Rectorado
HP LaserJet Pro M201w Local Vicerrectorado
HP LaserJet 1200 Local Inspección General
HP LaserJet 1020 Local Biblioteca Secundaria
Samsung M2825ND Local Riesgo y seguridad
Samsung M2020w Local DECE Inicial
HP DeskJet 3920 Local Medico Ocupacional
Samsung M2825ND 192.168.0.211 DECE Secundaria
EPSON L355 Local Sala de profesores secundaria
EPSON L355 Local Secretaria
HP LaserJet 3015 DHCP Secretaria
HP LaserJet 3015 DHCP Colecturía
ESPSON L565 MF Color DHCP Colecturía
HP LaserJet M1522n Local Colecturía
HP LaserJet Pro P1002w Local DECE Primaria
Samsung M2825ND Local Coordinación Académica
HP LaserJet Pro M201w 192.168.0.244 Sistemas
127
ANEXO N
Inventario de software
Nombre Tipo Descripción Libre/Propietario Duracion de la licencia Fecha adquisición InstalacionesWindows Server 2012 R2 Essentials Sistema Operativo Servidor Sistema operativo para servidores (SF-Datos01) Propiertario 3 años 30 de abril 2017 1
Windows Server 2012 R2 Standard Sistema Operativo Servidor Sistema operativo para servidores (SRV-Registro) Propiertario 3 años 30 de abril 2017 1
SQL Server 2012 Base de datos Base de datos para consola Netsupport DNA Propiertario 3 años 30 de abril 2017 1
Consola Netsupport DNA Aplicaciones Servidor Software de invetario de recursos TI Propiertario Perpetua 09 de agosto 2016 1
Consola Netsupport Manager Aplicaciones Servidor Software para asistencia técnica remota Propiertario Perpetua 09 de agosto 2016 1
Ubiquiti Unifi Aplicaciones Servidor Servicio para consola de gestión Aps Unifi Libre Sin caducidad 02 de diciembre 2016 1
Académico Base de datos Base de datos de Access para programa DECE Propiertario 3 años 30 de abril 2017 1
Windows 7 Professional Sistema Operativo Sistema operativo de 64 bits Propietario 3 años 30 de abril 2017 15
Windows 8.1 Pro Sistema Operativo Sistema operativo de 64 bits Propietario 3 años 30 de abril 2017 22
Windows 10 Home SL Sistema Operativo Sistema operativo de 64 bits Propietario Perpetua 20 de noviembre 2015 71
Windows 10 Pro Sistema Operativo Sistema operativo de 64 bits Propietario 3 años 30 de abril 2017 240
Microsoft Office 2013 Pro Plus Aplicaciones Paquete de ofimatica de 64 bits Propietario 3 años 30 de abril 2017 348
Acrobat Reader DC Aplicaciones Lector de archivos PDF Libre Sin caducidad NA 326
Acrobat Reader IX Aplicaciones Lector de archivos PDF Libre Sin caducidad NA 22
Avast for Business Aplicaciones Antivirus en versión gratuita Libre Sin caducidad 20 de enero 2016 195
Google Chrome Aplicaciones Navegador web Libre Sin caducidad NA 309
Mozilla Firefox Aplicaciones Navegador web Libre Sin caducidad NA 309
Historia Estudiante Aplicaciones Aplicación para registro de estudiantes (DECE) Propietario Perpetua NA 6
Sistema Biblioteca Aplicaciones Aplicación para gestión de Biblioteca Secundaria Propietario Perpetua 02 de marzo 2016 1
Bioadmin Interface Aplicaciones Aplicación para gestión del sistema Biometrico Propietario Perpetua NA 2
Dyned Aplicaciones Aplicación para plataforma de Ingles EDUSOL Propietario 1 año 15 de septiembre 2016 71
Cámara IP Super Client Aplicaciones Aplicación para gestión de cámaras IP Libre Sin caducidad 30 de noviembre 2015 1
Netsupport School Tutor Aplicaciones Aplicación para gestión de aulas Propietario Perpetua 18 de diciembre 2015 6
Netsupport School Estudiante Aplicaciones Cliente netsupport para PC de estudiante Propietario Perpetua 18 de diciembre 2015 216
Netsupport DNA cliente Aplicaciones Cliente netsupport para PC administrativo Propietario Perpetua 09 de agosto 2016 53
Netsupport Manager cliente Aplicaciones Cliente netsupport para PC administrativo Propietario Perpetua 09 de agosto 2016 53
128
ANEXO O
Inventario de activos de red
EQUIPO Cant CARACTERISTICAS UBICACIÓN
Fortigate 240D 1
- 2 Puertos RJ-45 WAN.
- 40 Interfaces LAN.
- 2 Interfaces DMZ.
- Almacenamiento local 64GB.
- Latencia firewall (Paquetes UDP 64 byte) 6µs.
- Paquetes por segundo 6Mpps.
- Sesiones concurrentes (TCP) 3.2 Millones.
- Nuevas sesiones / segundo (TCP) 77000.
- Políticas de firewall 10000.
- Rendimiento Inspección SSL 340Mbps.
- Rendimiento protección amenazas 310Mbps.
- Dominios virtuales 10.
Sistemas
Router HP A-MSR 900
JF812A 2
- 2 Puertos RJ-45 WAN auto-sensing 10/100.
- 4 Puertos RJ-45 LAN auto-sensing 10/100.
- Procesador RISC @ 266 MHz.
- Memoria 256 MB DDR SDRAM.
- Rendimiento de hasta 70 Kpps (64-bytes packets).
- Tamaño de la tabla de enrutamiento de 10000 entradas.
Sistemas
Switch Cisco SG100-24 1
- 24 conectores RJ-45 para puertos 10BASE-T/100BASE-TX/1000BASE-T con
2 ranuras mini GBIC combinadas.
- Capacidad de conmutación 48 Gbps.
- Capacidad de envío 35,7 mpps sobre base de paquetes de 64 bytes.
Sistemas (Destinado
únicamente para
colecturía)
Switch HP V1910-16G
JE005A 1
- 16 puertos 10/100/1000 + 4 puertos SFP.
- Latencia 100 Mb < 5 µs; 1000 Mb < 5 µs.
- Capacidad de envío 29.8 Mpps sobre base de paquetes de 64 bytes.
- Capacidad de conmutación 40 Gbps.
Laboratorio de
Computación Primaria
Switch 3COM Baseline
2024 3C16471 2
- 24 puertos 10/100. Laboratorio de
Computación Primaria
129
- Puertos auto negociables ofrecen Ethernet 10BASE-T o Fast Ethernet
100BASE-TX.
Switch HP 1410-16G
J9560A 1
- 16 puertos 10/100/1000.
- Latencia 100 Mb < 8 µs; 1000 Mb < 3,6 µs.
- Capacidad de conmutación 32 Gbps.
- Capacidad de envío 23,8 mpps sobre base de paquetes de 64 bytes.
Secretaria
Biblioteca Secundaria
Rectorado
Switch D-Link DES-1008A 1
- 8 puertos Fast Ethernet 10/100BASE-TX Colecturía
Inspección General
Laboratorio de Biología
Rectorado
Switch D-link DES 108D 1 - 8 Puertos 10/100 Mbps Aula de música
Switch Dlink DGS 1016D 1 - 16 puertos 10/100/1000 Mbps Biblioteca primaria
Switch TP Link-SG2452 1
- 48 puertos RJ-45 gigabit y 4 ranuras SFP.
- Etiquetado VLAN 802.1Q.
- Swicth administrable con SNMP y RMON.
Laboratorio de
computación
Bachillerato
Switch Dlink DES-1024D 1 - 24 puertos 10/100Mbps.
- Soporte Full/Half duplex por puerto.
Laboratorio de
computación Básica
Superior
Switch Dlink DGS-1024D 2 - 24 puertos 10/100/1000 Mbps.
- Auto negociación full/half dúplex.
Laboratorio de
computación Básica
Superior
Switch HP V1910-48G
JE009A 2
- 48 puertos 10/100/1000 + 4 puertos SFP
- Latencia 100 Mb < 5 µs; 1000 Mb < 35 µs.
- Capacidad de envío 77,4 Mpps sobre base de paquetes de 64 bytes.
- Capacidad de conmutación 104 Gbps.
Rack Edificio Inicial
Switch Cisco SG100-16 1
- 16 conectores RJ-45 para puertos 10BASE-T/100BASE-TX/1000BASE-T.
- Capacidad de conmutación 32 Gbps.
- Capacidad de envío 23,8 mpps sobre base de paquetes de 64 bytes.
Laboratorio
computación Inicial
Switch TP Link TL-SF
1048 1
- 48 puertos 10/100 Mbps.
- Auto negociación / Auto MDI/MDIX
- Tasa de envío de paquetes de 7.14 Mbps.
- Capacidad de switching de 9.6 Gbps.
Laboratorio Ingles
Secundaria
130
Servidor HP-ProLiant
ML310e Gen8 (Datos 01) 1
- Procesador Intel Xeon CPU E3-1220 V2 @ 3.10 GHz (x4)
- Memoria RAM 8GB
- 2 Adaptadores de red Gigabit Ethernet Boradcom NetXtreme
- 2 Particiones de disco duro C: y D: cada una de 1TB
- Sistema Operativo Windows Server 2012 R2 Essentials
Sistemas
Servidor HP-ProLiant ML-
150 G6 (Registro) 1
- Procesador Intel Xeon CPU E5504 @ 2GHz (x4)
- Memoria RAM 4GB
- 1 Adaptador de red Gigabit Ethernet Boradcom NetXtreme
- Disco duro de 1TB (Una sola partición)
- Sistema Operativo Windows Server 2008 R2 Standard
Sistemas
Servidor HP-ProLiant
DL360p Gen8 (Colecturía) 1
- Procesador Intel Xeon Six-Core E5-2630 @ 2.30 GHz
- Memoria RAM 32 GB
- Disco duro de 1TB (Una sola partición)
- Sistema Operativo Windows Server 2012 R2 Standard
Sistemas
131
ANEXO P
Responsables de activos informáticos
132
ANEXO Q
Reglamento de uso de recursos informáticos
El siguiente reglamento tiene por objeto poner a consideración de los usuarios de los
recursos informáticos de la institución el uso aceptable de los mismos bajo las políticas
detalladas en este documento (H. Ayuntamiento de Tamazula Giordano, Reglamento de
uso de equipos y sistemas informáticos, 2012 - 2015).
1. Ámbito de aplicación
El presente reglamento está considerado para establecer las políticas de uso aceptable de
los recursos informáticos que provee la institución para el uso de todo el personal docente
y administrativo.
2. Derechos de los usuarios
2.1 Los usuarios tendrán el acceso necesario a los recursos tecnológicos que les ayuden
con sus funciones dentro de la institución.
3. Políticas sobre el uso de recursos de hardware
3.1 El uso de los bienes informáticos de la institución es para la realización estricta de
labores docentes o administrativas quedando el uso personal limitado.
3.2 Los usuarios se limitaran a trabajar únicamente con los recursos informáticos a ellos
asignados, en caso de necesitar más recursos de este tipo deberán solicitarlos a través
de las autoridades correspondientes, en este caso mediante el departamento de
Colecturía.
3.3 De acuerdo al uso de las impresoras, el personal tanto docente como administrativo
no podrá imprimir trabajos o cualquier otro tipo de documento de carácter personal.
3.4 El equipamiento asignado al usuario bajo ningún motivo podrá salir de la institución.
3.5 Los recursos informáticos no deben ser utilizados para internar acceder a sitios no
autorizados, descargas de material que no sean para bien de la institución o
almacenamiento de información que sea desfavorable para la institución.
3.6 No se deberá utilizar los recursos para generar ganancia o desarrollar actividades
laborales de terceros.
133
3.7 En cuanto a los laboratorios y salas de audiovisuales, tendrán acceso los usuarios que
fueron designados o registrados por los responsables de estos laboratorios o salas,
manteniendo el orden y siguiendo las normas establecidas de uso.
3.8 Se considera una falta bajo negligencia si un usuario destruye o daña los equipos
informáticos que le fueron asignados, de la misma manera si manipula algún otro
equipo que no le haya sido asignado.
3.9 Cerca de los equipos informáticos se prohíbe tener bebidas o comida, debido a que
estas podrían causar algún tipo de desperfecto en los equipos si se derraman encima
de ellos.
3.10 En caso de tener algún problema ya sea con algún equipo asignado de manera
individual o perteneciente a algún laboratorio o sala, se debe reportar de manera
inmediata al departamento de Sistemas para su debida revisión.
4. Políticas sobre el uso de recursos de software
4.1 El software y las aplicaciones que serán instaladas en los equipos informáticos serán
solo las aquellas que fueron evaluadas por el departamento de Sistemas y
debidamente autorizadas por las autoridades de la institución.
4.2 No se deberá instalar software ya sea en los equipos individuales o en equipos
pertenecientes a los laboratorios o salas de audiovisuales sin previa autorización.
4.3 De ningún modo se debe desinstalar o modificar software, tampoco se permite el
borrado de archivos almacenados o modificación del sistema operativo
preestablecido en el equipo sin conocimiento del personal del departamento de
Sistemas.
4.4 No se permite la instalación de software malicioso, de espionaje, de monitoreo o
cualquier aplicación que cause infracciones a la seguridad como el bloqueo o la
intercepción de autenticación de cualquier usuario. En cuanto al software de
monitoreo su uso solo le está permitido al departamento de Sistemas.
4.5 La instalación, desinstalación o traslado de software de un equipo a otro se lo deberá
realizar bajo el conocimiento y asesoría del departamento de Sistemas de la
institución.
4.6 Cualquier aplicación que ha sido instalada sin autorización en un equipo será
desinstalada de manera inmediata por parte del departamento de Sistemas sin opción
a reclamo alguno por parte del usuario.
134
ANEXO R
Acta para ingreso al sistema biométrico y correo institucional
Fecha: ____________________
La Unidad Educativa Cardenal Spellman Femenino, a través de su departamento de
Colecturía, autoriza al departamento de Sistemas realice el ingreso al sistema de reloj
biométrico y la respectiva creación de la cuenta de correo electrónico institucional para
el/la señor/a __________________________________ con cedula de identidad
____________________, bajo el rol de _____________________.
El usuario se compromete a mantener total confidencialidad en cuanto a los accesos
otorgados a los sistemas mencionados y hacer el debido uso de acuerdo a las políticas de
seguridad informática establecidas en la institución en cuanto al manejo de claves y
accesos.
Departamento de Colecturía
Cardenal Spellman Femenino
135
Acta entrega recepción de equipos
136
ANEXO S
Acta de devolución de equipos informáticos
Fecha: ________________________
Mediante la presente yo __________________________________, con cedula de
identidad _______________________ hago la devolución al departamento de Sistemas
los siguientes equipos informáticos a mí asignados:
Cantidad Dispositivo Observación (Campo para Dept.
Sistemas)
Luego de la debida revisión y constatación del buen estado y correcto funcionamiento de
los equipos informáticos por parte del departamento de Sistemas, se da por devuelto
correctamente todo el equipamiento que fue asignado al usuario.
Para la constatación de esta devolución firman ambas partes.
Sistemas Nombre: __________________
Cardenal Spellman Femenino C.I: ______________________
137
ANEXO T
Acta de retiro de acceso al sistema biométrico
Fecha: ____________________
La Unidad Educativa Particular Cardenal Spellman Femenino, a través de su
departamento de Colecturía, autoriza al departamento de Sistemas a realizar el retiro de
acceso al sistema de reloj biométrico y la respectiva eliminación de la cuenta de correo
electrónico institucional de los siguientes usuarios:
Nombre usuario Rol
Colecturía
Cardenal Spellman Femenino
138
ANEXO U
Informe previo al retiro de equipos o software
Fecha: ________________________
El departamento de Sistemas pone a conocimiento de las autoridades de la institución que
después de la respectiva revisión y diagnóstico de los equipos y/o software de la
dependencia __________________, deben ser retirados por las razones que se explican a
continuación:
Equipo / Software Razón de retiro
Para proceder al retiro de los equipos y/o software de la dependencia mencionada se
necesita la autorización debida, para lo cual se solicita su firma de aprobación en este
documento.
Firma de autorización
Nombre: ______________________
C.I: __________________________
139
Acta de retiro de equipos o software
Fecha de retiro: ____________________
El departamento de Sistemas pone a conocimiento de las autoridades los equipos y/o
software que fueron retirados de la dependencia _________________, los cuales se
detallan a continuación:
Equipo/Software Responsable Razón de
retiro Marca Serie
Código
A.F
Se pone a consideración y se adjunta las fotos de los dispositivos que fueron retirados.
Sistemas
Cardenal Spellman Femenino
140
ANEXO V
Solicitud de asignación de contraseña
Fecha: ________________________
Yo, ______________________________________, con cedula de identidad
___________________, solicito muy comedidamente al departamento de Sistemas se me
asigne una contraseña para acceso al sistema de reloj biométrico del personal
_________________ por la siguiente razón: ___________________________________.
Por la atención que se le dé a la presente, anticipo mis más sinceros agradecimientos.
Atentamente
Nombre: ______________________
C.I: __________________________
141
Solicitud de cambio de contraseña
Fecha: ________________________
Yo, ______________________________________, con cédula de identidad
___________________, solicito muy comedidamente al departamento de Sistemas se me
ayude con el cambio de mi contraseña para acceso al sistema de correo electrónico
institucional por la siguiente razón: ______________________________________.
Mi usuario de acceso a la cuenta de correo es __________________________________.
Por la atención que se le dé a la presente, anticipo mis más sinceros agradecimientos.
Atentamente
Nombre: ______________________
C.I: __________________________
142
ANEXO W
Reporte de incidentes en la seguridad informática
Fecha de notificación: Hora de notificación:
Persona que notifica
Nombre:
Área: Cargo:
Correo electrónico:
Datos del incidente
Fecha de ocurrencia: Hora de ocurrencia:
Describa el incidente:
Solución aplicada:
Observaciones:
________________ ________________
Sistemas Usuario
Cardenal Spellman Femenino
143
ANEXO X
Modelo de auditorio informática del esquema de seguridad (CheckList)
REGISTRO DE CONTROL DEL DOCUMENTO
VERSION DESCRIPCION FECHA ELABORADO POR:
NOMBRE CARGO FIRMA
ITEM ACTIVIDADES SI NO N/A OBSERVACIONES
1 Información de la infraestructura
1.1
¿Se mantiene en constante
actualización los diagramas de la
infraestructura?
1.2 ¿Se ha realizado algún cambio de
interés en la infraestructura?
1.3 ¿La información de los equipos de
red está actualizada?
1.4 ¿Se incorporó equipos de red
adicionales en la institución?
1.5
¿Los servicios de red ofrecidos en
la institución están en correcto
funcionamiento?
1.6 ¿Existe algún servicio de red que se
ha implementado recientemente?
2 Diagnóstico de la seguridad en la
infraestructura
2.1
¿Se realiza un estudio periódico de
las áreas más críticas de la
institución?
2.2
¿Los equipos determinados como
más vulnerables, están siendo
protegidos adecuadamente?
2.3
¿Existe otra área adicional en la
que los equipos necesiten más
protección?
3 Análisis de vulnerabilidades y
amenazas
3.1 ¿Se continúa realizando pruebas de
pentesting eventualmente?
3.2 ¿Se continúa realizando pruebas de
snnifing eventualmente?
144
3.3
¿Se ha detectado nuevas
vulnerabilidades y amenazas en los
equipos?
3.4
¿Las vulnerabilidades encontradas
fueron contrarrestadas
oportunamente?
4 Análisis de riesgos
4.1
¿Se mantiene actualizada la base de
los impactos de las amenazas que
han sido encontradas?
4.2 ¿Ha disminuido el impacto de las
amenazas encontradas?
4.3
¿Ha disminuido las probabilidades
con las que las amenazas afectarían
a los equipos?
5 Definición de políticas de
seguridad para implementarlas
5.1 ¿Se han implementado equipos
nuevos últimamente?
5.2
¿Se ha implementado alguna
política adicional en base al
Hardening de equipos?
5.3
¿Se mantiene en vigencia el Comité
de seguridad de la información en
la institución?
6 Política de la seguridad de la
información
6.1
¿Se mantiene el respaldo de la
máxima autoridad de la institución
hacia el esquema de seguridad
implementado?
6.2
¿Se continúa realizando las
revisiones respectivas de las
políticas implementadas
anualmente?
7 Organización de la seguridad de
la información
7.1
¿El seguimiento de la puesta en
marcha de las políticas de
seguridad es constante?
7.2
¿Lo procedimientos de
concientización de usuarios se
están cumpliendo adecuadamente?
7.3
¿Ha existido algún proceso en
donde se ha identificado alguna
oportunidad de mejora?
8 Gestión de los activos
8.1 ¿El inventario de activos de
hardware se mantiene actualizado?
145
8.2 ¿El inventario de software se
mantiene actualizado?
8.3 ¿El inventario de activos de red se
mantiene actualizado?
8.4
¿Hubo algún cambio de los
responsables de activos
informáticos en este periodo?
8.5
¿Existen nuevas reglas de uso
aceptable de los equipos
informáticos?
8.6
¿Se cumplen las reglas establecidas
para el uso aceptable de los equipos
informativos?
8.7
¿Se cumplen y respetan las reglas
de uso del servicio de internet y del
correo electrónico institucional?
9 Seguridad de los recursos
humanos
9.1
¿Se notifica al área de Sistemas
realizar las activaciones de accesos
a los activos informáticos de la
institución para los usuarios?
9.2
¿Se mantiene los acuerdos para la
devolución de activos informáticos
de los usuarios salientes de la
institución?
9.3
¿Se sigue el proceso para el retiro
de privilegios de acceso a sistemas
informáticos de usuarios salientes
de la institución?
10 Seguridad física y del entorno
10.1
¿Ha existido algún cambio
considerable en el sistema de
cámaras de seguridad?
10.2
¿El sistema de cámaras de
seguridad está en correcto
funcionamiento?
10.3
¿Se realiza el registro adecuado de
las personas que ingresan al área de
Sistemas?
10.4
¿Se sigue el cronograma de
mantenimiento de los UPS de la
institución y los sistemas de
ventilación?
10.5
¿Se sigue el cronograma de
mantenimiento de los equipos de la
institución?
10.6
¿Se mantiene y se siguen los
formatos de retiros de equipos
informáticos y software?
146
11 Control de acceso
11.1
¿Se sigue a cabalidad el proceso de
asignación o cambios de
contraseñas?
11.2
¿Se realizan los cambios de
contraseñas de acuerdo a las
políticas de seguridad de
contraseñas?
12 Gestión de los incidentes de la
seguridad de la información
12.1 ¿Se realizan los respectivos
reportes de incidentes en la
seguridad dela información?
13 Cumplimiento
13.1 ¿La auditoría interna de la
institución se la realiza anualmente
como está establecido?
ACCIÓN NOMBRE FIRMA CARGO
ELABORADO POR:
REVISADO POR:
APROBADO POR: